Toezicht CBP beschermt privacygevoelige gegevens onvoldoende

Maar het toezicht van het CBP heeft dus wel grenzen, vertelt Van Cromvoirt aan het Financieele Dagblad. Van Cromvoirt zet eerder dit jaar via zijn accountant enkele van zijn bedrijven te koop. Hij was zelf wegens ziekte maar zijdelings betrokken bij het proces. Het Bureau Ongewenste Gasten Registratie is onderdeel van één van die bedrijven, en verwisselt daardoor bij de verkoop van dat bedrijf - volgens Van Cromvoirt onbedoeld, per ongeluk - ook van eigenaar. De koper is bovendien nog iemand die in verband wordt gebracht met frauduleuze faillissementen.

CBP heeft niet altijd een rol bij bedrijfsoverdracht

Het verbaast Van Cromvoirt dat hij daar niet door het CBP van verwittigd wordt. Pas als het Financieel Dagblad hem daarover benadert, krijgt Van Cromvoirt door wat er gebeurd is.

Navraag bij het CBP leert, dat het college in dit soort gevallen voor zichzelf geen taak weggelegd ziet. Het CBP hoeft volgens de wet alleen te worden ingelicht wanneer het protocol waaronder de gevoelige gegevens worden opgeslagen, wordt gewijzigd, of wanneer er een nieuwe bestuurder aantreedt bij de rechtspersoon die die lijst met gegevens bijhoudt. In dit geval was daarvan geen sprake, omdat de nieuwe bestuurder aantrad in de holding die boven het Bureau Ongewenste Gasten Registratie hangt, aldus het CBP.

De koper van Van Cromvoirts bedrijven had kennelijk geen kwade bedoelingen met de lijst gegevens die hij via de koop in handen kreeg. Na een telefoontje van Van Cromvoirt verleende hij zijn medewerking aan het terugdraaien van de verkoop van het Bureau Ongewenste Gasten Registratie, meldt de oud-politieman. Maar wat overblijft is de constatering, dat het niet heel erg moeilijk is om een registratie van gevoelige gegevens aan het toezicht van het CBP te onttrekken - als je daar je zinnen op hebt gezet.