Gegevensbescherming in faillissement (O&R nr. 136) 2023/6.7:6.7 Plicht tot het nemen van passende maatregelen om persoonsgegevens te beschermen

Gegevensbescherming in faillissement (O&R nr. 136) 2023/6.7

6.7 Plicht tot het nemen van passende maatregelen om persoonsgegevens te beschermen

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

De curator moet ten slotte ‘passende technische of organisatorische maatregelen’ nemen om de beveiliging van de persoonsgegevens te waarborgen.1 Wat passend is, wordt bepaald aan de hand van de “stand van de techniek, de uitvoeringskosten, alsook met de aard, de omvang, de context en de verwerkingsdoeleinden en de qua waarschijnlijkheid en ernst uiteenlopende risico’s voor de rechten en vrijheden van personen”.2

Het is niet duidelijk wat dit precies betekent, omdat de betekenis van ‘passend’ onduidelijk is. Wel staat vast dat de curator maatregelen moet treffen om de in de boedel aanwezige persoonsgegevens adequaat te beveiligen.3 Deze beveiliging ziet niet alleen op het nemen van technische maatregelen om persoonsgegevens te beschermen tegen onopzettelijk verlies,4 maar bijvoorbeeld ook op een beleid omtrent de toegang tot persoonsgegevens.5

Dat de curator de informatie wil beschermen, is niks nieuws. Ook zonder privacyoverwegingen zal de curator de informatie in een biedingsprocedure al willen beschermen tegen (bijvoorbeeld) geïnteresseerde concurrenten. Privacy is een belangrijke overweging die daarbij moet worden meegenomen. Daarnaast zal de curator, in lijn met het beginsel van dataminimalisatie, al zo min mogelijk persoonsgegevens delen. Een standaardovereenkomst behoeft vanuit gegevensbeschermingsoogpunt minder beveiliging dan een gepersonaliseerd contract, omdat het minder eenvoudig herleidbaar is tot een individu.

De curator deelt persoonsgegevens met geïnteresseerde partijen. Een beveiligende maatregel hierbij kan bijvoorbeeld zijn om informatie eerst te delen met een zeer beperkte groep van werkelijk geïnteresseerde partijen.6 De curator kan dan bijvoorbeeld voorwaarden stellen aan de personen die de informatie daadwerkelijk mogen in zien (zoals alleen een adviseur of het senior management).7 Daarbij moet worden voorkomen dat deze persoonsgegevens worden gedeeld met niet geautoriseerde personen of dat geïnteresseerde partijen die gegevens verder kunnen delen. De curator moet maatregelen treffen om dit te voorkomen en schadebeperkende maatregelen nemen. Allereerst kan de hierboven al genoemde pseudonimisering worden gezien als een beveiligingsmaatregel.8

Daarnaast kan de curator de informatie beschermen door alle geïnteresseerde partijen een geheimhoudingsverklaring te laten tekenen,9 waarin wordt vastgelegd dat de inhoud van de verstrekte informatie niet verder kan worden gedeeld en uitsluitend wordt gebruikt voor het doel waarvoor die is verstrekt (namelijk het onderzoeken van de mogelijkheden voor een eventuele overname).10 Zo’n non-disclosure agreement leidt niet automatisch tot voldoende beveiliging. Als er technisch meer mogelijkheden zijn, moet de curator de informatie beter afschermen dan alleen met ‘zachte’ afspraken. Ook moet informatie na afloop van de inzage worden verwijderd zodat die niet langer dan nodig beschikbaar is.

De vraag is of de curator de informatie daarnaast uitgebreid technisch moet beveiligen. De curator kan deze beveiliging eventueel uitbesteden aan een derde, waarmee hij dan wel een verwerkersovereenkomst dient te sluiten.11 De curator doet er wel goed aan om voor een dataopslag binnen de Europese Unie te kiezen, om zo te garanderen dat sprake is van een passend beveiligingsniveau. Hierbij zou het mogelijk helpen als INSOLAD het voortouw neemt om tot een gedeelde minimumnorm te komen voor beveiliging.

Deze beveiliging is digitaal namelijk niet heel eenvoudig te realiseren. Een manier om enigszins te beveiligen is om een online dataroom te creëren die niet zomaar toegankelijk is. Geïnteresseerde partijen zouden dan voorafgaand een link en een (veilig) wachtwoord moeten aanvragen bij de curator. Mogelijk moet zelfs worden ingelogd met tweefactorauthenticatie zodat partijen met alleen een wachtwoord alsnog niet kunnen inloggen. De curator kan zo controleren wie er toegang krijgen tot de dataroom en loggen wanneer er wordt ingelogd. Bij grotere ondernemingen kan daarnaast worden overwogen om de digitale dataroom zo in te richten dat een partij die slechts in een deel van de onderneming geïnteresseerd is, alleen tot dat afzonderlijke deel toegang krijgt.12 Op die manier kan de curator garanderen dat de geïnteresseerde partijen alleen de voor hen noodzakelijke persoonsgegevens kunnen inzien. De curator zou stukken nooit via de mail moeten versturen.13

Ook moeten de gegevens versleuteld worden verstuurd zodat zij niet eenvoudig kunnen worden onderschept. Daarnaast kan de curator beperkingen aanbrengen in de mogelijkheden om informatie eenvoudig te downloaden of printen (door deze mogelijkheden uit te sluiten). Dit zorgt er niet direct voor dat data technisch niet op te slaan is, aangezien de data wel verzonden wordt naar de apparaten van geïnteresseerde partijen. Verder heeft de curator geen invloed op de beveiliging van apparaten van de bezoekers van de dataroom. In vergelijking hiermee kan een fysieke dataroom, waar bezoekers al hun devices moeten afgeven bij de ingang, veiliger zijn.

Artikel 32 AVG omvat daarnaast ook de verplichting voor de curator om adequaat te handelen indien persoonsgegevens toch worden ingezien door een ongeautoriseerde persoon.14 Dit wordt een ‘inbreuk op persoonsgegevens’ genoemd in de AVG. De curator moet zo’n inbreuk of datalek binnen 72 uur melden bij de Autoriteit Persoonsgegevens en in bepaalde gevallen ook bij de betrokkenen.15 Als er een datalek plaatsvindt, kan de curator daarnaast aansprakelijk zijn voor eventuele schade.16

Deze functie is alleen te gebruiken als je bent ingelogd.