Gegevensbescherming in faillissement (O&R nr. 136) 2023/1.2:1.2 Onderwerp van onderzoek

Gegevensbescherming in faillissement (O&R nr. 136) 2023/1.2

1.2 Onderwerp van onderzoek

Documentgegevens:

mr. M.D. Reijneveld, datum 01-08-2022

Datum: 01-08-2022
Auteur: mr. M.D. Reijneveld
JCDI: JCDI:ADS675679:1
Vakgebied(en): Ondernemingsrecht (V)

De AVG is een uitwerking van artikel 8 van het Europees Handvest en artikel 16 lid 1 VWEU.1 De AVG staat als wetgeving niet op zichzelf, maar is onderdeel van een lijn van wetgeving op het gebied van gegevensbescherming en privacy.2 Door de voortgaande digitalisering is de wetgeving op dit terrein steeds verder uitgebreid. Nieuwe technologische ontwikkelingen bieden veel kansen, maar brengen ook nieuwe risico’s met zich. Een van de risico’s is dat door het toenemende gebruik van persoonsgegevens de bescherming van die gegevens van individuen vaker in het gedrang komt.3 Inmiddels is die bescherming een belangrijk thema geworden, ook binnen het privaatrecht.4

Een van de rechtsgebieden waarbinnen gegevensbescherming aan de orde is, is het insolventierecht. De schuldenaar die in de toestand verkeert dat hij heeft opgehouden te betalen, wordt, hetzij op eigen aangifte, hetzij op verzoek van een of meer zijner schuldeisers, bij rechterlijk vonnis in staat van faillissement verklaard.5 Het faillissement is een collectieve verhaalprocedure. Op het moment dat een onderneming failliet wordt verklaard, wordt een curator benoemd. De curator heeft als taak het faillissement als onafhankelijke partij af te wikkelen, door de boedel te beheren en te vereffenen. De curator bewerkstelligt dat het vermogen van de gefailleerde te gelde wordt gemaakt en de opbrengst wordt verdeeld onder de gezamenlijke schuldeisers.6 Over het algemeen is er tijdens het faillissement onvoldoende opbrengst om iedereen te kunnen uitkeren.7 Tijdens faillissement bestaat er een hoge mate van transparantie: faillissementsvorderingen worden in beginsel op een verificatievergadering vastgesteld en een curator schrijft openbare verslagen over de afwikkeling van het faillissement.

De AVG is een van de juridische kaders die het handelen van de curator tijdens faillissement raakt. De toepassing van de AVG in faillissement roept de nodige vragen op over hoe persoonsgegevens tijdens faillissement behandeld moeten worden.8 De curator kan in de praktijk tegen de nodige problemen aanlopen als hij zijn werkzaamheden AVG-conform wil inrichten.9

Allereerst is de AVG als zodanig al wetgeving waarover nog de nodige vragen bestaan.10 Over de precieze betekenis en omvang van veel concepten en open normen uit de AVG bestaat discussie en het uitkristalliseren in wetenschap en rechtspraak is nog volop in gang.11

Daarnaast is de toepassing van de AVG tijdens faillissement nog niet duidelijk uitgewerkt. De Faillissementswet en de AVG sluiten op onderdelen niet goed op elkaar aan. Dat is niet verwonderlijk. De Nederlandse Faillissementswet stamt grotendeels uit 1893.12 Hoewel deze sindsdien verschillende keren is gewijzigd,13 stond er aan het begin van mijn onderzoek in 2018 vrijwel niets in de Faillissementswet over het belang van privacy en gegevensbescherming in faillissement. Ook over de relevantie van de AVG voor de faillissementspraktijk was weinig bekend.14 De Faillissementswet en de AVG verschillen veel van elkaar en de doelen die de respectievelijke wetten nastreven lopen uiteen. De AVG beschermt de personen op wie die persoonsgegevens betrekking hebben ( in de terminologie van de AVG heten deze personen ‘de betrokkenen’) tegen de onrechtmatige verwerking van hun persoonsgegevens. De Faillissementswet daarentegen beoogt op een efficiënte manier het actief van de schuldenaar te gelde te maken om het te verdelen onder de gezamenlijke schuldeisers. Door deze verschillen tussen beide wettelijke systemen, is het niet eenvoudig om het gegevensbeschermingsrecht en de faillissementspraktijk in elkaar te laten passen. De curator heeft echter in zijn faillissementspraktijk met beide wetten te maken. Soms wringt dit.

Er kan met recht worden gesteld dat de confrontatie tussen de AVG en het faillissement op het eerste oog op onderdelen een botsing oplevert. Het is evident dat de taken van de curator en de belangen van de gezamenlijke schuldeisers bij een zo hoog mogelijke uitkering uit het faillissement, op vele vlakken op gespannen voet (kunnen) staan met de belangen van de betrokkenen.15 Daarnaast kunnen ook de transparantie en openbaarheid van informatie omtrent het faillissement die de Faillissementswet voorschrijft knellen met het kader dat de AVG geeft voor de verwerking van persoonsgegevens.

Een belangrijk uitgangspunt van het klassieke faillissementsrecht is dat de afwikkeling van het faillissement open en transparant plaatsvindt. De curator legt in beginsel die stukken waarvan de wet dat verlangt ter inzage bij de griffie van de rechtbank – en stelt die tegenwoordig daarnaast vaak digitaal beschikbaar. Hierbij kan bijvoorbeeld worden gedacht aan de boedelbeschrijving16 of het verslag na afloop van de verificatie over de stand van de boedel.17 De Faillissementswet bepaalt daarnaast uitdrukkelijk dat de curator, steeds na verloop van drie maanden, een verslag uitbrengt over de toestand van de boedel.18 Dit verslag is via het Centraal Insolventieregister (CIR) voor iedere geïnteresseerde te bekijken.19

Deze transparantie is fundamenteel voor de werkzaamheden van de curator. De INSOLAD Praktijkregels voor Curatoren stellen hierover: “De curator streeft een transparante afwikkeling van het faillissement na”.20 De na te streven transparantie en openheid door de curator vindt zijn begrenzing in ‘belemmeringen rechtens’. Uit de toelichting in de Praktijkregels volgt dat onder belemmeringen rechtens ook privacybelangen en aanwijzingen en beslissingen van de Autoriteit Persoonsgegevens (AP) worden verstaan.21 De AVG wordt hier dus gezien als een begrenzing van de transparantie die de curator dient na te streven.

De AVG stelt inderdaad voorwaarden aan de transparantie die de curator nastreeft. Twee belangrijke beginselen uit de AVG zijn dat persoonsgegevens alleen mogen worden verwerkt indien daarvoor een grondslag bestaat, en dat altijd alleen de noodzakelijke persoonsgegevens moeten worden verwerkt.22 Het uitgangspunt van de AVG lijkt daarmee diametraal tegengesteld aan dat van de Faillissementswet: informatie die persoonsgegevens bevat mag alleen worden gepubliceerd indien daarvoor een grondslag bestaat, het noodzakelijk is om de persoonsgegevens te verwerken en er geen manier is om op andere, minder ingrijpende wijze, ook te informeren. Het ja, tenzij-principe uit de Faillissementswet wordt hier gesteld tegenover een nee, tenzij-principe uit de AVG.

De AVG is daarnaast geen civielrechtelijk instrument maar een verordening die van toepassing is op vrijwel elk gebruik van persoonsgegevens, om het even door wie.23 De AVG differentieert niet tussen de publieke en de private sector.24 Dit betekent dat op de curator in beginsel dezelfde regels van toepassing zijn als op bestuursorganen, stichtingen of de overheid wanneer die persoonsgegevens verwerken.

De verschillen in perspectief tussen de AVG en de Faillissementswet, kunnen voor de curator onduidelijkheden opleveren: wanneer hij persoonsgegevens verwerkt, is hij gebonden aan de AVG en moet hij de regels uit de AVG naleven. Deze naleving brengt echter op punten de doelstellingen van het faillissement in het gedrang, met name voor zover dat gaat om openbaarheid en transparantie. De vraag is dan ook wanneer de curator de AVG moet toepassen in faillissement, en zo ja, hoe.

Op het eerste deel van die vraag is relatief eenvoudig antwoord te geven. De AVG moet, zoals ik in §1.1 al uiteenzette, worden toegepast in faillissement. De AVG is van toepassing op iedere verwerking van persoonsgegevens. Daarbij is niet relevant of de onderneming al dan niet in staat van faillissement verkeert.

Bovendien is de AVG een verordening. De Uniewetgever koos hiervoor om fragmentatie binnen de EU op het gebied van gegevensbescherming te verminderen.25 Verordeningen zijn verbindend in al hun onderdelen en rechtstreeks toepasselijk in de lidstaat.26 Zij kunnen dan ook rechtstreekse werking binnen alle lidstaten van de Europese Unie hebben.27 Dit beginsel van rechtstreekse werking is door het Europees Hof van Justitie van de EG geïntroduceerd in het Van Gend en Loos-arrest.28

De AVG heeft rechtstreekse werking binnen de Europese Unie. Wel laat de Uniewetgever op specifieke punten ruimte aan de lidstaten om nadere invulling te geven. In Nederland gebeurt dit vooral in de Uitvoeringswet AVG (UAVG).29 In de UAVG is het systeem uit de Wet bescherming persoonsgegevens (Wbp), de voorganger van de AVG, gekopieerd en grotendeels ongewijzigd gelaten. De AVG laat daarnaast ruimte voor sectorale aanvullingen, bijvoorbeeld in de vorm van een gedragscode waarin een groep verwerkingsverantwoordelijken of verwerkers algemene normen opstelt voor hoe die groep omgaat met persoonsgegevens.30 Een gedragscode is een concrete uitwerking van de AVG voor een bepaalde groep. De nationale toezichthouder – in Nederland de AP – moet zo’n gedragscode vervolgens goedkeuren.31

In de AVG is weinig inhoudelijks geregeld over gedragscodes. Artikel 40 lid 2 AVG geeft aan dat verenigingen en andere organen die categorieën van verwerkingsverantwoordelijken of verwerkers vertegenwoordigen, gedragscodes kunnen opstellen die bijvoorbeeld betrekking kunnen hebben op de behoorlijke en transparante verwerking, de gerechtvaardigde belangen, de verzameling van gegevens, de uitoefening van de rechten van betrokkenen en de aan het publiek verstrekte informatie. De invulling van een gedragscode wordt verder grotendeels opengelaten.32 Voor curatoren bestaan er veel voordelen om een gedragscode op te stellen. Zo’n gedragscode schept duidelijkheid, creëert rechtszekerheid, helpt bij het aantonen van de naleving van de AVG en kan bovendien leiden tot een praktische en kosteneffectieve omgang met de AVG. Tegelijkertijd kan het lang duren om een gedragscode op te stellen en is deze vrij statisch zodra hij is goedgekeurd door de AP.33

Het feit dat de AVG een verordening is, heeft een belangrijke consequentie voor dit onderzoek. Wanneer de Faillissementswet of andere nationale wetgeving strijdig is met de AVG, gaat de AVG boven die nationale wet.34 Als de Faillissementswet in strijd is met de AVG, moet de Faillissementswet op dat punt buiten beschouwing worden gelaten.

Dit betekent dat – in beginsel – de oudere, nationaalrechtelijke Faillissementswet moet voldoen aan een nieuwere Europese gegevensbeschermingswet. Over de gevolgen hiervan voor de curator was begin 2018 nog weinig bekend. Hoe moet hij het faillissement afwikkelen op zo’n manier dat dat gebeurt in lijn met de AVG? En kan de faillissementspraktijk zoals die was voor de AVG in werking trad in stand blijven, of moet de curator zijn werkzaamheden wezenlijk aanpassen?

In dit proefschrift wil ik de gevolgen van de AVG voor de werkzaamheden van de faillissementscurator in kaart brengen. Daarbij staat de volgende vraagstelling centraal:

Wat is het juridisch kader waarbinnen de curator in het faillissement van een schuldenaar die een onderneming drijft persoonsgegevens mag, kan en moet verwerken en hoe verhoudt dit kader zich tot de regels en beginselen van de Faillissementswet?

Om deze hoofdvraag te beantwoorden, heb ik een aantal deelvragen geformuleerd. Deze zijn:

I.: Op welke wijze worden tijdens faillissement persoonsgegevens verwerkt door de curator?
II.: In hoeverre vormen de Faillissementswet en de taak van de curator een rechtvaardiging voor deze verwerkingen?
III.: Op welke punten conflicteert de huidige praktische toepassing van de faillissementsregels met de beginselen inzake de verwerking van persoonsgegevens?
IV.: Welke mogelijkheden zijn er om de faillissementsprocedure beter in lijn te brengen met de beginselen inzake de verwerking van persoonsgegevens?

Toon alle voetnoten

Voetnoten

Voetnoten

Overweging 1 AVG.

Politou e.a. 2022.

Ministerie van Justitie en Veiligheid, Brief over ‘Bescherming van de horizontale privacy’, kenmerk 2600162, p. 1.

Jansen 2020, p. 637.

Art. 1 lid 1 Fw.

Veder & Van Hees 2019, §9.2.

Van Hees 2017, p. 185 e.v.

Vgl. Bentfort & Van de Wiel 2020, p. 272.

Vgl. Reijneveld 2020b.

10.

Hauck 2019, p. 725.

11.

Om een voorbeeld te geven: de AVG maakt onderscheid tussen de verwerker en de verwerkingsverantwoordelijke. Wanneer precies sprake is van de verhouding verwerker-verwerkingsverantwoordelijke, en wanneer van de verhouding verwerkingsverantwoordelijke-verwerkingsverantwoordelijke, leidt tot de nodige jurisprudentie. Zo heeft het HvJ EU in enkele arresten uitleg gegeven over het concept ‘gezamenlijk verwerkingsverantwoordelijke’: HvJ EU 5 juni 2018, ECLI:EU:C:2018:388 (Wirtschaftsakademie Schleswig-Holstein); HvJ EU 10 juli 2018, ECLI:EU:C:2018:551 (Jehovan todistajat); HvJ EU 29 juli 2019, ECLI:EU:C:2019:629 (Fashion ID). In faillissement heeft bijvoorbeeld de discussie gespeeld wat de verhouding is tussen de curator en de bestuurders van de failliet (zie hoofdstuk II).

12.

Wet van 30 september 1893 op het faillissement en de surséance van betaling.

13.

Zie een overzicht van de wijzigingen van de Faillissementswet via Kortmann, Faber & Schuijling 2020.

14.

Vgl. Brinkmann 2019, art. 41 12-15.

15.

Toetsingscommissie INSOLAD 2021, TvI 2022/12 m.nt. M.D. Reijneveld, p. 47.

Art. 96 Fw.

Art. 137 Fw.

Art. 73a Fw.

Zie hierover nader hoofdstuk 5.

20.

Art. 8.1 INSOLAD Praktijkregels voor Curatoren 2019. In de Faillissementswet staan geen algemene bepalingen over transparantie, maar wel verschillende artikelen die een transparante werkwijze voorschrijven, zoals art. 73a, art. 97 en art. 137 Fw.

21.

Art. 8.1 INSOLAD Praktijkregels voor Curatoren 2019.

22.

Art. 5 lid 1 sub a en c AVG.

23.

Er zijn beperkte uitzonderingen op het toepassingsbereik van de AVG. De AVG is niet van toepassing op activiteiten die buiten de werkingssfeer van het Unierecht vallen, op activiteiten die binnen de werkingssfeer van titel V, hoofdstuk II VEU vallen, en op van zuiver persoonlijke of huishoudelijke activiteiten door natuurlijke personen. Zie art. 2 lid 2 AVG.

24.

Vgl. Thijssen 2009, p. 5.

25.

Overweging 2 AVG; Zwenne & Mommers 2016, p. 183.

26.

Art. 288 Verdrag betreffende de werking van de Europese Unie (VWEU).

27.

HvJ EG 14 december 1971, ECLI:EU:C:1971:122 (Politi s.a.s./ Ministerie van Financiën van de Italiaanse Republiek). Zie ook: Craig & De Búrca 2015, p. 107, 198-200.

28.

HvJ EG 5 februari 1963, ECLI:EU:C:1963:1 (Van Gend en Loos). Het Hof stelde als voorwaarden dat een bepaling duidelijk en onvoorwaardelijk moest zijn. Zie uitgebreider: Weiler 2014.

29.

Wet van 16 mei 2018, houdende regels ter uitvoering van Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG (algemene verordening gegevensbescherming) (PbEU 2016, L 119) (Uitvoeringswet Algemene verordening gegevensbescherming).

30.

Art. 40 AVG.

31.

Art. 40 AVG; EDPB 1/2019. In het Europese Register for Codes of Conduct, amendments and extensions zijn tot nu toe vier gedragscodes opgenomen, waarvan één Nederlandse (de Data Pro Code). De AP heeft in mei 2022 ook de Gedragscode Slim Netbeheer van Netbeheer Nederland goedgekeurd onder opschortende voorwaarde.

32.

Zie voor invulling EDPB 1/2019.

33.

Zie uitgebreider Reijneveld 2022a.

34.

Het Hof van Justitie bepaalde dit in het arrest Costa/E.N.E.L., waarin de suprematie van het recht van de EG over nationale wetgeving van lidstaten aan de orde kwam, zie: HvJ EG 15 juli 1964, ECLI:EU:C:1964:66 (Costa/E.N.E.L.).