Rechtbank laat AVG-boete voor curator in stand

De AP kreeg in juli 2018 een melding van een tipgever. Die zou uit de boedel van een failliete zorginstelling een harde schijf met data hebben verkregen. De tipgever gaf aan dat hij via een door de curator gehouden digitale veiling een patchkast had gekocht en dat hij na het openschroeven daarvan de harde schijf aantrof, inclusief een grote hoeveelheid bijzondere en gevoelige persoonsgegevens zoals BSN nummers en medische gegevens. Die hadden natuurlijk nooit voor de tipgever toegankelijk mogen worden.

De AP legde hiervoor in 2021 aan de curator een boete op van € 310.000 vanwege het nemen van onvoldoende beveiligingsmaatregelen. Na een door de curator ingediende zienswijze heeft de AP de boete gewijzigd naar € 148.750. Deze boetebesluiten zijn destijds niet gepubliceerd, omdat ze over een natuurlijk persoon gaan en de AP dan terughoudend is met het openbaar maken van die besluiten.

De curator liet het er niet bij zitten en stapte naar de rechter. Daar betoogde de curator onder meer dat hij (of zij natuurlijk, maar voor de leesbaarheid en gemakshalve houd ik maar even de mannelijke vorm aan) niet als verwerkingsverantwoordelijke voor de persoonsgegevens kon worden aangemerkt, zodat aan hem ook geen boete kon worden opgelegd omdat de Algemene Verordening Gegevensbescherming (AVG) dan helemaal niet op hem van toepassing is. De curator stelde dat voor zover de harde schijf zich al in de boedel bevond, hij daar redelijkerwijs geen weet van kon hebben en hij dus ook geen invloed kon hebben op de verwerking van de op de harde schijf opgeslagen gegevens.

De rechtbank volgt dit betoog niet en oordeelt dat de curator redelijkerwijs had kunnen weten dat er op de harde schijf persoonsgegevens waren opgeslagen en dat hij daartoe ook toegang had. De rechtbank overweegt dat het enkele feit dat de zoekslag van de curator naar de aanwezigheid van gegevensdragers kennelijk niet volledig is geweest – hij had de harde schijf immers niet aangetroffen – niet betekent dat hij geen invloed kón uitoefenen. Hij had dus beter z’n best kunnen doen, aldus de rechtbank. De curator wordt daarom aangemerkt als de verwerkingsverantwoordelijke voor de persoonsgegevens en dan is de AVG van toepassing op hem.

Het verweer van de curator dat hij voldoende onderzoek heeft gedaan en dat hem niet kan worden tegengeworpen dat de harde schijf bij zijn onderzoek niet is aangetroffen (uit de uitspraak blijkt dat de harde schijf op een ongebruikelijke plek zat gemonteerd) plaatst de rechtbank in het kader naar de vraag van de verwijtbaarheid van het handelen van de curator. De rechtbank overweegt dat dit samenvalt met de beantwoording van de vraag of de curator voldoende passende technische of organisatorische maatregelen heeft genomen om de persoonsgegevens te beschermen, zoals de AVG voorschrijft.

De rechtbank stelt de vraag wat van een curator verwacht mag worden als deze bij een ‘grote failliet’ binnenstapt. De curator heeft natuurlijk te maken met de realiteit dat hij de organisatie niet kent en tijd nodig heeft om alles in kaart te brengen, maar dat hij tegelijkertijd ook meteen aan de slag moet en de belangen van de schuldeisers in acht heeft te nemen. Dat is de context waarbinnen het handelen van de curator beoordeeld moet worden. Hoe ver reikt de onderzoeksplicht van de curator? In hoeverre mag hij zich verlaten op uitlatingen van deskundigen als het gaat om de aanwezigheid van persoonsgegevens? In dit geval had de curator opdracht gegeven tot een IP-scan en in navolging van het advies van de deskundige heeft hij de opdracht gegeven alle gegevensdragers te verwijderen. De curator meent dat hij hiermee voldoende maatregelen heeft genomen.

De rechtbank is het daar niet mee eens. (Ook) in voorgaande context heeft de curator wat de rechtbank betreft onvoldoende beveiligingsmaatregelen genomen. De rechtbank weegt hierbij de gevoelige aard van de aangetroffen gegevens zwaar mee. De rechtbank oordeelt dat de curator in onvoldoende mate heeft geïnventariseerd waar en op welke wijze de persoonsgegevens van medewerkers en cliënten van de stichting waren opgeslagen.

De rechtbank overweegt dan ook dat de curator de overtreding kan worden verweten. Hij had meer maatregelen kunnen én moeten nemen. Hij had onder meer moeten verifiëren of alle gegevensdragers daadwerkelijk waren verwijderd voordat de boedel te veiling werd aangeboden.

Wel meent de rechtbank dat de overtreding de curator in beperktere mate kan worden verweten dan door de AP is gedaan, omdat de curator wel degelijk oog heeft gehad voor de aanwezigheid van persoonsgegevens op de gegevensdragers in de verkochte ICT-apparatuur. De boete wordt daarom met 25% gematigd tot een bedrag van € 77.500.

Vervolgens matigt de rechtbank de boete nog verder tot € 58.125 omdat de procedure bij de AP zo lang heeft geduurd.

Al met al legt de rechtbank het handelen van de curator dus langs een strenge meetlat. Dat zal niet in elk faillissement zo zijn. Als het om minder gevoelige persoonsgegevens zou zijn gegaan, was de conclusie wellicht geweest dat de curator met het uitvoeren van de IP-scan en de opdracht alle persoonsgegevens te verwijderen wél afdoende beveiligingsmaatregelen had getroffen. Maar ook dan blijft het oppassen geblazen. En zodra er gevoelige/bijzondere persoonsgegevens zoals BSN nummers, financiële gegevens of gezondheidsgegevens in het geding zijn ligt de lat dus hoog. Curatoren zullen daarmee (nog meer) rekening moeten houden, ook bijvoorbeeld in het maken van afspraken met de partijen die bijvoorbeeld een IP-scan uitvoeren en de opdracht krijgen alle data te verwijderen. Waarom zou de curator als enige voor de boete moeten opdraaien? De curator kan natuurlijk proberen op voorhand afspraken te maken met door hem ingeschakelde partijen over de verdeling van onder meer de boete op het moment dat het toch mis gaat.