6.8 Conclusie

Over de verstrekking van persoonsgegevens door de curator voorafgaand aan een doorstart of verkoop is nog weinig bekend.1 De beginselen van de AVG beïnvloeden de hoeveelheid persoonsgegevens die een curator tijdens een biedingsprocedure aan geïnteresseerde partijen mag verstrekken. In dit hoofdstuk besprak ik hoe de curator een biedingsprocedure zo kan inrichten dat die voldoet aan de beginselen inzake de verwerking van persoonsgegevens.

Enkele belangrijke punten zijn dat de curator momenteel geen duidelijke wettelijke grondslag heeft om gewone persoonsgegevens te delen met geïnteresseerde partijen, en in het geheel geen grondslag om speciale persoonsgegevens te verwerken. Er zijn twee wetsvoorstellen in de maak die hierin verandering beogen te brengen. Wat deze voorstellen niet doen, is aanvullende duidelijkheid scheppen over de vraag welke verwerkingen noodzakelijk zijn. Dit blijft voor biedingsprocedures een lastig punt. Wat als noodzakelijk moet worden beschouwd, hangt af van de omstandigheden van het faillissement. Persoonsgegevens die de curator verstrekt moeten noodzakelijk zijn om geïnteresseerde partijen in staat te stellen een bod te doen op de onderneming en eventueel te kijken welke werknemers zij een arbeidsovereenkomst moeten aanbieden. Hierbij is een aantal handvatten te identificeren. Ik merk hierbij wel op dat de vraag naar noodzakelijkheid een strenge toets van de curator verlangt die niet van tevoren kan worden uitgevoerd voor “het faillissement in zijn algemeenheid”. Per situatie zal de curator moeten kijken wat de omstandigheden van hem vragen.

Naast de vraag naar noodzakelijkheid moet de curator ook de belangen van betrokkenen op verschillende manieren waarborgen. Dit betekent ten eerste dat informatie die hij deelt, in beginsel juist moet zijn. De curator moet zorgen dat hij geen persoonsgegevens deelt van werknemers, klanten of andere betrokkenen die geen band meer hebben met de onderneming, bijvoorbeeld omdat ze niet meer in dienst van de onderneming zijn. Dit brengt niet met zich dat de curator alle informatie die hij deelt met geïnteresseerde partijen, inhoudelijk hoeft na te gaan en te controleren. De curator moet wel handelen als betrokkenen om actie vragen of er andere gronden zijn om aan te nemen dat redelijk is dat de curator persoonsgegevens wel controleert.

Verder vereist de AVG dat alle betrokkenen voorafgaand aan de verwerking van hun persoonsgegevens, op de hoogte worden gesteld van die verwerking en van hun rechten. Dit kan de curator doen middels een privacyverklaring. Als betrokkenen hun rechten uitoefenen, moet de curator daaraan in beginsel gehoor geven. Ten slotte moet de curator passende maatregelen nemen om persoonsgegevens te beschermen. Hierbij kan worden gedacht aan een digitale dataroom die beschermd wordt met wachtwoord en tweefactorauthenticatie, technische beveiliging en NDA’s.

Vaak zal aan veel van deze vereisten al worden voldaan, omdat bepaalde maatregelen relevant zijn om (bedrijfsgevoelige) informatie niet onbewust te delen met derden. De gegevensbescherming van betrokkenen is slechts een van de overwegingen die moet leiden tot beveiliging en een zorgvuldige omgang met de aanwezige gegevens. De curator is tijdens de biedingsprocedure al bezig met de vraag welke informatie op welke wijze veilig kan worden gedeeld met de relevante partijen. De AVG biedt in dat opzicht een nieuw perspectief dat toegevoegd wordt aan het kader om te beoordelen welke informatie op welke manier mag worden gedeeld. De stap van databescherming naar adequate gegevensbescherming lijkt in biedingsprocedures relatief klein. De AVG maakt het in ieder geval zeker niet onmogelijk voor de curator om een biedingsprocedure in te richten.