Mag de curator onder de AVG een klantenbestand verkopen?

De servers en harde schijven van de Canadese failliete computerwinkel Netlink Computer Inc., of NCIX, werden te koop aangeboden zonder dat deze schoongeveegd waren. Op de systemen stonden onder andere details van creditcardbetalingen. Dat las ik bij Tweakers. De curator vond kennelijk dat dit mocht. Zou dit in Nederland een datalek zijn onder de AVG, of valt de curator daar buiten? Kun je als betrokkene nu een schadeclaim indienen bij de curator?

Het openbaar te koop aanbieden van harde schijven met daarop persoonsgegevens lijkt mij evident een datalek. Die persoonsgegevens komen dan op deze manier zonder adequate beveiliging bij derden terecht, waar ze kunnen worden gebruikt zonder toestemming of andere grondslag onder de AVG.

Het maakt voor de AVG niet uit of de verkoop gebeurt door het bedrijf zelf of door de curator die de boedel te gelde maakt. De definitie van een datalek kent geen onderscheid op dit punt.

Er kan een uitzondering zijn in het geval van een failliet bedrijf: wanneer de persoonsgegevens worden verkocht aan een partij die de bijbehorende bedrijfsactiviteit overneemt, dan is het géén datalek. Die partij heeft dan immers een grondslag om die gegevens te verwerken, namelijk het voortzetten van de dienstverlening (bij klantgegevens) of de arbeidsrelatie (bij werknemers). Hij moet dan weten wie de klanten of het personeel zijn, en dan mag hij dat krijgen van het oude bedrijf.

De curator kan er ook voor kiezen om het bestand gewoon aan de hoogste bieder te verkopen. Een klantenbestand met name heeft op zich waarde, die mensen kun je wellicht je eigen product verkopen of een paar jaar servicecontracten aansmeren op de spullen van het oude bedrijf.

Voor deze verkoop is de curator verwerkingsverantwoordelijke. Hij maakt immers deze keuze en stelt daarmee doel (en middelen) vast van de verwerking, de verkoop. Dan is de vraag welke grondslag hij daarvoor heeft. Zonder grondslag mag dit niet, dan zit je in de sfeer van een datalek.

Toestemming van betrokkenen is natuurlijk een mogelijkheid, maar dat is nogal bewerkelijk voor een curator lijkt me. In de praktijk zal hij zich dan ook altijd beroepen op een eigen gerechtvaardigd belang, namelijk geld binnenhalen voor de schuldeisers. Het is dan de vraag of de privacy van de betrokkenen hieronder mag lijden. Dit is de belangenafweging die je onder de AVG altijd moet maken. Gezien de aard van de gegevens en het feit dat het doel niet meer is dan “ik wil geld en het zal me verder een zorg zijn wat jij doet met die gegevens” zal dit niet eenvoudig zijn.

Daar komt bij dat onder het beginsel van doelbinding gegevens niet voor willekeurige andere doelen mogen worden ingezet dan waarvoor ze zijn verzameld. Ook niet als je een nieuwe grondslag weet te verzinnen. (Dit paper van advocaat Marianne Martens legt het veel beter uit.)

En zelfs als je dat allemaal rond krijgt, dan zul je nog steeds mensen vóóraf hierover moeten informeren en hen wijzen op hun rechten, met name hun recht om de gegevens gewist te krijgen. En als het gaat om beoogde direct marketing dan moet daar ook vooraf bezwaar tegen gemaakt kunnen worden.

Alles bij elkaar zie ik niet echt hoe een curator AVG-compliant klantenbestanden kan verkopen, behalve in het specifieke geval van een derde partij die daarmee garantieverplichtingen of dergelijke dienstverlening overneemt.

Arnoud

11 reacties

  1. Arnoud dankjewel voor dit artikel.

    Het verkopen van een klantenbestand door een curator (aan de hoogste bieder) is mij al jaren een doorn in het oog.

    Als het eigenbelang voorop gaat dan zou de curator het klantenbestand aan Jan en alleman (dus oneindig vaak) mogen verkopen. Want waarom zou het genoegen nemen met één keer de opbrengst. Het eigen belang gaat immers voor…

    Ik hoop dat er nu met AVG eens een einde aan komt.

  2. Is de curator dan hoofdelijk aansprakelijk? Ik ben nl. bang dat de curator gewoon zegt: Oh wat jammer voor je joh, dien maar een schadeclaim in, dan mag je je bij de rest van de schuldeisers voor dit bedrijf aansluiten.

  3. Het openbaar te koop aanbieden van harde schijven met daarop persoonsgegevens lijkt mij evident een datalek.
    Het HEBBEN van een harde schijf met zulke persoonsgegevens die bereikbaar zijn voor een derde die over de schijf komt te beschikken, lijkt me al foute boel. Dit zou wel betekenen dat de server na een herstart niet automatisch mag gaan werken zonder handmatige handeling. Vinden we dat acceptabel? Dan ligt de site er wel uit tot nader order.

  4. Ik volg je redenering niet, Arnoud. Een databestand is immers (ook) een vermogensbestanddeel dat zich in de failliete boedel bevindt. Zolang het faillissement nog loopt (en dat is uiteraard zo als er nog een curator bezig is met de vereffening), doet hij dat namens de oorspronkelijke eigenaar van dat vermogensbestanddeel. Om dan te redeneren dat verkoop (of bijvoorbeeld ook verhuur) zonder meer niet zou kunnen op basis van de bepalingen in de AVG, is voor mij een stap te ver: het zal inderdaad nmm wel kunnen, als de (oorspronkelijke) eigenaar van het databestand zich dat recht (namelijk om data te verkopen, verhuren etc) wel voorbehouden heeft (en voor zover daarvoor ook aan alle AVG-vereisten voldaan is ten aanzien van de toestemming van de betrokkene). Alleen als het recht op verkoop/verhuur … onder de AVG met de betrokkenen niet voorzien en geaccordeerd is, kom je aan de tweede vraag toe, die van de mogelijke belangenafweging. Bij die belangenafweging zal nmm ook rekening gehouden dienen te worden wat de oorspronkelijke eigenaar met de betrokkenen is overeengekomen. Als daarbij bijvoorbeeld -op juiste manier- verwerking met DM-doeleinden was voorzien, sluit ik niet zonder meer uit dat de curator bij die belangenafweging wel eens sterker dan de betrokkenen uit de strijd zal komen.

    1. Het is mij niet duidelijk waarom een klantenbestand een vermogensbestanddeel is. De overdraagbaarheid is volgens mij een essentieel kenmerk van een vermogensrecht (art. 3:6 BW) en de overdraagbaarheid van persoonsgegevens is onder de AVG niet per definitie mogelijk.

      Je hebt gelijk dat als vooraf is bedongen dat aan partij X mag worden overgedragen, de curator aan partij X mag overdragen. Maar dergelijke toestemming moet specifiek zijn (art. 4 AVG) en kan dus niet een blanco “mag worden verstrekt aan een verkrijger van boedelbestanddelen” of “aan de hoogste bieder” zijn. Dat is niet rechtsgeldig. Ik acht het onmogelijk onder de AVG dat je rechtsgeldig toestemming kúnt vragen voor overdracht na faillissement.

      Verder denk ik dat als een curator een bestand gaat verkopen, hij dat doet als eigen verantwoordelijke en niet namens de failliet. De curator bepaalt dan doel en middelen van de verwerking, híj en niet de failliet kiest er voor dat bestand te vervreemden. Zie noten 24 en 30 van het aangehaalde artikel van Martens. Dat hij handelt in het belang van de boedel en dat hij aangesteld is om het bedrijf te runnen, is daarbij niet relevant. Dit is misschien een weeffout in de AVG, maar het is de curator die beslist wat er gebeurt en niet het failliete bedrijf, dús is de curator verwerkingsverantwoordelijke.

      1. Dat een adresbestand behoort tot het actief van een vennootschap (en dus gecatalogeerd moet worden als een vermogensbestanddeel), kan toch niet op ernstige manier betwist worden. In het Belgische recht heb je daar een mooie term voor, die dit goed dekt, namelijk het handelsfonds van een onderneming: daartoe behoren bijvoorbeeld natuurlijk de merkrechten en andere intellectuele eigendomsrechten die de vennootschap bezit, maar ook alle andere bestanddelen die ervoor zorgen dat een vennootschap zijn bedrijf commercieel kan uitbaten, zoals de bestaande klandizie. Die bestaande klandizie kan bij een gewone winkelier gewoon vastliggen in het hoofd van de winkelier, maar bij grote bedrijven gaat het al gauw om adresbestanden, die ook ingezet worden om omzet te genereren, maar waar je als ondernemer ook andere inkomsten uit kan halen, bijvoorbeeld door die te verhuren of te ruilen met andere ondernemers. Op zich is daar ook niets mis mee-zelfs niet op gebied van de AVG- als je ter zake maar de regels van de AVG volgt.

        Wat ik niet kan volgen in je antwoord, Arnoud, is hoe je daar de positie van een curator in een faillissement inschat. Je geeft me immers de indruk te denken dat een curator bij de afwikkeling van een faillissement op eigen verantwoordelijkheid handelt en niet namens/ten behoeve van de failliete vennootschap. Naar mijn mening is die positie van de curator immers in het zakelijk verkeer principieel eigenlijk geen andere dan de positie van de directie/bestuur in de (failliete) vennootschap, doch met het belangrijk verschil dat bij een niet-failliete onderneming de directie/het bestuur de belangen van de aandeelhouders voor ogen heeft, terwijl het bij een curator primair gaat om de belangen van de boedel (dus eigenlijk de schuldeisers van de failliet) . Daarom vermag ik -ook na je antwoord op mijn opmerking- nog steeds niet in te zien op grond van welke bepaling in de AVG een curator de adresdata in de failliete vennootschap niet zou kunnen verkopen, verhuren … –ervan uitgaande dat de onderneming zich wel (op AVG-conforme wijze) het recht heeft voorbehouden om adresdata te verkopen, verhuren, …– Daar hoeft ook helemaal niet als doelstelling bij te staan de situatie na het faillissement: je kunt er voorshands wel van uitgaan dat een slimme curator voor verkoop of verhuur van het adressenbestand wel dezelfde doelgroep(en) zal aanspreken als de oorspronkelijke vennootschap deed. De curator stelt deze handelingen daarbij niet in eigen naam (en wordt dus ook geen verwerkingsverantwoordelijke): zolang de vennootschap juridisch bestaat (en dat is tijdens de afwikkeling van het faillissement het geval) blijft de failliete vennootschap immers verwerkingsverantwoordelijke. Die situatie verandert pas na de sluiting van het faillissement. Ik geef je wel toe dat als de curator daarentegen wel een nieuw doel en middelen van de verwerking zou vaststellen, dat je dan inderdaad in een geheel andere situatie terechtkomt. Maar ik betoog dus dat dit niet noodzakelijkerwijze altijd zo het geval is of hoeft te zijn.

        Maak voor jezelf maar eens de vergelijking met bijvoorbeeld intellectuele eigendomsrechten in een failliete vennootschap: ook die kan de curator tijdens de duur van zijn mandaat als curator gewoon uitbaten of te gelde maken in het kader van de afwikkeling van het faillissement. Dat doet hij ook niet in eigen naam, maar als vertegenwoordiger van de failliete vennootschap. Daarbij zal hij uiteraard ook eerder gemaakte afspraken of overeenkomsten dienen te respecteren.

        Zou dat anders zijn, dan zou dat immers juridisch vereisen dat er eerst een rechtsgeldige eigendomsoverdracht zou moeten plaatsvinden van het vermogen van de failliete boedel naar de curator zelf. Dat is nooit het geval, dus begrijp ik niet hoe je kunt stellen dat er een “eigen” handelen is van de curator.

        Vergelijk het ook hiermee: het is toch niet omdat de directie van een vennootschap wisselt, of omdat de aandeelhouderssituatie van een vennootschap verandert, dat daardoor alle bestaande overeenkomsten met klanten en leveranciers automatisch op de schop gaan en ineens en vanzelf niet meer gelden? Juridisch lijkt me dat heel elementair, maar ook fundamenteel.

        Sorry voor mijn wat langere reply, maar de door je aangehaalde kwestie lijkt het me waard te zijn.

        1. In het Nederlands faillissementsrecht valt onder het faillissement het gehele vermogen van de failliet (art. 20 Fw). Dit zijn alle goederen waar hij rechten op kan laten gelden, en daaronder vallen dan naast eigendom van zaken de vermogensrechten uit boek 5. Maar om van een vermogensrecht te spreken, moet het goed overdraagbaar zijn. Een bekend voorbeeld is de handelsnaam, deze is natuurlijk wel iets waard (goodwill, bekendheid) maar je kunt een handelsnaam niet los verkopen. Dat is geen recht, geen vermogenselement dat je aan de hoogste bieder kunt overdragen. Een merk wel, omdat daar een register is waar je gewoon de nieuwe eigenaar in zet.

          De AVG kent een eigen definitie van verantwoordelijke: de partij die doel en middelen bepaalt. De curator doet dat, die besluit goederen te vervreemden om zo geld binnen te halen. De curator wordt niet als directeur van het bedrijf aangesteld (of iets dergelijks) en handelt dus niet als vertegenwoordiger van het bedrijf. Het faillissement verandert immers niets aan het bestuur en de directie blijft in functie. Ze zijn alleen onbevoegd om iets te doen met het vermogen van het bedrijf – daarover beslist uitsluitend de curator. Daarom kun je dus niet zeggen dat de curator gewoon mag wat de directie zelf ook mag. De curator mag een heleboel, maar doet dat op eigen verantwoordelijkheid. Niet het bedrijf verkoopt de gegevens, de curator doet dat.

          Ik neem aan dat je met “recht voorbehouden om data te verkopen” bedoelt dat ergens in de voorwaarden staat dat men gegevens aan derden mag verstrekken onder voorwaarden x en y. Onder de AVG is in het algemeen handel (verkoop) in persoonsgegevens onmogelijk. Een verkoop kwalificeert immers als een derdenverstrekking van persoonsgegevens, en dat vereist gewoonlijk toestemming van betrokkenen als grondslag (art. 6 lid 1 AVG). Die toestemming moet specifiek en uitdrukkelijk zijn, en kan dus niet een generiek “mijn gegevens mogen worden verkocht” zinnetje in een privacyverklaring of algemene voorwaarden zijn. De ontvangende partij moet met naam genoemd zijn en er moet apart ja op gezegd zijn. Dit gebeurt eigenlijk nooit zo.

          Het is dus onmogelijk onder de AVG dat een bedrijf zich het recht voorbehoudt te handelen in persoonsgegevens, punt. Alleen specifieke transacties gekoppeld aan toestemming “Mogen wij uw profiel verstrekken aan bedrijf X zodat ze u een offerte kunnen uitbrengen gebaseerd op uw interesse in een nieuwe auto” zijn legaal onder de AVG uit te voeren. Wil bedrijf Y daarna óók een offerte, dan heeft Y pech.

          Zonder toestemming kom je uit bij het eigen belang (art. 6 sub f AVG). Geld verdienen met persoonsgegevens is wellicht als zo’n belang te construeren, maar ik twijfel daarover. Belangrijker is dat je dan uitkomt bij een belangenafweging: mijn persoonlijke levenssfeer versus dat kale financiële belang van de curator. Ik denk dat die afweging heel snel bij de privacy uitkomt. Er is geen legitieme reden waarom ik ineens overlast in de vorm van direct marketing van derden moet krijgen enkel omdat dat bedrijf geld nodig heeft.

    2. Het bestand mag misschien wel een vermogensbestanddeel van de boedel zijn, maar dankzij de AVG is de verhandelbaarheid ervan, en daarmee de waarde (dwz los van de onderneming waar het bij hoort) drastisch minder geworden. De curator zal dus (hopelijk) snel tot de conclusie komen dat los verkopen geen optie meer is. Wat dat betreft vind ik de observatie van Bruce Schneier dat persoonsgegevens een “toxic asset” zijn een goede (link). Persoonsgegevens zijn als smeer-olie in een machine: zonder de olie is de machine waardeloos, maar als je de smeer-olie los wil verkopen kom je erachter dat je moet betalen om er vanaf te komen.

      1. De curator is dan zelfs verantwoordelijk voor een goede opschoning van de persoonsgegevens. Opslagmedia zal goed opgeschoond moeten worden. Als dat niet gebeurt is de curator verantwoordelijk voor een eventueel datalek. Kom maar met die 10% van de omzet.

      2. Persoonsgegevens zijn als smeerolie in een machine: zonder de olie is de machine waardeloos, maar als je de smeerolie los wil verkopen kom je erachter dat je moet betalen om er vanaf te komen.

        Dank voor deze prachtige analogie!

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.