Voor het eerst heeft de Autoriteit Persoonsgegevens (AP) een (forse) boete opgelegd aan een curator wegens een overtreding van de AVG. Terecht, vindt de rechtbank Gelderland: een curator kan worden aangemerkt als een verwerkingsverantwoordelijke.
Als de Autoriteit Persoonsgegevens (AP) een telefonische melding krijgt van een tipgever, start ze een onderzoek. De tipgever heeft gegevensdragers met persoonsgegevens aangetroffen in ICT-apparatuur die hij had verkregen uit de boedel van de failliete zorginstelling. Op een harde schijf stonden persoonsgegevens van cliënten en personeel van de zorginstelling. Alles wijst richting de curator, de AP legt hem een boete op van € 310.000. Als de curator in bezwaar gaat, wordt de boete gehalveerd. De curator legt dit voor aan de rechtbank, die moet beoordelen of de curator een verwerkingsverantwoordelijke is in de zin van de Algemene Verordening Gegevensbescherming (AVG).
Verwerkingsverantwoordelijke
Volgens de rechtbank heeft de tipgever de harde schijf verkregen bij de boedelveiling van de zorginstelling. Dat blijkt uit de aankoopfactuur en uit het feit dat de AP bij de tipgever thuis de gegevensdragers aangetroffen, mét de persoonsgegevens. Kortom, de curator beschikte over de persoonsgegevens op de harde schijf. Hij is dus ook ‘verwerkingsverantwoordelijke’ in de zin van de AVG. Daarin staat dat persoonsgegevens door het nemen van technische of organisatorische maatregelen moeten worden beveiligd. Ze moeten beschermd zijn tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging.
Onderzoeksplicht
Geldt dit ook voor een curator die de onbekende organisatie van een grote failliet binnenstapt? Hij heeft tijd nodig om alles, waaronder persoonsgegevens, in kaart te brengen. Tegelijkertijd moet hij de belangen van de schuldeisers in acht nemen. Hoe ver reikt dan zijn onderzoeksplicht naar persoonsgegevens en in hoeverre mag hij zich verlaten op uitlatingen van deskundigen?
Minder ernstig
Volgens de rechtbank speelt het soort persoonsgegevens in deze zaak zwaar mee: salarissen, NAW-gegevens, BSN-nummers, gegevens over ontslagprocedures en medische gegevens. Het kan de curator worden verweten dat hij niet heeft geïnventariseerd en geverifieerd waar en op welke wijze de persoonsgegevens van de zorgstichting waren opgeslagen. De rechtbank vindt het verwijt echter minder ernstig dan de AP. Zo heeft de curator wel een scan laten uitvoeren ter inventarisatie van alle data die hij bij de zorginstelling aantrof en heeft hij het veilingbedrijf de opdracht gegeven om de datadragers te verwijderen. Dat waren al redenen voor de AP om de boete in eerste instantie te halveren. Omdat de curator ook oog heeft gehad voor de (mogelijke) aanwezigheid van persoonsgegevens op de gegevensdragers, verlaagt de rechtbank de boete verder tot € 58.125.