Column


IT-jurist Peter van Schelven over...

Bedrijfsovername: what about security?

Stel, je wilt een tweedehands auto kopen. Uiteraard wil je dan weten of de negenduizend euro die voor het karretje gevraagd wordt, een juiste prijs is. Als je verstandig handelt, besluit je om de auto nog voor de koop te laten keuren. Je laat een deskundige goed onder de motorkap kijken om een beeld te krijgen van de technische stand van de auto. Pas dan weet je of de auto de vraagprijs waard is.

Wat bij de koop van een gebruikte auto geldt, geldt uiteraard ook bij de koop van een lopende onderneming. Wie van plan is een bestaand bedrijf of een groot deel van de aandelen in een bedrijf over te nemen, zal ook met gepaste zorgvuldigheid willen handelen. Een verstandige koper zal bij een bedrijfsovername zijn handtekening niet eerder onder het koopcontract zetten, dan nadat de grootste risico’s van het bedrijf zijn onderzocht.

Due diligence
Zo’n onderzoek wordt een due diligence genoemd en die zijn er in de praktijk in vele soorten en maten. Vrijwel altijd zal de accountant van de toekomstige koper de boekhouding van het bedrijf vooraf willen analyseren om de mate van winstgevendheid te kunnen vaststellen en om te bepalen of de waarde van de onderneming op papier niet kunstmatig omhoog gekrikt is. In dat laatste geval is de door de verkoper voorgestelde koopprijs van het bedrijf wellicht te hoog.

Een fiscale due diligence richt zich op de vraag of er nog fiscale lijken in de kast liggen, een risico waarvoor de koper in de toekomst moet opdraaien. En de advocaat van de beoogde koper zal bijvoorbeeld alle langlopende contractuele verplichtingen en eventuele aansprakelijkheden van het bedrijf willen inventariseren teneinde zicht te krijgen op de toekomstige financiële lasten voor de koper. Dit soort onderzoeken zijn in de praktijk van bedrijfsovernames – maar ook bij fusies – ‘common practice’.

Securityrisico’s
Tegenwoordig zie je steeds vaker dat – al dan niet als onderdeel van een brede ICT-gerichte due diligence – ook onderzoek wordt gedaan naar de securityrisico’s van bedrijven die door de eigenaar in de verkoop zijn gezet. Dat doet zich vooral voor bij bedrijven die werkzaam zijn in de sfeer van e-commerce, de exploitatie van ICT-platforms, hostingbedrijven en dataleveranciers. Een bedrijf dat benedenmaats beschermd is tegen cyberincidenten of tegen vormen van onrechtmatige verwerking van gegevens, loopt immers financiële risico’s.

Als de technische, organisatorische en juridische bescherming van data of datasystemen van dit soort bedrijven onvoldoende is, dan kan dat mogelijk nog tot ver in de toekomst leiden tot boetes van de zijde van overheidsinstanties (zoals de Autoriteit Persoonsgegevens), schadeclaims van zakelijke relaties en voortijdige verbrekingen van commerciële contracten door klanten. Dat soort risico’s kan al met al flink in de papieren lopen en het ligt voor de hand dat geen verstandige koper daaraan voorbij kan gaan. Risico’s vertegenwoordigen immers geldswaarde. Daar komt bij dat de koper nog voor het aangaan van het koopcontract wil weten welke additionele investeringen in security hij nog moet doen om de beveiliging van het bedrijf op een behoorlijk peil te krijgen.

Financiële risico’s bij een bedrijfsovername doen zich ook voor als het desbetreffende bedrijf ooit willens en wetens heeft nagelaten uitvoering te geven aan een van de wettelijke meldplichten bij ernstige datalekken. Het financiële risico daarvan gaat in beginsel op de koper van het bedrijf over. Ook om die reden is het doorgaans verstandig als de potentiële koper als onderdeel van het proces dat moet leiden tot de voorgenomen bedrijfsovername, aandacht geeft aan datalekken uit het verleden. Meer in het algemeen kan gekeken worden naar de mate waarin het bedrijf de geldende privacywetgeving naleeft.

Hoge financiële risico’s
Schat de geïnteresseerde koper de financiële risico’s van security- en privacygebreken van het betrokken bedrijf hoog in, dan kan hij voorstellen de koopprijs op deze risico’s af te stemmen of nadere financiële garanties van de verkoper te verlangen. Het pallet van juridische mogelijkheden voor afdekking van die risico’s is rijk. Bij extreem hoge risico’s kan besloten worden af te zien van de bedrijfsovername.

Kat in de zak
In de praktijk spelen juristen vaak een belangrijke adviserende en redigerende rol bij contracten voor de koop van een bedrijf. Zij besturen vaak ook de vraag welk soort risico’s er in een due diligence onderzocht moeten worden. Mede door steeds strengere privacywetgeving zullen cyber- en privacy-risico’s bij bedrijfsovernames meer dan voorheen voorwerp van onderzoek worden. Wie geen kat in de zak wil kopen, doet er verstandig aan zo’n soort due diligence serieus te overwegen.


Lees meer over