Verantwoordelijkheid van bestuurder bij cybercrime

Het wordt er voor bestuurders niet makkelijker op om aan geldende wet- en regelgeving te voldoen. In dit artikel staat cybercrime en de rol van beheerders van een vennootschap centraal. Er is een duidelijke trend waarbij toezichthouders, zoals de AFM en de ACM, ondernemingen (en hun bestuurders) controleren op het naleven van wetgeving.

Autoriteit Persoonsgegevens

Ook de Autoriteit Persoonsgegevens (het vroegere College bescherming persoonsgegevens) kan voor een overtreding van de Wbp hoge boetes uitdelen, bijvoorbeeld in het geval van datalekken, waarvoor de onderneming verantwoordelijk is. Bestuurders hebben daar ook mee te maken.

Aansprakelijkheid als bestuurder

Bij bestuurdersaansprakelijkheid (intern of extern) gaat het meestal om aansprakelijkheid in een faillissementssituatie (wanbeleid) of het onverantwoord aangaan van verplichtingen, die niet worden nagekomen. Een bestuurder kan evenwel ook aansprakelijk zijn voor het niet naleven van de regels die cybercrime moeten voorkomen.

Wet bescherming persoonsgegevens

Dat een bestuurder ook aansprakelijk kan zijn voor de gevolgen van cybercrime, bijvoorbeeld na het hacken van computers van zijn onderneming, lijkt misschien vergezocht, maar dat is het niet. De Wet bescherming persoonsgegevens (Wbp) stelt niet alleen eisen aan de verwerking van persoonsgegevens maar ook aan de beveiliging daarvan.

Meldplicht datalek

Daar komt bij dat een onderneming, en dus ook de bestuurder, gehouden is melding te maken van datalekken. Op het niet melden van een datalek staan fikse boetes, oplopend tot € 820.000 of zelfs 10% van de jaaromzet als de maximale geldboete niet voldoende effect heeft. Voor de naleving van alle privacy voorschriften is de onderneming, en daarmee ook de bestuurder, verantwoordelijk.

Daarnaast kent de privacywetgeving ook bepalingen die rechtstreeks verwijzen naar ‘hen die feitelijk verantwoordelijk zijn’ voor bepaalde verboden gedragingen of het tekortschieten in het treffen van maatregelen op het gebied van bescherming van persoonsgegevens. Die bepalingen maken duidelijk dat de bestuurders rechtstreeks kunnen worden aangesproken.

Slotsom

In de regel is het zo dat indien een vennootschap tekortschiet in de nakoming van een verplichting of een onrechtmatige daad pleegt, de vennootschap aansprakelijk is voor de daaruit voortvloeiende schade, maar is er ook ruimte voor aansprakelijkheid van de bestuurder van de vennootschap als hij of zij tekortschiet in de naleving van de privacy en het voorkomen van cybercrime.
Meer weten? Neem contact op met één van onze specialisten. Zij helpen u graag verder.