Deze column staat in Het Financieele Dagblad van 19 september 2019. Volg deze link voor mijn eerdere FD columns.
Heeft u tussen 2014 en 2018 in een Sheraton-, Westin- of Le Meridien-hotel geslapen? Dan bent u bestolen, zonder dat u, 339 miljoen (!) lotgenoten en hoteleigenaar Starwood Hotels dat wisten. Pas in november 2018 werd bekend dat criminelen al die jaren niet zozeer ongemerkt miljoenen hotelkamers hebben gekraakt, maar waardevolle creditcard, paspoort-, reis- en contactgegevens hebben gejat uit een pover beveiligd reserveringssysteem.
Zo’n reusachtige hack is op zichzelf al nieuws, maar echt uniek is de op 9 juli van dit jaar aangekondigde boete van €110 mln door Britse datatoezichthouder ICO – vooral omdat niet Starwoord, maar Marriott International Inc. moet bloeden. Die hotelgroep nam Starwood namelijk in 2016 over en moet volgens de ICO boeten omdat zij ‘faalde voldoende due diligence (boekenonderzoek) uit te voeren toen het Starwood kocht’ en daarna ‘meer had moeten doen om die systemen te beveiligen’.
Brexit
Het internationale M&A-circus van jagende bedrijven, bankiers, consultants, advocaten en verzekeraars ziet de directe implicaties van de Europese privacywet AVG voor data-gedreven fusies en overnames. De boete roept legio vragen en kopzorgen op, maar de slimste spelers van het spel kijken al door de kommer en kwel heen. In zulke transacties levert wetenschap van zo’n hack, of beter inzicht in de waarde van data dan je wederpartij, juist een betere onderhandelingspositie en soms zelfs een scherpere overnameprijs op.
Voor het eerst laakt een datawaakhond in een data-gedreven deal de kwaliteit van het onderzoek door een koper voorafgaand aan een transactie, de due diligence. De druiven zijn vrij zuur voor Marriott. De IT-afdeling ontdekte het incident slechts vijf maanden nadat de AVG van kracht werd. Bij ontdekking vóór mei 2018, kon de ICO maximaal een half miljoen pond boete opleggen, zoals Facebook ondervond rondom de Cambridge Analytica kwestie.
Nu legt de ICO de beruchte omzet gedreven boete uit de AVG op, in dit geval 2,4% van de wereldwijde jaaromzet van Marriott, ook al was minder dan 10% van de gedupeerden Europeaan. Vanwege de 7 miljoen getroffen Britten claimde de ijverige ICO de leiding in het Europese onderzoek. De ICO stond altijd bekend als vriend van het bedrijfsleven, maar wil recent ineens bewijzen dat het VK privacy serieus neemt — waarschijnlijk vanwege brexit.
Cruciale vragen blijven onbeantwoord: was de beveiliging echt bar slecht of was de hack zeer geavanceerd? Wanneer heeft een koper ‘voldoende’ due diligence gedaan?
Gek genoeg heeft de ICO de boete aangekondigd in een persbericht, zonder het onderliggende onderzoeksrapport te publiceren. Daarmee blijven cruciale vragen onbeantwoord: was de beveiliging echt bar slecht of was de hack zeer geavanceerd? Wanneer heeft een koper ‘voldoende’ due diligence gedaan? In welke gevallen moet een koper behalve juridisch due diligence ook technisch due diligence laten uitvoeren op de systemen van een target? De ICO meldt slechts dat Marriott heeft ‘gefaald’ en dat de hotelgroep nu (pas!) de kans krijgt haar formele weerwoord te geven, en dat dit mogelijk nog een impact heeft op het boetebedrag.
Datakoopje
Deze Britse gang van zaken is overigens ondenkbaar in Nederland. In de media is Marriott nu al definitief beboet, en de markt blijft maandenlang met vragen achter. Door het Nederlandse bestuursrecht is de Autoriteit Persoonsgegevens (AP) gebonden aan basisprincipes als hoor- en wederhoor en zorgvuldigheid. Als de AP besluit een boete op te leggen, volgt eerst nog een onderling formeel traject, voordat de toezichthouder (vaak maanden later) de pers mag opzoeken en dan ook meteen het finale boetebesluit openbaart. Een concreet voorbeeld van het abstracte mantra dat Nederland een prettig vestigingsklimaat heeft, en dat data-gedreven multinationals er goed aan doen hun Europese hoofdkantoor hier te vestigen.
Inmiddels zien de eerste behendige bedrijven en adviseurs kansen om slimmer te zijn dan hun tegenspelers aan de overzijde van de onderhandelingstafel. In hun beruchte fusieonderhandelingen in 2016 openbaarde Yahoo niet aan Verizon dat het techbedrijf in de jaren ervoor drie keer zwaar was gehackt, waarbij data van maar liefst 1 miljard gebruikers was buitgemaakt. De informatie werd pas publiek bij de verplichte melding van de fusie aan de Amerikaanse toezichthouder SEC.
Verizon bedong daarop onder andere een korting van $350 mln op de koopprijs van $ 4,8 miljard en dat de achtergebleven Yahoo entiteit voor de helft zou meebetalen aan de kosten van de nasleep. Randstads overname van Monster in 2016 geldt volgens analisten nog steeds als voorbeeld van een datakoopje, omdat Randstad voor de rijk gevulde profielen van miljoenen werkzoekenden veel te weinig zou hebben betaald.
Boete verhalen
De M&A-gemeenschap is wakker geschud door de megaboete voor Marriott. Privacy en cyber security bleven uit kostenoverwegingen geregeld buiten de reikwijdte van een due diligence. Marriott en alle M&A-professionals vragen zich nu af: hebben Starwoods of Marriotts adviseurs iets laten liggen? Kan de boete op de aandeelhouders van Starwood, adviseurs of verzekeraars worden verhaald? Behendige bedrijven en adviseurs kijken al verder, naar de impact van adequate due diligence op de onderhandelingen en de dealwaarde. Hier manifesteert zich de voorwaarde voor principiële vooruitgang, of het nu klimaatbeleid, privacy of cybersecurity betreft: een betere wereld komt pas echt van de grond, als dat cash oplevert. In de toekomst kunt u in hotels een stuk rustiger slapen.