Hoe dient u om te gaan met persoonsgegevens ten tijde van een faillissement?

12/05/2020 - De wereld staat door het coronavirus al enige weken op z’n kop. Men probeert met man en macht het virus op verschillende manieren te bestrijden, maar het vinden van een vaccin kan nog maanden, zo niet jaren, duren, aldus Rutte tijdens de persconferentie op 6 mei 2020. Helaas hebben niet alle bedrijven voldoende financiële middelen om deze crisis te overleven. De eerste financiële klappen van de coronacrisis worden zichtbaar: steeds meer bedrijven vragen faillissement aan. Deze negatieve economische ontwikkeling zal er vermoedelijk voor zorgen dat curatoren een drukkere periode tegemoet gaan. Ook ten tijde van een faillissement dient men stil te staan bij een aantal privacyvraagstukken.

Bij een faillissement komen de failliet en de curator voor vragen te staan die onder andere betrekking hebben op de privacy van de klanten, werknemers en leveranciers van de failliet. In geval van een faillissement verliest de failliet het beheer en de beschikking over het vermogen. Het is nu de taak van de curator om de boedel te beheren en te vereffenen. Curatoren hebben hierbij vaak toegang tot bestanden van de gefailleerde met daarin persoonsgegevens, zoals personeelsdossiers, de lijst met schuldeisers of het klantenbestand. De vraag is wie nu verwerkingsverantwoordelijk is voor de verwerking van persoonsgegevens: de failliet of de curator? Daaropvolgend resteert de vraag hoe de verwerkingsverantwoordelijke kan voldoen aan de naleving van de Algemene verordening gegevensbescherming (AVG)? Immers, de failliet heeft geen beschikking en beheer meer over de boedel en de curator beschikt niet over volledige kennis van de persoonsgegevens die in de boedel staan. In deze blog zijn richtlijnen uitgewerkt over het beoordelen van verwerkingsverantwoordelijkheid bij faillissementen en hoe de curator respectievelijk de failliet ervoor kan zorgen dat de AVG wordt nageleefd. 

Onder de AVG is de ‘verwerkingsverantwoordelijke’ de partij die verantwoordelijk is voor een goede omgang met persoonsgegevens. De verwerkingsverantwoordelijke is de natuurlijke persoon of rechtspersoon die (alleen of tezamen met anderen) bepaalt waarom persoonsgegevens worden verwerkt en hoe deze persoonsgegevens worden verwerkt. Om te kunnen beoordelen welke partij verwerkingsverantwoordelijk is bij een faillissement, dient te worden beoordeeld wie het doel en de middelen bepaalt voor de verwerking van persoonsgegevens.

In de Memorie van Toelichting van de Wet bescherming persoonsgegevens (Wbp), die sinds de AVG is komen te vervallen, staat dat de failliet verantwoordelijk blijft voor een goede omgang met persoonsgegevens in geval de voorwerpen waarop de persoonsgegevens zijn vastgelegd in beslag zijn genomen.[1] Echter, de Autoriteit Persoonsgegevens (AP) heeft op 6 januari 2020 in een brief aan de Vereniging voor Insolventierecht Advocaten (INSOLAD) gesteld dat de curator door zijn positie bij faillissementen (al dan niet gezamenlijk) verwerkingsverantwoordelijk is voor de verwerking van persoonsgegevens in het kader van het beheer en de vereffening van de boedel. Dit betekent dat de curator verantwoordelijk is voor de naleving van de AVG.

De AP sluit in haar brief niet uit dat sprake kan zijn van gezamenlijke verwerkingsverantwoordelijkheid. De curator en de failliet dienen dus altijd te kijken naar de specifieke omstandigheden van het geval om (gezamenlijke)verwerkingsverantwoordelijkheid vast te stellen. Afhankelijk van de rolverdeling dient de curator (samen met de failliet) onder andere:

  • persoonsgegevens zorgvuldig en rechtmatig te verwerken;
  • passende beveiligingsmaatregelen te treffen; 
  • de betrokkenen te informeren en betrokkenen te faciliteren bij de uitoefening van diens rechten;
  • datalekken te registreren; en 
  • aan te tonen dat aan de AVG is voldaan. 

De curator zal, volgens de AP, bij faillissementen in veel gevallen worden aangemerkt als verwerkingsverantwoordelijke. Curatoren dienen er dus voor te zorgen dat ze snel op de hoogte zijn van de opslag van persoonsgegevens binnen de boedel en de meest risicovolle gegevensverwerkingen. Een van de manieren om hier snel achter te komen, is door het register van verwerkingsactiviteiten en de Data Protection Impact Assessments (DPIA’s) op te vragen. Daarnaast is het ook altijd raadzaam de failliet en de medewerkers te bevragen over gegevensverwerkingen.

De failliet dient de curator te ondersteunen bij de nakoming van de verplichtingen uit de AVG. De failliet dient de curator goed in te lichten over onder andere de vindplaats van persoonsgegevens, de doeleinden en grondslagen voor het verwerken van persoonsgegevens en de beveiliging van de persoonsgegevens. Het is namelijk nog maar de vraag in hoeverre een rechter of de AP bijvoorbeeld de curator een datalek zullen aanrekenen, indien de failliet niet voldeed aan de verplichtingen uit de AVG. Bijvoorbeeld wanneer de failliet geen register van verwerkingsactiviteiten had opgesteld, waardoor de curator redelijkerwijs niet tijdig kon achterhalen waar persoonsgegevens werden opgeslagen. Of wanneer de reeds getroffen beveiligingsmaatregelen door de failliet onvoldoende waren.

Privacy en gegevensbescherming is wellicht niet het eerste waar u aan denkt bij faillissement. Desondanks is het belangrijk om hierover na te denken voor een goed verloop van het faillissement en om boetes te voorkomen. Wilt u meer weten over de rol van de curator en de failliet onder de AVG of de vereisten voor het verwerken van persoonsgegevens tijdens een faillissement? Neem dan contact op met Considerati. Wij denken graag met u mee.

Romy ter Beek Legal Consultant