Starten met je privé-gegevens

Je hebt je ondernemingsplan klaar en je krijgt het ene idee na het andere idee. Je wilt gaan knallen, dus is het echt tijd om je bedrijf te gaan starten. Je staat te popelen om hem in te schrijven, en dan kom je ineens tot de conclusie dat je allerlei privé-gegevens moet opgeven die daarna ook nog eens geopenbaard gaan worden.

Tja, het is helaas waar in Nederland. Een bedrijf starten schendt jouw privacy. Voor zij die niet voor een rechtsvorm als B.V. gaan zelfs tot op het niveau van je BSN-nummer dat verwerkt is in de BTW-nummer. En dit zelfs wanneer de Autoriteit Persoonsgegevens stelt dat dit strijdig is met de wet.

Aan de andere kant valt ook te zeggen dat enige mate van het weergeven van dergelijke gegevens nodig is om een zekere mate van ‘vertrouwen’ te kunnen krijgen van en voor dienstverleners en klanten. Deze functie van de Kamer van Koophandel (KvK) zou wat ons betreft afdoende kunnen zijn, maar helaas worden dergelijke gegevens wel massaal overgenomen door partijen als Drimble.

In deze blog lees je onze visie op deze zaken en kun je ook tips terugvinden hoe je hier (enigszins) mee om kunt gaan.

Verstrekken van gegevens

De beste remedie voor het beschermen van je privacy is het zo beperkt mogelijk verstrekken van gegevens, want wat er niet is kan ook niet gedeeld worden. Echter worden uiteindelijk wel jouw volledige naam, geboortedatum, woon-adres en -plaats, telefoonnummer en e-mail adres gevraagd om een bedrijf in te schrijven.

De meeste privé-gegevens kunnen voor registratie niet echt aangepast worden (probeer maar eens zakelijke diensten af te nemen zonder KvK-nummer), behalve dan het telefoonnummer en het e-mail adres. Voor het telefoonnummer koop je gewoon een prepaid-nummer bij een willekeurige winkel op de hoek en een apart (tijdelijk) e-mail adres is ook zo aangemaakt.

De Handelsregisterwet stelt eisen en richtlijnen over hoe er met privé- en vestigingsadressen om moet worden gegaan. Echter, door de huidige constructie is bij het inschrijven van een nieuw bedrijf door een natuurlijk persoon (i.p.v. een rechtspersoon) iemands privé-adres vaak gelijk ook het vestigingsadres. Idem voor telefoonnummer en e-mail-adres.

Gegevens worden gedeeld

Helaas worden dus de gegevens ook doorverkocht of gedeeld door allerlei bedrijven anders dan de KvK. En niet alleen in de context van dat een bedrijf dat even een registratie opvraagt voordat er een contract aangegaan wordt (wat een hele terechte functie van de KvK is), maar ook in de context van bedrijven die geld verdienen aan het openbaren van die gekochte gegevens.

We hebben dit een poosje in de gaten gehouden en de volgende bedrijven komen met deze praktijken in het vizier: drimble.nl, bedrijvenpagina.nl , bedrijvenarchief.nl, bedrijvenstek.nl, 2miljoen.nl, www.datocapital.nl, opencompanies.nl, graydongo.nl, company.info, vainu.io/search, paylex.nl en lokaal.infobel.nl.

Deze partijen kopen de gegevens op of verzamelen deze en openbaren dit op hun eigen site. In een enkele geval zit het achter een betaalmuur van de website zelf. In alle andere gevallen zijn de gegevens vrij opvraagbaar. Bizarre bijna is dat er dus geld wordt verdiend met jouw initiële inschrijving, waarvoor jij alleen de KvK toestemming hebt gegeven om te verwerken.

Het grote probleem hierbij is dat de originele registratie op de websites van de bedrijven vaak niet gewijzigd wordt wanneer je bij de KvK jouw gegevens bijwerkt. En wanneer je dus uiteindelijk de gegevens wijzigt naar je echte bedrijfsgegevens (zoals vestigingsadres en zakelijk telefoonnummer), blijf je bijvoorbeeld op drimble.nl je oude gegevens terugvinden. Waarmee naar ons standpunt er een te grote impact op de bescherming van iemands persoonlijke levenssfeer ontstaat.

Want zo maken we het onmogelijk om kwetsbare doelgroepen op een veilige manier een eigen zaak te laten beginnen. Denk hierbij aan bijvoorbeeld aan persoon die last heeft (gehad) van een stalker. Hij of zij hoeft maar een bedrijf in te schrijven en de stalker kan de privé-gegevens achterhalen. En ook die stalker kan trouwens de in het volgende stuk uitgelegde Google Alerts instellen om zijn of haar slachtoffer te volgen.

Gegevens online terugvinden

Willekeurige websites publiceren dus informatie op hun eigen website, en de lijst met websites die dat doen groeit. Daar is vooralsnog geen controle op te krijgen. Het overnemen van dergelijke gegevens kan gelukkig wel redelijk eenvoudig gedetecteerd worden. Het is niet 100% waterdicht, maar het helpt voor een groot deel.

In de Google zoekmachine kan er namelijk gewerkt worden met zogenoemde Google Alerts. Dit zijn eigenlijk voorgeprogrammeerde zoekopdrachten, en als er een nieuw zoekresultaat komt ontvang je een e-mail daarover. Een voorwaarde hiervoor is wel dat je over een Google, of een zakelijk Google Suite account beschikt.

Na het inloggen in je Google account ga je naar https://alerts.google.com/. Voeg daar vervolgens de zoektermen aan toe en sla deze op. Zet daarin in ieder geval een zoekterm voor jouw bedrijfsnaam en jouw KvK-nummer. Hieronder staat een voorbeeld van ons dus vervang dat wat nodig is met de gegevens van jouw eigen onderneming:

“Digicy.Cloud” | “Digicy-Cloud” | “Digicy.Cloud B.V.” | “Digicy.Cloud BV” | “Digicy-Cloud BV” | “71698892”

Iedere keer als er ergens op de digitale snelweg nieuwe informatie over jouw bedrijf verschijnt, ontvang je dus een e-mail. Wel zo handig!

Gegevens laten verwijderen

Gelukkig kun je bij de genoemde partijen wel de gegevens verwijderen of op zijn minst af laten afschermen (een enkeling wilt niks doen). Er is dus een vorm van een opt-out. Ga naar de betreffende websites om de instructies te vinden om de registratie te verwijderen.

Reactie van de bedrijven

We hebben ook reacties van enkele van de betreffende bedrijven ontvangen. Zij stelde, enigszins begrijpelijk, dat het mag in het kader van de Handelsregisterwet. Waar zij echter aan voorbij gaan is hoe de initiële gegevensverwerking tot stand is gekomen. En dat is wel dat de privé-gegevens van de registrant ook zijn gebruikt als vestigingsgegevens bij de inschrijving bij de KvK.

Mogelijke oplossingsrichtingen

Er zijn zeker oplossingsrichtingen te bedenken. Denk hierbij aan dat de KvK drie maanden de tijd geeft voordat het de vestigingsgegevens vrijgeeft in de situatie waarin deze gelijk zijn aan de privé-gegevens. Of wellicht de Autoriteit Persoonsgegevens een duidelijke uitspraak laten doen en richtlijnen laten opstellen voor verwerking door derden.

Enkele basis rechten van uit de Algemene Verordening Gegevensbescherming (AVG) komen nu naar onze mening niet goed tot zijn recht. En dat is het “recht om vergeten te worden” en het “recht om gegevens te corrigeren”. Ook vinden wij de wettelijke grondslag voor de verwerking anders dan door de KvK op zijn minst opmerkelijk.

Want een opmerkelijke zaak als dat van onder andere de Gemeente Amsterdam die openbare gegevens van Facebook gebruikte voor verdere verwerking maakt duidelijk dat openbaar niet betekent “door iedereen te gebruiken”.

Wat ons betreft is het tijd dat aan deze situatie wat gedaan gaat worden. In de tussentijd, deel deze blog met iedereen die privé-gegevens heeft moeten gebruiken voor de registratie van zijn of haar eigen bedrijf.