AVG bij overdracht Microsoft 365 en Google Workspace: tips voor curatoren!

Wanneer een curator een faillissement afwikkelt, is de mailomgeving vaak één van de eerste digitale activa die veiliggesteld moet worden. Denk aan Microsoft 365 of Google Workspace: complete bedrijfscommunicatie, klantgegevens en documenten bevinden zich in de cloud. En juist daar schuilt het risico — want waar de curator enerzijds verplicht is om deze data veilig te stellen, ligt anderzijds het gevaar van een AVG-datalek voortdurend op de loer.

De uitdaging van de curator: een datalek tijdens overdracht

Een van de grootste zorgen bij curatoren is het onbedoeld overdragen van persoonsgegevens. In mailboxen zit vaak meer AVG-gevoelige data dan men denkt:

• Correspondentie met klanten, sollicitanten of leveranciers

• Kopieën van identiteitsbewijzen

• Financiële gegevens of medische informatie

• Data van personeel dat niet mee is in de doorstart

Wanneer een curator een doorstart faciliteert en de mailomgeving overdraagt aan een koper, kan die koper toegang krijgen tot data die buiten de beoogde overdracht valt. Dat kan leiden tot een datalek — en dat betekent: melding bij de Autoriteit Persoonsgegevens, reputatieschade én persoonlijk risico voor de curator.

De realiteit: AVG en doorstart botsen vaak

Een AVG-conforme overdracht van een cloudomgeving is in theorie mogelijk, maar in de praktijk complex:

• Het volledig schonen van alle mailboxen en gedeelde drives is extreem tijdrovend.

• Cloudaccounts zijn vaak gekoppeld aan andere diensten (Teams, Drive, SharePoint), waardoor niet duidelijk is wat er precies wordt overgedragen.

• Er is meestal geen budget in de boedel om een volledige AVG-analyse of opschoning uit te voeren.

Toch wil de curator de doorstart niet blokkeren — de economische waarde moet behouden blijven. Dat vraagt om strategisch handelen in plaats van haastige overdracht.

Do’s & Don’ts bij de overdracht van M365 en Google Workspace

✅ Do’s

1. Beveilig direct de toegang
   Zorg dat de curator of IT-beheerder de wachtwoorden reset, multifactor-authenticatie instelt en in kaart brengt welke personen of partijen beheerrechten hebben.

2. Maak een momentopname van de omgeving
   Exporteer mailboxen of gebruik back-up tools om een bewaarkopie te maken. Dat is cruciaal voor onderzoek of overdracht.

3. Beperk de overdracht tot functionele data
   Laat de koper bijvoorbeeld alleen toegang krijgen tot een subset van mailboxen die relevant zijn voor de doorstart (zoals sales@ of info@).

4. Documenteer de keuzes
   Leg schriftelijk vast wat wel en niet wordt overgedragen, inclusief de overwegingen. Dat biedt juridische bescherming.

❌ Don’ts

1. Gehele omgeving overdragen
   Dit lijkt efficiënt, maar geeft de koper mogelijk toegang tot privacygevoelige data van derden.

2. Vertrouwen op mondelinge afspraken
   Zonder formele vastlegging is het bijna onmogelijk om aan te tonen dat de overdracht AVG-proof was.

3. Vergeten om toegang te beperken na overdracht
   Wanneer een gebruiker of IT-partij nog rechten heeft, blijft de curator verantwoordelijk voor het datalek.

4. Het verleggen van de AVG-verantwoordelijkheid
   Wanneer de verantwoording wordt verlegt naar een doorstarter zonder controle, kan dit gevolgen hebben voor de curator

Stappenplan voor risicobeheersing

• Inventariseer: Welke cloudomgeving is actief (M365, Google Workspace, andere)?

• Beoordeel de inhoud: Welke data is aanwezig en in welke mate is deze AVG-gevoelig?

• Bepaal de overdrachtsvorm:

1. Beperkte overdracht: Alleen zakelijke data, geen persoonlijke mailboxen.
2. Geschoonde overdracht: Eerst data-analyse, daarna overdracht.
3. Geen overdracht: Alleen export van noodzakelijke bedrijfsinformatie.

• Documenteer en communiceer: Noteer de keuze, onderbouw de afweging en informeer de koper over de beperkingen.

• Controleer naleving: Toets na overdracht of alle toegang correct is afgesloten.

Conclusie

De overdracht van een mailomgeving lijkt vaak een formaliteit, maar in werkelijkheid is het een juridisch mijnenveld. Eén onzorgvuldige handeling kan leiden tot een AVG-datalek met verstrekkende gevolgen.

Door vroegtijdig inzicht te krijgen in de risico’s en de juiste keuzes te maken, kan de curator controle houden over het proces én de AVG-risico’s minimaliseren.

👉 Werk aan risicobeheersing, niet aan brandblussen.

Twijfel je over de juiste aanpak bij de overdracht van een cloudomgeving?
Wij helpen curatoren bij het veiligstellen, beoordelen en overdragen van M365- en Google Workspace-omgevingen — volledig AVG-conform en juridisch onderbouwd.