Bestuurder persoonlijk aansprakelijk voor ICT problemen
Stelt u zich de volgende situatie eens voor. U bent directeur van een bedrijf dat kleding, schoenen en dergelijke verkoopt. Een groot deel van de verkopen gaat tegenwoordig digitaal. Omdat u dat op tijd in hebt gezien hebt u in de nog altijd voortdurende moeilijke retailmarkt het hoofd boven water weten te houden. Daartoe hebt u gebruikt gemaakt van gepersonaliseerde aanbiedingen voor uw klanten, waarbij zij op basis van hun zoekgeschiedenis en interesse profielen, gerichte aanbiedingen toegestuurd hebben gekregen via internet. De klanten hebben zeer veel gegevens achtergelaten op uw site, dat alles om fikse kortingen te krijgen.
Op een dag blijkt dat uw bedrijf slachtoffer is geworden van een grootschalige hack. Één van uw werknemers is nogal slordig omgegaan met inloggegevens, zodat deze via een stagiaire bij hackers terecht is gekomen. Door de hack hebben onbekenden inzicht gekregen in uitgebreide gevoelige informatie van uw klanten. Het gaat dan bijvoorbeeld om naam, adres, woonplaats, maar ook telefoonnummer, e-mailadres en belangrijker nog hun betaalgegevens. Met andere woorden: een datalek. Een dergelijk datalek moet u melden aan de autoriteit persoonsgegevens. Wanneer en hoe dat precies moet gebeuren, dat laat ik verder even in het midden, maar u kunt dat gemakkelijk terugvinden op onze website.
Belangrijker is dat u tot uw schrik erachter komt dat uw bedrijf niet verzekerd was voor voorvallen als deze. U hebt geen zogenaamde cyberrisicoverzekering afgesloten. Naast aanzienlijke reputatieschade zijn er ook diverse klanten van uw bedrijf die uw bedrijf aansprakelijk stellen voor schade door het datalek en daarnaast wordt uw bedrijf aansprakelijk gesteld door uw leveranciers, nu ook gegevens van hun klanten op deze manier op straat zijn komen te liggen.
Omdat uw bedrijf een besloten vennootschap is, maakt u zich persoonlijk niet zo’n zorgen over deze aanspraken. Immers, u kunt persoonlijk niet “gepakt” worden, ook al weet u dat u zelf niet helemaal vrijuit gaat.
Tot uw grote schrik en verbazing blijkt echter dat u ook persoonlijk wordt aangesproken op basis van artikel 2:9 van het Burgerlijk Wetboek. Uit dit artikel vloeit kort gezegd de zorgplicht van een bestuurder voort. Men verwijt u enerzijds persoonsgegevens te hebben verhandeld zonder daartoe toestemming te hebben van de betrokkenen, hetgeen op basis van de Wet Bescherming Persoonsgegevens wel had gemoeten en daarnaast dat u uw zorgplicht als bestuurder hebt geschonden, door geen adequate verzekering af te sluiten voor de risico’s die uw bedrijf liep. De uitkomst van deze procedures is uiterst ongewis maar de risico’s zijn aanzienlijk.
Voorkomen is beter dan genezen
Voorgaande situatieschets is algemeen en het is zeker niet gezegd dat een bestuurder in een dergelijk geval sowieso persoonlijk aansprakelijk zal zijn. Ik wil echter met de schets van deze situatie aangeven dat dit een vrij gebruikelijke gang van zaken is. Bovendien leert de ervaring dat veel ondernemers, of zij nu al dan niet statutair directeur zijn, zich weinig bewust zijn van de risico’s van IT-problemen binnen hun onderneming.
Vanuit Amerika waait inmiddels ook de trend over om bestuurders voor dergelijke situaties aansprakelijk te kunnen houden. Immers, een bestuurder moet op basis van de wet zorgen voor zorgvuldig bestuur van de onderneming. Daaronder kan zeker worden verstaan het afsluiten van een adequate verzekering, althans ervoor te zorgen dat de risico’s en de gevolgen van ICT problemen zo klein mogelijk zijn.
1. Als u deze situatie ook maar enigszins herkent, dan raad ik u aan om in ieder geval twee zaken te doen.Inventariseer en instrueer. De beveiliging van uw bedrijf begint met een goede inventarisatie van de risico’s. U moet weten waar en hoe uw bedrijf kwetsbaar is voor [ICT] problemen. Daarvoor kunt u uw eigen ICT personen aan het werk zetten, maar soms is het verstandig om een externe in te schakelen die extra kritisch naar uw processen kan kijken. Zodra de risico’s zijn geïnventariseerd, is het aan te raden om ook het personeel adequaat te instrueren. Er moet voor gezorgd worden dat zo snel mogelijk en adequaat mogelijk wordt gehandeld mocht er inderdaad sprake zijn van een ICT probleem met vergaande gevolgen. Dan heb ik het niet alleen over datalekken, maar ook over alle andere mogelijke gevaren voor de bedrijfsvoering.
2. Onderzoek of het in uw situatie verstandig is om een cyberrisicoverzekering af te sluiten. Er zijn bijna geen bedrijven meer die überhaupt niet met ICT te maken hebben en dus loopt ieder bedrijf een zeker risico. Hoe groot dat risico is en hoe duur het is om dat risico te verzekeren, zal natuurlijk afhangen van het daadwerkelijke bedrijf. In zijn algemeenheid is het echter wel zeer aan te raden om een cybersecurityverzekering check te laten doen door een verzekeraar/ICT bedrijf, zodat u weet of en hoe risico’s verzekerd moeten en kunnen worden.
De aansprakelijkheid voor een B.V. voor ICT problemen is één ding, aansprakelijkheid voor u als bestuurder in privé is een stuk erger. Hoewel bestuurders in Nederland nog niet in persoon aansprakelijk zijn gesteld voor ICT problematiek op deze schaal, is het niet meer dan logisch dat het op een bepaald punt zeker zal gebeuren. Probeer in ieder geval te voorkomen dat u die eerste persoon bent.
Mocht u nog vragen hebben naar aanleiding van dit artikel neemt u dan contact met mij op.
