Wat moet je met privacygevoelige informatie bij een bedrijfsovername?
18/06
2021
2021
Als een bedrijf een afdeling/onderdeel verkoopt, hoe moet er dan worden omgegaan met privacygevoelige informatie? Ik denk dan aan niet alleen de personeelsadministratie maar ook bijvoorbeeld backups van oude klantgegevens.
De eerste vraag is altijd op wat voor manier zo’n verkoop juridisch vormgegeven wordt. Er zijn grofweg twee vormen: de betreffende organisatie krijgt een nieuwe eigenaar, of de “assets” oftewel bezittingen et cetera die horen bij de organisatie krijgen een nieuwe eigenaar.
In het eerste geval blijft de organisatie bestaan maar komen de aandelen in nieuwe handen. Dat is juridisch dan heel simpel: dat verandert helemaal niets. Het bedrijf is er nog steeds, heeft dezelfde rechtsvorm en rechten en plichten. Alles gaat dan gewoon door zoals het was.
In het tweede geval is het juridisch een stuk ingewikkelder, omdat je dan al snel in ongeregeld gebied terechtkomt. Zo is het bijvoorbeeld niet zo dat als je een computer verkoopt, de ontvanger eigenaar (of verwerkingsverantwoordelijke) wordt van de persoonsgegevens die daar op staan. Softwarelicenties of databases overdragen zijn nog weer ingewikkelder, en of personeel meegaat is ook weer een vraag.
Daarnaast moet je ook inderdaad backups en andere `extra’ kopieën van persoonsgegevens goed in de gaten houden. Een extreem geval hiervan zagen we in mei: in een kelder in Schiedam bleken cd’s met de gevoelige dossiers van duizenden cliënten van ggz-instelling Riagg Rijnmond opgeslagen te zijn. De curator die het faillissement afhandelt ging ervan uit dat Parnassia ook de verantwoordelijkheid over de dossiers van Riagg Rijnmond kreeg. De cd’s zijn daarbij over het hoofd gezien.
En als laatste is bij zo’n verkoop natuurlijk de vraag of de AVG dit überhaupt toestaat. Met name curatoren hebben er nog wel eens een handje van om klantenlijsten te verkopen aan de hoogste bieder, dat is eenvoudigweg niet mogelijk onder de AVG. Als je de garantiecontracten overdraagt, dan moeten de klantgegevens natuurlijk mee, dat is dan wel legaal.
Helaas kan ik dus geen algemeen antwoord geven dat verder gaat dan “dat hangt er vanaf, maar let heel goed op”. Ik merk wel dat het vaak een ondergeschoven kindje is of dat mensen vergeten de backups te controleren.
Arnoud
Het bericht Wat moet je met privacygevoelige informatie bij een bedrijfsovername? verscheen eerst op Ius Mentis.
Datum: vrijdag 18 juni 2021, 08:11
Bron: Iusmentis Blog
Categorie: Internet en ICT
Tags: Schiedam, Zuid-Holland
Gerelateerde berichten:
- Moet ik mijn contracten herzien als mijn leverancier wordt overgenomen? (11/03/22 08:17)
- Hoe veel gebakken lucht zit er juridisch in een NFT? (10/01/22 08:17)
- Heb ik recht op een kopie van ingezonden formulieren? (23/10/23 08:11)
- Wat moet ik juridisch nou weer van NFT’s vinden? (22/04/21 08:14)
- Waarom persoonsgegevens tot eigendom verklaren een heel slecht idee is (21/11/19 08:11)
Reacties:
Er zijn nog geen reacties op dit bericht.