AP geeft eerste boete aan individu, maar rechter verlaagt boetebedrag - update

De Autoriteit Persoonsgegevens heeft in 2020 een boete opgelegd aan een faillissementscurator die een harde schijf met medische gegevens had verkocht. Die boete wordt nu pas openbaar, omdat de curator tegen de boete in beroep was gegaan. De rechter oordeelt dat de Nederlandse toezichthouder te hard strafte. Het is de zoveelste tik op de vingers voor de AP.

De Autoriteit Persoonsgegevens deelde de boete al in 2020 uit aan een curator, maar de boete komt nu pas in de openbaarheid via een rechtszaak bij de rechtbank Gelderland. Een woordvoerder van de AP zegt tegen Tweakers dat de boete niet openbaar is gemaakt, omdat het gaat om een boete voor een individueel persoon, in tegenstelling tot bijvoorbeeld een bedrijf of de overheid. "In zulke gevallen zijn we terughoudend met openbaarmaking", zegt de AP. Wel gaat de toezichthouder kijken of het boetebesluit alsnog openbaar kan worden gemaakt, nu de rechter daar details over bekend heeft gemaakt.

Het is overigens voor het eerst dat de AP een boete uitdeelt aan een individueel persoon. De veertigtal boetes en andere sancties die de AP uitdeelde, waren altijd bestemd voor bedrijven of overheden. De AP kiest daarmee een duidelijk andere aanpak dan bijvoorbeeld België, waar bijvoorbeeld wel vaker individuele burgers of bestuurders worden beboet met relatief lage boetes.

De man die de boete kreeg, in dit geval een curator van wie de naam niet bekend is, was het niet eens met de boete. Hij tekende daar bezwaar tegen aan.

Onderzoek in 2018

Het onderzoek begon al in 2018Het onderzoek naar de overtreding begon al in juli 2018, toen de AVG net drie maanden in werking was getreden. De AP kreeg toen een tip van iemand die inboedel had gekocht van een failliete zorginstelling. Het is niet bekend welke stichting dat was; die naam wordt weggelaten in het vonnis. De tipgever kocht onder andere een server met daarin een harde schijf en een andere server waar nog eens zestien harde schijven in zaten. Op die eerste harde schijf bleken medische gegevens te staan van patiënten en personeel van de failliete zorginstelling.

De AP begon een onderzoek naar de curator van de failliete stichting. Het onderzoek draait om de vraag of de curator had kunnen en moeten weten dat er mogelijk nog gevoelige data op de server stond. De AP vond van wel: de curator had onder andere aankoopfacturen en taxatierapporten waarop de harde schijf vermeld zou staan. Maar de curator zegt zelf van niet. Die had alleen informatie over de server, in dit geval een HP ML350, maar in de inboedellijst stond niets over die schijf. De rechter vindt dat de curator had moeten weten dat hij data in bezit had en die doorverkocht. Bovendien had de curator veel maatregelen genomen om te controleren of er gevoelige gegevens op de schijf stonden, onder andere door een onderzoek naar gegevensdragers en een IP-scan.

De AP deelde aanvankelijk, in mei 2020, een boete van 310.000 euro uit. Daarop maakte de curator bezwaar bij de privacytoezichthouder zelf. Die ging mee in dat bezwaar en verlaagde de boete naar 148.750 euro. De curator vond dat de boete helemaal moest worden kwijtgescholden en stapte daarop naar de rechter.

Terechte boete

De rechtbank vindt de boete terecht, maar wel te hoog. De curator had wel onderzoek laten doen naar mogelijk achtergebleven data, maar dat was volgens de rechter niet voldoende. "Door niet op voorhand te controleren hoeveel harde schijven er verwijderd moesten worden, niet na afronding van de opdracht te controleren hoeveel harde schijven zijn verwijderd, het veilingbedrijf niet de opdracht gegeven te hebben per te veilen server, thin clients, laptops en computers te registreren of de harde schijf was verwijderd en de verkochte ict-middelen niet te controleren op de aanwezigheid van gegevensdragers voordat zij met de kopers meegegeven werden, heeft eiser te weinig organisatorische maatregelen genomen om te voorkomen dat er zich nog een harde schijf met persoonsgegevens in de geveilde boedel bevond."

De boete was terecht, maar wel te hoogOok schrijft de rechtbank: "Samengevat is de rechtbank van oordeel dat eiser beschikte dan wel redelijkerwijs kon beschikken over de persoonsgegevens op de Western Digital-harde schijf", staat in het vonnis. Bovendien had de curator die gegevens niet alleen in bezit, maar kon hij ook 'invloed uitoefenen op de verwerking ervan'. Daarom is hij niet alleen de bezitter, maar ook de gegevensverantwoordelijke.

Te zwaar gestraft

Wel vindt de rechtbank de boete te hoog. Tijdens de beroepsprocedure bleek namelijk pas dat de curator een IP-scan had laten doen, wat het boetebedrag volgens de rechter moet verlagen. Verder speelt mee dat de AP en de rechtbank te lang deden over een besluit. Daar is een 'redelijke termijn' voor van twee jaar, maar het duurde uiteindelijk vijf jaar en zeven maanden voordat er een definitieve uitspraak kwam. Uiteindelijk komt de boete daarmee neer op 58.125 euro.

De AP heeft vaker een tik op de vingers gekregen van de rechter voor het uitdelen van te hoge boetes. Meestal gaat dat om een strenge interpretatie van de AVG. Dat was in dit geval echter niet aan de orde; het verlopen van de redelijke termijn was hier leidend. Dat gebeurde eerder dit jaar ook al met de boete voor Kruidvat; ook daar was de onderbezetting van de AP en de daaropvolgende trage boetebesluiten reden om de boete te verlagen.

Update, 21 augustus: De AP meldt dat het oorspronkelijke artikel enkele feitelijke onjuistheden bevatte. Zo werd er gesuggereerd dat de AP voor het bepalen van het boetebedrag rekening had moeten houden met de IP-scan. Deze werd echter pas tijdens de beroepszaak aangeleverd en kon dus daarvoor niet in acht genomen. Daarnaast werd het de AP aangerekend dat de 'redelijke termijn' verstreken was met drie jaar en zeven maanden. De privacyautoriteit had inderdaad langer dan de twee jaar redelijke termijn nodig, maar een groot deel van deze vertraging werd door de rechtbank veroorzaakt. Beide onjuistheden zijn aangepast.

IT-banen

Reacties (92)

ronaldvr 15 augustus 2025 00:25

Ik vind het 'tik op de vingers' wel behoorlijk overdreven: de boete wás terecht en wellicht te hoog in verband met de duur van de zaak, maar dat is vanuit de structurele (en systematische) onderbezetting niet vreemd.

Dat boetes door een rechter nader beoordeeld kunnen en moeten worden is ook iets dat niet vreemd is het zou eerder vreemd en zelfs onlogisch zijn als een rechter direct in alles meegaat met de AP: dat is denk ik hoe een fatsoenlijk rechtssysteem hoort te werken.

flaskk @ronaldvr • 15 augustus 2025 14:12

Precies, gebeurd met de meeste rechtzaken? OM eist vaak een zwaardere straf dan de rechter uiteindelijk geeft.

JohanNL @flaskk • 15 augustus 2025 14:57

Soms geeft de rechter juist ook wel een zwaardere straf. In principe moet het OM en ook het AP onafhankelijk opereren en dus niet automatisch voor de zwaarst mogelijke straf of sanctie gaan.

PixelPionier 14 augustus 2025 16:58

Zo heb ik laatst ook een drive met patiënten gegevens gevonden in een kantoorpand dat ik wilde huren. Pand stond vol met zooi die door curator achtergelaten was. Daaronder een drive met patientgegevens. Ik heb eigenlijk geen idee wat ik daar mee moet doen. Zou mooi zijn als de curator daarvoor een tik op de vingers krijgt. Want ik kon zijn rommel opruimen......

J_van_Ekris @PixelPionier • 14 augustus 2025 17:41

Daaronder een drive met patientgegevens. Ik heb eigenlijk geen idee wat ik daar mee moet doen.

Een zorgverlener's dossier moet wettelijk gezien (WGBO) altijd overgedragen worden aan een andere zorgverlener. Dat is de rechtmatige plek om deze data onder te brengen. Dat is ook de zorgverlener waar de patienten naar doorverwezen worden.

Maar een klacht bij de AP over de curator kan wel nuttig zijn. Dat gezegd hebbende, ik heb clubs meegemaakt waar echt overal en nergens backups met medische info boven kwamen drijven, en dan is eentje missen ook wel weer begrijpbaar.

kodak

Autoriteit Persoonsgegevens
Privacy
algemene verordening gegevensbescherming

@J_van_Ekris • 14 augustus 2025 19:13

Een klacht bij de toezichthouder is niet slechts nuttig maar ook nodig. Het geeft de toezichthouder, en mogelijk uiteindelijk een rechter, inzicht in hoe goed (of eigenlijk slecht) medische bedrijven en curatoren met zeer persoonlijke medische gegevens om gaan. En dat zal belangrijk zijn om de strafmaat te bepalen of bij te stellen. Doe je geen melding, dan stel je nmm dat het toezicht niet belangrijk is.

TomONeill @kodak • 14 augustus 2025 20:48

Nuttig, nodig en ze maken er ook serieus werk van. Ik had eens een klacht ingediend omdat een recruiterbureau mij niet meer los liet en elke keer met andere nummers en personen bleef stalken. Ook na herhaaldelijke verzoeken, ook bij de FG.

De AP heeft toen contact met ze gezocht. Kreeg toen van de CEO van het betreffende bedrijf een telefoontje en van de AP daarna. Duidelijke afspraken gemaakt en is nooit meer gebeurd.

Ik heb alleen maar goede woorden voor het AP. Ook voor mijn contact. Ik vind echt dat er, in deze tijd vooral, veel meer geld (en dus ook personeel) heen moet.

Sharky @J_van_Ekris • 15 augustus 2025 09:13

Dat er ergens een back-up of disk over het hoofd wordt gezien kan ik nog enigszins inkomen, helemaal in de complexiteit en de doorlooptijd van een faillissement. Wat ik niet begrijp is dat die data uit te lezen is. Die moet toch gewoon versleuteld zijn ongeacht het type gegevensdrager?

rdolman @PixelPionier • 15 augustus 2025 11:28

Patiëntgegevens vallen onder de zogenaamde “bijzondere categorieën van persoonsgegevens” (AVG, artikel 9) en vragen dus extra zorg en bescherming. Als deze gegevens op een onbeveiligde harde schijf bij jou zijn terechtgekomen, spreekt men in AVG-termen van een datalek. Zodra je zo’n schijf aantreft, handel je feitelijk als houder van deze onbeveiligde persoonsgegevens. Doe je niets en raken de gegevens op de een of andere manier in verkeerde handen, dan kan de AP of een rechter jouw rol bekijken en je mogelijk aansprakelijk stellen voor nalatig handelen. Om dat risico te voorkomen, is het verstandig om het datalek meteen te melden bij de AP en als het kan bij de curator van de failliete zorginstelling, en de schijf direct veilig te stellen. Strikt juridisch gezien ben je als huurder niet verplicht om het te melden, maar in de praktijk is dit wel een veilige manier om eventuele problemen te voorkomen.

dasiro @PixelPionier • 14 augustus 2025 17:10

iets onzorgvuldig achterlaten of kwijt raken is nog iets anders dan het verkopen. Datadragers die je verkoopt zouden eerst gewiped moeten worden, zeker in een professionele context als curator zou je dit moeten weten. Ik beide gevallen zijn ze natuurlijk tekort geschoten in hun taak als plaatsvervangend zaakvoerder, maar het winstoogmerk is imho een verzwarende omstandigheid.

WillySis

Autoriteit Persoonsgegevens
Privacy

@dasiro • 14 augustus 2025 19:04

Een curator wordt aangesteld om zoveel mogelijk waarde uit een failliet bedrijf halen om schuldeisers te kunnen betalen. Daarbij hoort hij of zij gewoon zorgvuldig te werk te gaan. Verkopen van een set harde schijven is prima, het levert weer een paar centen op. De schijven mogen echter nooit data bevatten en zeker geen privacy gevoelige gegevens.

Achterlaten van spullen kan alleen in overleg met de verhuurder, maar dan alleen met de opdracht om alles te (laten) vernietigen.

Een boete voor een curator vindt ik overigens geen boete aan een privé persoon. Het is een ernstige beroepsmatige fout en de AP mag hier wat mij betreft mee doorgaan. Hoewel de boete is verlaagd, is het nog steeds een forse boete en zeker één waar curatoren een les uit zouden moeten leren.

Tintel

Privacy

@dasiro • 14 augustus 2025 17:24

Ja, nu wordt dit een 'persoon' genoemd. Maar het gaat om een curator en dat is toch typisch bedrijfsmatig?
Dat er misschien maar 1 medewerker is doet er toch niet toe?

En wat voegt een 'IP scan' toe aan de controle naar gegevens? Servers met harde schijven bevatten data. Zo simpel is het. En schijven eruit halen of laten wipen is echt niet zoveel werk.
Dus nalatige curator en dus boete terecht denk ik dan.

Basszje @Tintel • 14 augustus 2025 17:31

Denk dat IP-scan hier in de context is van ' Intellectual Property ' and niet van ' Internet Protocol address ' , aka is er nog waardevolle data? Maar daar had het artikel wel duidelijker in mogen zijn.

Tintel

Privacy

@Basszje • 15 augustus 2025 09:12

Misschien heb je gelijk. Maar het woord 'scan' is wel typisch een woord dat de context van adressen wordt gebruikt. En wat dan nog vreemder is: dat is het verweer tegen de boete "ik [de curator] heb toch gezocht naar intellectueel eigendom".....Dat is toch absoluut niet hetzelfde als 'persoonlijke gegevens' of 'gevoelige data'?

PixelPionier @Basszje • 14 augustus 2025 18:14

Ja, dus wel kijken of er iets verkoopbaar op staat maar privacy gevoelige data interesseerde hem geen ene flikker. Boete kan gewoon niet hoog genoeg zijn.

Xfade @PixelPionier • 14 augustus 2025 18:25

Dat "verkoopbaar" maak jij er nu van en dat vind ik erg kort door de bocht. Waardevol is iets anders dan verkoopbaar.

PixelPionier @Xfade • 14 augustus 2025 18:29

Een curator zoekt alleen naar intellectueel eigendom als hij dat kan verkopen.

dasiro @Tintel • 14 augustus 2025 17:35

ik weet niet welk statuut curatoren in Nederland hebben, maar er zijn bedrijfsvormen waar je persoonlijk verantwoordelijk gesteld kan worden, daarom dat bedrijfsleiders jaarlijks als eerste agendapunt van de aandeelhouders/bestuursvergadering kwijting vragen aan het bedrijf.

The Zep Man

Privacy

@dasiro • 14 augustus 2025 17:50

ik weet niet welk statuut curatoren in Nederland hebben, maar er zijn bedrijfsvormen waar je persoonlijk verantwoordelijk gesteld kan worden,

Bij grove nalatigheid kan je in elke vorm persoonlijk aansprakelijk gesteld worden.

Of dat gedaan wordt is een tweede.

PixelPionier @The Zep Man • 14 augustus 2025 18:15

Een curator niet. Die is altijd beschermt en aansprakelijkheid gaat niet verder dan de boedel opbrengst. Ja, inderdaad, niet te geloven! Het is prehistorische wetgeving.

ikkuhqhp

@PixelPionier • 14 augustus 2025 21:53

Dat klopt niet. Er kan q.q. aansprakelijkheid en pro se aansprakelijkheid zijn. De eerste is zakelijk, dus boedel, de tweede persoonlijk. Maar de curator is doorgaans wel verzekerd voor pro se aansprakelijkheid.

no_way_today @Tintel • 14 augustus 2025 17:57

Het is een vrij beroep. Als advocaat, curator, heb je een aansprakelijkheidsverzekering.

Bitzer @dasiro • 15 augustus 2025 14:37

Een wipe volstaat niet. Gegevensdragers met dergelijke data moeten om elk risico uit te sluiten totaal vernietigd worden. Daar zijn gespecialiseerde bedrijven voor.

dasiro @Bitzer • 15 augustus 2025 14:44

niet per sé: de verwijdering van gegevens moet volledige en onomkeerbaar zijn en er moet een bewijs van zijn (bvb certificaat van een erkende firma).

magician2000 @dasiro • 14 augustus 2025 20:31

Ja, het is wat anders.

1) het verkopen - al dan niet terecht denkende dat het voldoende gecontroleerd is op gegevens - is minder erg dan

2) onbeheerd achterlaten voor een willekeurige vinder

In principe is bij 1 nog een poging gedaan om iets te controleren (in het midden latende of dat voldoende is geweest) en bij 2 is geen enkele moeite gedaan (althans, zo lijkt het nu).

Knallmeister @PixelPionier • 14 augustus 2025 17:10

Kennelijk zijn er curatoren die nog wat nascholing nodig hebben met betrekking tot het vernietigen van gevoelige informatie (ongeacht of dit nu medische of niet-medische betreft). Je moet wel erg naief zijn als je je niet realiseert dat administratieve gegevens (opgeslagen op welk medium dan ook) geen privacy gevoelige gegevens zouden kunnen bevatten. Het zou natuurlijk ook kunnen dat sommige curatoren een bijverdienste hebben als databroker ;-).

[Reactie gewijzigd door Knallmeister op 14 augustus 2025 18:24]

no_way_today @Knallmeister • 14 augustus 2025 17:58

Iedereen wordt geacht de wet te kennen, dat geldt zeker voor een advocaat. Goed dat ze dit aanpakken.

no_way_today @PixelPionier • 14 augustus 2025 18:00

Meestal verkoopt een curator de restanten aan een veilinghuis, die ook het pand dan leeg opleveren.

WillySis

Autoriteit Persoonsgegevens
Privacy

@PixelPionier • 14 augustus 2025 18:53

Dit is gewoon een datalek wat je moet melden bij de AP. Wie weet wie die schijf voor jouw allemaal bekeken heeft. Het achterlaten van zooi moet je bij de verhuurder melden en eisen dat de laatste eigenaar de troep komt ophalen of laat afvoeren.

Het achterlaten van beschreven datadragers (maakt niet uit wat) is buitengewoon slordig en als daar privacy gevoelige data op staat is het wettelijk zelfs verplicht om dit als datalek te melden.

goosehunt @WillySis • 15 augustus 2025 07:56

Die wettelijke plicht om de melden geldt voor de verwerkingsverantwoordelijke van de data. De eigenaar/beheerder van de data op die de schijven heeft achter gelaten.

Maar dan moet die wel op de hoogte zijn dat die data dus gevonden is. In dit geval helpt deze stelling dus niet zoveel bij het bepalen wat ermee te doen.

Het lastige is dus, zoals je uit het ook het standpunt van de Ap kunt afleiden: als je als vinder actief met die schijven aan de gang gaat (dus in bezit en invloed uitoefenen) dan wordt je ineens verwerkingsverantwoordelijke voor data die je niet eens wilt hebben.

WillySis

Autoriteit Persoonsgegevens
Privacy

@goosehunt • 15 augustus 2025 18:25

Op het moment dat je de data als vinder bekijkt ben jij verantwoordelijk voor de data en geld dus eigenlijk de meldplicht, al zal dat niet snel gehandhaafd worden. Al jij gelijk de harde schijf onbruikbaar maakt of grondig wist, dan is er verder geen haan die er naar kraait, nog enig bewijs voor het bestaan van de data.

TV_NERD 14 augustus 2025 17:00

edit:
Heb het salaris van een curator nogal onderschat, nevermind.

Hier gaat mijn bloed redelijk van koken. Ik weet niet wat een curator verdient, maar een boete van 58k terwijl hij kan aantonen dat hij z'n best heeft gedaan middels scans ed staat imho in geen verhouding tot de lachtertjes van boetes die bedrijven krijgen.

Ik ga ervanuit dat een curator zijn eigen financiële huishouding op orde heeft en hij/zij dit wellicht wel kan dragen, maar ik ken ook mensen met bovengemiddeld hoge inkomens die van maand naar maand leven, voor zo iemand zou dit zomaar de nekslag kunnen zijn.

Voor hoeveel bedrijven was dit al de nekslag?

[Reactie gewijzigd door TV_NERD op 14 augustus 2025 17:07]

The-Priest-NL @TV_NERD • 14 augustus 2025 17:40

Ja kan natuurlijk als curator ook op safe spelen door de datadragers niet te verkopen in de boedel om dit soort problemen te voorkomen.

Disks, SSD's etc. gewoon af laten voeren en vernietigen volgens de juiste regels behorende bij de vertrouwlijkheid.

Zer0 @The-Priest-NL • 14 augustus 2025 19:40

Daarmee benadeel je wel weer de schuldeisers, klanten etc, die zijn gebaat bij zoveel mogelijk opbrengsten. Nu heeft een enkele SSD niet veel waarde, maar als het om een groot aantal gaat...

demianmonteverd @Zer0 • 16 augustus 2025 16:42

Tweedehands SSD die in een ML350 zat? Ik sla ze liever over...

PixelPionier @TV_NERD • 14 augustus 2025 17:03

Curator krijgt (verdient hij niet, krijgt het toch) zo'n 480,- per uur exclusief 16% kantoorkosten en BTW. Dus er mag nog wel een nulletje bij om dat asociale gedrag af te leren.

[Reactie gewijzigd door PixelPionier op 14 augustus 2025 18:11]

Brupje @PixelPionier • 14 augustus 2025 17:18

Aan de andere kant krijgt hij alleen uit de beschikbare middelen betaald, als dat niks is krijgt hij niks

scsirob @Brupje • 14 augustus 2025 20:58

Veel curatoren gaan daarom door met 'verwerken' totdat de beschikbare middelen opgesoupeerd zijn.

gaskabouter @PixelPionier • 14 augustus 2025 17:18

Ze worden benoemd door de rechtbank, zijn in hoge mate aansprakelijk en het aandachtsgebied insolventierecht is zeer complex dus zoveel juristen wagen zich daar niet aan. Nog los van de moeilijke omstandigheden waarin ze werken. Iedereen wil wat of juist niets, rechtszaken, procedures etc

De zaken zijn vaak of langdurig en dan gaat het om heel veel geld wat moet worden verdeeld over rechthebbenden, meestal uwv en belastingdienst dus maatschappelijk relevant, of heel simpel en dan is het uurtje factuurtje en vallen de kosten uiteindelijk reuze mee.

Ik zit zelf ook aardig in de top qua uursalaris en bij commentaar is mijn antwoord toch dat als je iemand kan vinden die het voor minder doet. Gewoon doen.

En het staat je natuurlijk vrij zelf curator te worden. Wat houdt je tegen?

[Reactie gewijzigd door gaskabouter op 14 augustus 2025 17:22]

PixelPionier @gaskabouter • 14 augustus 2025 18:40

Ze zijn nergens voor aansprakelijk en altijd beperkt tot de boedel opbrengst. Deze boete wordt uit de boedel betaald en de uren die hij met deze rechtszaak bezig is geweest declareert hij voor de hoofdprijs op de boedel! M.a.w. hij verdient zelfs fors aan de ernstige fouten die hij maakt!

gaskabouter @PixelPionier • 14 augustus 2025 19:01

Helaas. Er worden met grote regelmaat procedures en rechtszaken gevoerd tegen curatoren en doorgaans verloren maar ze zijn voor hun handelen, net als ieder ander, aansprakelijk. Alleen gaat het hier wel in serieuze bedragen. Ze zijn natuurlijk niet aansprakelijk voor alles wat er binnen het bedrijf gebeurt of als ze verkeerd geïnformeerd zijn.

En ik zie graag een bron dat dit uit de boedel betaald zou worden. Volgens mij is het faillissement namelijk allang afgerond. En curatoren vragen niet de hoofdprijs maar krijgen gewoon een vastgestelde vergoeding.

Bovendien kunnen ze gewoon berispt of uit hun ambt gezet worden als ze het niet goed doen. Of nog veel makkelijker, d rechtbank vraagt ze niet meer

Maar misschien komt je reactie voort uit onvrede over je eigen uursalaris

[Reactie gewijzigd door gaskabouter op 14 augustus 2025 19:02]

PixelPionier @gaskabouter • 14 augustus 2025 19:08

Art. 71 FW.

gaskabouter @PixelPionier • 14 augustus 2025 19:13

Algemeen geformuleerd dat kosten voorkomend uit procedures rond de curatie uit de boedel gehaald kunnen worden. Dus iemand is het niet eens met een besluit en start een zaak.

Als je goed had gelezen gaat het hier om een procedure tegen de persoon van curator niet de uitkomst.

PixelPionier @gaskabouter • 14 augustus 2025 19:38

In deze uitspraak is juist expliciet vastgesteld dat de boete is opgelegd “aan eiser in zijn hoedanigheid van curator in het faillissement van [stichting]”.

Dat is een belangrijk juridisch verschil:

Procedure tegen de curator in hoedanigheid
→ De curator is dan formeel procespartij, maar namens de boedel. Kosten, proceskostenvergoedingen en boetes zijn in beginsel boedelschulden.
→ Dit geldt ook voor sancties (zoals een AVG-boete) die verband houden met de taakuitoefening binnen de curatele.
Procedure tegen de curator in privé
→ Dat speelt alleen bij bijvoorbeeld onrechtmatig handelen los van zijn curatorstaak (persoonlijke aansprakelijkheid, art. 71 Fw).
→ In dat geval gaat het wél uit eigen zak.

In dit geval heeft de rechtbank nergens geoordeeld dat de curator buiten zijn taak of persoonlijk aansprakelijk handelde. Ze hebben juist zijn handelen getoetst aan de AVG-verplichtingen die hij als curator had en de boete gematigd.
Daarom is dit geen “procedure tegen de persoon van de curator” in de zin van persoonlijke aansprakelijkheid, maar een procedure over zijn functioneren als curator, dus over de hoedanigheid.

Kort gezegd: het etiket “procedure tegen de persoon van de curator” klopt hier juridisch niet — het is een procedure tegen het handelen van de curator in functie, en dat valt onder de boedel.

gaskabouter @PixelPionier • 14 augustus 2025 19:43

Dan valt het de curator te prijzen dat hij de moeite neemt keer op keer in verzet te gaan in plaats van het gewoon maar te laten.

Dat geld komt allemaal ten goede van de boedel dan. Keurig

laptopleon @gaskabouter • 15 augustus 2025 11:15

Er zullen vast veel keurige curators zijn, maar laten we even realistisch blijven; er zitten ook genoeg geldwolven tussen die het tot een kunst verheven hebben om precies tussen de mazen van de wet door te laveren en zodoende op papier en voor de rechter nergens op te pakken zijn, en eigenlijk alleen maar bezig zijn hun eigen zakken te vullen, op de meest creatieve manieren, waar de buitenwereld geen flauw benul van heeft.

Dat is ook volstrekt logisch, want iemand die de grenzen van de wet niet kent, de mazen, de trucs, de illegale acties die toch niemand kan bewijzen, die kan ook niet het onderste uit de kan… eh… boedel halen. Dus een ‘goede curator’ is zoiets als een goede beveiligingsadviseur. De beste anti-inbraak-adviseurs zijn de (ex)inbrekers zelf.

PixelPionier @gaskabouter • 14 augustus 2025 19:45

Na aftrek van al zijn extra gemaakte uren tegen fors tarrief. Ging dus om zijn eigen zakken.

Moet je niet nog wat corrigeren over leesvaardigheid?

[Reactie gewijzigd door PixelPionier op 14 augustus 2025 19:46]

PixelPionier @gaskabouter • 14 augustus 2025 19:53

Nee, als hij niet alleen aan zijn eigen zakken gedacht had, dan had hij die medische informatie niet op straat laten belanden. Nu wordt hij nog eens beloond ook door nog meer uren op de boedel te schrijven..... misdaad loont!

Als je goed gelezen had dan had je begrepen dat ik me nooit zal laten afgeleiden tot de ronduit verwerpelijke status van curator.

Dat is mijn mening en daarmee moet u het doen. Ik sluit af en wens je een prettige voortzetting van de correspondentie hierover met anderen.

TV_NERD @PixelPionier • 14 augustus 2025 17:05

Dat... Had ik niet verwacht

[Reactie gewijzigd door TV_NERD op 14 augustus 2025 17:12]

no_way_today @PixelPionier • 14 augustus 2025 18:01

Als het een lege boedel is helemaal niks hoor. Er moet wel geld zijn. Het klinkt vooral als afgunst.

Skit3000

14 augustus 2025 16:59

Opzich ook wel een beetje laks van het veilingbedrijf dat ze in zo een geval niet nagaan of datadragers daadwerkelijk zijn gewist of niet. Hopelijk leren zij hier ook van.

FrankHe

@Skit3000 • 14 augustus 2025 17:11

Als het veilingbedrijf van de verkoper, de curator, niet de opdracht krijgt om dat te doen dan is het enige wat het veilingbedrijf doet de boel veilen. Die valt in dit geval voor zover ik kan beoordelen dus niets te verwijten.

Skit3000

@FrankHe • 14 augustus 2025 19:04

Ze hadden niks hoeven doen, behalve de aanbieder (de curator) de vraag stellen of er nog data op de schijven staat of niet. Als ze een gesloten kast uit een ziekenhuisimboedel krijgen met daarop allemaal stickers "radioactief", zullen ze ook vragen of die wel leeg is.

FrankHe

@Skit3000 • 14 augustus 2025 21:37

De rechtbank heeft duidelijk gemaakt dat het veilingbedrijf in deze geen partij is. De curator moet hier een boete betalen, hoewel lager dan wat de AP initieel had opgelegd, maar betalen zal de curator.

Je zou als veilinghuizen gezamenlijk kunnen afspreken dat iedereen nog een keertje extra navraagt bij de verkoper of alle gegevensdragers zijn verwijder en/of gewist of dat deze geen gevoelige data bevatten.

Wanneer de verkoper dan aangeeft dat er niets gecontroleerd hoeft te worden dan houdt het voor het veilinghuis ook op. Ze gaan niet tientallen uren spenderen aan het openen van alle laptops en computerkasten om te kijken wat er in zit. Het veilinghuis moet het geld verdienen in de veilingkosten, daar maken ze hun marge, daar doen ze over het algemeen het nodig voor maar ook daaraan zit een grens.

Skit3000

@FrankHe • 14 augustus 2025 23:19

Het staat een veilinghuis toch vrij om bewijs te eisen dat opslagmedia leeg is. De curator had hier dan een externe partij voor in moeten schakelen en er was geen probleem.

Ik zeg ook niet dat het veilinghuis volgens de rechter enige blaam treft, maar ik vind het vrij onprofessioneel over komen als je niet eens weet wat je verkoopt. Kan je daar dan ook een reproductie te koop aanbieden en zeggen dat het een Van Gogh is? En als in de beschrijving staat dat een voorwerp van een goud is gemaakt maar het blijkt na aankoop gewoon goudverf te zijn?

FrankHe

@Skit3000 • 14 augustus 2025 23:59

In het stuk staat dat de curator onderzoek heeft laten uitvoeren, ik neem aan dat die opdracht aan een derde onderneming is gegeven, niet het veilinghuis. Daarbij is gekeken naar de gegevensdragers en een scan naar intellectuele eigendommen.

Wanneer je als veilinghuis te horen krijgt dat alle computers zijn vrijgegeven dan is daarmee de kous af.

Voor objecten van artistieke of culturele waarde hebben veilinghuizen experts die ze kunnen inroepen. Een grote stapel met honderd computers in gebruikte staat is echt van een andere orde. Ik ben het er mee eens dat het geen kwaad zou kunnen als ook veilinghuizen hier een protocol voor opstellen zodat de kans dat data op gegevensdragers op straat komt te liggen een stuk verminderd kan worden. Op dit moment valt het echter niet binnen de taakomschrijving van een veilinghuis om hier zelfstandig onderzoek naar in te stellen.

Skit3000

@FrankHe • 15 augustus 2025 07:15

In theorie valt het onder dezelfde plicht als het vaststellen dat de aanbieder van goederen de daadwerkelijke eigenaar is. Die persoonsgegevens waren niet van de curator. Maar ik denk dat de rechter daar niet naar heeft gekeken aangezien de curator hier de aangeklaagde partij was en deze uiteindelijk (ook) in de fout is gegaan. Het het AP ook een zaak gestart tegen het veilinghuis dan hadden we wel antwoord gehad op die vraag.

FrankHe

@Skit3000 • 15 augustus 2025 10:08

Het veilinghuis is juridisch gezien geen partij in deze zaak. De curator is hier verantwoordelijk en heeft daarvoor een boete ontvangen.

Skit3000

@FrankHe • 15 augustus 2025 10:14

Het is geen partij, omdat de curator deze zaak tegen het AP aan heeft gespannen (omdat ze geen/lagere boete wilde). De rechter kan dan natuurlijk geen uitspraak doen over/tegen iemand die geen partij was, want die heeft dan ook niet de mogelijkheid gehad om zich te verdedigen.

Het zou iets worden als de gemeente vindt dat jij een plantsoentje in hebt gepikt dat tegen je huis aan ligt en naar de rechter stapt, en daar blijkt dat niet jij maar je buren het in hebben gepikt en de rechter hén tot een schadevergoeding veroordeeld (zonder dat ze ook maar op de hoogte zijn gebracht en hulp van een advocaat gehad hebben).

De normale gang van zaken is in zulke gevallen dat de eiser de zaak staakt en een nieuwe zaak start. Het AP zou dat hier dus alsnog kunnen doen (maar kiest er waarschijnlijk niet voor, want hoeveel veilinghuizen zijn er nu) al is deze uitspraak waarschijnlijk al waarschuwend genoeg.

[Reactie gewijzigd door Skit3000 op 15 augustus 2025 10:17]

FrankHe

@Skit3000 • 15 augustus 2025 10:17

Het veilinghuis is geen partij omdat de AP deze geen boete heeft opgelegd. Zo moeilijk is het echt niet.

FrankHe

@Skit3000 • 15 augustus 2025 10:20

Ik denk dat ik er maar mee ga stoppen met deze conversatie. Kennelijk wil je niet begrijpen hoe het werkt.

dasiro @Skit3000 • 14 augustus 2025 17:21

De verantwoordelijkheid van het veilingbedrijf houdt in dat ze controleren of de aanbieder wel degelijk de rechtmatige eigenaar is of gemachtigd is om het aan te bieden en dat was in het geval van een curator wel degelijk het geval.

FrankHe

@dasiro • 14 augustus 2025 21:45

Bij een insolventie van een rechtspersoon is een curator is in de regel een advocaat, beëdigd door een rechtbank en derhalve moet je kunnen vertrouwen op diens woord. Wanneer deze zegt dat iets zo is dan is het zo. Wanneer de advocaat (curator) aangeeft dat de goederen rechtmatig zijn verkregen uit een inboedel en verkocht kunnen worden dan trek je dat als veilinghuis niet in twijfel tenzij je daar hele goede redenen voor hebt.

schrikbeeld 14 augustus 2025 17:36

Een IP-scan om te kijken of ergens data op staat?

bennierex @schrikbeeld • 15 augustus 2025 09:33

Ja deze ontgaat mij ook volledig.

FrankHe

@bennierex • 15 augustus 2025 10:14

Ik neem aan dat de IP-scan om intellectueel eigendom gaat, of te wel, zit er software of data tussen waarop een intellectueel eigendom rust? Dan wel van een derde partij, die data moet gewist worden, dan wel een door de onderneming geproduceerd intellectueel eigendom wat wellicht nog ten gelde kan worden gemaakt bij verkoop van de boedel.

Het scannen of er nog persoonsgegevens op staan kan in beginsel in dezelfde handeling gebeuren maar is strikt genomen een andere opdracht met andere consequenties.

bapemania 14 augustus 2025 17:14

Zou eigenlijk onderdeel van het hele proces moeten zijn, alle gegevensdragers wissen dan wel vernietigen. En niet alleen bij bedrijven waarvan je weet dat ze met AVG gevoelige en medische gegevens werken. Alles waarvan de curator zegt dat geprobeerd moet worden het te verpatsen moet gewist worden en alle andere meuk waar gegevens op kan staan (laten) vernietigen. Hoe vaak hebben we niet een dergelijk bericht voorbij zien komen?

lenwar

Privacy

@bapemania • 14 augustus 2025 17:35

Maar hoe ver ga je daarmee? Gegevensdrager is een zeer breed begrip. Een smarttv heeft ook gegevensdragers waar het besturingssysteem op staat. Door die te wissen, maak je het product onbruikbaar.

Een beschilderd canvas zou je ook zo kunnen noemen. Toch vervelend als over die regels schilderijen vernietigd worden.

Uiteraard vergezochte voorbeelden, en ik snap je intentie, maar het is wel een tricky iets om in wetgeving op te nemen, en nog rottige te handhaven.

grasmanek94 @lenwar • 14 augustus 2025 19:47

"gegevensdrager die gegevens bevat die niet door de fabrikant, producent of importeur van de gegevensdrager op de gegevensdrager is gezet dient van alle andere gegevens ontzien te worden op een deugdelijke en betrouwbare wijze, en dient terug gebracht te worden naar de gegevensstaat die gold op het moment dat de gegevensdrager is geproduceerd en/of geimporteerd" of iets dergelijks, ofwel fabrieks reset met alle USER data verwijderen bij een faillissement.

Dan kan je bij een schilderwerk verklaren dat deze in de staat is die bij de productie gold, tenzij is aan te tonen dat er later wijzigingen zijn aangebracht.

Of gewoon nog beter, een wet bij fialissementen die verkoop van persoonlijke data volledig verbied.

[Reactie gewijzigd door grasmanek94 op 14 augustus 2025 19:52]

lenwar

Privacy

@grasmanek94 • 14 augustus 2025 22:22

Met die definitie mis je op maat gemaakte software/hardware/appliences die in de fabriek voor die ene klant zijn geproduceerd (ziekenhuis-apparatuur e.d.), en die dus door de fabrikant opnieuw ingeregeld moet worden.

Maar goed. Al met al is het moeilijk om zoiets hard in een wet te gieten dat alles er onder valt.

De server in kwestie was als ‘server’ verkocht, waar toevallig die data op stond. De data zelf was niet actief verkocht als zijnde die data.

Ik praat het dus niet goed hè? Eigenlijk zou alle apparatuur/boeken/enz. langs een gecertificeerde ‘scrubber’ moeten gaan. Maar dat kost natuurlijk veel geld, en de taak van de curator is om zover mogelijk geld uit de organisatie te trekken.

genosis 14 augustus 2025 17:00

Dit jaar ook ervaring gehad met een faillissementscurator. Een vrij simpele casus maar toch duurt deze zaak al meer dan 2 jaar. En de curator vond gek genoeg het pas na 2 jaar nodig wachtwoorden van laptops veilig te stellen..

Sebastian1313 14 augustus 2025 17:01

Wat zou je denken van een melding maken

https://www.autoriteitpersoonsgegevens.nl/datalek-melden

Gelomidor1 14 augustus 2025 17:09

Zijn er nog andere die in war raken van de “ip scan”? Hoezo is dit een maatregel voor het veilig stellen van datadragers?

PixelPionier 14 augustus 2025 18:27

Mensen maak je geen zorgen dat de curator in kwestie geen eten kan kopen want die hoeft helemaal niets te betalen! Uit art. 71 FW volgt namelijk dat de boete een boedelschuld is en uit de boedel betaald wordt. M.a.w. de schuldeisers die naar hun centen kunnen fluiten betalen deze boete uiteindelijk. De curator heeft zelf goed verdient aan deze zaak. Immers de tijd die hij in deze zaak gestopt heeft (zo genaamd om de opbrengst voor de schuldeisers te verhogen) kan hij gewoon declareren a 480,- per uur (+ kantoorkosten + btw). Dus het heeft hem zeker >20.000,- opgeleverd. Misdaad loont gewoon!

berzerker

@PixelPionier • 15 augustus 2025 14:33

Artikel 71 FW:

[quote]1 Onverminderd het bepaalde in artikel 15, derde lid, wordt het salaris van de curator in elk faillissement door de rechtbank vastgesteld.

2 In geval van akkoord wordt het salaris bij het vonnis van homologatie bepaald.

3 De rechtbank stelt het salaris van de curator vast aan de hand van uitgangspunten waarin het belang van een efficiënte behandeling van het faillissement tot uitdrukking komt. Overweegt de rechtbank om af te wijken van een voorstel van de curator tot vaststelling van zijn salaris of stemt de rechter-commissaris niet met een dergelijk voorstel in, dan neemt de rechtbank geen beslissing als bedoeld in het eerste en tweede lid dan nadat zij de curator op een door haar nader te bepalen wijze en binnen een door haar te bepalen termijn in de gelegenheid heeft gesteld een zienswijze te geven.

4 Bij of krachtens algemene maatregel van bestuur kunnen nadere regels worden gesteld over de financiering van de werkzaamheden van de curator, bedoeld in artikel 68, tweede lid.[/quote]

Ik lees hier niets over boetes die boedelschuld zouden zijn.

[Reactie gewijzigd door berzerker op 15 augustus 2025 14:36]

PixelPionier @berzerker • 15 augustus 2025 14:45

Toch is het zo.

In deze uitspraak is zelfs expliciet vastgesteld dat de boete is opgelegd “aan eiser in zijn hoedanigheid van curator in het faillissement van [stichting]”.

Dat is een belangrijk juridisch verschil:

Procedure tegen de curator in hoedanigheid
→ De curator is dan formeel procespartij, maar namens de boedel. Kosten, proceskostenvergoedingen en boetes zijn in beginsel boedelschulden.
→ Dit geldt ook voor sancties (zoals een AVG-boete) die verband houden met de taakuitoefening binnen de curatele.
Procedure tegen de curator in privé
→ Dat speelt alleen bij bijvoorbeeld onrechtmatig handelen los van zijn curatorstaak (persoonlijke aansprakelijkheid, art. 71 Fw).
→ In dat geval gaat het wél uit eigen zak.

Op dit item kan niet meer gereageerd worden.

Onderzoek in 2018

Terechte boete

Te zwaar gestraft

Lees meer

IT-banen

Reacties (92)

Sorteer op:

Weergave: