Association for Corporate Growth Holland
Lunch Mee)ng 10 March 2014
www.acg.org
ACG Holland Sponsors
www.acg.org
Welcome Jeroen Kruithof Board Member Association for Corporate Growth Holland
Managing Director, DataroomServices
www.acg.org
About ACG § A global community with local reach § A trusted and respected resource for middle-‐market dealmakers § Brings together every segment of the growth market § Provides leading market intelligence and networks § A non-‐profit organisaBon founded in 1954, 56 chapters, 14,500 members Doing business is at the heart of ACG 75% of members report they do business with fellow members.
www.acg.org
About ACG Holland § Founded in 2005 § 140 members and growing § Host 8 face-‐to-‐face meeBngs and structured networking events per year § Keeping you abreast with latest trends in M&A § Sharing experiences § Providing new ideas § Enhancing your network § FacilitaBng dealflow and markeBng § Nominal membership fee of € 250
www.acg.org
Data Leakage in the M&A
Data Leakage in the M&A
DATA
PEOPLE
PROCESS
IT SYSTEM Bewustwording is de start naar verbetering
Data Leakage in the M&A Agenda
• Data Leakage, Thomas de Weerd Houthoff Buruma • Security / data protection, Paul Waszink NautaDutilh • Secure Data Sharing, Luc Gimbrere, Virtual Vaults • M&A Professionals’ opinion, YOU!
• Thomas de Weerd • Advocaat-partner Houthoff Buruma • IT / privacy / intellectual property • Technology M&A en commercial contracting • Outsourcing (IT, Financial Services) • IP / IT in faillissementen
M +31 (0)6 12345678
[email protected]
DATA LEAKAGE IN M&A
10 maart 2015
Thomas de Weerd
o InformaBe uitwisseling in M&A o Geheimhoudingsafspraken o Digitale uitwisseling [dropbox etc] o Vragen
11
INFORMATIE-‐UITWISSELING IN M&A
o M&A traject: veel uitwisseling van informaBe o InformaBe Memorandum o Offer Le_er o Data Room o Q&A beantwoording o Management Interviews o Concept-‐overeenkomsten o Onderhandelingen / voorstellen
12
GEHEIMHOUDINGSAFSPRAKEN
o Non-‐Disclosure Agreement o Tekenen voor informaBeverstrekking o Beperken doelgebruik o Beperken ontvangers informaBe – lijst met ontvangers opstellen
o InformaBe gefaseerd verstrekken o Gevoelige documenten aan eind proces o Gevoelige informaBe (bedragen, namen) onleesbaar o Codenamen 13
GEHEIMHOUDINGSAFSPRAKEN o Dataroom: fysiek of digitaal o Geheimhouding: voorwaarden of NDA
o Digitale dataroom o Welke info aan welke parBjen o Wel / niet printen (NB screenshots)
o Fysieke dataroom o Wie krijgt toegang (koper of alleen adviseurs) o Gebruiken voor gevoelige documenten o Zorg voor aanwezigheid in dataroom 14
GEHEIMHOUDINGSAFPSRAKEN
o Na afloop M&A project: o ParBjen informaBe laten vernieBgen o BevesBging vragen van parBjen en adviseurs
15
ENFORCEMENT
o Wat kan je doen als de geheimhoudingsplicht wordt geschonden? o Boete o Naar de rechter – nakoming afdwingen o Maar: schade is moeilijk te kwanBficeren o [NB AFSTEMMEN MET SLIDES PAUL] 16
o InformaBe-‐uitwisseling via cloud o Risico’s: o Geen beveiligings garanBes o Zeer beperkte aansprakelijkheid cloud providers o Wat doen cloud providers met de informaBe?
o Twee voorbeelden: Dropbox en Google Drive
17
DROPBOX
o Dropbox: “geen enkel recht op Spullen” o Maar: geen garanBe in voorwaarden: “geen garan0es, niet expliciet en niet impliciet, met betrekking tot de diensten” o Aansprakelijkheidsbeperking: Geen aansprakelijkheid voor “enig verlies van gebruik, gegevensverlies, verlies van opdrachten of klanten of winstderving” o Maximale aansprakelijkheid: USD 20.
18
GOOGLE DRIVE
o GaranBes: “Geen toezeggingen over de inhoud van de services, de specifieke func0onaliteit van de services, en de betrouwbaarheid en beschikbaarheid[..] van de services” o Aansprakelijkheidsbeperking: “niet verantwoordelijk voor verlies van winst, inkomsten of gegevens, financiële verliezen [..]”
19
GOOGLE DRIVE
o “Wanneer u inhoud uploadt naar, toevoegt aan, opslaat in, verzendt naar of ontvangt in of via onze Services, verleent u Google (en degenen met wie we samenwerken) een wereldwijde licen9e om dergelijke inhoud te gebruiken, te hosten, op te slaan, te reproduceren, aan te passen, afgeleide werken daarvan te maken (zoals afgeleide werken als gevolg van vertalingen, aanpassingen of andere wijzigingen die we aanbrengen om ervoor te zorgen dat uw inhoud beter werkt met onze Services), te communiceren, te publiceren, openbaar uit te voeren, openbaar weer te geven en te distribueren.” 20
VRAGEN?
21
Paul Waszink NautaDutilh NV + 31 20 7171 447 + 31 6 2021 0598
[email protected] Telecommunications Law, Data Protection Law, Cybersecurity Law M +31 (0)6 12345678
[email protected]
ACG: Security / data protection Paul Waszink, NautaDutilh NV International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
‘beveiligingsincidenten’ (i)
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
‘beveiligingsincidenten’(ii)
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
Het kan persoonlijk worden..
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
Alternatief? - “Doe dat niet meer, werk net als ik met brieven en overschrijvingsbiljetten” (Donner tijdens Diginotar-affaire)
27 International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
Of een kwestie van verzekeren?
28 International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
Juridische positionering: wat voor rechtsgebieden? - Privacy: adequate beveiliging van persoonsgegevens, - Telecommunicatierecht: meldplicht en informatieplicht, aftappen, certificaten (Diginotar) - Financieel recht: meldplicht en informatieplicht in Wft - IT-recht: afspraken met leveranciers over beveiliging (SLA’s), e-commerce, digitale handtekening - Aansprakelijkheidsrecht: wie betaalt bij schade? O.d. schending zorgplicht? - Strafrecht: computervredebreuk, afluisteren, telecomnetwerk beschadigen etc. 29 International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
Privacy: WBP en CBP Art 13 Wbp: - “De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. - Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van de te beschermen gegevens met zich meebrengen. - De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen.” 30 International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
Adequate beveiligingsmaatregelen - ‘persoonsgegevens’ -> security gaat om bredere categorie gegevens (IP, financiële gegevens, ‘bedrijfsgegevens’); - Verantwoordelijke: doorgaans de opdrachtgever, niet de ICTleverancier - Bepalend: (i) stand van de techniek, (ii) kosten van de tenuitvoerlegging, (iii) Afgezet tegen risico’s van de werking en aard van de gegevens - Geen details over wèlke specifieke maatregelen: MvT: “professionele ethiek” van de informatiebeveiligers van bedrijf. CBP zoekt meer objectivering (professionele standaarden etc.) - Verantwoording dat maatregelen adequaat zijn
31 International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
Hoe nu ‘passend beschermingsniveau’ invullen? - Bestaande richtsnoeren en normen: NEN-ISO/IEC 27002:2013, NEN 7510 (medische sector) - Richtsnoeren Beveiliging Persoonsgegevens CBP (feb 2013) -> methodiek voor beveiliging (uitgangspunt bij onderzoeken) - ‘Plan-Do-Check-Act’-cyclus + schriftelijke vastlegging ervan
32 International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
Plan-Do-Check-Act
33 International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
Meldplicht
Informatieplicht
- Op dit moment niet generiek - Voor financiële instellingen (artt. 3:17, 4:15 jo. 3:10 lid 3 en 4:11 lid 4 Wft) - Voor aanbieders telecomdiensten (i) meldplicht datalekken (11.3a Tw; ACM), (ii) meldplicht ‘continuïteitinbreuken”; art 11a.2 Tw; AT). ‘Eén loket’-regel - Netbeheerder (art. 8a Gaswet; ‘voorval, nadelige gevolgen mens & milieu’); zorgaanbieders (art. 4a Kwaliteitswet: calamiteit)
- 11.3a Tw voor telecomaanbieders - 11.2a Tw: informatie aan AT over continuïteitsinbreuken - Onder omstandigheden uit artikel 6, 33, 34 Wbp ? - Of uit art 6:162, 6:248, 7:401. 7:403, 7:611 BW?
- Soms verplichting tot aangifte: 160 Sv: o.a. misdrijven tegen veiligheid staat, koninklijke waardigheid
International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
Toekomstige wetgeving (i) Wetsvoorstel Meldplicht Datalekken (TK 2013/14, 33 662) - Wijziging Wbp en Tw - Meldplicht en informatieplicht n.a.v. datalekken (zie voorstel voor art. 34a Wbp) - Allen in geval van beveiligingsinbreuk die “aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens” -> relatieve norm - Informatieplicht aan betrokkene aanvullende eis: alleen als inbreuk “waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer” -> “onverwijld” tenzij versleuteld - afgezwakt t.a.v. aanvankelijk voorstel (opener norm). - Boetes: tot EUR 810.000; beleidsregels door CBP. Eerst bindende aanwijzing, tenzij ‘ernstig verwijtbare nalatigheid’ International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
35
Toekomstige wetgeving (ii) - EU Algemene Verordening gegevensverwerking: ook meld- en informatieplicht: “inbreuk in verband met persoonsgegevens” -> ruim, nadere inkadering nodig. - Sluit NL-wetsvoorstel wel aan bij Verordening? - Boete tot max 2% van de wereldwijde jaaromzet - Waarschijnlijk pas in 2017
36 International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
Toekomstige regelgeving (iii) Ontwerp-Richtlijn beveiliging van netwerken en informatiesystemen (“NIB-richtlijn”, “NIS-Directive”) - Maart 2014 door Europees Parlement aangenomen - Onderdeel van Cyber Security Strategy EU (2013) - 5 kernelementen: * * * *
“National strategy”-vereiste: beleid, toezichthouder, CERT-team Samenwerkingsnetwerk EU Beveiligingsvereisten Lidstaten moeten NIS-standaarden gaan gebruiken door EC opgesteld * Handhavingsregime 37 International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
Belang voor M&A / discussie - Bij elke deal moet security / data protection hoog op de agenda staan. Vooraf. - Gedurende het gehele proces; ook na sluiten deal - Wordt nog belangrijker na Wet Meldplicht Datalekken: boeterisico - Goede techniek is no brainer; maar hoe houden we de ‘zwakke mens’ in toom? - Regulering legt vooral nadruk op persoonsgegevens (privacy), terwijl ándere gegevens vanuit M&A-oogpunt waarschijnlijk belangrijker zijn - Tijd voor Code of Conduct voor ‘dealmakers’? International Law Firm | Amsterdam · Brussels · London · Luxembourg · New York · Rotterdam
Luc Gimbrère Virtual Vaults Nederland B.V. + 31 88 238 22 00 + 31 6 2632 66 23
[email protected] Director Virtual Vaults Nederland B.V.
M +31 (0)6 12345678
[email protected]
Nieuwe technologie in een oude wereld.
© Betabit Nederland B.V. 2002 - 2013
Cloud
Microsoft
V i r t u a l Va u l t s
Conclusies?
bedankt voor uw )jd en aandacht
Luc Gimbrère M +31 (0)6 26 32 66 23
[email protected]
Programme 2015 • • • • • • • •
Accuracy lunch meeBng -‐ 7th April Intergrowth Orlando -‐ 13 -‐ 15th April Houthoff Buruma lunch meeBng -‐ 12th May Eurodev members golf event -‐ 12th June HPE Growth Capital members wine tasBng -‐ 10th September Orangefield lunch meeBng -‐ 13th October Kempen lunch meeBng -‐ 10th November Eurogrowth, Amsterdam – 16th – 17th November
www.acg.org
Who you need to meet : Where you need to be
www.acg.org