Zo voorkomt u dat er tijdens het M&A-traject informatie uitlekt
Het lekken van data is een serieus probleem geworden sinds vrijwel alle bedrijfs- en persoonsgegevens digitaal zijn opgeslagen. Ook de M&A-wereld moet op zijn hoede zijn. Bij een overnameproces wordt er immers veel informatie uitgewisseld. ACG Holland organiseerde afgelopen dinsdag 10 maart in samenwerking met DataroomServices in de Symfoniezaal op de Zuidas een conferentie over dit onderwerp.
Jeroen Kruithof, Managing Director bij DataroomServices, was de gastheer deze middag. “Het iets te luidde kroeggesprek met uw collega is tegenwoordig niet meer het grootste risico op een datalek,” aldus Kruithof. “Het gevaar zit ‘m tegenwoordig in de digitale uitwisseling van gevens. Daarom hebben wij deze middag georganiseerd.”
Vooral professionals in de fusie- en overnamebusiness moeten oppassen met hun online verkeer, waarschuwde de eerste spreker, Thomas de Weerd, partner bij Houthoff Buruma en gespecialiseerd in it-recht. “Tijdens het M&A-traject wordt er ontzettend veel informatie uitgewisseld. En dat is vaak heel vertrouwelijke informatie van zowel de koper als de verkoper.” Als er financiële gegevens van een bedrijf op straat komen, kan dat de concurrentiepositie aantasten of toekomstige onderhandelingen in de weg zitten, bijvoorbeeld doordat er een conceptovereenkomst, offer letter of management interview in verkeerde handen komt.
De Weerd gaf twee tips. Een is dat de non-disclosure agreement (NDA) altijd aan het begin van de onderhandelingen moet worden gesloten. Het gebeurt volgens de partner van Houthoff te vaak dat de NDA pas halverwege wordt getekend, en dan kan het misschien al te laat zijn. Het tweede is dat de betrokken partijen – advocaten, bankiers, adviseurs, investeerders – selectief informatie moeten delen. Dus niet zomaar documenten sturen naar de hele afdeling van een kantoor maar alleen naar de relevante personen. Niet dat de rest van de afdeling per se onbetrouwbaar is, maar hoe minder mensen informatie in handen hebben, hoe kleiner de kans is dat het ergens per ongeluk lekt. Ook is het verstandig om informatie gefaseerd te sturen. Als een deal dan uiteindelijk niet doorgaat, heeft de partij niet gelijk alle gegevens in handen.
“Dealmakers gaan niet altijd even bewust om met het delen van data,” aldus de Weerd. “Het is natuurlijk verleidelijk om – als de deal klaar – meteen weer door te gaan naar de andere opdracht. Maar vergeet dan niet de andere partijen om te verzoeken om al toegezonden informatie te verwijderen, mocht dat nodig zijn.” Ook kunnen M&A professionals codenamen gebruiken en bepaalde informatie onleesbaar maken met markeringen om de kans te verkleinen dat er gevoelige gegevens bij de onjuiste personen terechtkomen.
De Weerd legt uit dat het delen van informatie via het internet niet alleen een zwakte is maar tegelijkertijd extra beveiligingsopties biedt. “Documenten kunnen bijvoorbeeld worden versleuteld zodat alleen bepaalde mensen het kunnen openen die het wachtwoord kennen. Ook kunt u instellen dat documenten door de andere partij niet kunnen worden geprint.” Dealmakers moeten deze afwegingen goed maken. Want naast een digitale lekkage, bestaat immers nog steeds de kans dat papier op de verkeerde plekken terechtkomt. “Ik kan uit ervaring vertellen dat advocaten ervan houden om lange stukken van het papier te lezen maar weet dan wel zeker dat de papieren na het sluiten van de deal door de shredder gaan bij uzelf én bij de andere partij.”
Veel kantoren werken met cloud-diensten zoals gmail, Dropbox en WeTransfe omdat deze goedkoop, makkelijk en snel zijn. “Daar kleven echter wel risico’s aan,” waarschuwt De Weerd terwijl hij op de algemene voorwaarden van deze diensten wijst. “Als er iets fout gaat, kun je hen niet aansprakelijk stellen. Ook is niet bekend wat deze bedrijven met onze data doen.” In de voorwaarden van Dropbox staat bijvoorbeeld dat ze geen recht hebben om gebruik te maken van de gegevens van de gebruiker maar Dropbox geeft verder geen veiligheidsgaranties. Google – de aanbieder van onder meer Docs, Drive en Gmail – gaat verder en geeft in zijn voorwaarden aan dat het alles mag doen met de data van zijn gebruikers.
Paul Waszink van Nauta Dutilh, een expert in netwerk- en informatiebeveiliging, legde als tweede spreker uit wat de gevolgen van een datalek kunnen zijn. “In de media vinden we de laatste tijd veel kwesties over data leakage, zoals toen laatst de gegevens van 500 duizend patiënten op straat lagen. De oorzaak van deze datalekken zijn meestal menselijke foutenl.” Zelf herinnert Waszink zich nog goed dat een kantoorgenoot bij de afwikkeling van het DBS-faillissement een dossier in de taxi had laten liggen. “In dit geval was dat gelukkig niet zulke gevoelige informatie maar de reputatieschade van zo’n gebeurtenis is vaak wel groot.” Bedrijven kunnen zich verzekeren tegen de kosten van een datalek maar deze verzekering worden volgens Waszink niet veel afgesloten. “De financiele schade is vaak nooit zo groot, het gaat echt om de reputatieschade, en die kun je natuurlijk niet laten verzekeren.”
Datalekken kunnen potentieel zes rechtsgebieden raken: privacy-, telecom-, financieel-, IT-, aansprakelijkheids- en strafrecht. “Wetgeving die er op dit moment zit aan te komen, schrijft voor dat bedrijven alle beveiligingslekken van gegevens moeten melden aan de CBP, oftewel het College bescherming persoonsgegevens,” vertelde Waszink. “Natuurlijk hoeft u niet meteen naar de CPB te rennen als er een keer een mailtje naar de verkeerde persoon is gestuurd, maar wel als het om een significant risico gaat. Dat is een relatieve norm, geen absolute. En dat maakt het moeilijke wetgeving.”
De boetes gaan ook omhoog, aldus Waszink. Waar dat eerst hoogstens op 4500 euro uitkwam, daar kunnen er nu boetes tot twee procent van de omzet worden uitgedeeld, tot 810.000 euro. “Het CPB straft niet echt boetegedreven, maar wat zij wel doen is beveiligingslekken openbaar maken, en dat is natuurlijk vervelend voor de reputatie van een bedrijf.” De advocaat van Nauta Dutilh benadrukt nog eens dat goede techniek omtrent gegevensbeveiliging een no-brainer is maar “het is de vraag hoe we de mens in toom houden” zodat er geen informatie uitlekt.
Omdat vrijwel alle zakelijke informatie tegenwoordig gedigitaliseerd is, moeten adviseurs goed nadenken hoe zij met de data van de klant omgaan. Bijvoorbeeld door niet meteen alle informatie van de klant prijs te geven aan de kopende of verkopende partij aan het begin van het onderhandelingsproces. Het beschermen van gegevens vereist een zorgvuldig benadering. “Het kan anders zomaar zo zijn dat je die volgende deal niet mag doen omdat de vorige klant zijn gegevens op straat terug zag,” vatte Jeroen Kruithof de middag samen.