Internetrecht door Arnoud Engelfriet

Curatoren verkopen na bedrijfsfaillissementen geregeld klantgegevens door, waaronder die van failliete webwinkels. Dat meldde Tweakers woensdag. Zij baseren zich op onderzoek van De Groene Amsterdammer en onderzoeksplatform Investico. Zij bekeken verschillende faillissementen en de dataverkoop die daarmee gemoeid ging. Zo’n dataverkoop mag niet, en wie zegt van wel -of dat het ingewikkeld is- die heeft het keihard fout. Ik ergerde me dan ook rot aan het bericht. Ik wil best geloven dat niet iedere curator even diep in de AVG zit, maar de partijen die die data kopen die moeten gewoon weten dat ze privacyheling plegen.

Curatoren moeten natuurlijk de failliete boedel te gelde maken, en ik zie heus wel dat er geld te verdienen is met een lijst klantgegevens of relaties. Er zijn altijd partijen die daar geld voor geven. Deze praktijk speelt dan ook al vele jaren. Het belang van zo’n bestand was tien jaar terug niet zo heel erg groot, en je merkte er niet altijd wat van als je gegevens werden doorverkocht. Maar vandaag de dag is dat wel anders.

Onder de AVG zijn de regels vrij simpel: zowel de kopende als de verkopende partij moet een eigen grondslag hebben om dit te mogen doen. Dat je iets van een curator koopt, betekent nog niet dat je er wat mee mag doen. En als je er niks mee mag doen, dan mag je die gegevens niet hebben. Dataminimalisatie, verwijderplicht.

“Het belang van de boedel gaat gewoon voor”, zegt een curator dan. Zou hij dat ook zeggen bij een partij asbest of Viagra-pillen die hij in de boedel aantreft? Ik kan me het niet voorstellen. Ja, ik weet dat de AVG erg ingewikkeld kan zijn, maar denk dan cynisch wel altijd “vooral voor mensen die er baat bij hebben dat ze het niet begrijpen”. Want je voelt op je klompen aan dat databestanden met klantgegevens niet bedoeld zijn voor derden om reclame op te doen. Dus dan mag het niet.

Oké, het hielp niet dat de AP eind 2017 op haar website expliciet vermeldde dat curatoren wel die gegevens mogen verkopen. Maar die zin is snel weer weggehaald, en terecht. Ik blijf cynisch: tot 2017 was het dus heel onduidelijk hoe de wet werkte, ondanks dat de AP op diverse manieren aangaf dat het niet mocht. En in 2017 was het dan ineens wél duidelijk dat het mocht omdat de AP het zei, en nu de AP weer zegt dat het niet mag is het heel onduidelijk en dus blijven we het maar doen. Ik kan daar met mijn eenvoudige juristenpet niet bij.

Arnoud

De curator van het failliete Radio Shack is van plan hun klantenbestand te verkopen, las ik bij Ars Technica. Dit ondanks de privacyverklaring die men jarenlang hanteerde, waarin netjes “Wij verkopen uw data nimmer aan derden” stond. Mag dat zomaar?

Nou ja, het is recht, dus niets mag (of mag niet) zómaar. Maar dit soort zaken zijn erg lastig, omdat er geen harde regels zijn over wat een curator mag doen met gegevens. Digitale gegevens zijn immers niet iets dat je kunt kopen of verkopen. In het speciale geval van virtuele goederen (en belminuten of credits) kan dat wel, maar daarvan is hier geen sprake. De reden is simpel: iets is pas een zaak als iemand er de beschikkingsmacht over kan hebben, zeg maar als het gestolen kan worden. En dat kan niet bij zo’n klantenbestand. De curator zou het ding probleemloos honderd keer kunnen verkopen.

Het bestand zou bij ons onder de Wet bescherming persoonsgegevens vallen. Die bepaalt alleen niets over koop en verkoop daarvan. Het enige dat de Wbp zegt, is dat wie een bestand heeft, dit alleen mag gebruiken met toestemming of een wettelijke grondslag (zoals nakoming overeenkomst). Het tegen geld geven van een kopie van het bestand aan een derde vereist dus zo’n grondslag, en ik zou hem niet weten in dit geval.

Als iemand een doorstart wil maken met het bedrijf, dan is het logisch dat hij ook het klantenbestand krijgt. Dat is daarvoor nodig, zeker als hij de oude contracten met die klanten alsnog wil nakomen. De wet hanteert hiervoor het criterium van “verenigbaarheid” met het oorspronkelijke doel. Overnemen van klanten om de originele dienst zo veel mogelijk alsnog te leveren, lijkt me wel legaal.

Hier is echter geen sprake van verkoop van een klantenbestand mét contractsinformatie maar alleen van contactgegevens. Het enige doel daarvoor dat ik kan bedenken is acquisitie, kijken of die klanten nu interesse in jouw bedrijf hebben. Dat is problematisch, zeker als er ook digitale contactinformatie bij zit want dan loop je tegen spamverbod en dergelijke aan.

De insteek van de juridische klacht tegen de curator is ook wel een aardige: contractbreuk, er is immers via de privacyverklaring afgesproken dat dit niet zou gebeuren. Maar een curator contractbreuk verwijten is heel erg lastig. Weliswaar mag de curator geen contracten schenden, maar een schending is normaal een claim die je maar op de boedel van het failliete bedrijf moet zien te verhalen. En dat valt meestal niet mee, ze zijn niet voor niets failliet gegaan.

Arnoud

Een lezer vroeg me:

Ik host mijn website en de nodige bedrijfskritische data op een virtuele server beheerd door een Nederlands hostingbedrijf. Gisteren kreeg ik bericht dat de server offline is, omdat de leverancier van die hoster zijn dienstverlening heeft gestaakt (waarom is me onduidelijk). Nu ben ik dus mijn data kwijt! Kan ik mijn hoster daarvoor aansprakelijk stellen?

In principe ja. De hoster heeft contractueel beloofd de dienst van webhosting/datahosting te leveren, en hij doet dat niet. Dat is een contractuele wanprestatie en dan is hij aansprakelijk voor de schade die daaruit voortvloeit.

Natuurlijk wordt dat wel genuanceerd door de precieze afspraken. De algemene voorwaarden van de hoster kunnen bepalen wat er wel en niet hoeft te worden geleverd en met welke kwaliteit. Plus ze kunnen natuurlijk aansprakelijkheid beperken tot bv. een aantal maanden aan facturen of een vast maar laag bedrag. En dat is in principe bindend tegenover de klant.

Het feit dat de leverancier van de hoster niet meer levert, is niet het probleem van de eindklant, de vraagsteller dus. DIe heeft geen contract met die leverancier, dus de hoster lost het maar op. Downtime van zijn leverancier is gewoon zijn wanprestatie. Behoudens overmacht of expliciete algemene voorwaarden (“De backupdienst is mede afhankelijk van de beschikbaarheid van de Dropbox-service van het Amerikaanse bedrijf Dropbox Inc”) valt er dus wel wat te claimen bij dataverlies.

Daar staat wel tegenover dat je anno 2013 moet weten dat data kwijt kan raken. Het maken van backups lijkt me dan ook een volstrekt normale en te verwachten handeling voor ieder bedrijf dat bedrijfskritische data heeft. En dan kom je juridisch bij het begrijp ‘eigen schuld’ (art. 6:101 BW): dan wordt de schade verdeeld tussen de beide partijen. Wie zelf ook schuld heeft, moet zelf ook een stuk schade dragen.

Stelling: wie geen eigen backups maakt, verdient het gewoon 100% zelf de schade te moeten dragen van dataverlies.

Arnoud

Een lezer wees me op een faillissementsveiling met een wel heel aparte kavel: Inderdaad, je biedt hier op een Excel-spreadsheet met daarin NAW-gegevens van partijen die klant waren bij het failliete bedrijf. Logisch vanuit de curator want die moet zo veel mogelijk geld halen uit de boedel, en er is vast wel iemand die geld… Lees verder

Een curator mag niet zonder meer privélaptops onderzoeken, ondanks dat er mogelijk bewijs van faillissementsfraude op te vinden is. Dat las ik gisteren op Webwereld naar aanleiding van een arrest uit Den Bosch. In deze zaak wilde de curator toegang tot gegevens op de privélaptop van de bedrijfsjurist van een failliet bedrijf, omdat hij vermoedens… Lees verder

Opnieuw heeft een curator de mogelijkheid laten bestaan om bij een failliete webshop bestellingen te plaatsen, meldde Tweakers gisteren. Het blijkt vaker voor te komen dat curatoren de fout in gaan met de bestelfunctie van over de kop gegane webshops. Nadat het faillissement is uitgesproken, zou je verwachten dat de webshop een virtueel bordje “Gesloten”… Lees verder