De afgelopen maanden hebben  we bij Turien & Co. veel aandacht besteed aan cyberrisico’s en de Meldplicht Datalekken. Wij waren daarin niet de enige…. Niet alleen stond de verzekeringsvakpers vol met informatie over de Meldplicht Datalekken ook advocatenkantoren en  accountants bloggen graag over dit onderwerp. Een cyberverzekering is een oplossing voor dit risico, maar wat als deze er niet is? Wie draait er dan op voor de kosten? Kunnen de bestuurders hiervoor uiteindelijk in hun privévermogen worden aangesproken? 

Bij een datalek onderscheiden wij grofweg de volgende kostensoorten:   

  • De boete op grond van de Meldplicht Datalekken; 
  • De interne kosten die een organisatie moet maken om een datalek af te handelen. Hierbij valt te denken aan opsporings-, onderzoeks-, meldings-, correspondentiekosten en juridisch advies;
  • De externe kosten. Hierbij valt te denken aan aansprakelijkheids- en verweerkosten. 

Een bestuurder van een rechtspersoon is niet zomaar aansprakelijk. Echter, hiervan kan wel sprake zijn bij een onbehoorlijke taakvervulling of wanneer de bestuurder een ernstig verwijt te maken valt. Rechterlijke uitspraken op het gebied van bestuurdersaansprakelijkheid en datalekken of privacyschending zijn er bij mijn weten op dit moment nog niet. Wel zien wij twee nationale en één internationale ontwikkelingen op het gebied van bestuurdersaansprakelijkheid waardoor dit mogelijk in de toekomst verandert:

1. Uit onachtzaamheid fundamentele bestuursplichten verwaarlozen, zoals het bijhouden van behoorlijke administratie en boekhouding. 

Het bijhouden van een behoorlijke administratie is een duidelijke plicht van het bestuur. Vandaag de dag zou je eveneens van een bestuurder mogen verwachten dat deze administratie adequaat wordt beveiligd. Zeker wanneer het hier gaat om privacygevoelige persoonsgegevens. 

Enerzijds is dit in het belang van de organisatie. Een datalek kost simpelweg geld en is bovendien van invloed op de reputatie van een organisatie, daarnaast verlangt Meldplicht Datalekken (Wet Bescherming Persoonsgegevens) dit van een organisatie. 

Anderzijds kan een datalek ook anderen (klanten, cliënten en patiënten) schade toebrengen. Denk hierbij bijvoorbeeld aan een datalek bij een bedrijfsarts waardoor een medewerker geen kans maakt op een andere baan. 

Zou je van een bestuurder niet mogen verwachten dat de rechtspersoon, in het bijzonder wanneer deze  privacygevoelige informatie onder zich heeft, adequate technische en organisatorische preventie- en beveiligingsmaatregelen treft?

2. Nalaten zich in te dekken tegen duidelijk te voorziene (financiële) risico's.

In onze vorige blog publiceerden wij een overzicht van de kosten bij een datalek. Naast deze kosten zijn er ook andere cyberrisico’s die mogelijk tot een grote schadepost kunnen leiden; denk aan bijvoorbeeld omzetderving door een offline website of portaal. Zijn deze risico’s duidelijk te voorzien? Datalekken zijn wekelijks in het nieuws…

Cyberrisico's zouden dus in iedere bestuurskamer besproken moeten worden, het is immers 2016!

3. In de Verenigde Staten hebben met name aandeelhouders de afgelopen jaren diverse malen getracht bestuurders aansprakelijk te stellen voor een datalek, overigens zijn deze claims lang niet altijd succesvol. Argumenten die in deze zaken worden aangevoerd zijn onder andere het hebben van zwaar verouderde systemen of het niet adequaat monitoren van de ICT-processen (gebrek aan controle). 

Hoe zit het met de dekking op een bestuurdersaansprakelijkheidsverzekering? 

Boetes zijn een met naamgenoemde uitsluiting op de bestuurdersaansprakelijkheidsverzekering, dus hiervoor biedt de bestuurdersaansprakelijkheidsverzekering dan ook geen dekking. Voor de interne en externe kosten ligt dit anders en is deze dekking er doorgaans bij de meeste maatschappijen wel. Een goede bestuurdersaansprakelijkheidsverzekering biedt namelijk dekking bij doen en bij nalaten en biedt tevens dekking voor het niet afsluiten van een adequate verzekering. Dat er mogelijk voor een deel van de kosten uiteindelijk dekking bestaat op een bestuurdersaansprakelijkheidsverzekering, betekent uiteraard niet dat een cyberverzekering overbodig is. 

Conclusie

Een aandeelhouder of andere belangrijke stakeholder zou wanneer de financiële consequenties erg groot zijn wellicht een bestuurder succesvol kunnen aanspreken bij een datalek. Want die duurbetaalde en ervaren bestuurder moet toch weten dat er voor Windows XP geen beveiligingsupdates meer plaatsvinden? 

Waar ik persoonlijk het meest van verwacht is bestuurdersaansprakelijkheid op grond van de externe kosten. Wanneer particulieren schade hebben als gevolg van een datalek en de rechtspersoon onvoldoende financiële middelen heeft om deze schade te vergoeden, is het dan niet redelijk dat de particuliere klanten dit op de bestuurders kunnen verhalen? Ik zie meerdere aanknopingspunten waaronder de meldplicht datalekken, de aankomende Dataprotectieverordening, de Autoriteit Persoonsgegevens die in een open brief aan bestuurders van zorginstellingen aandacht vraagt voor de bescherming van patiëntgegevens  en de maatschappelijke ontwikkelingen die tenderen naar het secuur omgaan met privacygevoelige informatie. Ik ben benieuwd hoe dit zich verder zal gaan ontwikkelen!

https://nl.linkedin.com/in/bjornjalving 

Björn Jalving
Teamleider Markt & Product