Waarmee kunnen wij u helpen?

    Nieuws

    Cyber in de Boardroom?!

    Bij supermarktketen Target in de V.S. waren creditcardgegevens van miljoenen klanten gelekt. Het incident leidde niet alleen tot het aftreden van de CEO, maar ook tot zijn persoonlijke aansprakelijkstelling. De bestuurders zouden onvoldoende zorg hebben besteed aan data beveiliging en onvoldoende informatie aan klanten hebben verstrekt, nadat de creditcardgegevens waren gestolen. Zijn dit 'Amerikaanse toestanden' of kunnen ook Nederlandse bestuurders persoonlijk aansprakelijk zijn als hun organisatie slachtoffer wordt van cybercriminaliteit?

    IT en cybersecurity horen thuis in de boardroom. En gaan meer en meer de agenda beheersen. Niet alle bestuurders en commissarissen hebben dit in afdoende mate door. Zij die het belang van dit onderwerp onderkennen, verlammen soms door alle angstaanjagende verhalen in de pers. Vanuit het perspectief van de onderneming is dit niet wenselijk; kansen worden niet (afdoende) benut en risico's niet (afdoende) onderkend. Bestuurders en commissarissen zijn er zich er ook niet altijd van bewust dat zij in privé aansprakelijk kunnen zijn voor de gevolgen daarvan. Ook dat maakt dat zij IT en cybersecurity op hun agenda moeten hebben staan.

    De lat voor aansprakelijkheid van bestuurders en commissarissen in privé voor schade van de vennootschap (of andere rechtspersoon) die zij besturen c.q. waar zij commissaris zijn, ligt hoog. Wordt de onderneming (door een ontoereikende IT infrastructuur) slachtoffer van cybercriminaliteit, dan leidt dit nog niet direct tot een persoonlijke aansprakelijkheid van het bestuur. In eerste instantie komt schade die de vennootschap lijdt als gevolg van het handelen of nalaten van haar bestuurders of commissarissen voor eigen rekening van de vennootschap. Dat zelfde geldt voor schade die de vennootschap aan derden berokkent. De achterliggende gedachte is dat bestuurders en commissarissen zich niet door angst voor aansprakelijkstelling moeten laten weerhouden van het vervullen van hun taak. Niemand kan immers in een glazen bol kijken en zonder het nemen van enig risico is de kans op winst klein. Dat betekent dat pas bij een zogenaamd ernstig verwijt van onbehoorlijk bestuur of toezicht aansprakelijkheid in privé aan de orde kan zijn. Of dat zo is, hangt af van alle omstandigheden van het geval, zoals het soort onderneming, de financiële situatie, etc. Indien handelen of stilzitten tot voorzienbare schade voor de onderneming (discontinuïteit) of derden leidt, of de kans daarop onverantwoord groot is, lopen bestuurders en commissarissen een reëel aansprakelijkheidsrisico. Hoewel de lat hoog ligt, kan ook een bestuurder of commissaris die te goeder trouw handelt persoonlijk aansprakelijk zijn. Indien hij iets niet wist dat hij had moeten weten of waarover hij zich had kunnen laten adviseren, kan hij zich niet achter zijn onwetendheid en goede bedoelingen verschuilen.

    Cyberincidenten hebben in de regel een grote impact, zowel op de onderneming als op derden. Boetes voor datalekken, het stilvallen van de productie, het kwijtraken van klantgegevens zijn bekende schadevoorbeelden uit de praktijk. Schade die voorzienbaar het gevolg kan zijn van een cyberincident. Tel daarbij op dat we inmiddels weten dat het niet zozeer meer de vraag is of een cyberincident plaatsvindt maar eerder wanneer.

    Dan is duidelijk dat bestuurders en commissarissen er goed aan doen zich hoogstpersoonlijk te vergewissen van zowel de toereikendheid van voorzorgsmaatregelen als het voorhanden zijn van een actieplan waarmee een incident zo snel mogelijk wordt ontdekt en wordt verholpen en schade zoveel mogelijk beperkt. Ook de externe communicatie over het incident behoort hiertoe, ter voorkoming van reputatieschade voor de vennootschap. Een en ander moet tegenwoordig tot de kern van het risicomanagement van vrijwel elke onderneming gerekend worden. Risicomanagement is op zijn beurt een belangrijke taak van het bestuur, op de naleving waarvan de commissarissen toezicht houden.

    Voor de bestuurder en commissaris die dit te algemeen vinden of denken dat het zo'n vaart niet zal lopen, is het goed zich te realiseren dat wet- en regelgeving nadere eisen aan hun handelen stellen.

    Daarbij is natuurlijk in eerste instantie specifieke wetgeving op het terrein van cybersecurity van belang. Denk bijvoorbeeld aan regels die een onderneming verplichten informatie te beveiligen, zoals de Wet bescherming persoonsgegevens.

    Maar ook de naleving van meer algemene verplichtingen kan bij het niet op orde zijn van de IT infrastructuur en/of als gevolg van een cyberincident in het gedrang komen. Hier springen met name de algemene boekhoudplicht (kort gezegd het op zodanige wijze voeren van de administratie dat te allen tijde de rechten en verplichtingen van de vennootschap kunnen worden gekend) en de plicht tot tijdige publicatie van de jaarrekening in het oog. Zonder een adequaat functioneren van de IT systemen - met het (tijdelijk) niet beschikbaar zijn van (correcte) gegevens of het verloren gaan daarvan als gevolg - is moeilijk voorstelbaar dat aan deze verplichtingen kan worden voldaan. Dat impliceert ook dat bestuur en de raad van commissarissen niet over toereikende stuurinformatie beschikken om te beoordelen hoe de onderneming er (financieel) voor staat en niet tijdig maatregelen kunnen nemen.

    Nu worden juist de naleving van de boekhoudplicht en de publicatieplicht door de wetgever als van essentieel belang geoordeeld. Bij schending van één van die bepalingen staat in een procedure van een curator tegen bestuurders en/of commissarissen, in geval van faillissement, vast dat sprake is van kennelijk onbehoorlijk bestuur (en mogelijk toezicht) en wordt vermoed dat dat een belangrijke oorzaak van het faillissement is. Gevolg is dat de curator het gehele tekort van het faillissement op de bestuurders of commissarissen mag verhalen, tenzij deze aantonen dat er een andere belangrijke externe oorzaak van het faillissement is. Dat zal niet altijd eenvoudig zijn indien bestuurders en commissarissen niet tijdig over juiste stuurinformatie beschikten. Achteraf wordt dan - zeker voor buitenstaanders - makkelijk de conclusie getrokken dat zij bij gebreke aan die informatie de onderneming niet tijdig voor het faillissement hebben kunnen behoeden en dat daar de oorzaak van het faillissement ligt.

    Kortom, de bestuurder of commissaris die IT en cybersecurity niet de aandacht geeft die deze verdienen, loopt het risico in privé voor de gevolgen aansprakelijk gesteld te worden. In Nederland zijn mij nog geen gepubliceerde zaken bekend waarin een cyber incident tot claims tegen bestuurders of commissarissen in privé leidden. In Amerika is de Target case een sprekend voorbeeld. In Nederland zijn wel vele, sprekende, voorbeelden voorhanden van zaken waarin het ontbreken van een toereikende IT infrastructuur bestuurders en commissarissen in problemen brengt bij gebreke aan toereikende stuurinformatie. Of dat nu komt doordat die structuur van meet af aan ontbrak of doordat die structuur niet langer betrouwbare gegevens oplevert of uitvalt maakt niet veel uit. De bestuurder of commissaris die niet anticipeert op materialisatie van laatstgenoemd risico, accepteert in de meeste gevallen een te groot risico op schade voor in het bijzonder de vennootschap en mogelijk ook haar  stakeholders. Dat kan leiden tot aansprakelijkheid in privé.

    Voor meer informatie kunt u contact opnemen met Annemieke Hendrikse.

    Bron: Automatiseringgids, november 2015