Elke organisatie in Nederland was het afgelopen jaar in de ban van de nieuwe, strenge privacywetgeving uit Brussel. Om klanten een reclamefolder te sturen moeten bedrijven sinds mei 2018 ‘vrij en ondubbelzinnig’ toestemming verkrijgen, grote ondernemingen zijn verplicht privacy officers aan te stellen en elk datalek moet worden gemeld aan de autoriteiten. En dat allemaal op straffe van nieuwe, hoge boetes.

Toch staat te midden van al deze strenge regelgeving nog één achterdeur wagenwijd open. Want gaat een bedrijf onverhoopt failliet, dan zijn de privacygevoelige klantenbestanden plotseling prooi voor de hoogste bieder, zo ontdekte platform voor onderzoeksjournalistiek Investico in samenwerking met De Groene Amsterdammer en Trouw. Curatoren verkopen volledige klantenbestanden met persoons- en betaalgegevens om opbrengsten te genereren voor de schuldeisers van een failliet bedrijf. Wanneer Nederlandse ondernemingen op de fles gaan blijken privacybeloftes in de praktijk niets meer waard. Dan worden onze gegevens zonder problemen verpatst aan de hoogste bieder. De toezichthouder heeft dit tot dusver ongestraft laten gebeuren.

‘Persoonsgegevens worden, zonder uw uitdrukkelijke toestemming, nooit verstrekt aan derden’, staat in het privacystatement van Hoorhetgoed.nl, een webwinkel voor hoorapparaten. Hoorhetgoed.nl verkoopt niet enkel hoortoestellen, maar ook gehoorbescherming, speciale telefoons voor slechthorenden en onderhoudsmiddelen voor hoorapparaten. Afgelopen september ging de webshop failliet en verkocht de curator het volledige klantenbestand voor 7500 euro aan de hoogste bieder. De koper, die onbekend is, heeft zo een nieuwe bak met potentiële klanten, en verbazend genoeg ook een bestand waar medische gegevens uit afgeleid kunnen worden. De curator reageert niet op vragen van Investico.

Word nu Vriend van Investico en versterk de onderzoeksjournalistiek in Nederland

Steun ons

Verwarrende wetgeving

Bij de woonwebshop Robin Design gebeurde hetzelfde. ‘Robin Design verkoopt uw gegevens niet aan derden’, stond in het privacystatement. Desondanks heeft de curator het gehele klantenbestand na faillissement in de verkoop gedaan. ‘We zijn in gesprek met een e-commerce-bedrijf’, zegt de curator wanneer we hem bellen. Op andere vragen wil de curator geen antwoord geven. Wel meldt hij ‘dat er een zekere spanning bestaat tussen de privacywetgeving en de uit de faillissementswet voortvloeiende taken van de curator’.

Dat bevestigt ook Minke Reijneveld, die aan de rechtenfaculteit van de Radboud Universiteit promoveert op de relatie tussen insolventierecht en privacywetgeving. ‘Er is momenteel een hoop discussie en verwarring onder curatoren over hoe ze de nieuwe privacywet moeten interpreteren.’ Ondanks de verwarring werden persoonsgegevens van klanten van onder meer een belastingadvieskantoor, een autoreparatiebedrijf, een zwemschool en een paramedisch instituut voor huidtherapie afgelopen maanden door de curator verkocht. ‘De meeste curatoren weten niet goed waar ze aan toe zijn.’

Sommigen, zo blijkt bij navraag, leggen de hele privacywetgeving naast zich neer. Zij stellen dat je als curator de plicht hebt om de boedel uit te winnen, en beschouwen dat belang als het enige waar ze rekening mee moeten houden.

Steeds nieuwe standpunten

Curator Maria Bowmer, van Bowmer & Nuiten Advocaten in Rotterdam, is van die school en ze windt er geen doekjes om. ‘Het belang van de boedel gaat gewoon voor, daarin ben ik mogelijk wat minder genuanceerd dan mijn collega’s.’ Afgelopen voorjaar verkocht Bowmer het klantenbestand van een gewichtskliniek. ‘Het was vlak voor de invoering van de nieuwe privacywet, dus we hebben er wel met een schuin oog naar gekeken.’ In de branche van gewichtsklinieken was sprake van moordende concurrentie. ‘Als je googelde op de naam van het failliete bedrijf kreeg je meteen advertenties van de concurrent te zien: “Zij zijn failliet, kom bij ons, wij helpen je verder!” De concurrenten wilden het klantenbestand graag hebben.’ Bowmer informeerde de klanten van de gewichtskliniek niet en vroeg ze ook niet om toestemming om hun persoonlijke gegevens te verkopen. ‘Dat is ook wel lastig, om aan vijfduizend mensen toestemming te gaan vragen. In het privacystatement van de gewichtskliniek stond ook niets wat de verkoop aan derden uitsloot. Wel hebben we afgesproken dat de koper de persoonsgegevens voor dezelfde doeleinden zou gebruiken als het failliete bedrijf had afgesproken met de klanten.’

Volgens curator Bowmer gaat het conflict tussen privacybelangen en de belangen van de schuldeisers voorlopig niet geslecht worden. ‘We moeten wachten op een uitspraak van het Europees Hof, dat duurt makkelijk tien jaar. En volgens mij heeft de Autoriteit Persoonsgegevens zich er tot nu toe niet mee bemoeid.’

Sterker nog, de Autoriteit Persoonsgegevens heeft de afgelopen twintig jaar maar liefst drie verschillende standpunten ingenomen over deze kwestie, zo blijkt onder meer uit een artikel in het Tijdschrift voor Insolventierecht van vorig jaar. In 2001 stelde de Nederlandse privacytoezichthouder nog dat curatoren klantenbestanden helemaal niet mogen verkopen, en dat de faillissementswet hen niet verplicht om dat te doen.

De rechtbank van Amsterdam oordeelde in 2004 echter anders. De persoonsgegevens van tienduizenden klanten van een failliet mediabedrijf werden verkocht aan een Engelse partij. Een aantal klanten spande een rechtszaak aan waarin zij de vernietiging van hun persoonsgegevens eisten, omdat er in het privacystatement aan hen was beloofd dat hun persoonsgegevens nooit verkocht zouden worden. De rechter oordeelde echter dat de gegevens gewoon verkocht mochten worden, omdat het ‘onschuldige’ gegevens betrof.

Later leek de Autoriteit Persoonsgegevens het daarmee eens. Eind 2017 stond op de website van de toezichthouder dat curatoren een klantenbestand wél mogen verkopen. Toen redeneerde de AP dat curatoren wettelijk verplicht zijn om een klantenbestand te verkopen wanneer ze daarmee schulden van het failliete bedrijf kunnen aflossen. ‘Het klantenbestand van een bedrijf maakt deel uit van de faillissementsboedel. Klantgegevens mogen dus worden verkocht’, oordeelde de Autoriteit toen.

Dat standpunt is inmiddels weer van de website gehaald. Daarom vroeg Investico de AP opnieuw hoe het nu zit. ‘Wanneer in een privacystatement staat dat persoonsgegevens nooit met derden worden gedeeld, mag dit ook na faillissement niet’, zegt de woordvoerder van de privacywaakhond nu resoluut. ‘Persoonsgegevens zijn niet zomaar handelswaar. Een curator heeft dezelfde verantwoordelijkheden als het failliete bedrijf.’ De Autoriteit Persoonsgegevens wil niet zeggen of ze al een zaak is gestart tegen curatoren die handelen in strijd met de privacywet.

Afweging

De Duitse toezichthouder is wel al jaren consequent en greep reeds twee keer in. De Beierse privacywaakhond benadrukte in een zaak uit 2015 al dat curatoren persoonsgegevens niet zomaar mogen verkopen. Een jaar later startte de Thüringse toezichthouder een boeteprocedure nadat het verschillende klachten had ontvangen van mensen die reclame ontvingen van een hen onbekende apotheek. Wat bleek? Hun vaste apotheek was failliet gegaan en de curator had het volledige klantenbestand verkocht. Dat mag niet, concludeerde de Thüringse toezichthouder. ‘Op het illegaal overdragen van persoonsgegevens staat een boete van driehonderdduizend euro’, benadrukt de toezichthouder in een verslag over de zaak.

‘Het is Europees recht, dus het zou wel mooi zijn als de toezichthouders ook gelijk optrekken’, zegt promovendus Reijneveld. Het argument dat de curator een plicht heeft om de boedel uit te winnen, gaat volgens Reijneveld bovendien niet op. ‘De curator heeft geen eenduidige plicht’, legt ze uit, ‘de wet omschrijft het als een “taak”, en dat is veel minder dwingend. In feite moet de curator een afweging maken tussen allerlei belangen en wetten. Als een curator een wietplantage aantreft in de boedel kan hij die ook niet verkopen. Zo moet je ook naar privacygevoelige bestanden kijken.’ Op een forumdiscussie noemt een curator de persoonsgegevens in de boedel een ‘toxic asset’ die je niet zomaar kunt verkopen.

Dat betekent niet dat persoonsgegevens na faillissement nooit kunnen worden gekocht. Nadat de online reiswinkel TravelBird eind vorig jaar failliet ging, werd het klantenbestand verkocht aan een concurrent. De curator lichtte alle betrokkenen netjes in en gaf hun twee weken de tijd om bezwaar te maken tegen de overdracht van hun gegevens.

Investico werkt altijd samen met andere media. Zo versterken we de onderzoeksjournalistiek in Nederland.

Lees meer over ons

Dat is hoe het volgens de Autoriteit Persoonsgegevens hoort te gaan. De toezichthouder benadrukt dat er altijd een belangenafweging gemaakt moet worden. Maar de curatoren die wij spraken vertelden ons dat ze eigenlijk geen idee hebben waarop ze die afweging moeten baseren.

Handelswaar

Curatoren die zonder toestemming persoonsgegevens verkopen, het is de zoveelste achterdeur in de ‘strenge’ privacywet. Want ook als een bedrijf niet failliet gaat, dan kan een ander nog steeds aan de persoonsgegevens komen, simpelweg door de volledige onderneming inclusief alle persoonsgegevens over te kopen. Zo kocht Google jaren geleden het bedrijf dat de app DeepMind had ontwikkeld, een digitaal dashboard met patiëntgegevens. ‘We hebben van begin af aan duidelijk gemaakt dat wij patiëntgegevens nooit zullen linken of koppelen aan Google-accounts, producten of diensten’, zei de oprichter DeepMind na de overname in 2016. Twee jaar later deed Google dat alsnog.

Farmaciebedrijf GlaxoSmithKline kreeg DNA-gegevens van vier miljoen mensen in handen door 23andme over te kopen, een bedrijf dat je DNA test op erfelijke aandoeningen. En in eigen land kreeg Talpa van John de Mol de persoonsgegevens van 7,5 miljoen Nederlanders in handen door het volledige e-commercebedrijf Emesa over te kopen. Sommige gebruikers kregen hier wel netjes een melding van.

Het is onduidelijk of de Autoriteit Persoonsgegevens vanaf nu gaat handhaven om de faillissementmaas in de wet te dichten. Als dat zo zou zijn, voorspellen de curatoren nieuwe moeilijkheden. ‘Het probleem’, zegt onderzoeker Reijneveld, ‘is dat een adressenbestand vaak het enige onderdeel van de boedel is dat nog waarde heeft.’ Dat bevestigt ook curator Bowmer: ‘De koper is uit op de persoonsgegevens, want hij is uit op de klanten.’

En iets van waarde wordt vanzelf handelswaar. Zo laat ook het faillissementsverslag van een Nederlandse apotheek zien. Apotheek/huisartsenpraktijk Wijckel in Friesland had zijn klantenbestand als onderpand ingezet om een lening bij ING Bank af te sluiten. De apotheek is inmiddels failliet, maar waar het klantenbestand is? Niemand die het weet.