Tag: Curator

About Curator

Subscribe Feeds

Curatoren verkopen geregeld klantgegevens zonder toestemming na faillissement

Geplaatst op in Privacy, 19 reacties

Curatoren verkopen na bedrijfsfaillissementen geregeld klantgegevens door, waaronder die van failliete webwinkels. Dat meldde Tweakers woensdag. Zij baseren zich op onderzoek van De Groene Amsterdammer en onderzoeksplatform Investico. Zij bekeken verschillende faillissementen en de dataverkoop die daarmee gemoeid ging. Zo’n dataverkoop mag niet, en wie zegt van wel -of dat het ingewikkeld is- die heeft het keihard fout. Ik ergerde me dan ook rot aan het bericht. Ik wil best geloven dat niet iedere curator even diep in de AVG zit, maar de partijen die die data kopen die moeten gewoon weten dat ze privacyheling plegen.

Curatoren moeten natuurlijk de failliete boedel te gelde maken, en ik zie heus wel dat er geld te verdienen is met een lijst klantgegevens of relaties. Er zijn altijd partijen die daar geld voor geven. Deze praktijk speelt dan ook al vele jaren. Het belang van zo’n bestand was tien jaar terug niet zo heel erg groot, en je merkte er niet altijd wat van als je gegevens werden doorverkocht. Maar vandaag de dag is dat wel anders.

Onder de AVG zijn de regels vrij simpel: zowel de kopende als de verkopende partij moet een eigen grondslag hebben om dit te mogen doen. Dat je iets van een curator koopt, betekent nog niet dat je er wat mee mag doen. En als je er niks mee mag doen, dan mag je die gegevens niet hebben. Dataminimalisatie, verwijderplicht.

“Het belang van de boedel gaat gewoon voor”, zegt een curator dan. Zou hij dat ook zeggen bij een partij asbest of Viagra-pillen die hij in de boedel aantreft? Ik kan me het niet voorstellen. Ja, ik weet dat de AVG erg ingewikkeld kan zijn, maar denk dan cynisch wel altijd “vooral voor mensen die er baat bij hebben dat ze het niet begrijpen”. Want je voelt op je klompen aan dat databestanden met klantgegevens niet bedoeld zijn voor derden om reclame op te doen. Dus dan mag het niet.

Oké, het hielp niet dat de AP eind 2017 op haar website expliciet vermeldde dat curatoren wel die gegevens mogen verkopen. Maar die zin is snel weer weggehaald, en terecht. Ik blijf cynisch: tot 2017 was het dus heel onduidelijk hoe de wet werkte, ondanks dat de AP op diverse manieren aangaf dat het niet mocht. En in 2017 was het dan ineens wél duidelijk dat het mocht omdat de AP het zei, en nu de AP weer zegt dat het niet mag is het heel onduidelijk en dus blijven we het maar doen. Ik kan daar met mijn eenvoudige juristenpet niet bij.

Arnoud

Curator van Radio Shack wil klantenbestand verkopen, mag dat?

Geplaatst op in Privacy, 11 reacties

radio-shackDe curator van het failliete Radio Shack is van plan hun klantenbestand te verkopen, las ik bij Ars Technica. Dit ondanks de privacyverklaring die men jarenlang hanteerde, waarin netjes “Wij verkopen uw data nimmer aan derden” stond. Mag dat zomaar?

Nou ja, het is recht, dus niets mag (of mag niet) zómaar. Maar dit soort zaken zijn erg lastig, omdat er geen harde regels zijn over wat een curator mag doen met gegevens. Digitale gegevens zijn immers niet iets dat je kunt kopen of verkopen. In het speciale geval van virtuele goederen (en belminuten of credits) kan dat wel, maar daarvan is hier geen sprake. De reden is simpel: iets is pas een zaak als iemand er de beschikkingsmacht over kan hebben, zeg maar als het gestolen kan worden. En dat kan niet bij zo’n klantenbestand. De curator zou het ding probleemloos honderd keer kunnen verkopen.

Het bestand zou bij ons onder de Wet bescherming persoonsgegevens vallen. Die bepaalt alleen niets over koop en verkoop daarvan. Het enige dat de Wbp zegt, is dat wie een bestand heeft, dit alleen mag gebruiken met toestemming of een wettelijke grondslag (zoals nakoming overeenkomst). Het tegen geld geven van een kopie van het bestand aan een derde vereist dus zo’n grondslag, en ik zou hem niet weten in dit geval.

Als iemand een doorstart wil maken met het bedrijf, dan is het logisch dat hij ook het klantenbestand krijgt. Dat is daarvoor nodig, zeker als hij de oude contracten met die klanten alsnog wil nakomen. De wet hanteert hiervoor het criterium van “verenigbaarheid” met het oorspronkelijke doel. Overnemen van klanten om de originele dienst zo veel mogelijk alsnog te leveren, lijkt me wel legaal.

Hier is echter geen sprake van verkoop van een klantenbestand mét contractsinformatie maar alleen van contactgegevens. Het enige doel daarvoor dat ik kan bedenken is acquisitie, kijken of die klanten nu interesse in jouw bedrijf hebben. Dat is problematisch, zeker als er ook digitale contactinformatie bij zit want dan loop je tegen spamverbod en dergelijke aan.

De insteek van de juridische klacht tegen de curator is ook wel een aardige: contractbreuk, er is immers via de privacyverklaring afgesproken dat dit niet zou gebeuren. Maar een curator contractbreuk verwijten is heel erg lastig. Weliswaar mag de curator geen contracten schenden, maar een schending is normaal een claim die je maar op de boedel van het failliete bedrijf moet zien te verhalen. En dat valt meestal niet mee, ze zijn niet voor niets failliet gegaan.

Arnoud

Mijn hoster heeft mijn data kwijtgemaakt, wat nu?

Geplaatst op in Security, 23 reacties

disc-data-weg-bewaren-kruis.jpgEen lezer vroeg me:

Ik host mijn website en de nodige bedrijfskritische data op een virtuele server beheerd door een Nederlands hostingbedrijf. Gisteren kreeg ik bericht dat de server offline is, omdat de leverancier van die hoster zijn dienstverlening heeft gestaakt (waarom is me onduidelijk). Nu ben ik dus mijn data kwijt! Kan ik mijn hoster daarvoor aansprakelijk stellen?

In principe ja. De hoster heeft contractueel beloofd de dienst van webhosting/datahosting te leveren, en hij doet dat niet. Dat is een contractuele wanprestatie en dan is hij aansprakelijk voor de schade die daaruit voortvloeit.

Natuurlijk wordt dat wel genuanceerd door de precieze afspraken. De algemene voorwaarden van de hoster kunnen bepalen wat er wel en niet hoeft te worden geleverd en met welke kwaliteit. Plus ze kunnen natuurlijk aansprakelijkheid beperken tot bv. een aantal maanden aan facturen of een vast maar laag bedrag. En dat is in principe bindend tegenover de klant.

Het feit dat de leverancier van de hoster niet meer levert, is niet het probleem van de eindklant, de vraagsteller dus. DIe heeft geen contract met die leverancier, dus de hoster lost het maar op. Downtime van zijn leverancier is gewoon zijn wanprestatie. Behoudens overmacht of expliciete algemene voorwaarden (“De backupdienst is mede afhankelijk van de beschikbaarheid van de Dropbox-service van het Amerikaanse bedrijf Dropbox Inc”) valt er dus wel wat te claimen bij dataverlies.

Daar staat wel tegenover dat je anno 2013 moet weten dat data kwijt kan raken. Het maken van backups lijkt me dan ook een volstrekt normale en te verwachten handeling voor ieder bedrijf dat bedrijfskritische data heeft. En dan kom je juridisch bij het begrijp ‘eigen schuld’ (art. 6:101 BW): dan wordt de schade verdeeld tussen de beide partijen. Wie zelf ook schuld heeft, moet zelf ook een stuk schade dragen.

Stelling: wie geen eigen backups maakt, verdient het gewoon 100% zelf de schade te moeten dragen van dataverlies.

Arnoud

Curator veilt klantenbestand, mag dat?

Geplaatst op in Privacy, 31 reacties

Een lezer wees me op een faillissementsveiling met een wel heel aparte kavel:

faillissements-veiling-klantenbestand

Inderdaad, je biedt hier op een Excel-spreadsheet met daarin NAW-gegevens van partijen die klant waren bij het failliete bedrijf. Logisch vanuit de curator want die moet zo veel mogelijk geld halen uit de boedel, en er is vast wel iemand die geld wil betalen voor een kopie van die spreadsheet.

Maar wat koop je dan eigenlijk?

Een spreadsheet is geen “zaak”, geen ding waar je eigendom op kunt claimen. Digitale data is in het algemeen niet iets dat je kunt kopen of verkopen. In het speciale geval van virtuele goederen (en belminuten of credits) kan dat wel, maar daarvan is hier geen sprake. De reden is simpel: iets is pas een zaak als iemand er de beschikkingsmacht over kan hebben, zeg maar als het gestolen kan worden. En dat kan niet bij zo’n spreadsheet. De curator zou het ding probleemloos honderd keer kunnen verkopen.

De spreadsheet is wel een bestand in de zin van de Wet bescherming persoonsgegevens. Die bepaalt alleen niets over koop en verkoop daarvan. Het enige dat de Wbp zegt, is dat wie een bestand heeft, dit alleen mag gebruiken met toestemming of een wettelijke grondslag (zoals nakoming overeenkomst). Het tegen geld geven van een kopie van het bestand aan een derde vereist dus zo’n grondslag, en ik zou hem niet weten in dit geval.

Als iemand een doorstart wil maken met het bedrijf, dan is het logisch dat hij ook het klantenbestand krijgt. Dat is daarvoor nodig, zeker als hij de oude contracten met die klanten alsnog wil nakomen. De wet hanteert hiervoor het criterium van “verenigbaarheid” met het oorspronkelijke doel. Overnemen van klanten om de originele dienst zo veel mogelijk alsnog te leveren, lijkt me wel legaal.

Hier is echter geen sprake van verkoop van een klantenbestand mét contractsinformatie maar alleen van NAW-gegevens. Het enige doel daarvoor dat ik kan bedenken is acquisitie, kijken of die klanten nu interesse in jouw bedrijf hebben. En omdat het NAW-gegevens zijn (en niet NAWE, met e-mailadres erbij) lijkt dat wel te mogen. Het spammen op papier is immers niet verboden.

Wel is het een eis dat de koper de klanten bij zijn mailing informeert hóe hij aan de NAW-gegevens komt, en ze een opt-out biedt.

Ik vraag me af of dit vaker voorkomt. Voor mij was het de eerste keer dat ik het zag.

Arnoud

Doorzoeken van een privélaptop mag ook niet zomaar

Geplaatst op in Privacy, Security, 17 reacties

Een curator mag niet zonder meer privélaptops onderzoeken, ondanks dat er mogelijk bewijs van faillissementsfraude op te vinden is. Dat las ik gisteren op Webwereld naar aanleiding van een arrest uit Den Bosch. In deze zaak wilde de curator toegang tot gegevens op de privélaptop van de bedrijfsjurist van een failliet bedrijf, omdat hij vermoedens had van fraude.

In het originele vonnis vond de rechter het toegelaten dat de curator toegang mocht krijgen tot de laptop, maar in dit hoger beroep wordt dat echter teruggedraaid. De laptop was geen eigendom van het failliete bedrijf, dus kan de curator die niet zomaar opeisen. Wél heeft hij recht op inzage in de bedrijfsgegevens op die laptop. Hij mag een kopie van de data laten maken en deponeren bij een notaris om deze zo veilig te stellen.

Vervolgens is de vraag of de curator er ook iets mee mag doen. Mag hij de gegevens doorzoeken, of mag hij forensisch onderzoeksbedrijf IRS aan het werk zetten? Omdat het hier gaat om privacy, geeft het Hof geen algemene rechtsregel. Bij inbreuken op de privacy is het altijd afhankelijk van alle omstandigheden van het geval of het mag. Het Hof weegt dan ook de privacy van de jurist en het bedrijfsbelang van de curator tegen elkaar af. Wegen jullie mee?

In het voordeel van de jurist:

  1. het betreft een laptop in privé-eigendom;
  2. de privélaptop bevat ook “privacygevoelige privacybestanden”;
  3. de bedrijfsjurist werkte voor zakelijke doeleinden altijd via het zakelijke netwerk, zodat de betreffende gegevens ook via dat netwerk te vinden (zouden moeten) zijn.

In het voordeel van de curator:

  1. de curator heeft recht op de aan de failliet toebehorende informatie over haar administratie;
  2. de curator heeft belang heeft bij onderzoek daarvan;
  3. de bedrijfsjurist werkte dagelijks op deze laptop in het kader van zijn werk;
  4. de bedrijfsjurist was lid van het managementteam en dicht bij het bestuur werkzaam;
  5. de laptop is zowel zakelijk als privé gebruikt, zodat de bedrijfsjurist daarmee zelf heeft bewerkstelligd dat de gegevens vermengd zijn geraakt;
  6. niet is uit te sluiten dat zakelijke bestanden uitsluitend op de harde schijf van de laptop zijn opgeslagen.

De curator had aangeboden dat de jurist er de hele tijd bij mocht blijven, zodat hij kon piepen als er sprake zou zijn van privégegevens. Maar dat vond het Hof niet genoeg. De curator had namelijk te weinig instrumenten om toezicht op IRS te houden, bv. een contract waarin stond hoe IRS met de gegevens om zou gaan.

Collega Wouter Dammers van Solv advocaten maakt me nieuwsgierig met zijn opmerking dat de curator “op andere wijze(n) inzicht kunnen krijgen in de betreffende zakelijke gegevens, zonder een inbreuk te maken op de bescherming van de persoonlijke levenssfeer van de bedrijfsjurist.”

Ik ben heel benieuwd hoe dan. Dit is namelijk écht een lastig probleem. Je ontkomt er niet aan dat je als onderzoeker privégegevens tegenkomt als je gaat zoeken. Afgaan op wat de jurist in dit geval zegt, gaat niet: hij zou natuurlijk te kwader trouw belastende gegevens zogenaamd als privédata kunnen aanmerken zodat je daar niet kijkt.

Oftewel: hoe doorzoek je een privélaptop naar zakelijke gegevens zonder kennis te nemen van privégegevens?

(Ook het doorzoeken van een bedrijfspc mag niet zomaar trouwens.)

Arnoud

Curatoren in de fout met bestelfunctie failliete webshops

Geplaatst op in Ondernemingsvrijheid, 6 reacties

Opnieuw heeft een curator de mogelijkheid laten bestaan om bij een failliete webshop bestellingen te plaatsen, meldde Tweakers gisteren. Het blijkt vaker voor te komen dat curatoren de fout in gaan met de bestelfunctie van over de kop gegane webshops. Nadat het faillissement is uitgesproken, zou je verwachten dat de webshop een virtueel bordje “Gesloten” krijgt, maar dat blijkt lang niet altijd te gebeuren. Waar sta je dan als koper als je (zoals bijna altijd moet) vooruit betaald hebt?

De wet regelt dit volgens mij niet expliciet. Ik kan nergens een plicht voor de curator vinden om te verhinderen dat er nog zaken worden gedaan met de gefailleerde. Het idee is dat je het in de Staatscourant kunt lezen en dat het “dus” je eigen schuld is als je daarna zaken doet met de gefailleerde.

Het is op zich niet verboden om zaken te doen met een partij die failliet is. Juridisch gezien sluit je dan gewoon een onaantastbare overeenkomst. Je bent niet handelingsonbekwaam verklaard (zoals wanneer je minderjarig, geestelijk onbekwaam of regelmatig dronken bent). Als je failliet bent, mag je nog steeds boodschappen doen. Die zijn dan rechtsgeldig gekocht, maar natuurlijk moet je wel geld vragen aan de curator.

Met dank aan Rechtenforum vond ik dit artikel, waaruit je kunt concluderen dat je je geld terug kunt krijgen, omdat je (art. 24 Faillissementswet) een zogeheten “boedelschuld” hebt. Een boedelschuld staat hoger in rang dan gewone vorderingen, zodat er veel meer kans bestaat op uiteindelijke voldoening van de huurschuld ontstaan na datum faillissement.

Arnoud