Einde inhoudsopgave
Rechten van polishouders bij portefeuilleoverdracht, juridische fusie en juridische splitsing door verzekeraars (O&R nr. 148) 2024/7.4.2
7.4.2 Het verstrekken van persoonsgegevens door de overdragende verzekeraar aan een potentiële verkrijger van de verzekeringsportefeuille tijdens het due diligence onderzoek
1
mr. A.M.M. Menken, datum 01-01-2024
- Datum
01-01-2024
- Auteur
mr. A.M.M. Menken
- JCDI
JCDI:ADS949890:1
- Vakgebied(en)
Verzekeringsrecht (V)
Voetnoten
Voetnoten
Er is weinig juridische literatuur die ingaat op het verstrekken van persoonsgegevens tijdens een due diligence onderzoek. Zie over dit onderwerp wel Van Waesberge en Kamerling, Onderneming en Financiering 2020, afl. 2, p. 17-38; Pelser-Stekelenburg, Tijdschrift Arbeidsrechtpraktijk mei 2020, p. 27 en Vervoorn-van Willigen, Tijdschrift voor vennootschapsrecht, rechtspersonenrecht en ondernemingsbestuur 2021-5, p. 147-155.
Het gaat hier in essentie om een “boekenonderzoek” waarbij de koper en zijn adviseurs de “staat” van de verzekeringsportefeuille en de daaraan verbonden risico’s in kaart brengen. De koper huurt daar meestal adviseurs op meerdere terreinen voor in: financiële adviseurs, actuariële adviseurs, juridische en fiscale adviseurs.
Zie voor een toelichting op de in een dergelijk verkoopproces (een “controlled auction”) gebruikte documenten Struycken, Contracteren 2013 nr. 2, p. 72-78 en Hoogeveen en Koster, Contracteren 2021 nr. 2, p. 48-54. De verkoper laat meerdere partijen een niet bindend bod uitbrengen. Hij vraagt daarna aan (een deel van) die partijen om een bindend bod uit te brengen. De verkoper wil met de keuze voor een “controlled auction” bereiken dat hij op de voor hem gunstigste voorwaarden kan contracteren.
De koper kan dan verifiëren of de branches waarvoor de overdragende verzekeraar een vergunning heeft overeenkomen met wat in het door DNB openbaar gemaakte register is vermeld, en of in de vergunning mogelijk specifieke voorwaarden zijn gesteld. Zie verder hoofdstuk 8.7.
In de administratie(s) van de verzekeraar betreffende de verzekeringsovereenkomsten zijn zowel persoonsgegevens van polishouders als van verzekerden opgenomen. Ook kunnen persoonsgegevens over benadeelden zijn opgenomen, zie bijvoorbeeld hoofdstuk 5.6.2.2.
Zie https://autoriteitpersoonsgegevens.nl/nl/over-privacy/persoonsgegevens/verstrekken-van-persoonsgegevens waar de Autoriteit Persoonsgegevens (‘AP’) stelt dat deze beide vereisten gelden voor het verstrekken van gegevens. De AP vermeldt daar dat naast de algemene regel van verenigbaarheid geldt dat het verstrekken van gegevens gebaseerd moet zijn op een van de zes grondslagen uit art. 6 AVG. Uit het boetebesluit van de AP inzake de KNLTB van 20 december 2019, par. 4.11, blijkt dat de AP ook daadwerkelijk als beleid voor de verstrekking van gegevens aan derden hanteert dat er daarvoor een afzonderlijke grondslag moet bestaan. Zie https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_knltb.pdf voor dit boetebesluit.
Art. 5 lid 1 onder b AVG: “Persoonsgegevens moeten (…) voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doeleinden worden verzameld en mogen vervolgens niet verder op een met die doeleinden onverenigbare wijze worden verwerkt; (…)”. Zie hierover Van Waesberge en Kamerling, Onderneming en Financiering 2020, afl. 2, p. 23-24; Claassen, Tijdschrift voor Financieel Recht nr. 4, april 2021, p. 133 en 135; Claassen, Tijdschrift voor Financieel Recht nr. 10, oktober 2021, p. 343; Vervoorn-van Willigen, Tijdschrift voor vennootschapsrecht, rechtspersonenrecht en ondernemingsbestuur 2021-5, p. 149.
Geheel uitgesloten is dit echter niet. Het kan zijn dat de overdragende verzekeraar regelmatig een deel van de verzekeringsportefeuille overdraagt of al langere tijd met de voorbereiding van de transactie bezig is, en daar dus in zijn “privacy statement” op heeft geanticipeerd.
Art. 6 lid 4 AVG brengt als het ware een koppeling aan tussen de in art. 6 AVG voor een rechtmatige verwerking vermelde grondslagen en het in art. 5 lid 1 onder b AVG vermelde beginsel. Art. 6 lid 4 AVG luidt: “Wanneer de verwerking voor een ander doel dan dat waarvoor de persoonsgegevens zijn verzameld niet berust op toestemming van de betrokkene of op een Unierechtelijke bepaling of een lidstaatrechtelijke bepaling die in een democratische samenleving een noodzakelijke en evenredige maatregel vormt ter waarborging van de in artikel 23, lid 1, bedoelde doelstellingen houdt de verwerkingsverantwoordelijke bij de beoordeling van de vraag of de verwerking voor een ander doel verenigbaar is met het doel waarvoor de persoonsgegevens aanvankelijk zijn verzameld onder meer rekening met: a) ieder verband tussen de doeleinden waarvoor de persoonsgegevens zijn verzameld, en de doeleinden van de voorgenomen verdere verwerking; b) het kader waarin de persoonsgegevens zijn verzameld, met name wat de verhouding tussen de betrokkenen en de verwerkingsverantwoordelijke betreft; c) de aard van de persoonsgegevens, met name of bijzondere categorieën van persoonsgegevens worden verwerkt, overeenkomstig artikel 9, en of persoonsgegevens over strafrechtelijke veroordelingen en strafbare feiten worden verwerkt, overeenkomstig artikel 10; d) de mogelijke gevolgen van de voorgenomen verdere verwerking voor de betrokkenen; e) het bestaan van passende waarborgen, waaronder eventueel versleuteling of pseudonimisering.” Zie over art. 6 lid 4 AVG Kranenborg en Verhey 2018, p. 162-166. Zij merken onder meer op dat de opsomming in art. 6 lid 4 AVG niet limitatief is: “er zijn mogelijk nog andere factoren die in voorkomende gevallen in de overweging betrokken moeten worden.”
Art. 6 lid 1 aanhef en onder f AVG: “De verwerking is alleen rechtmatig indien en voor zover aan ten minste een van de onderstaande voorwaarden is voldaan: (…) f. de verwerking is noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen dan die belangen, met name wanneer de betrokkene een kind is.” Zie hierover De Vries, in: T&C Privacy- en gegevensbeschermingsrecht, art. 6 AVG, aant. 1 en Kranenborg en Verhey 2018, p. 157-161.
Ik wijs erop dat er op “normuitleg” door de Autoriteit Persoonsgegevens (‘AP’) principiële kritiek bestaat. Zie bijvoorbeeld Kroes, Nederlands Juristenblad 2021, afl. 39, p. 3242-3251. Hij stelt dat sprake is van een patroon waarbij de AP steevast kiest voor de strengst mogelijke uitleg. Dit betreft onder meer het standpunt van de AP in de “normuitleg” over het gerechtvaardigd belang dat het enkel dienen van zuiver commerciële belangen en winstmaximalisatie niet als een gerechtvaardigd belang kan kwalificeren. Overigens is er ook in de rechtspraak kritiek op dit specifieke standpunt van de AP: in de uitspraak Rb. Midden-Nederland 23 november 2020, ECLI:NL:RBMNE:2020:5111 (VoetbalTV) wordt gesteld dat het op voorhand uitsluiten van een bepaald belang als gerechtvaardigd belang in strijd is met Europese rechtspraak. Omdat het gerechtvaardigd belang in dit hoofdstuk 7.4 in de nadere uitwerking die ik hieraan geef mijns inziens niet het enkel dienen van zuiver commerciële belangen betreft, laat ik dit verder hier onbesproken. Er is naar mijn mening steeds ook sprake van het dienen van een rechtsbelang.
Van Waesberge en Kamerling, Onderneming en Financiering 2020, afl. 2, p. 25-29; Pelser-Stekelenburg, Tijdschrift Arbeidsrechtpraktijk mei 2020, p. 27 en Vervoorn-van Willigen, Tijdschrift voor vennootschapsrecht, rechtspersonenrecht en ondernemingsbestuur 2021-5, p. 149-151.
Hoge Raad 15 november 1957, ECLI:NL:HR:1957:AG2023, NJ 1958/67 (Baris/Riezenkamp). In dit arrest oordeelde de Hoge Raad dat partijen door in onderhandeling te treden over het sluiten van een overeenkomst tot elkaar in een bijzondere, door de goede trouw beheerste rechtsverhouding komen te staan, welke meebrengt, dat ieder zijn gedrag mede moet laten bepalen door de gerechtvaardigde belangen van zijn wederpartij. Elke aspirant-contractant moet daarom – binnen redelijke grenzen – maatregelen nemen om te voorkomen, dat hij onder invloed van onjuiste veronderstellingen een contract aangaat.
De koper zou de overeenkomst mogelijk op grond van dwaling kunnen vernietigen (art. 6:228 BW).
Zoals het woord al zegt, betekent “blacklinen” dat er een zwarte streep door een stukje tekst wordt gezet zodat de tekst eronder niet meer leesbaar is.
Ik bespreek in dit hoofdstuk 7.4.2 het verstrekken van persoonsgegevens door de overdragende verzekeraar aan één of meer potentiële verkrijger(s) van de verzekeringsportefeuille tijdens het due diligence onderzoek.2 In deze fase krijgen één of meer potentiële verkrijger(s) voorafgaand aan de portefeuilleoverdracht de gelegenheid om door de overdragende verzekeraar beschikbaar gestelde informatie te onderzoeken. Het kan zijn dat de overdragende verzekeraar daar één andere verzekeraar voor uitnodigt. Indien de overdragende verzekeraar het verkoopproces structureert in de vorm van een “controlled auction”3 krijgen meerdere verzekeraars de gelegenheid om due diligence onderzoek te doen.
Het delen van persoonsgegevens door de overdragende verzekeraar met één of meer potentiële verkrijger(s) van de verzekeringsportefeuille kwalificeert als een ‘verwerking’ van persoonsgegevens in de zin van de AVG.4
Vroeger werd voor een due diligence onderzoek een “dataroom” ingericht met ordners, maar in de huidige tijd wordt meestal een virtuele dataroom beschikbaar gemaakt. Een selecte groep mensen heeft dan een toegangscode en wachtwoorden tot een website met een aantal documenten; zij kunnen die via hun computer op hun eigen werkplek benaderen. Het proces voor een due diligence onderzoek kan gefaseerd worden ingericht. Bijvoorbeeld in een “preliminary” due diligence onderzoek kunnen meerdere potentiële verkrijgers toegang krijgen tot een set aan documenten zodat zij een bod kunnen uitbrengen op de verzekeringsportefeuille. In een latere fase in het proces kunnen één of enkele daaruit door de verkoper geselecteerde partijen in de gelegenheid worden gesteld meer documenten in te zien tijdens een “confirmatory” due diligence onderzoek. Ook indien het verkoopproces van een verzekeringsportefeuille een proces betreft waarbij de verkoper steeds alleen met één partij onderhandelt, kan het due diligence proces in fases worden uitgevoerd. In de virtuele dataroom worden uiteenlopende documenten ter inzage gegeven, variërend van de vergunning van de verzekeraar5 tot correspondentie met DNB en de AFM van de afgelopen jaren en informatie over juridische procedures, geschillen en klachten. Als gezegd, verschilt het aantal documenten dat ter inzage wordt gegeven al naar gelang de fase van het verkoopproces.
Indien en voor zover de documenten die ter beschikking worden gesteld persoonsgegevens bevatten, gaat het dus om een “verwerking van persoonsgegevens” die moet voldoen aan de vereisten van de AVG. Ik richt mij hierna op persoonsgegevens in de administratie van de verzekeraar betreffende de verzekeringsovereenkomsten,6 maar hetzelfde geldt in beginsel voor de persoonsgegevens van bijvoorbeeld werknemers van de verzekeraar in de personeelsadministratie.
In feite zijn er twee vereisten waaraan moet zijn voldaan om gegevens aan een derde te mogen verstrekken:7
het verstrekken van gegevens mag alleen als dat verenigbaar is met het doel waarvoor de gegevens zijn verzameld (art. 5 lid 1 onder b AVG); en
het verstrekken van gegevens moet gebaseerd zijn op één van de grondslagen vermeld in art. 6 AVG.
Eerste vereiste voor derdenverstrekking van persoonsgegevens
Het eerste vereiste om gegevens aan derden te mogen verstrekken is dat het verstrekken van de gegevens verenigbaar is met het doel waarvoor de gegevens zijn verzameld. Dit eerste vereiste vloeit voort uit art. 5 lid 1 onder b AVG.8 De verzekeraar beschrijft het doel waarvoor de gegevens zijn verzameld in zijn “privacy statement”. De kans dat in de beschrijving van het doel waarvoor de overdragende verzekeraar gegevens verzamelt ook is opgenomen dat gegevens bij een potentiële overname voorafgaand aan de overdracht ter inzage worden verstrekt, is klein.9 De belangrijkste doelstelling zal waarschijnlijk het ’uitvoeren’ zijn van de verzekeringsovereenkomsten. Dat niet is opgenomen dat gegevens bij een potentiële overname ter inzage worden verstrekt, hoeft aan het ter beschikking stellen van de gegevens in de virtuele dataroom niet in de weg te staan. Het gaat erom of deze verstrekking van gegevens verenigbaar is met wat wel in de doelomschrijving staat. Of het verstrekken van gegevens verenigbaar is met het doel waarvoor de gegevens zijn verzameld, hangt af van de concrete omstandigheden. Art. 6 lid 4 AVG10 omschrijft relevante beoordelingscriteria. In overweging 50 van de AVG wordt opgemerkt dat onder meer rekening moet worden gehouden met de redelijke verwachtingen van de betrokkenen op basis van hun verhouding met de verwerkingsverantwoordelijke betreffende het verdere gebruik van de persoonsgegevens, de aard van de persoonsgegevens, de gevolgen van de voorgenomen verdere verwerking voor de betrokkenen, en passende waarborgen bij zowel de oorspronkelijke als de voorgenomen verdere verwerkingen.
Overigens gelden in het geval van het verstrekken van persoonsgegevens aan derden ook de andere beginselen inzake verwerking van persoonsgegevens vermeld in art. 5 lid 1 AVG.11 De verstrekking van persoonsgegevens aan derden is immers op zichzelf ook weer een verwerking van persoonsgegevens. Met name het beginsel van minimale gegevensverwerking in art. 5 lid 1 onder c AVG zal relevant zijn. Op grond van dat beginsel dient de verstrekking ter zake dienend en beperkt te zijn tot wat noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. Ook het beginsel van integriteit en vertrouwelijkheid is in de praktijk relevant. Op grond hiervan moeten persoonsgegevens door het nemen van passende technische of organisatorische maatregelen op een dusdanige manier worden verwerkt dat een passende beveiliging ervan gewaarborgd is. Hier vloeit bijvoorbeeld uit voort dat de overdragende verzekeraar die een virtuele dataroom ter beschikking wil stellen daarvoor een professionele ‘leverancier’ zal moeten inschakelen.
Tweede vereiste voor derdenverstrekking van persoonsgegevens
Het tweede vereiste om gegevens aan derden te mogen verstrekken is dat deze verstrekking een grondslag heeft die is vermeld in art. 6 lid 1 AVG. De in art. 6 lid 1 onder f AVG12 vermelde grondslag lijkt de meest in aanmerking komende grondslag voor het eventueel delen van persoonsgegevens door de overdragende verzekeraar met een verkrijgende verzekeraar die een due diligence onderzoek mag doen. De verwerking is op grond daarvan rechtmatig indien en voor zover aan de voorwaarde is voldaan dat de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde, behalve wanneer de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene die tot bescherming van persoonsgegevens nopen, zwaarder wegen. De Autoriteit Persoonsgegevens heeft in november 2019 een normuitleg13 gepubliceerd over deze grondslag. In deze “normuitleg” van art. 6 lid 1 onder f AVG wordt onder meer gesteld dat het “toetsingskader” van deze grondslag uit drie voorwaarden bestaat: 14
1. De eerste voorwaarde van de grondslag vermeld in art. 6 lid 1 onder f AVG is dat de belangen van de verwerkingsverantwoordelijke of een derde kwalificeren als gerechtvaardigd. Dat houdt volgens de “normuitleg” van de Autoriteit Persoonsgegevens van november 2019 in “dat die belangen in (algemene) wetgeving of elders in het recht zijn benoemd als een rechtsbelang” en dat het belang “echt, concreet en rechtstreeks” moet zijn. In de juridische literatuur over due diligence onderzoek en de AVG wordt aangenomen dat het belang van partijen bij een overname om de koper zich een oordeel te laten vormen over de waarde en de aansprakelijkheden, risico’s en verplichtingen voldoet aan deze voorwaarde.15 Van Waesberge en Kamerling verwijzen voor wat betreft dat rechtsbelang naar een bekend arrest van de Hoge Raad uit 1957 (Baris/Riezenkamp)16 op grond waarvan een koper voorafgaand aan het sluiten van een overeenkomst redelijke maatregelen moet nemen om dwaling17 te voorkomen. Dat lijkt mij juist. Ik denk echter dat er in het geval van de overdracht van een verzekeringsportefeuille niet alleen een rechtsbelang is aan de zijde van de koper en de verkoper ten aanzien van de koopovereenkomst waarover zij onderhandelen. De verkrijgende verzekeraar moet ook waken voor zijn rechtsbelangen en die van zijn polishouders bij de verzekeringsovereenkomsten die hij in het verleden zelf al heeft gesloten. Indien hij een verzekeringsportefeuille zou verwerven en vervolgens onverwachte claims van de polishouders in de verworven verzekeringsportefeuille zou krijgen, bestaat het risico dat hij zijn verplichtingen op grond van de verzekeringsovereenkomsten met de polishouders waarmee hij al een verzekeringsovereenkomst was aangegaan niet meer kan nakomen. Ook dat moet worden vermeden.
2. De tweede voorwaarde van de grondslag vermeld in art. 6 lid 1 onder f AVG is dat de verwerking van persoonsgegevens in deze concrete situatie ook noodzakelijk moet zijn om dat belang te behartigen. Er moet, volgens de “normuitleg” van de Autoriteit Persoonsgegevens van november 2019 over deze grondslag, voldaan worden aan eisen van proportionaliteit en subsidiariteit. Bij het ter beschikking stellen van informatie zal het in veel gevallen niet strikt noodzakelijk zijn voor de inschatting van de risico’s dat de verkoper ook de persoonsgegevens van polishouders deelt. Bijvoorbeeld voor de beoordeling van klachten is het in beginsel niet noodzakelijk ook de namen te weten van de polishouders die die klachten hebben ingediend. De overdragende verzekeraar kan de klachtbrieven in de virtuele dataroom plaatsen en de namen en andere persoonsgegevens van de betrokkenen “blacklinen”.18 Dat dit veel werk is, doet er niet aan af dat dit de wijze is waarop het hoort.
3. De derde voorwaarde van de grondslag vermeld in art. 6 lid 1 onder f AVG is dat bij een afweging van belangen de belangen van de verwerkingsverantwoordelijke of de derde zwaarder wegen. Op grond van de tekst van art. 6 lid 1 onder f AVG en de “normuitleg” van de Autoriteit Persoonsgegevens over deze grondslag moet namelijk ten slotte ook nog een afweging van de belangen van de verwerkingsverantwoordelijke of derde enerzijds en de belangen van de betrokkene anderzijds worden gemaakt. In overweging 47 van de AVG is vermeld dat de gerechtvaardigde belangen van een verwerkingsverantwoordelijke, waaronder die van een verwerkingsverantwoordelijke aan wie de persoonsgegevens kunnen worden verstrekt, of van een derde, een rechtsgrond kunnen bieden voor verwerking, “mits de belangen of de grondrechten en de fundamentele vrijheden van de betrokkene niet zwaarder wegen, rekening houdend met de redelijke verwachtingen van de betrokkene op basis van zijn verhouding met de verwerkingsverantwoordelijke.” Zo moet er volgens de “normuitleg” van de Autoriteit Persoonsgegevens bijvoorbeeld gekeken worden naar de gevolgen voor de betrokkene en de (aanvullende) waarborgen die de verwerkingsverantwoordelijke of derde heeft getroffen om ongewenste gevolgen voor de betrokkene te voorkomen of beperken. Aldus zal naar mijn mening hier onder meer de inhoud relevant zijn van de geheimhoudingsverklaring die de verkoper voorafgaand aan het onderzoek door de koper heeft laten tekenen. Daarin zal waarschijnlijk onder meer bepaald zijn dat degenen die het due diligence onderzoek uitvoeren de informatie alleen voor dat onderzoek mogen gebruiken. Bij een virtuele dataroom is het ook mogelijk bepaalde documenten niet printbaar te maken. Ook dat kan in enigerlei mate behulpzaam zijn om ongewenste gevolgen voor de betrokkene te voorkomen of beperken. Soms wordt naast een “gewone” virtuele dataroom ook een zogenoemde clean room ingericht (een virtuele dataroom of een fysieke dataroom) waartoe maar enkele betrokkenen toegang hebben en waarin zeer vertrouwelijke documenten ter inzage worden gegeven zonder dat deze kunnen worden gekopieerd (zoals arbeidsovereenkomsten van bestuurders of een bijzonder klachtdossier van een polishouder dat grote precedentwerking zou kunnen hebben).