Dataprotectie voor Nederlandse bedrijven bij fusies

Home » Dataprotectie bij fusies en overnames: welke persoonsgegevens mag u delen onder de AVG?

Gepubliceerd: Oct 14, 25

Tijdens fusies en overnames (M&A) delen bedrijven bedrijfsgegevens voor due diligence. In sommige gevallen moeten ze echter ook persoonsgegevens delen. Voor Nederlandse bedrijven geldt de Algemene Verordening Gegevensbescherming (AVG/GDPR) met strikte regels voor het verwerken en overdragen van persoonsgegevens. Dataprotectie speelt hierbij een centrale rol, aangezien niet-naleving kan leiden tot hoge boetes en reputatieschade.

Persoonsgegevens doorgeven is alleen toegestaan als dit past bij het doel waarvoor de gegevens oorspronkelijk zijn verzameld. Er moet een duidelijk doel zijn voor het delen van persoonsgegevens, en het delen moet in overeenstemming zijn met het oorspronkelijke doel.

Om gevoelige gegevens veilig te delen, maken bedrijven gebruik van een virtuele dataroom (VDR). Deze maken het mogelijk om gegevens op een veilige, gecontroleerde en auditbestendige manier te delen. Onder de AVG gelden specifieke voorwaarden voor het doorgeven van persoonlijke gegevens aan derden. Het delen van persoonsgegevens is alleen toegestaan als aan deze voorwaarden wordt voldaan en het gebruik verenigbaar is met het doel waarvoor de gegevens zijn verzameld. In dit artikel worden de wettelijke en technische grenzen van het delen van persoonsgegevens bij fusies en overnames onder de AVG toegelicht en wordt uitgelegd hoe VDR’s helpen om te voldoen aan de AVG voor bedrijven.

Wat zegt de AVG over het delen van persoonsgegevens?

Tijdens fusies en overnames worden vaak persoonsgegevens uitgewisseld tussen kopers, verkopers en adviseurs. De AVG stelt strenge regels aan de gegevensverwerking en uitwisseling van dergelijke gegevens.

De AVG definieert persoonsgegevens als een brede term voor alle informatie die betrekking heeft op een geïdentificeerde of identificeerbare persoon. Alle persoonsgegevens die worden verwerkt, moeten voldoen aan de eisen van de AVG. Bij fusies en overnames kan dit het volgende omvatten:

Gewone persoonsgegevens: dit zijn gegevens zoals naam, adres en leeftijd. Deze informatie valt onder de privacywetgeving en mag alleen gedeeld worden met een geldige grondslag.
Werknemersgegevens: namen, salarissen, prestatiebeoordelingen, contractgegevens.
Klantgegevens: contactgegevens, aankoopgeschiedenis, betalingsinformatie.
Gegevens van aandeelhouders/bestuursleden: identificatie, aandelenbezit.
Bijzondere categorieën gegevens, zoals medische dossiers, lidmaatschap van een vakbond.

Zelfs gepseudonimiseerde gegevens, waarbij identificatiegegevens zijn vervangen door codes, kunnen nog steeds als persoonsgegevens worden aangemerkt als heridentificatie mogelijk is. Bij het openbaar maken van privégegevens tijdens fusies en overnames vereist de AVG dat persoonsgegevens alleen worden gedeeld als aan de voorwaarden voor gegevensverwerking is voldaan:

Een wettelijke basis voor verwerking (art. 6 AVG), zoals:

Gerechtvaardigd belang, zoals bijvoorbeeld due diligence.
Toestemming (dit komt zelden voor bij fusies en overnames, aangezien deze vrijwillig moet worden gegeven en herroepbaar moet zijn).
Wettelijke verplichting als openbaarmaking wettelijk verplicht is.Hierbij moeten verschillende factoren worden afgewogen om te bepalen of de gegevensverwerking is toegestaan, zoals het doel van de verwerking, de aard van de gegevens en de belangen van betrokkenen.

Gegevensminimalisatie, wat betekent dat de partijen alleen mogen delen wat strikt noodzakelijk is voor de transactie.
Vertrouwelijkheid en veiligheid om ervoor te zorgen dat ontvangers veilig met gegevens omgaan. Dit gebeurt meestal via geheimhoudingsverklaringen en versleutelde overdrachten.

Alle handelingen waarbij persoonsgegevens worden verzameld, gebruikt, gedeeld of vernietigd, vallen onder de term ‘gegevens verwerkt’ en moeten altijd voldoen aan de wettelijke normen van de AVG. Zo wordt gewaarborgd dat persoonsgegevens zorgvuldig worden verwerkt en de privacy van betrokkenen wordt beschermd.

Boetes en nalevingsrisico’s voor Nederlandse bedrijven

De Autoriteit Persoonsgegevens (AP), de Nederlandse gegevensbeschermingsautoriteit, ziet toe op de naleving van de AVG. Bedrijven die de regels overtreden, riskeren aanzienlijke sancties, waaronder:

Boetes tot € 20 miljoen of 4% van de wereldwijde jaaromzet, afhankelijk van welk bedrag het hoogst is. Dit is in overeenstemming met de standaard boetestructuur van de AVG die in de hele EU wordt toegepast.
Reputatieschade, aangezien openbare handhavingsmaatregelen of onderzoeken door de AP de geloofwaardigheid van het bedrijf negatief kunnen beïnvloeden.
Civiele vorderingen, waarbij personen van wie de gegevens verkeerd zijn behandeld, schadevergoeding kunnen eisen, zoals toegestaan onder de AVG.

Kortom, privacy en gegevensbescherming maken nu deel uit van het onderhandelingsproces. Bedrijven die dit serieus nemen, voorkomen niet alleen boetes. Ze laten potentiële kopers en partners ook zien dat ze een verantwoordelijk, compliant bedrijf runnen.

Welke persoonsgegevens worden doorgaans gedeeld tijdens een fusie of overname?

Niet alle gegevens die voor due diligence worden gedeeld, mogen vrij worden bekendgemaakt. De AVG vereist een zorgvuldige afweging tussen transparantie en privacy. Hieronder geven we een overzicht van welke persoonsgegevens u mag delen en welke informatie moet worden beperkt, geanonimiseerd of geredigeerd.

Type gegevens	Voorbeelden	Mag het worden gedeeld?	Voorwaarden en beperkingen
Arbeidsovereenkomsten	Namen, functies, salarissen, secundaire arbeidsvoorwaarden	Ja	Anonimiseer waar mogelijk en beperk de toegang tot essentiële partijen.
Loonadministratie	Salarissen, bonussen, belastinggegevens	Beperkt	Aggregeer gegevens (bijv. bereiken). Deel geen burgerservicenummers.
Klantgegevens (B2B)	Contactpersonen, contractvoorwaarden	Ja	Behandel als persoonsgegevens. Pseudonimiseer indien niet nodig voor due diligence.
Klantgegevens (B2C)	Namen, aankoopgeschiedenis, contactgegevens	Beperkt	Vereist rechtvaardiging (gerechtvaardigd belang). Vermijd het delen van marketingtoestemmingen zonder beoordeling.
UBO-verklaringen	Namen, geboortedata, eigendomsbelangen (>25%)	Ja	Verplicht volgens AML-wetgeving. Beperk de toegang tot juridische/financiële adviseurs.
Informatie over bestuur/aandeelhouders	Namen van bestuurders, notulen van vergaderingen	Ja	Openbaar beschikbare gegevens (bijv. KvK) zijn laagrisico. Redigeer privécommunicatie.
NDA’s/concurrentiebedingen	Overeenkomsten met werknemers of derden	Ja	Zorg ervoor dat geheimhoudingsverklaringen de naleving van de AVG voor ontvangers dekken.
Gezondheids-/medische dossiers	Ziekteverzuimrapporten, voorzieningen voor arbeidsongeschiktheid	Nee	Gegevens van bijzondere categorieën (AVG art. 9) — alleen delen indien essentieel en met een wettelijke basis.
Lidmaatschap van vakbonden	Gegevens over de affiliatie van werknemers	Nee	Verboden zonder uitdrukkelijke toestemming of wettelijke verplichting.
Prestatiebeoordelingen	Werknemersbeoordelingen, disciplinaire gegevens	Zelden	Alleen indien direct relevant voor aansprakelijkheden (bijv. lopende rechtszaken).

Let op: Gegevensverwerking moet noodzakelijk zijn voor het doel van de transactie en in overeenstemming met het oorspronkelijke doel waarvoor de gegevens zijn verzameld. Als u zonder geldige grondslag persoonsgegevens met derden deelt, kan dit leiden tot schending van de AVG en aanzienlijke risico’s voor privacy en compliance.

Rechtsgrondslag voor het delen van AVG-gegevens delen bij fusies en overnames

Op grond van de AVG kunnen bedrijven niet zomaar gegevens zoals werknemersinformatie, klantgegevens of contactgegevens van leveranciers vrijelijk delen. Bedrijven hebben een solide rechtsgrondslag nodig. De AVG stelt dat organisaties een privacytoets moeten uitvoeren om te beoordelen of het belang van de organisatie zwaarder weegt dan de privacyrechten van de betrokkenen. Daarnaast is het belangrijk dat er een goede reden is voor het delen van persoonsgegevens. Als het oorspronkelijke doel van de verwerking niet meer van toepassing is, moet er een nieuwe grondslag worden gezocht om gegevens rechtmatig te mogen delen. Hier is wat ze in gedachten moeten houden:

Gerechtvaardigd belang versus contractuele noodzaak

Bij veel fusies en overnames is gerechtvaardigd belang de meest voorkomende grond voor het delen van gegevens. Zo hebben zowel de koper als de verkoper een gerechtvaardigd belang bij een goede beoordeling van het bedrijf en de risico’s ervan. Maar zelfs dan moeten bedrijven hun belang afwegen tegen het recht op privacy van de betrokken personen. Als hun privacy ernstig wordt aangetast, is gerechtvaardigd belang mogelijk niet voldoende.

In sommige gevallen kan contractuele noodzaak van toepassing zijn. Maar dit komt zelden voor tijdens de due diligence-fase. Het is relevanter na de transactie, wanneer het overdragen van contracten en het voortzetten van de verwerking van gegevens noodzakelijk is om die overeenkomsten na te komen.

Toestemming, redactie of pseudonimisering?

Soms, vooral bij gevoelige persoonsgegevens, is het het beste om extra voorzorgsmaatregelen te nemen:

Toestemming. Het vragen van toestemming aan personen klinkt als een nette oplossing, maar in de praktijk is dit vaak onwerkbaar, vooral bij grote datasets of wanneer vertrouwelijkheid cruciaal is tijdens onderhandelingen.
Redactie. Een veelgebruikte en praktische aanpak. Bedrijven verstrekken geanonimiseerde documenten tijdens de due diligence en maken pas in latere stadia persoonsgegevens bekend wanneer dat strikt noodzakelijk is.
Pseudonimisering. Hierbij worden identificeerbare gegevens vervangen door codes. Op deze manier kunnen gegevens nog steeds worden gebruikt voor analyse zonder dat personen direct kunnen worden geïdentificeerd.

Documentatieverplichting voor bedrijven onder de AVG

Welke rechtsgrondslag bedrijven ook kiezen, de AVG verplicht hen om hun beslissingen te documenteren. Dit betekent:

Duidelijk vastleggen van de gekozen rechtsgrond voor het delen van gegevens.
Beschrijven hoe bedrijven privacybelangen hebben afgewogen wanneer zij zich baseren op gerechtvaardigd belang.
Het documenteren van genomen technische en organisatorische maatregelen, zoals anonimisering of beperkte toegang.
Ervoor zorgen dat er gegevensverwerkingsovereenkomsten zijn gesloten als externe partijen (zoals adviseurs) toegang hebben tot de gegevens.

Goede documentatie zorgt ervoor dat bedrijven aan de regels voldoen en laat potentiële kopers zien dat het bedrijf gegevensbescherming serieus neemt. En dat is een groot pluspunt bij elke deal.

Hoe een virtuele dataroom helpt om AVG-compliance te waarborgen

Een virtuele dataroom is de veiligste en meest efficiënte manier om persoonsgegevens delen met derden te delen en tegelijkertijd te voldoen aan de AVG. In tegenstelling tot generieke cloudopslag zijn VDR’s speciaal ontworpen voor gecontroleerd, controleerbaar en veilig documenten delen, wat cruciaal is bij het omgaan met persoonsgegevens.

Zo helpt een VDR Nederlandse M&A-professionals om aan de regels te blijven voldoen:

1. Op rollen gebaseerde toegangscontrole (wie ziet wat)

De AVG vereist dat gegevens tot een minimum worden beperkt en dat persoonsgegevens alleen worden gedeeld met partijen die deze nodig hebben. Onbeperkte toegang verhoogt het risico op inbreuken. VDR’s bieden:

Gedetailleerde machtigingen om ervoor te zorgen dat kopers, advocaten en adviseurs alleen documenten zien die relevant zijn voor hun rol.
Dynamische watermerken die ongeoorloofd delen tegengaan door documenten te voorzien van de identiteit van de kijker.

2. Gedetailleerde audittrails (bewijs van naleving)

De AVG schrijft verantwoordingsplicht voor, wat betekent dat bedrijven moeten bijhouden wie wanneer toegang heeft gehad tot welke gegevens. VDR’s bieden:

Real-time logboeken van elke documentweergave, downloadpoging en gebruikersaanmelding (IP-adres, tijdstempel)
Exporteerbare rapporten die nalevingsaudits door de Autoriteit Persoonsgegevens (AP) vereenvoudigen.

3. Vervaldatum van documenten en wissen op afstand

Het opslagbeperkingsbeginsel van de AVG vereist dat gegevens worden verwijderd wanneer ze niet langer nodig zijn. Gelekte documenten kunnen leiden tot inbreuken na de transactie. VDR’s bieden:

Links die automatisch verlopen om de toegang na een bepaalde periode in te trekken.
Wissen op afstand waarmee u documenten van alle apparaten kunt verwijderen, zelfs na het downloaden.

4. Veilig delen zonder de AVG-limieten te overschrijden

E-mail- of USB-overdrachten zijn onveilig en brengen het risico van onwettige gegevensuitwisseling met zich mee. VDR’s bieden:

Versleutelde overdrachten (TLS 1.2+ en AES-256-versleuteling).
Tweefactorauthenticatie (2FA) voorkomt ongeoorloofde aanmeldingen.
Fence View-modus blokkeert screenshots/afdrukken van gevoelige bestanden.

5. Tools voor redactie en pseudonimisering

AVG vereist dat de blootstelling van persoonsgegevens tot een minimum wordt beperkt. VDR’s bieden:

Ingebouwde redactie om gevoelige gegevens, zoals burgerservicenummers, permanent te verbergen.
AI-gestuurde scanning die onbeschermde persoonlijke gegevens markeert voordat ze worden geüpload.

Belangrijke praktijken voor AVG-proof datarooms bij fusies en overnames

Om persoonsgegevens legaal te delen tijdens een M&A-proces, moeten bedrijven hun due diligence-dataroom inrichten in overeenstemming met de AVG. Voor het verwerken van bijzondere persoonsgegevens gelden speciale regels, die bedoeld zijn om de privacy en bescherming van gevoelige gegevens te waarborgen.

Hieronder staan de belangrijkste praktijken om ervoor te zorgen dat de dataroom compliant en veilig blijft, met aandacht voor de goede vervulling van wettelijke en contractuele verplichtingen bij het delen van gegevens.

1. Redactietools om onnodige blootstelling van gegevens te minimaliseren

Redactie helpt onbedoelde openbaarmaking van persoonsgegevens te voorkomen, zoals:

BSN-nummers (burgerservicenummers)
Medische gegevens
Andere gevoelige informatie

Geautomatiseerde redactietools kunnen gevoelige informatie, zoals persoonlijke gegevens, uit documenten verwijderen voordat u ze naar de dataroom uploadt. Maar vertrouw niet alleen op automatisering. Het is belangrijk om de documenten handmatig te controleren om er zeker van te zijn dat er geen persoonlijke informatie verborgen zit in bijvoorbeeld bijgehouden wijzigingen of documentopmerkingen in Word- of PDF-bestanden.

Sommige datarooms bieden ook slimme tools met AI die documenten automatisch kunnen scannen en u waarschuwen als persoonlijke informatie niet correct is verwijderd voordat de bestanden live gaan.

Activiteitenlogboeken – volledige audittrails voor verantwoordingsplicht

Volgens de AVG moeten bedrijven kunnen aantonen wie wanneer toegang heeft gehad tot welke gegevens. Dit is vooral belangrijk als de Nederlandse privacyautoriteit (Autoriteit Persoonsgegevens) uw proces controleert. Daarom moet uw dataroom:

Elke keer dat iemand een document bekijkt, downloadt of afdrukt, bijhouden.
Watermerken toevoegen met details zoals het e-mailadres, het IP-adres en het tijdstip van de kijker – dit helpt om ongeoorloofd delen te ontmoedigen.
Duidelijke rapporten moeten bieden die alle activiteiten weergeven, die u kunt gebruiken voor audits of in geval van geschillen.

Compliance-mappen – gestructureerde toegang tot gegevens

Niet alle partijen hebben toegang nodig tot zeer gevoelige gegevens (bijv. UBO-gegevens, salarisadministratie). De AVG schrijft op rollen gebaseerde beperkingen voor. Met gelaagde toegangscontroles kunt u machtigingen toewijzen op basis van de rol van de gebruiker en de gevoeligheid van het document. Duidelijk gescheiden mappen, bijvoorbeeld:

Openbare gegevens (bijv. documenten van de Kamer van Koophandel)
Vertrouwelijke gegevens (bijv. arbeidscontracten)
Beperkte gegevens (bijv. salarisadministratie, UBO-informatie, speciale categorieën persoonsgegevens)

Dit helpt het risico op blootstelling van gegevens te verminderen en tegelijkertijd het transactieproces efficiënt te houden.

AVG-clausules in geheimhoudingsovereenkomsten en transactiedocumentatie

Ten slotte is het niet voldoende om technische beperkingen in te stellen, aangezien ook juridische waarborgen van belang zijn. Alle derde partijen (kopers, adviseurs, consultants) die toegang hebben tot de dataroom moeten zich ertoe verbinden om op verantwoorde wijze om te gaan met persoonsgegevens. NDA’s en transactiedocumenten moeten duidelijke AVG-gerelateerde voorwaarden bevatten, zoals:

Gegevens mogen alleen worden gebruikt voor due diligence-doeleinden.
De gegevens moeten na de transactie worden verwijderd of teruggegeven.
Elke inbreuk op de gegevensbescherming moet binnen 72 uur worden gemeld.

Deze clausules helpen ervoor te zorgen dat alle betrokkenen contractueel verplicht zijn om de privacyregels na te leven.

Juridische aspecten en aansprakelijkheid bij het delen van persoonsgegevens

Het delen van persoonsgegevens tijdens fusies en overnames brengt aanzienlijke juridische verantwoordelijkheden met zich mee. Organisaties moeten zich strikt houden aan de regels van de Algemene Verordening Gegevensbescherming (AVG). De Autoriteit Persoonsgegevens (AP) ziet toe op de naleving van deze regels en kan ingrijpen wanneer persoonsgegevens zonder geldige grondslag worden gedeeld. Dit kan leiden tot forse boetes en aansprakelijkheid voor de organisatie.

De AVG kent zes grondslagen voor het verwerken en delen van persoonsgegevens: toestemming van de betrokkene, uitvoering van een overeenkomst, een wettelijke verplichting, bescherming van vitale belangen, een taak van algemeen belang of de uitoefening van openbaar gezag, en het gerechtvaardigd belang van de organisatie. Het is essentieel dat organisaties vooraf bepalen op welke grondslag zij persoonsgegevens verwerken en delen. Vooral bij bijzondere persoonsgegevens, zoals medische gegevens of informatie over politieke voorkeur, gelden extra strikte voorwaarden en moeten passende waarborgen worden getroffen om de privacy van de betrokkene te beschermen.

Voordat persoonsgegevens worden gedeeld, is het uitvoeren van een privacytoets (Data Protection Impact Assessment) verplicht. Hierbij moeten organisaties zorgvuldig afwegen of het delen van persoonsgegevens noodzakelijk is voor het doel, en wat de gevolgen ervan zijn voor de betrokken personen. Als het delen van gegevens niet noodzakelijk is voor de uitvoering van een overeenkomst of een wettelijke verplichting, moet er een nieuwe, specifieke grondslag zijn om de gegevens te mogen delen. Het belang van de organisatie mag nooit zwaarder wegen dan de rechten en vrijheden van de betrokkene zonder een zorgvuldige afweging.

In uitzonderlijke situaties, zoals bij het beschermen van iemands vitaal belang (bijvoorbeeld bij een medische noodsituatie), kan het delen van persoonsgegevens gerechtvaardigd zijn. Ook dan moet de organisatie aantonen dat het delen van de gegevens noodzakelijk is en dat er geen andere, minder ingrijpende manier is om het doel te bereiken.

Wanneer persoonsgegevens met andere organisaties worden gedeeld, is het verplicht om passende waarborgen te treffen. Dit betekent dat er duidelijke afspraken moeten worden gemaakt over de verwerking en bescherming van de gegevens, bijvoorbeeld door het sluiten van een verwerkersovereenkomst. Zo wordt geborgd dat ook de ontvangende partij zich aan de regels van de AVG houdt en de privacy van de betrokkene beschermd blijft.

De Autoriteit Persoonsgegevens kan bij overtreding van de AVG-regels boetes opleggen, waarvan de hoogte afhankelijk is van de ernst en omvang van de overtreding. Het is daarom cruciaal dat organisaties altijd een geldige grondslag hebben voor het delen van persoonsgegevens, passende waarborgen treffen en een zorgvuldige afweging maken voordat zij persoonsgegevens delen.

Kortom, het delen van persoonsgegevens tijdens fusies en overnames vereist niet alleen technische en organisatorische maatregelen, maar ook een solide juridische basis. Alleen door te werken volgens de regels van de AVG en met respect voor de rechten van de betrokkene, kunnen organisaties hun aansprakelijkheid beperken en de privacy van betrokken personen beschermen.

Conclusie

Een virtuele dataroom voor fusies en overnames is een essentieel hulpmiddel om het risico op privacyschendingen tijdens een transactie te verminderen. Met de juiste opzet — inclusief geredigeerde documenten, op rollen gebaseerde toegang, activiteitenlogboeken en duidelijke mappenstructuren — laten Nederlandse bedrijven zien dat ze gegevensbescherming serieus nemen.

Hoewel een virtuele dataroom de noodzaak van juridisch advies niet vervangt, biedt het een praktisch kader om:

Compliance te operationaliseren door middel van technische waarborgen
Uw zorgvuldigheid voor regelgevingsdoeleinden te documenteren
Controle te behouden in wat vaak een complex proces is waarbij meerdere partijen betrokken zijn

Let bij het delen van persoonsgegevens via sociale media, met de overheid of in het kader van de algemene wet, zoals de Algemene wet inzake Rijksbelastingen, extra op de bescherming van strafrechtelijke gegevens, gegevens over iemands gezondheid of iemands leven, en de rechten van de natuurlijke persoon. Deze bijzondere situaties vereisen extra aandacht en naleving van de AVG.

Ontdek hoe onze VDR uw team helpt om gevoelige gegevens veilig te delen — plan vandaag nog een gratis proefperiode van 30 dagen.