Wat mag en moet bij de overdracht van persoonsgegevens, bijvoorbeeld bij een databankverkoop of bedrijfsovername? Lees hoe u AVG-compliant blijft en risico’s beperkt.
Het verwerken en beheren van persoonsgegevens brengt verantwoordelijkheden met zich mee die niet licht opgevat mogen worden. Met de toename in het gebruik van data door ondernemingen en de opkomst van innovatieve toepassingen groeit ook de complexiteit van juridische vraagstukken rond gegevensoverdracht.
Wat gebeurt er bijvoorbeeld met persoonsgegevens bij een overname, faillissement of de verkoop van een databank? Good Law zet de belangrijkste aandachtspunten op een rij.
Data als waardevol bezit
Dat persoonsgegevens waardevol zijn, is algemeen bekend. Het veelgehoorde gezegde ‘data is the new oil’ benadrukt hoe data een onuitputtelijke bron van waarde is. Veel ondernemingen gebruiken persoonsgegevens, bijvoorbeeld voor klantregistratie of personeelsbeheer. Daarnaast ontdekken bedrijven voortdurend nieuwe manieren om data in te zetten, zoals bij targeted advertising of gezondheidsregistratie in de horeca.
Met deze groeiende databergen rijst ook de vraag hoe deze gegevens verantwoord worden beheerd, zeker als persoonsgegevens van eigenaar wisselen door verkoop, herstructurering of faillissement.
De juridische haken en ogen van gegevensoverdracht
Persoonsgegevens worden soms ‘achteloos’ als activa aangeduid of zonder veel aandacht overgedragen. Dit roept complexe vragen op: mogen persoonsgegevens zomaar verkocht worden? En onder welke voorwaarden? Bij gegevensoverdracht gaat niet alleen de verantwoordelijkheid over, maar ook de verplichting om te voldoen aan de Algemene Verordening Gegevensbescherming (AVG).
Dit kan leiden tot aanzienlijke juridische aansprakelijkheden voor de nieuwe verwerkingsverantwoordelijke.
Nieuwe verantwoordelijkheden, nieuwe regels
Bij een verandering van eigenaar moet de nieuwe verantwoordelijke nagaan hoe en waarom persoonsgegevens zijn verzameld. Dit is afhankelijk van verschillende factoren:
- Categorieën gegevens: Bijzondere of gevoelige gegevens zoals BSN-nummers of gezondheidsinformatie vereisen extra zorgvuldigheid.
- Doeleinden: Waren de gegevens oorspronkelijk bedoeld voor hetzelfde gebruik als de nieuwe eigenaar beoogt? Als het gebruik verandert, moet dit een geldige grondslag hebben.
- Grondslag: Is er toestemming of een contract dat de verwerking legitimeert? Of is er een andere juridische basis nodig?
Een tijdschriftenbedrijf dat zijn activiteiten voortzet, zal bijvoorbeeld minder juridische obstakels ondervinden bij de overdracht van klantgegevens dan een telemarketeer die data wil combineren voor nieuwe toepassingen.
Zorgvuldigheid loont
Naast de privacyregels van de AVG kunnen ook het databankenrecht en andere juridische kaders van toepassing zijn. Ondernemingen die transparant omgaan met persoonsgegevens vergroten niet alleen hun compliance, maar ook hun waarde en goodwill. Zorgvuldigheid bij gegevensoverdracht is daarom essentieel.
Kennis en ondersteuning van Good Law
Het beheren van persoonsgegevens vereist kennis en precisie. De Autoriteit Persoonsgegevens biedt informatie om een eerste kader te schetsen, maar uitgebreide situaties vragen vaak om specialistisch advies.
Bij Good Law ondersteunen wij onder andere met:
- Ad-hoc privacyadvies;
- Begeleiding bij projecten;
- Privacy risico-analyses.
Met onze expertise helpen wij ondernemingen niet alleen te voldoen aan hun wettelijke verplichtingen, maar ook om proactief waarde toe te voegen door zorgvuldige gegevensverwerking.
