Zijn bedrijfsgegevens persoonsgegevens?

Een online schandpaal voor bedrijven: het Nationaal Wanbetalers Register heeft een zwarte lijst gepubliceerd voor wanbetalende bedrijven. Betaalt een bedrijf niet? Dan worden bedrijfsnaam en KVK-nummer opgenomen in een openbare database en online gepubliceerd. Met een beetje pech komt bij het opvragen van een bedrijfsnaam in Google, deze lijst ook nog in de top-10 van zoekresultaten te staan. Grote kans dat toekomstige klanten twee keer nadenken voordat ze met een bedrijf uit deze lijst in zee gaan. Eigen schuld dikke bult, dan had je maar moeten betalen. Of mag dit misschien toch niet omdat bedrijfsnaam en KVK-nummer aangemerkt kunnen worden als persoonsgegevens?

De Rechtbank Amsterdam heeft geoordeeld dat het opnemen van een bedrijfsnaam en KVK-nummer in een ‘nationaal wanbetalersregister’ onrechtmatig is. Het openbaar zwart maken van bedrijven is volgens de Rechtbank niet proportioneel en subsidiair gelet op de Wet bescherming persoonsgegevens (Wbp), en dient in ieder geval beperkt te blijven tot een nauw omschreven kring van gebruikers. Een dergelijke lijst mag dus niet zomaar voor iedereen op het internet toegankelijk worden gemaakt.

Maar kunnen bedrijfsgegevens wel worden aangemerkt als persoonsgegevens? Want wat zijn persoonsgegevens nou precies? De wet omschrijft een persoonsgegeven als volgt: ’Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon.’’

Een persoonsgegeven zegt dus iets over een natuurlijk persoon. Het College Bescherming Persoonsgegevens (CBP) stelt daarom dat gegevens over organisaties, zoals bedrijven en stichtingen, geen persoonsgegevens zijn in de zin van de Wbp. Er is wel sprake van een persoonsgegeven indien de gegevens herleidbaar zijn naar een persoon, zoals bij een eenmanszaak of indien het gegevens betreffende een individuele bestuurder zijn.

Uiteraard kan geoordeeld worden dat het mogelijk is om aan de hand van bedrijfsnaam en KVK-nummer herleiding naar een persoon plaats te laten vinden, maar waar ligt dan de grens? In dat geval kan (bijna) elk gegeven als persoonsgegeven aangemerkt worden. Wellicht is de Rechtbank tot dit oordeel gekomen omdat bij het publiceren van een dergelijke ‘zwarte lijst’, het niet haalbaar is een onderscheid te maken tussen bedrijfsgegevens en bedrijfsgegevens zijnde persoonsgegevens. Het CBP oordeelt namelijk indien dit niet haalbaar is geval álle gegevens als persoonsgegevens behandeld moeten worden.

Dit lijkt mij echter niet het geval, aangezien je een bedrijf moet aanmelden voor deze ‘zwarte lijst’. De gegevens worden dus niet automatisch gepubliceerd, hiervoor dient eerst een actieve handeling verricht te worden. Voordat de gegevens geplaatst worden kan daarom ook eenvoudig gecheckt worden of het om een eenmanszaak of misschien zelfs een individuele bestuurder gaat.

Desondanks is het oordeel van de Rechtbank gunstig voor de eiser, daarvan is namelijk de bedrijfsnaam ondertussen uit de database verwijderd. Nu nog netjes blijven betalen!

> Bekijk al onze privacyadviezen & -diensten

 

Terug naar overzicht