Bedrijven die de mededingingswetgeving overtreden krijgen geregeld forse boetes van de Autoriteit Consument & Markt (ACM). Afgelopen jaar waren er verschillende nieuwsberichten vanuit de ACM. Zo is er 82 miljoen euro boete opgelegd aan vier sigarettenfabrikanten voor het onderling uitwisselen van toekomstige prijzen[1], is een onderzoek gestart naar mogelijke kartelvorming in de woninginrichtingssector[2] en zijn dakdekkers beboet voor concurrentievervalsing bij aanbesteding.[3] Welke risico's loopt u als organisatie? En welke datagedreven mogelijkheden zijn er om deze risico's te beperken?

De werkwijze van de ACM

De ACM ziet erop toe dat bedrijven eerlijk concurreren. Dit komt in het gedrang wanneer er bijvoorbeeld prijsafspraken worden gemaakt tussen concurrenten. Maar ook 'verticale' afspraken en concurrentiegevoelige informatie-uitwisseling tussen leverancier en afnemer en economisch machtsmisbruik zijn niet toegestaan. Wanneer de mededingingsregels worden overtreden kan de ACM een onderzoek instellen. Meestal gebeurt dit naar aanleiding van een tip of een clementieverzoek. Een clementieverzoek houdt in dat een betrokken partij meewerkt aan een onderzoek in ruil voor vermindering van de boete. Een dergelijk onderzoek komt in de praktijk vaak neer op een (onverwachte) inval bij een bedrijf, ook wel 'dawn raid' of – eufemistischer (door de ACM zelf) – een bedrijfsbezoek genoemd. De ACM heeft vergaande bevoegdheden om (digitale) documenten in te zien en in beslag te nemen.

Digitale gegevens zijn de norm

Daar waar het beeld van een inval vaak nog is dat de ACM met dozen vol papierwerk het bedrijfspand verlaat, is het grootste deel van de bewijslast tegenwoordig digitaal. Denk hierbij aan informatie die te vinden is op laptops en harde schijven, in de (cloud)opslag van het bedrijfsnetwerk en op usb-sticks. Maar in toenemende mate ook op mobiele telefoons (zelfs als deze ook privé worden gebruikt), chatapplicaties (zoals Skype en Teams, maar ook iMessage, WeChat en Facebook Messenger) en andere technologie die wordt gebruikt om op afstand te communiceren nu thuiswerken de norm is. De ACM maakt kopieën van databronnen waarvan wordt geacht dat deze mogelijk relevante informatie bevatten. 

Monitor proactief door slim gebruik van technologie

Als onderneming wil je op de hoogte zijn waar binnen de organisatie risico's liggen, zodat hierop mitigerende maatregelen getroffen kunnen worden. Vaak zien we in de praktijk dat organisaties programma's hebben ingericht die gericht zijn op preventie en bewustwording, zoals e-learnings en workshops. Het is echter vaak lastiger om te toetsen of het daadwerkelijke gedrag strookt met het gewenste gedrag en welke risico's waar in de organisatie aanwezig zijn. Door het slim inzetten van technologie kan proactief en realtime worden gemonitord welke risicoscenario's voorkomen en waar in de organisatie extra aandacht is vereist. De technologie die hiervoor wordt gebruikt is zogenaamde eDiscovery tooling. Er zijn diverse applicaties op de markt en uit vergelijkend onderzoek van KPMG blijkt dat iedere case een specifieke tool vereist. Zelflerende algoritmen die op basis van voorbeelden leren waar andere relevante documenten te vinden zijn behoren tot de meest veelbelovende ontwikkelingen. De resultaten kunnen worden gebruikt om risico's te mitigeren. Daarnaast is het een goede voorbereiding op een eventuele inval en kunnen concrete voorbeelden uit de organisatie worden gebruikt als real-life casussen bij e-learnings of workshops.

Oog voor verschoningsrecht en de AVG

Bij het monitoren van risico's en het voorbereiden op een eventuele inval van de ACM zijn er ook juridische overwegingen die meegenomen dienen te worden. De ACM mag geen correspondentie tussen de onderneming en haar advocaat meenemen, het zogenoemde 'legal privilege'. Een organisatie doet er dus verstandig aan om deze communicatie en documentatie duidelijk vindbaar te maken, zodat deze eenvoudig kunnen worden gefilterd bij een inval van de ACM. We merken vaak dat organisaties beducht zijn om monitoring in te zetten vanuit het perspectief van de AVG. Echter, wij zien in de praktijk en vanuit het advies van privacyadvocaten dat monitoring ook binnen de AVG mogelijk is. Wel dient een aantal zaken in overweging te worden genomen. Ten eerste dient onder andere een afweging te worden gemaakt tussen het bedrijfsbelang en de inbreuk op de privacy, waarbij rekening dient te worden gehouden met het subsidiariteitsbeginsel. Het bedrijfsbelang is groot voor organisaties in competitieve markten, gezien het feit dat een onderzoek van de ACM altijd op de loer ligt. Daarnaast dient de afweging gemaakt te worden of medewerkers die worden gemonitord geïnformeerd moeten worden. Tot slot moet worden bepaald hoe de monitoring op een proportionele manier kan worden uitgevoerd, bijvoorbeeld door alleen naar de communicatie te kijken in onderdelen van de organisatie met een hoog risico.

Praktische tips

  1. Zorg dat je op de hoogte bent van de huidige regelgeving en de meest voorkomende risico's met betrekking tot mededinging binnen jouw sector.
  2. Schets mogelijke scenario's over hoe en waar binnen de organisatie de regelgeving kan worden overtreden.
  3. Toets of deze scenario's plaatsvinden door slim gebruik te maken van de aanwezige data binnen je organisatie.
  4. Weet wat je moet doen als de ACM binnenvalt: zorg voor een draaiboek en dat medewerkers weten wat ze moeten doen, bijvoorbeeld door regelmatig een (onverwachte) oefening te doen.
  5. Zorg dat je documentatie welke onder 'legal privilege' valt duidelijk vindbaar maakt, zodat deze bij een inval gemakkelijk uit te filteren is.

Meer informatie

Dit artikel is gebaseerd op een publicatie in Tijdschrift voor Compliance 2019 nr. 6[4]. Wil je meer informatie over het artikel of hoe KPMG jouw organisatie kan helpen? Neem dan contact op met Patrick Özer via ozer.patrick@kpmg.nl.