Bestuurdersaansprakelijkheid: overzicht recente en aanstaande wetgeving

27 juni 2016, laatst geüpdatet 28 augustus 2024
Bestuurdersaansprakelijkheidsland blijft flink in beweging. Er is een toenemende mate van maatschappelijke en media-aandacht voor bestuurders(aansprakelijkheid), waarbij niet uitsluitend het bestuur van en toezicht op beursvennootschappen onder de loep wordt gelegd, maar (juist) ook dat van semipublieke instellingen (zoals zorginstellingen en woningbouwverenigingen) en kleinere not-for-profit stichtingen.Ook is er een continue en groeiende stroom van jurisprudentie waar dit onderwerp centraal...
In dit artikel

Bestuurdersaansprakelijkheidsland blijft flink in beweging. Er is een toenemende mate van maatschappelijke en media-aandacht voor bestuurders(aansprakelijkheid), waarbij niet uitsluitend het bestuur van en toezicht op beursvennootschappen onder de loep wordt gelegd, maar (juist) ook dat van semipublieke instellingen (zoals zorginstellingen en woningbouwverenigingen) en kleinere not-for-profit stichtingen.

Ook is er een continue en groeiende stroom van jurisprudentie waar dit onderwerp centraal staat. Dat terwijl de praktijk leert dat bestuurdersaansprakelijkheidskwesties verre van in alle gevallen uiteindelijk voor de rechter worden beslecht. De gepubliceerde jurisprudentie betreft aldus het topje van de ijsberg.

Dit zijn ontwikkelingen die vermoedelijk niet los van elkaar kunnen worden gezien. Datzelfde geldt voor de toenemende vraag naar en aanbieders van BCA-verzekeringen (D&O-verzekeringen), die op hun beurt het paradoxale effect zouden kunnen hebben dat méér claims worden ingesteld, juist omdat er verzekerde dekking is voor de schade.

De conclusie lijkt alleen daarom al gerechtvaardigd dat er voorlopig sprake zal blijven zijn van een stijgende lijn van claims tegen bestuurders en toezichthouders, ondanks de terugloop van het aantal faillissementen en de voorbije crisis. Niet eens Amerikaanse toestanden, maar gewoon Hollandse juridische vlijt in een zich voortdurend ontwikkelend leerstuk.

De wetgever doet in dit kader een flinke duit in het zakje. Hij heeft op zijn beurt de afgelopen jaren behoorlijk wat nieuwe maatregelen doorgevoerd, met allerhande recente of aanstaande wettelijke regels tot gevolg.

In deze bijdrage wordt gepoogd, zonder volledigheid te pretenderen, om enige recente en aanstaande wetgeving op een rij te zetten die persoonlijke consequenties kan hebben voor bestuurders en toezichthouders.

De welbekende algemene wettelijke grondslagen voor interne (art. 2:9 BW) en externe (art. 6:162 BW) aansprakelijkheid, alsmede de grondslag voor aansprakelijkheid na faillissement (art. 2:138/248 BW) en andere bijzondere vormen van wettelijke aansprakelijkheid laat ik aldus buiten beschouwing.

Ik behandel beknopt de volgende vier wetgevingsontwikkelingen:

1. Wet civielrechtelijk bestuursverbod

2. Cyber / meldplicht datalekken

3. Wetsvoorstel Bestuur en Toezicht rechtspersonen

4. Uitkeringstoets

1. Wet civielrechtelijk bestuursverbod

De Wet civielrechtelijk bestuursverbod leidt tot de invoeging van de artikelen 106a t/m 106e in de Faillissementswet.
Beoogd wordt een aanvulling te geven op de huidige Faillissementswet door de mogelijkheid te creëren om een civielrechtelijk bestuursverbod van maximaal 5 jaar op te leggen aan een bestuurder die faillissementsfraude pleegt of zich schuldig heeft gemaakt aan wanbeleid in aanloop naar een faillissement.

Hiermee moet worden tegengegaan dat malafide bestuurders telkens ondernemingen oprichten en vervolgens laten failleren teneinde frauduleuze activiteiten te verhullen.
Diverse redenen kunnen aan een bestuursverbod ten grondslag liggen.

Een bestuursverbod is onder meer mogelijk (i) na vaststelling van aansprakelijkheid wegens wanbeleid dat tot een faillissement heeft geleid, (ii) bij bepaalde doelbewuste benadeling van crediteuren voorafgaand aan faillissement, (iii) bij het tekortschieten in de informatie- en medewerkingsplicht jegens de curator of (iv) bij repeterende faillissementen.

In het handelsregister zal openbaar een lijst ter inzage zijn met personen aan wie een bestuursverbod is opgelegd. Een schandpaal dus voor malafide bestuurders, met een potentie tot – naast het voorkomen van (verdere) malversaties – het aanzienlijk berokkenen van schade aan de naam en reputatie van de betrokkene.

Het bestuursverbod kan op verzoek van het Openbaar Ministerie of van de curator door de civiele rechter worden opgelegd. Na oplegging van een verbod, mag de betreffende bestuurder niet langer als bestuurder of als commissaris optreden. Niet bij dezelfde, maar ook niet bij een andere onderneming. Het omvat alle rechtspersonen, dus ook verenigingen, stichtingen, naamloze en besloten vennootschappen, coöperaties en onderlinge waarborgmaatschappijen. De nieuwe regels zien niet alleen op zittende bestuurders, maar ook op gewezen bestuurders, commissarissen en feitelijk leidinggevenden.

De nieuwe wet zou met voldoende waarborgen omkleed moeten zijn om te voorkomen dat het bereik niet dermate wordt dat ook bonafide bestuurders van gefailleerde rechtspersonen in dit opzicht risico’s lopen.

De Wet civielrechtelijk bestuursverbod treedt in werking treedt met ingang van 1 juli 2016.

Zie voor nadere opmerkingen ter zake ook deze drie Kennispagina-artikelen.

2. Cyber / meldplicht datalekken

Als er één onderwerp de afgelopen jaren in de juridische spotlights heeft gestaan, dan is het wel cyber(criminaliteit). Niet onterecht of verwonderlijk overigens, als we op de cijfers van Deloitte mogen afgaan: opgeteld zou cybercriminaliteit Nederlandse organisaties EUR 10 miljard per jaar kosten. Alle reden om alert te blijven.

Temeer voor bestuurders en toezichthouders, nu zij sinds 1 januari 2016 (temeer) aansprakelijk kunnen zijn ingeval van ernstige datalekken.

Cyberrisico’s worden ook al gezien als de financiële nadelen door of via computer en/of ICT-systemen, zonder dat er sprake is van materiële schade. Het gaat daarbij niet alleen om een moedwillige aanval van buitenaf (cybercriminaliteit), maar ook om menselijke fouten of technisch falen. Gedacht kan worden aan diefstal van intellectueel eigendom, schade door het vrijkomen van privacygevoelige gegevens, identiteitsfraude en diefstal van gelden.

Het spreekt voor zich dat tijdige onderkenning van de problematiek, naleving van de wettelijke regelgeving ter zake (compliance), beveiliging van de eigen ICT-systemen, preventie en beheers- en beleidsmaatregelen (incidentenbeheer/protocollen) voor alle bedrijven en instellingen vereist zijn ter voorkoming of beperking van risico’s. Niet alleen voor de risico’s voor het bedrijf/de instelling zelf, maar ook voor die van bestuurders in persoon.

Art. 34a van de Wet bescherming persoonsgegevens bepaalt dat de verantwoordelijke de Autoriteit Persoonsgegevens onverwijld in kennis stelt van een datalek, ingeval er een aanzienlijke kans is op ernstige nadelige gevolgen c.q. indien dit ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. Bovendien dient de betrokkene onverwijld door de verantwoordelijke in kennis worden gesteld indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor dienst persoonlijke levenssfeer.

Per 1 januari 2016 kan de Autoriteit Persoonsgegevens een bestuurlijke boete van maximaal EUR 820.000 (of 10% van de jaaromzet) opleggen voor het overtreden van de meldplicht datalekken, het niet op orde hebben van beveiliging of het verwerken van persoonsgegevens zonder toestemming.

Deze boete wordt primair aan de rechtspersoon opgelegd, maar uit de parlementaire geschiedenis volgt dat denkbaar is dat deze tevens aan de bestuurders of andere (feitelijk) leidinggevenden wordt opgelegd:

“Dit niet echter niet weg dat daarnaast of in plaats daarvan natuurlijke personen binnen deze rechtspersoon kunnen worden beboet indien zij feitelijk leiding hebben gegeven respectievelijk opdracht hebben gegeven tot het verrichten van de verboden gedraging en hebben nagelaten om maatregelen te treffen ter voorkoming van een verboden gedraging en daarmee bewust de kans wordt aanvaard dat deze gedraging zal plaatsvinden.”

Per 25 mei 2018 vervangt de (Europese) Algemene Verordening Gegevensbescherming de Nederlandse datawetgeving. In deze Verordening is een gelijksoortige meldingsplicht opgenomen alsmede een boetebevoegdheid tot EUR 20 miljoen of 4% van de wereldwijde omzet. Bovendien wordt een voedingsbodem gecreëerd voor class action-achtige procedures. Bepaald niet ondenkbaar is dat speciaal hiertoe opgerichte rechtspersonen namens vele individuen in voorkomende gevallen zullen trachten financiële schade vergoed te krijgen die is veroorzaakt door een datalek.

Het onvoldoende beveiligen van persoonsgegevens of het niet (tijdig) melden van een ernstig datalek kan aldus onder omstandigheden leiden tot (persoonlijke) aansprakelijkheid van bestuurders jegens de rechtspersoon. Art. 2:9 BW biedt hiervoor het welbekende handvat. Datzelfde geldt voor aansprakelijkheid jegens derden via de gebruikelijke route van art. 6:162 BW.

Een recent voorbeeld waar het voor de bestuurders misging is de kwestie DigiNotar. Dit bedrijf verzorgde digitale certificaten om elektronisch gegevensverkeer te beveiligen en de afkomst van websites te garanderen, maar had te weinig gedaan om haar systemen te beveiligen, had dat verborgen gehouden voor afnemers, werd gehackt en ging vervolgens failliet. De nieuwe eigenaar stelde de vroegere bestuurders van DigiNotar via hun persoonlijke vennootschappen met succes aansprakelijk voor enkele miljoenen.

De risico’s zijn des te prangender voor bestuurders/toezichthouders van organisaties met willens en wetens verouderde en/of verzwakte IT-systemen. Door het verzwijgen of niet voldoende onderkennen van dergelijke risico’s kan de vis duur worden betaald. Het verdient sterke aanbeveling voor alle bedrijven en instellingen om zich goed te laten informeren over cyberrisico’s. Deze risico’s zijn bepaald niet beperkt en illusoir, zodat (voorkoming van en het omgaan met) cybercriminaliteit een serieus en volwaardig agendapunt zou moeten zijn voor (ook) de hoogste managementlagen.

Zie voor nadere opmerkingen ter zake ook dit Kennispagina-artikel.

3. Wetsvoorstel Bestuur en Toezicht rechtspersonen

De afgelopen maand (juni 2016) is het Wetsvoorstel Bestuur en Toezicht Rechtspersonen naar de Tweede Kamer gestuurd. Dit wetsvoorstel beoogt een aanvulling en verheldering te geven op de regels voor bestuur en toezicht bij verschillende soorten rechtspersonen en deze regels daarmee te uniformeren.

Dit zorgt met name voor relevante wijzigingen voor met name stichtingen en verenigingen (de veelal gehanteerde rechtsvormen in de semipublieke sector zoals de zorg).

Ik som de in het kader van bestuurdersaansprakelijkheid meest relevante wijzigingen op:

Wettelijke grondslag voor een toezichthoudend orgaan bij stichtingen en verenigingen
Hiervoor bestaat tot dusverre nog geen wettelijke grondslag

• Uniformering taakvervulling bestuurders en commissarissen/toezichthouders
Bij de vervulling van de taak moeten bestuurders/commissarissen zich richten naar het belang van de rechtspersoon en de daaraan verbonden organisatie

• Uniformering aansprakelijkheid bestuurders en commissarissen ingeval van faillissement
De bekende regels voor aansprakelijkheid bij faillissement gaan tevens gelden voor bestuurders en toezichthouders van (niet-commerciële) stichtingen en verenigingen, echter met uitzondering van niet-bezoldigde bestuurders

• Uniformering interne aansprakelijkheid toezichthouders
De hoofdelijke-aansprakelijkheidsregels voor bestuurders jegens de rechtspersoon (interne aansprakelijkheid ex art. 2:9 BW) gelden onverkort voor toezichthouders van verenigingen en stichtingen

Het spreekt voor zich dat de verbreding en verscherping van de regelgeving het bereik van de aansprakelijkheid van bestuurders en toezichthouders (van o.a. stichtingen en verenigingen) aanzienlijk vergroot. Iedere bestuurder en toezichthouder – dus van welke rechtspersoon dan ook – dient zich te vergewissen van de persoonlijke risico’s die hiermee gepaard (kunnen) gaan.

Het wetgevingstraject duurt al een behoorlijke tijd, maar de redelijke verwachting is dat de nieuwe regelgeving in (de loop van) 2017 in werking zal treden.

4. Uitkeringstoets

Niet zeer recent (want vanaf 1 oktober 2012 ingevoerd), maar voldoende relevant om mee te nemen in het overzicht. De verplichte uitkeringstoets hangt samen met de invoering van de flex-BV. Aangezien de verplichte kapitaalstorting van EUR 18.000 is komen te vervallen, is voorzien in een andere wijze van crediteurenbescherming door een uitkeringstoets/uitkeringstest verplicht te stellen alvorens dividend mag worden uitgekeerd.

Het bestuur moet de gevolgen van een dividenduitkering voor de liquiditeit, rentabiliteit en solvabiliteit van de vennootschap betrekken bij het besluit om goedkeuring te verlenen aan een dan niet tot die uitkeringsbesluit van de algemene vergadering van aandeelhouders. Zonder goedkeuring van het bestuur blijft dat besluit zonder gevolgen.

Er dient aldus zowel een kwalitatieve (continuïteitsveronderstelling) als kwantitatieve (indicatie van het uit te keren dividend) toets te worden gedaan.

Niet-inachtneming van deze relatief nieuwe regel kan leiden tot bestuurdersaansprakelijkheid.

In art. 2:216 lid 3 BW is bepaald dat, indien de vennootschap na de uitkering niet kan voortgaan met het betalen van haar opeisbare schulden, de bestuurders hoofdelijk aansprakelijk zijn jegens de vennootschap voor het tekort dat door een uitkering is ontstaan indien zij dat wisten of redelijkerwijs behoorden te voorzien.

Goed denkbaar is dat het niet-nakomen van voornoemde verplichting ingeval van faillissement van de vennootschap door een curator gekwalificeerd wordt als ‘kennelijk onbehoorlijk’ bestuur en dat dit een belangrijke oorzaak is van het faillissement, met het risico dat de bestuurders hoofdelijk aansprakelijk zijn voor het volledige tekort in het faillissement (vgl. art. 2:138/248 BW).

Conclusie en consequentie verzekerde dekking

Voornoemde wetgevingsontwikkelingen zullen de claimdruk jegens bestuurder en commissarissen(/toezichthouders) van allerhande rechtspersonen bepaald niet verminderen. Hoewel persoonlijke aansprakelijkheid de uitzondering en niet de regel is, heeft de wetgever temeer een kader geschapen waarbij aantasting van het persoonlijke vermogen van bestuurders en commissarissen onder omstandigheden goed denkbaar is. Hen wordt daarom aangeraden zich goed te vergewissen van de geldende en aanstaande wetgeving en om de risico’s voor henzelf en hun eigen vermogen te voorkomen en te beheersen.

Hiervoor zijn allerhande mogelijkheden beschikbaar, zoals de vrijtekening, décharge, vrijwaring en de bestuurdersaansprakelijkheidsverzekering.

Voorgaande nieuwe wettelijke regels zullen in zekere zin risicoverhogend zijn voor bestuurders en toezichthouders en bieden in ieder geval nieuwe handvatten voor onwelgevallige claims.

BCA-verzekeraars (D&O-verzekeraars) en makelaars zullen moeten bezien of deze rechtsontwikkelingen in diverse opzichten voldoende tot uitdrukking komen in de bestaande verzekeringspolissen en in welke mate deze aanpassing behoeven om in te springen op de wensen c.q. noden van de markt. Omdat dit het bereik van deze bijdrage overstijgt, zal hier nu niet nader op worden ingegaan.

Duidelijk is in ieder geval dat de rechtsontwikkelingen voor allerhande partijen ertoe nopen zich te laten informeren en om na te gaan welke nieuwe risico’s daadwerkelijk in het leven zijn geroepen.

Gerelateerd