Failliete bedrijven beschikken geregeld over klantenbestanden die soms wel tienduizenden euro’s waard zijn. Curatoren die het faillissement afhandelen kunnen die persoonsgegevens verkopen. Dat mogen ze niet wanneer mensen hiervoor geen toestemming hebben gegeven. Curatoren mogen dat ook niet als eerder aan klanten is beloofd dat de gegevens nooit verkocht zullen worden. Toch lappen curatoren die regels geregeld aan hun laars, zo blijkt uit onderzoek van platform voor onderzoeksjournalistiek Investico voor Trouw en De Groene Amsterdammer.

Privacy statements genegeerd

Zo verkocht curator Hellendoorn van TRC Advocaten eind vorig jaar de persoonsgegevens van klanten van gehoorapparatenverkoper Hoorhetgoed.nl voor 7500 euro aan de hoogste bieder. In het privacy statement van de online gehoortoestellenshop stond juist expliciet vermeld dat persoonsgegevens nooit zonder toestemming aan derden zouden worden verstrekt. Desondanks besloot de curator om deze gevoelige gegevens te verkopen. Op de vraag of hij de betreffende personen heeft ingelicht, en aan wie de gegevens zijn verkocht, geeft de curator geen antwoord.

Ook de klantgegevens van de webshop Robin Design, die meubels verkocht, werden na faillissement door de curator te koop aangeboden. ‘Robin Design verkoopt uw gegevens niet aan derden,’ stond in het privacy statement. Toch voert de curator op dit moment gesprekken met een e-commercebedrijf over de verkoop van klantgegevens, zo vertelt hij Investico en Trouw.

De afgelopen maanden werden ook persoonsgegevens van klanten van onder meer een belastingadvieskantoor, een autoreparatiebedrijf, een zwemschool en een paramedisch instituut voor huidtherapie door de curatoren verkocht. Gegevens over een zwemschool zijn misschien niet zo gevoelig, maar voor mensen die een medisch apparaat als een hoortoestel nodig hebben kan het vervelend zijn als die gegevens worden verkocht.

Zonder toestemming

Of de betreffende klanten hiervoor toestemming hebben gegeven, is onbekend. Curatoren gaan niet in op vragen die Investico hierover stelde. Toch is het antwoord op die vraag belangrijk, want een curator mag een klantenbestand niet verkopen zonder dat de betrokken personen daarvoor toestemming hebben gegeven, zegt de Autoriteit Persoonsgegevens. En ‘wanneer in een privacy statement staat dat persoonsgegevens nooit met derden worden gedeeld, mag dit ook na faillissement niet,’ zegt de woordvoerder van de privacywaakhond. ‘Persoonsgegevens zijn niet zomaar handelswaar. Een curator heeft dezelfde verantwoordelijkheden als het failliete bedrijf.’

Curatoren weten niet goed hoe zij de nieuwe privacywetgeving moeten interpreteren, stelt Minke Reijneveld, die aan de Radboud Universiteit promoveert op insolventierecht en privacywetgeving. ‘De meeste curatoren weten niet goed waar ze aan toe zijn.’

Sommigen leggen de privacywetgeving zelfs naast zich. Zij stellen dat je als curator de plicht hebt om voor schuldeisers zoveel mogelijk geld binnen te halen, ongeacht de privacywet. Curator Maria Bowmer, van Bowmer-Nuiten Advocaten in Rotterdam, is van die school: ‘Het belang van de boedel gaat gewoon voor, daarin ben ik mogelijk wat minder genuanceerd dan mijn collega’s.’ Zo’n jaar geleden, net voor de invoering van de nieuwe privacywet, verkocht Bowmer de persoonsgegevens van klanten van een gewichtskliniek. Ze informeerde hen niet, en vroeg evenmin om toestemming. Het ging weliswaar alleen om mailadressen, maar wel van een groep klanten waarvan de koper nu weet dat zij wilden afvallen.

Onduidelijke toezichthouder

De verwarring onder curatoren is deels te wijten aan de privacy-autoriteit zelf. Die heeft er de afgelopen jaren namelijk verschillende standpunten op nagehouden, zo schreef Marisanne Martens vorig jaar in het Tijdschrift voor Insolventierecht. In 2001 stelde de toezichthouder nog dat curatoren klantenbestanden helemaal niet mogen verkopen, en de faillissementswet hen niet verplicht om dat te doen.

Eind 2017 stond op de website van de toezichthouder dat curatoren een klantenbestand wél mogen verkopen. Toen redeneerde de Autoriteit Persoonsgegevens dat curatoren wettelijk verplicht zijn om zoveel mogelijk schulden af te lossen. ‘Het klantenbestand van een bedrijf maakt deel uit van de faillissementsboedel. Klantgegevens mogen dus worden verkocht,’ oordeelde de Autoriteit toen. Dat standpunt is inmiddels weer verlaten. De privacywaakhond zegt nu dat gegevens enkel verkocht mogen worden als betrokkenen daarover worden geïnformeerd. Waarom de Autoriteit Persoonsgegevens de afgelopen jaren zo vaak van standpunt veranderde, kan de woordvoerder niet meer achterhalen.

Geen boetes

Curatoren die handelen in strijd met de privacywet zijn nog nooit beboet door de Autoriteit Persoonsgegevens. Of er zaken in voorbereiding zijn wil de toezichthouder niet zeggen. Hoe vaak curatoren de mist in gaan is evenmin bekend.

Er zijn ook faillissementen waar de curatoren zorgvuldig met persoonsgegevens omspringen. Zo gaf de curator van het failliete online reisbureau TravelBird klanten twee weken de tijd om bezwaar te maken tegen de overdracht van hun persoonsgegevens aan een ander reisbureau.

Lees het nieuws bij Trouw en achtergronden in De Groene Amsterdammer.

Uitsnede-3

Onderdeel van dossier

Privacy

Privacyschending op de werkvloer, digitale patiëntendossiers en 'smart cities'.

Auteurs

54-Investico-07-06-201700996

Karlijn Kuijpers

Karlijn studeerde milieuwetenschappen en criminologie en...

Karlijn studeerde milieuwetenschappen en criminologie en deed voor SOMO onderzoek naar de relatie tussen bedrijven en landconflicten in …
Profiel-pagina
54-Investico-07-06-201701200

Thomas Muntz

Thomas is docent masterclass en is filosoof en politicoloog...

Thomas is filosoof en politicoloog en doceert in de masterclass onderzoeksjournalistiek. Hij is tevens docent politieke filosofie en …
Profiel-pagina