Op een rommelmarkt bij vliegveld Weelde zijn vijftien tweedehands harde schijven verkocht met daarop onbeveiligde medische gegevens van honderden patiënten. Dat meldde Tweakers vorige week. De data komt van het failliete Nortade uit Breda, mogelijk via een boedelverkoop. Het roept de vraag op: is de curator dan aansprakelijk voor het datalek?
Bij Omroep Brabant melden ze dat ene Robert Polet uit Breda ze ontdekte en een routinecontrole deed. Deze liet talrijke gevoelige bestanden zien, zoals burgerservicenummers, medicatiegegevens en patiëntendossiers. Hoe kon dat?
Uit een mailwisseling van Robert met een getroffen zorgorganisatie uit de provincie Utrecht, stelt de ICT-afdeling dat de gegevens afkomstig zijn van het bedrijf Nortade ICT Solutions uit Breda. Zij implementeerden software voor de zorgsector, maar het bedrijf lijkt inmiddels niet meer te bestaan. De website is niet meer online en in het handelsregister van de Kamer van Koophandel is er niets meer over het bedrijf te vinden.Een mogelijkheid is dat die naam een niet-ingeschreven handelsnaam is van een ander bedrijf (dat mag), en dat het andere bedrijf failliet is. Dat zou verklaren waarom de schijven niet zijn vernietigd: daar is dan geen geld voor, en mogelijk wist de verkopende partij niet eens dát er persoonsgegevens op de schijf stonden toen ze alles aan een oudemetalenhandelaar verkochten.
Nee, onder de AVG is dat geen excuus. Onbeschermde data die buiten de organisatie komt, dat noemen we een datalek. En na een faillissement is de curator daarvan de verwerkingsverantwoordelijke, en dus aanspreekbaar voor de gevolgen.
We hebben het eerder gehad over klantenbestanden verkopen om de boedel wat geld te bezorgen. Dit is een ander verhaal, dit voelt eerder als het zo snel mogelijk van de fysieke rommel af willen omdat de huur van de kantoorruimte opgezegd is. En wie gaat er dan op oude computers kijken?
Het zou natuurlijk ook kunnen dat het bedrijf ‘gewoon’ gestopt is, en daardoor zelf de spullen ergens dumpte. Het feit dat klanten van niets weten, wijst daar voor mij eerder op. Een curator informeert gewoonlijk de lopende klanten. Als die er niet zijn, snap ik dat niemand wordt geïnformeerd én dat het datalek zomaar kan gebeuren.
Arnoud
Houd dit in dat je achteraan kan gaan sluiten bij de andere schuldeisers voor het failliete bedrijf? Of is de curator zelf buiten de rol als beheerder van het failliete bedrijf aansprakelijk?
Of heeft dit op een of andere manier voorrang op andere schuldeisers? Ik kan mij bijvoorbeeld voorstellen dat als een curator een busje huurt om een pand leeg te halen dat hij de rekening voor de huur niet onderop de stapel schuldeisers kan leggen en daarmee effectief niet betaald.
Dat busje lijkt me onder de boedelvorderingen te vallen, en die worden als allereerste betaald.
Ik zou haast zeggen dat de kans dat gebruikte gegevensdragers (zolang niet degelijk gewipet) géén persoonsgegevens bevatten (zo goed als) nihil is en je die als verantwoordelijke dus altijd laat vernietigen. Dat kost grofweg een tientje (directe kosten) per disk in plaats van enkele centen opbrengst aan oud metaal, maar is wél behoorlijk.
Als de schijven afkomstig zijn van een inmiddels failliet bedrijf, is de curator dan ook verantwoordelijke (en dus aanspreekbaar) als de gegevensdragers al uit de boedel verdwenen waren op het moment van faillissement?
Als de vervreemding heeft plaatsgevonden voor het faillissement, dan zijn de gevolgen voor de boedel en kun je voor de schade bij de mede-schuldeisers aansluiten. (Tenzij je de directie persoonlijk aansprakelijk kunt en wilt stellen.)
En hoe zit het met andere wetten dan de AVG?
Voor zover ik weet is een schending van het medisch beroepsgeheim op zich al strafbaar. Ik kan me voorstellen dat het medisch beroepsgeheim ook op de curator van toepassing is.
Wordt daardoor een professionele curator die extreem onvoorzichtig is met medische beroepsgeheimen persoonlijk strafbaar? In dit geval zou een oplettende curator weten dat de betreffende organisatie medische gegevens verwerkte.
En hoe zit het met de aansprakelijkheid van de zorgorganisatie? Die zijn toch verwerkingsverantwoordelijke?
Bizar. Maar ook vreemd dat een handelsnaam niet ingeschreven hoeft te zijn bij de Kvk. Zo kan een bedrijf zich wel gemakkelijk verstoppen en als het fout gaat, zoals in dit geval, een lastige zoekvraag opleveren. Is het overigens wel verplicht bij een gebruikte handelsnaam te vermelden onder welk bedrijf het valt? Ik doe dat bij mijn handelsnamen, ook al omdat het KvK-nr van de bovenliggende rechtspersoon is.