Persoonlijke gegevens van consumenten die in klantenbestanden van failliete bedrijven staan, worden door curatoren doorverkocht aan de hoogste bieder, schrijft weekblad De Groene Amsterdammer, dat met onderzoeksplatform Investico en Trouw onderzoek deed.

Klantenbestanden worden volgens het onderzoek verkocht om opbrengsten te genereren voor de schuldeisers van een failliet bedrijf. Dat gebeurt ook als bedrijven bij het aanmelden hadden beloofd de gegevens nooit aan derden te verkopen, schrijft De Groene Amsterdammer.

Dat beloofde bijvoorbeeld de webwinkel voor hoorapparaten Hoorhetgoed.nl. Nadat de winkel in september vorig jaar failliet ging, werd het klantenbestand alsnog voor 7.500 euro verkocht. Uit het onderzoek blijkt dat de koper uit die informatie ook medische gegevens kon halen.

Met de nieuwe privacywet die in 2018 van kracht werd, moeten organisaties en bedrijven duidelijker en veiliger omgaan met persoonsgegevens. Onder curatoren zou veel verwarring bestaan over hoe de wet geïnterpreteerd moet worden.

Het is niet bekend om hoeveel curatoren het gaat en hoeveel gebruikersdata ermee zijn gemoeid.

Doorverkoop mag niet zomaar

In een reactie laat de Autoriteit Persoonsgegevens (AP) weten dat bij een faillissement een bestaande situatie wordt bevroren. "De curator krijgt niet opeens een lichter of een zwaarder regime aan regels rond privacybescherming. De curator neemt bij een faillissement de plek in van de verantwoordelijke, met alle bijbehorende rechten en plichten."

De AP stelt dat de curator persoonsgegevens op dezelfde manier moet behandelen als de voormalige verwerkingsverantwoordelijke. "Hij mag persoonsgegevens niet opeens voor een ander doel gebruiken."

Volgens de AP mag een bedrijf wel klantenbestanden verkopen, maar curatoren moeten betrokkenen inlichten en hen de tijd geven om bezwaar te maken tegen het overzetten van de gegevens.

Het is niet bekend of de privacywaakhond is gestart met een onderzoek naar curatoren die zich niet aan de wet houden.