Stel je voor…
Je bent de CEO van een bedrijf dat professionele geluids- en verlichtingssystemen ontwerpt en installeert voor muziekfestivals en live-evenementen. In de lente komt alles in een stroomversnelling. Contracten worden getekend, crews worden ingepland, apparatuur wordt getest. Na maanden van voorbereiding staat het festivalseizoen op het punt van start te gaan.
Alles gaat goed... en dan, op een ochtend, je dag is nog maar net begonnen, zegt je receptioniste dat je onmiddellijk naar de receptie moet komen.
Er staan politieagenten, samen met ambtenaren van een mededingingsautoriteit. Ze tonen je een huiszoekingsbevel en leggen uit dat ze een onaangekondigde huiszoeking uitvoeren in het kader van een mededingingsonderzoek.
Je begint de eerste pagina te lezen en voelt een lichte paniek opkomen: dit kan toch niet waar zijn. Nog voor je de tweede paragraaf hebt gelezen, komen de vragen al: Kunt u uitleggen hoe uw IT-omgeving werkt? Kunt u ons daar toegang toe verlenen? Gebruiken medewerkers persoonlijke toestellen voor hun werk? Iemand anders heeft het over een legal hold.
Je hoofd schakelt over naar een mentale checklist, maar in plaats van duidelijkheid roept die alleen nieuwe vragen op: Wie bel je als eerste? Wie begrijpt onze IT-omgeving en wie kan toegang verlenen?
Hoe werkt dit precies, en wat moet je nu doen?
Even verduidelijken.
Een belangrijke taak van elke mededingingsautoriteit is het handhaven van de naleving van de mededingingsregels en, waar aangewezen, het vaststellen van inbreuken en het opleggen van sancties. Een van de instrumenten die daarvoor beschikbaar zijn, is de zogenoemde dawn raid: een onaangekondigde huiszoeking om te onderzoeken of ernstige vermoedens van concurrentieverstorend gedrag gerechtvaardigd zijn. Die vermoedens komen vaak voort uit klachten of clementieverzoeken. Een autoriteit kan ook op eigen initiatief een onderzoek starten. De Belgische Mededingingsautoriteit heeft bijvoorbeeld recent huiszoekingen uitgevoerd in de sector van de verkeerssignalisatie en straatmeubilair na een screening van openbaar beschikbare informatie.
Niet alleen de aanleiding tot huiszoekingen is meer digitaal geworden, maar ook de manier waarop ze worden uitgevoerd. Waar huiszoekingen vroeger gericht waren op het doorzoeken van archiefkasten, fysieke dossiers en bedrijfswagens, zijn de huiszoekingen van vandaag voornamelijk digitaal.
Inspecteurs kunnen de volledige IT-omgeving van een bedrijf onderzoeken, met inbegrip van clouddiensten, servers, desktopcomputers, laptops, tablets en andere mobiele apparaten, zelfs wanneer het gaat om privé-toestellen die voor professionele doeleinden worden gebruikt (BYOD). Dit omvat toegang tot bedrijfscommunicatie zoals e-mails, samenwerkings- en berichtenplatforms, alsook AI-chatbots.
Een digitaal onderzoek is geen oppervlakkige oefening. Inspecteurs gebruiken forensische IT-tools om trefwoordzoekopdrachten uit te voeren in grote datasets en maken digitale kopieën van elektronische gegevens voor verdere beoordeling, vaak in de kantoren van de autoriteit.
Bedrijven zijn verplicht om ten volle mee te werken aan huiszoekingen. Weigeren om mee te werken, of dit slechts gedeeltelijk doen, kan ernstige gevolgen hebben. In de praktijk komt IT daardoor vaak centraal te staan bij de huiszoeking. IT-teams kunnen worden gevraagd om uit te leggen hoe systemen en gegevensstromen zijn georganiseerd of om specifieke technische verzoeken uit te voeren, zoals het tijdelijk blokkeren van individuele gebruikersaccounts, het tijdelijk loskoppelen van lopende computers van het netwerk, of ondersteuning te bieden bij het verlenen van beheerdersrechten.
De boodschap is duidelijk: een moderne dawn raid is zowel een juridische als een IT-kwestie.
Concreet.
- Voorbereiding is cruciaal. Zorg ervoor dat je een up-to-date protocol hebt voor huiszoekingen. Neem daarin een gedetailleerd IT-gedeelte op waarin onder andere de belangrijkste systemen en gegevenslocaties (op locatie en in de cloud) in kaart worden gebracht, wordt aangegeven wie toegangsrechten kan verlenen en wordt beschreven hoe legal holds (waardoor geen gegevens meer kunnen worden vernietigd of gewijzigd) en data-exports in zijn werk gaan. Je wilt dit niet pas op de dag van een huiszoeking moeten uitzoeken. Train jouw IT-personeel.
- Reageer kalm en onmiddellijk wanneer de inspecteurs arriveren. Vraag om het huiszoekingsbevel te mogen lezen. Controleer de identiteit van de inspecteurs en ga na wat het precieze voorwerp en de reikwijdte van het onderzoek zijn. Vraag juridische bijstand en schakel onmiddellijk de verantwoordelijke IT-contactpersoon in.
- Vermijd obstructie. Werk volledig en professioneel mee. Verplaats, verberg, verwijder of wis onder geen enkele omstandigheid documenten of gegevens. Wees je ervan bewust dat obstructie ook het gevolg kan zijn van technische misstappen: vertraagde, onjuiste of ongecoördineerde IT-handelingen tijdens een huiszoeking kunnen als obstructie worden aangemerkt. De Europese Commissie heeft boetes van 2,5 miljoen euro opgelegd voor het nalaten een e-mailadres te blokkeren en het omleiden van inkomende e-mails.
- Zoek duidelijkheid en vermijd aannames. Als een verzoek onduidelijk is, vraag dan om verduidelijking. Als je tijd nodig hebt om een technisch verzoek veilig uit te voeren, zeg dat.
- Documenteer de huiszoeking zelf. Houd een intern logboek bij van wat er wordt gevraagd, tot welke systemen toegang wordt verkregen, welke zoekopdrachten worden uitgevoerd en welke gegevens worden gekopieerd of ingezien.
- Monitor of er bij concurrenten, leveranciers of klanten huiszoekingen plaatsvinden. Als jouw concurrenten, leveranciers of klanten het voorwerp zijn van een huiszoeking en jij niet, betekent dit niet dat je buiten het vizier van de mededingingsautoriteit valt. Bewijs dat bij huiszoekingen bij andere bedrijven is verzameld, kan ook tegen jou worden gebruikt. Het is daarom raadzaam om de websites van mededingingsautoriteiten in de gaten te houden voor invallen die invloed kunnen hebben op jou.
