Heeft u tussen 2014 en 2018 in een Sheraton-, Westin- of Le Meridien-hotel geslapen? Dan bent u bestolen, zonder dat u, 339 miljoen (!) lotgenoten en hoteleigenaar Starwood Hotels dat wisten. Pas in november 2018 werd bekend dat criminelen al die jaren miljoenen hotelkamers hebben gekraakt en waardevolle creditcard, paspoort-, reis- en contactgegevens hebben gejat uit een pover beveiligd reserveringssysteem.
Zo’n reusachtige hack is op zichzelf al nieuws, maar echt uniek is de op 9 juli van dit jaar aangekondigde boete van €110 mln door Britse datatoezichthouder ICO. Uniek omdat niet Starwood, maar Marriott International Inc. moet bloeden. Die hotelgroep nam Starwood namelijk in 2016 over en moet volgens de ICO boeten omdat zij ‘faalde voldoende due diligence uit te voeren toen het Starwood kocht’ en daarna ‘meer had moeten doen om die systemen te beveiligen’.
Het internationale M&A-circus van jagende bedrijven, bankiers, consultants, advocaten en verzekeraars ziet de directe implicaties van de Europese privacywet AVG voor data-gedreven fusies en overnames. De boete roept legio vragen en kopzorgen op, maar de slimste spelers van het spel kijken al door de kommer en kwel heen. In zulke transacties levert wetenschap van zo’n hack, of beter inzicht in de waarde van data dan je wederpartij, juist een betere onderhandelingspositie en soms zelfs een scherpere overnameprijs op.
Voor het eerst laakt een datawaakhond in een data-gedreven deal de kwaliteit van het onderzoek door een koper voorafgaand aan een transactie, de due diligence. Nu legt de ICO de beruchte omzet gedreven boete uit de AVG op, in dit geval 2,4 procent van de wereldwijde jaaromzet van Marriott, ook al was minder dan 10 procent van de gedupeerden Europeaan. Vanwege de 7 miljoen getroffen Britten claimde de ijverige ICO de leiding in het Europese onderzoek. De ICO stond altijd bekend als vriend van het bedrijfsleven, maar wil ineens bewijzen dat het VK privacy serieus neemt — waarschijnlijk vanwege brexit.
Gek genoeg heeft de ICO de boete aangekondigd in een persbericht, zonder het onderliggende onderzoeksrapport te publiceren. Daarmee blijven cruciale vragen onbeantwoord: was de beveiliging echt zo slecht of was de hack zeer geavanceerd? Wanneer heeft een koper ‘voldoende’ due diligence gedaan? In welke gevallen moet een koper behalve juridisch due diligence ook technisch due diligence laten uitvoeren op de systemen van een target? De ICO meldt slechts dat Marriott heeft ‘gefaald’ en dat de hotelgroep nu (pas!) de kans krijgt haar formele weerwoord te geven en dat dit mogelijk nog een impact heeft op het boetebedrag.
De M&A-gemeenschap is wakker geschud door de megaboete voor Marriott. Behendige bedrijven en adviseurs kijken al verder naar de impact van adequate due diligence op de onderhandelingen en de dealwaarde. Hier manifesteert zich de voorwaarde voor principiële vooruitgang, of het nu klimaatbeleid, privacy of cybersecurity betreft: een betere wereld komt pas echt van de grond als dat cash oplevert. In de toekomst kunt u in hotels een stuk rustiger slapen.
