Op 18 maart 2013 heeft de Europese Commissie haar beleidsnotitie herzien over haar werkwijze bij de uitvoering van invallen (zgn ‘dawn raids’) bij ondernemingen of ondernemingsverenigingen die onderzocht worden in het licht van een mogelijke kartelinbreuk of van mogelijk misbruik van een economische machtspositie. De herziening is deels een codificatie van de bestaande praktijk en deels een aanpassing in het licht van de jurisprudentie van het Europese Hof.

Met de huidige positie die de digitale werkomgeving inneemt in het bedrijfsleven is het niet vreemd dat de Commissie nog sterker de nadruk legt op IT-onderzoek. Wel opvallend is dat zij daarbij inspanningen verwacht van bedrijven bij dat onderzoek en zij, waar het Europese Hof nog geen duidelijk standpunt heeft ingenomen, haar bevoegdheden ruim interpreteert.

Tijdens een inval is een bedrijf in principe verplicht tot medewerking. In maart 2012 kregen twee Tsjechische energiebedrijven nog een boete van 2,5 miljoen euro van de Europese Commissie wegens belemmering van het onderzoek. Inspecteurs hadden opgedragen om een aantal specifieke e-mailaccounts te blokkeren, maar enkele werknemers probeerden de blokkering te omzeilen. In de herziene notitie stelt de Europese Commissie dat er een plicht rust op de onderneming om volledig en actief mee te werken aan het onderzoek. De onderneming mag verplicht worden om geschikte vertegenwoordigers of stafleden ter beschikking te stellen die niet alleen uitleg kunnen geven over de organisatie van de onderneming en zijn IT-omgeving, maar die ook bijzondere taken kunnen verrichten zoals tijdelijk blokkeren van individuele e-mail accounts, tijdelijk verwijderen van werkende computers van het netwerk, verwijderen en herinstalleren van harddrives van computers en het verstrekken van “administrator access right”.

De Europese commissie heeft de bevoegdheid om gedurende een inval (bedrijfs-)documenten te onderzoeken en te kopiëren en zij mag dit ook ten aanzien van digitale informatie. Gewiste digitale informatie mag de Commissie herstellen en gebruiken voor haar onderzoek. Het Europese Hof heeft nog niet bepaald of de Europese Commissie de (forensische) kopieën die zij maakt van harde schijven ook op haar eigen bedrijfsterrein (buiten het bedrijfsterrein van de onderneming) nader mag onderzoeken. De Commissie gaat daar vooralsnog wel van uit. In de notitie staat voorts als (niet limitatieve) lijst van in beslag te nemen gegevensdragers opgesomd: “laptops, desktops, tablets, mobile phones, CD-ROM, DVD, USB-key”. De Commissie kan tot het einde van de inspectie deze gegevensdragers onder zich houden, waardoor zij niet gebruikt kunnen worden door het bedrijf. Deze bevoegdheid kan een zware last voor de onderneming worden, nu een inspectie soms tot 3 dagen kan duren.

Met de herziene werkwijze is de inzet en training voor interne IT-specialisten binnen uw compliance programma van specifiek belang. Verlies ze niet uit het oog.