De AVG, wat moet de curator er mee?

De AVG, wat moet de curator er mee?

Je zult onder een steen geleefd moeten hebben als je de afgelopen maanden niets hebt gehoord over de Algemene Verordening Gegevensbescherming (AVG), de nieuwe Europese privacy wetgeving die vanaf 25 mei van kracht is geworden. Waren het niet de e-mails van partijen die er een slaatje uit probeerden te slaan, dan waren het wel de vernieuwde privacyverklaringen van partijen waar ik werkelijk al jaren niets meer van heb gehoord.

Het uur U is inmiddels aangebroken. De AVG is van kracht en (helaas of niet) ook van toepassing op curatoren. De curator heeft er met het uitspreken van het faillissement een mooie titel bij: “Verwerkingsverantwoordelijke”. 

Als curator ben ik verantwoordelijk voor de persoonsgegevens die door de gefailleerde in het verleden zijn verwerkt. Dit zijn alle gegevens waarmee een privépersoon direct of indirect kan worden geïdentificeerd. Als je er over nadenkt bestaat een faillissementsboedel uit heel erg veel persoonsgegevens. Denk aan gegevens van werknemers, zzp-ers, klanten, mailinglijsten, telefoonlijsten, schuldeisers en zelfs financiers als deze privépersoon zijn. De AVG is weer niet van toepassing op vennootschappen en rechtspersonen.

Maar ziet de wereld er werkelijk nu zo anders uit? Nu is het niet zo dat curatoren niet eerder met privacyoverwegingen te maken hebben gehad. De Nederlandse Wet Bescherming Persoonsgegevens (Wbp) anticipeerde al op de AVG.

In bepaalde opzichten heeft de curator een wettelijke taak, zoals het opstellen van crediteurenlijsten en het opstellen van openbare verslagen waarin persoonsgegevens worden verwerkt. Door de jaren heen zijn curatoren wel steeds terughoudender geworden met het vermelden van persoonsgegevens. Vroeger zat de crediteurenlijst gewoon bij het openbaar voortgangsverslag gevoegd. Dat was ook niet zo erg toen verslagen nog niet op internet werden gepubliceerd. Maar nu is dat ondenkbaar geworden.

Ook bij het opstellen van openbare verslagen moet de curator een belangenafweging maken tussen de informatieverschaffing van schuldeisers en de belangen van betrokken derden. Zo werd de curator die een adviseur in een via de website van zijn kantoor gepubliceerd verslag vermeldde, kennelijk niet in positieve zin, in 2016 geacht in strijd met de Wbp te handelen. In dezelfde uitspraak oordeelde de Raad van State dat publicatie via rechtspraak.nl wel geoorloofd is omdat toegang door zoekmachines is uitgesloten en meerdere gegevens moeten worden ingevoerd om bij een verslag te komen.

De curator is ook verantwoordelijk voor het melden van datalekken, zowel van tijdens als voor het faillissement. Maar ik troost mij met de gedachte dat als de softwareleverancier de boel afsluit de kansen daarop redelijk verkeken zijn, ook al omdat ik zelf niet meer bij de gegevens kan, laat staan een derde. En zo bont als de ING Dordrecht heb ik het als curator nog niet gemaakt. Onlangs is een bedrijf dat de bank had ingeschakeld om hypotheekgegevens van klanten te vernietigen letterlijk een deel van haar lading op straat verloren. Het had zomaar een curator met een bijna lege boedel kunnen overkomen, die el cheapo verhuisbedrijven inschakelt of zelf met dossiers sleept.

Waar de schoen het meeste gaat wringen, is wanneer de curator tot een doorstart van de onderneming wil komen. De curator geeft dan per definitie persoonsgegevens aan een nieuwe partij uit handen. Mag dat dan nog wel?

De curator moet onder de AVG een belangenafweging maken tussen het belang van de boedel en het recht op privacy van de betrokkenen. Is er voldoende belang, dan mag de curator tot verkoop en overdracht van persoonsgegevens overgaan.

De belangenafweging is volgens sommigen makkelijker als het gaat om een onderneming als geheel dan wanneer er bijvoorbeeld een los klantenbestand wordt verkocht. De belangen zijn naar mijn idee echter niet anders. Een doorstart realiseert geld voor de boedel (de gezamenlijke schuldeisers), de verkoop van een klantenbestand ook. In beide gevallen voert de curator zijn taak om de boedel te vereffenen uit. Direct mail wordt bovendien onder de AVG als rechtmatige verwerking van gegevens beschouwd, dus gegevens worden ook nu nog op grote schaal verhandeld.

De curator zal om zijn of haar taak nu goed uit te voeren contractueel een aantal verplichtingen en beperkingen aan de koper moeten opleggen, zoals de plicht om klanten te informeren, de gegevens niet voor andere doeleinden te verwerken en als een klant er om vraagt, of dat nu bij de curator of de koper is, de plicht zijn of haar gegevens te verwijderen. Maar of de curator daarmee ook alle verantwoordelijkheid kan verleggen is maar de vraag. Op dit moment is totaal niet duidelijk waar de grens ligt.

De grootste verandering met de AVG is wellicht wel dat er hoge boetes in het vooruitzicht zijn gesteld als men zich niet aan de AVG houdt. De Wbp kende maar weinig sancties en één ding waar curatoren wakker van liggen is onzekerheid over de vraag of zij wel of niet privé aansprakelijk kunnen worden gehouden voor een dergelijke boete. Het zal nog wel even duren voordat deze vraag door de rechter is beantwoord. Intussen denk ik overigens dat curatoren stilletjes door zullen gaan met het verkopen van boedels met persoonsgegevens. Dat is tenslotte onze kerntaak!

© 2018, MariaB. All rights reserved.

Geef een antwoord

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *