Inleiding
Alweer geruime tijd geleden signaleerde ik dat de digitalisering van de samenleving niet alleen kansen, maar ook (grote) risico’s met zich meebrengt. Inmiddels is er volop belangstelling voor deze risico’s en wordt steeds meer aandacht besteed aan de detectie, bestrijding en beheersing daarvan, onder andere door het aanbieden van speciale cyberverzekeringen.
Een van de terreinen waarop cyberrisico’s zich als eerste manifesteren, is de privacy. Daarom heeft onze wetgever op dat gebied vanaf 1 januari 2016 een ingrijpende verandering doorgevoerd: de Wet Meldplicht Datalekken. Deze wet loopt alvast vooruit op de Europese Algemene Verordening Gegevensbescherming (vanaf 25 mei 2018) en verplicht organisaties om direct een melding te doen bij de Autoriteit Persoonsgegevens op het moment dat sprake is van een datalek. Bovendien wordt de AP voorzien van een forse boetebevoegdheid.
Mede door deze wet klimmen cyberrisico’s in organisaties vanuit de ICT/ondersteuning op richting de bestuurskamer. In dit artikel geef ik weer waarom dat in mijn ogen terecht is. Bestuurders hebben een algemene verantwoordelijkheid voor de gezondheid van hun onderneming. IT-aspecten hebben een groot aandeel in de bedrijfsvoering en dus moeten bestuurders daar kennis van hebben en aandacht aan besteden.
Hieronder wordt kort het algemeen kader van de bestuurdersaansprakelijkheid geschetst, waarna zal worden ingegaan op bestuurdersaansprakelijkheid en cyberrisico’s.
Rechtspersonen en bestuurders
In ons recht bestaat een onderscheid tussen rechtspersonen en natuurlijke personen. Een natuurlijk persoon is een mens zoals u en ik, en heeft als zodanig rechten en verplichtingen. Een rechtspersoon is een juridische entiteit en heeft, net als een natuurlijk persoon, rechtspersoonlijkheid. Een rechtspersoon kan als zodanig zelfstandig en met een eigen, afgescheiden vermogen deelnemen aan het rechtsverkeer: overeenkomsten sluiten, schulden hebben, anderen aansprakelijk stellen of zelf aansprakelijk zijn.
Voorbeelden van (privaatrechtelijke) rechtspersonen zijn verenigingen, stichtingen, naamloze vennootschappen (N.V.) en besloten vennootschappen met beperkte aansprakelijkheid (B.V.). Rechtspersonen kunnen bestuurd worden door andere rechtspersonen, maar ook door natuurlijke personen.
Ondanks dat de rechtspersoon een eigen entiteit is met een afgescheiden vermogen, zijn het uiteindelijk (uiteraard) natuurlijke personen die beslissingen nemen en bijvoorbeeld geld beheren. Juist vanwege de eigen rechtspersoonlijkheid van de rechtspersoon is het uitgangspunt dat het de rechtspersoon is die aansprakelijk is, niet de bestuurder (de natuurlijke persoon). Echter, in bepaalde gevallen kan de bestuurder wel degelijk persoonlijk aansprakelijk zijn. De bestuurder wordt dan dus getroffen in zijn privévermogen.
Bestuurders kunnen aansprakelijk zijn voor handelingen die zij als bestuurder van de rechtspersoon hebben verricht. De bestuurder kan zowel de rechtspersoon zelf (vaak een vennootschap) schade toebrengen, als derden zoals afnemers of de curator.
Normen
De algemene norm waaraan een bestuurder zich moet houden is een ‘behoorlijke taakvervulling’ (artikel 2:9 BW). Doet de bestuurder dat niet en is er dus sprake van ‘onbehoorlijke taakvervulling’, dan kan hij daarvoor aansprakelijk zijn. Daarbij moet hem wel een ‘ernstig verwijt’ kunnen worden gemaakt, bepaalde de Hoge Raad in 1997 (ECLI:NL:HR:1997:ZC2243).
In het kader van een faillissement geldt de norm ‘kennelijk onbehoorlijk bestuur’ (artikel 2:138/2:248 BW). Indien dit kennelijk onbehoorlijke bestuur een belangrijke oorzaak is geweest van het faillissement van de vennootschap, kan de bestuurder aansprakelijk zijn.
Tot slot kan jegens een bestuurder ook een vordering uit hoofde van onrechtmatige daad (artikel 6:162 BW) worden ingesteld.
Voorbeelden van een onbehoorlijke taakvervulling of kennelijk onbehoorlijk bestuur zijn het aangaan van verplichtingen waarvan de bestuurder weet dat de vennootschap ze niet kan nakomen, het vermengen van privézaken met de belangen van de vennootschap, of het niet afsluiten van voor de bedrijfsvoering gebruikelijke verzekeringen.
Bestuurdersaansprakelijkheid en cybersecurity/-risico’s
Het merendeel van de bedrijven doet tegenwoordig een (groot) deel van de bedrijfsvoering digitaal en/of online. Het is in de regel het bestuur van een onderneming dat bepaalt hoeveel er in bijvoorbeeld in apparatuur en beveiliging wordt geïnvesteerd.
Nu cybersecurity steeds meer in de belangstelling staat en de bedrijfsvoering in belangrijke mate digitaal/online wordt verricht, valt er zeker wat voor te zeggen dat de bestuurder in het kader van zijn behoorlijke taakvervulling verantwoordelijk is voor een adequate, passende beveiliging van deze processen. Indien de bestuurder dit nalaat en het bedrijf wordt getroffen door bijvoorbeeld een hack, dan kunnen de gevolgen – zeker met de nieuwe boetebevoegdheid van de AP – desastreus zijn. Denk aan bedrijfsstilstand, reputatieschade, kelderende koersen en claims van derden. In de Verenigde Staten is de aansprakelijkheid van de bestuurder in dit opzicht reeds realiteit en de verwachting is dat dit overwaait naar Nederland. Dat de bestuurder zijn taak onbehoorlijk heeft vervuld en hem daarvan een ernstig verwijt kan worden gemaakt, is in de gegeven omstandigheden immers reëel. Zie voor een overzicht van deze en andere recente ontwikkelingen op het gebied van bestuurdersaansprakelijkheid ook dit Kennispagina-artikel.
Een ander interessant aspect is de vraag of ook de cyberverzekering een rol kan (gaan) spelen in het kader van de bestuurdersaansprakelijkheid. Het afsluiten van gezien de bedrijfsvoering gebruikelijke en noodzakelijke verzekeringen is immers ook een van de aspecten van een behoorlijke taakvervulling. Een gedetailleerde uitwerking van deze vraag voert in het kader van dit artikel te ver, maar deze ontwikkelingen onderstrepen de stelling dat bestuurders hieraan in ieder geval aandacht zullen moeten besteden.
Conclusie
Cyberrisico’s en cybersecurity krijgen op alle terreinen meer en meer aandacht. Bestuurders behoren wetenschap te hebben van het bestaan van deze risico’s en te weten welke kwetsbaarheden de onderneming heeft. In het kader van de behoorlijke taakvervulling waarmee bestuurders zijn belast, dienen zij waar nodig maatregelen te nemen en te investeren in beveiliging. Aandacht voor cybersecurity en cyberrisico’s moet onderdeel (gaan) uitmaken van het algemene risicomanagement van organisaties. Voor zover bestuurders cyberrisico’s nog niet op de agenda hebben staan, wordt dat – mede in het licht van Wet Meldplicht Datalekken – wat mij betreft de hoogste tijd.
Gerelateerd
Aansprakelijkheid
