Amerikaans bedrijf A koopt Europees bedrijf B – en dan is er de AVG

      Reacties uitgeschakeld voor Amerikaans bedrijf A koopt Europees bedrijf B – en dan is er de AVG

AVG-GDPR-europeHet komt regelmatig voor dat een Amerikaans bedrijf partij een Europees bedrijf koopt, wat is welke rol speelt daar de AVG? Die vraag was een paar dagen terug te lezen op Twitter inclusief de nodige antwoorden en constatering dat het lastiger kan zijn dan gedacht.

De discussie begon met de afgebeelde tweet. A koop B, A is Amerikaans en B is Europees. A integreert de IT van B. Op dat moment gaan persoonsgegevens van de EU naar de VS. Kan dat, mag dat en wie moet daar goedkeuring geven?

Herkenbare case

Wat wordt beschreven is geen theoretisch geval. De voorbeelden van dergelijke overnames, waarbij het integreren van de IT een vooraf genoemde besparing moet realiseren, zijn makkelijk te vinden. Tot een paar jaar terug was de ophef daarover betrekkelijk gering. Er werd vooral naar IT arbeidsplaatsen gekeken.

Tegenwoordig komt daar iets anders bij kijken. Data van EU ingezetenen zomaar naar de VS overhevelen kan en mag niet. De AVG is daar leidend en omdat Privacy Shield is afgeschoten zijn veel (alle?) voorheen gebruikte constructies niet meer toegestaan.

Werkgevers moeten sowieso de instemming van de werknemers hebben staat in de discussie te lezen. Of dat in via de ondernemingsraad moet of dat van elke werknemer individueel de toestemming moet worden verkregen, daarover lijken de meningen al uiteen te lopen. Maar dat er serieus naar gekeken moet worden is wel duidelijk.

En de klanten dan?

Verderop in de reacties komt opeens de vraag of de vraagsteller ook naar de klanten van het bedrijf heeft gekeken. Daarna komt nog de opmerking dat het om meer kan gaan dan de e-mailserver die naar de VS wordt overgeheveld. Wat als het webverkeer ook wordt omgeleid. Dan kan in principe het surfverkeer van de medewerkers worden gevolgd. Is daar geen aanvullende expliciete toestemming voor nodig.

En vandaar is het aar een klein stap om de vraag te stellen wat dat betekent voor de personen die mailen met het bedrijf of die we website bezoeken. Moeten die ook niet – om aan de AVG te voldoen – worden geïnformeerd dat Europees bedrijf B nu deel uitmaakt van Amerikaans bedrijf A en dat data in de VS wordt verwerkt en opgeslagen.

Share: