Meldplicht datalekken

Bestuurdersaansprakelijkheid bij niet-melden datalek

Veelal wordt verondersteld dat de verplichtingen uit hoofde van de Meldplicht Datalekken en andere vertrouwelijkheidsvraagstukken typische ondernemingsrisico’s zijn. Bestuurders dienen ervan doordrongen te zijn dat veel van deze risico’s door de wetgever en claimanten juist naar hen verlegd worden.

Sinds 1 januari 2016 zijn bedrijven verplicht om ernstige datalekken te melden. Dit wordt door de  Wet Bescherming Persoonsgegevens (Wbp) voorgeschreven. Bij ‘datalek’ zal vaak gedacht worden aan systemen van grote bedrijven waarop wordt ingebroken door hackers. Maar vaak is er al eerder en sneller sprake van een datalek, dat gemeld moet worden. Het zal daarbij moeten gaan om een aanzienlijke kans op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Zo kan bijvoorbeeld al sprake zijn van een meldenswaardig datalek bij een zoekgeraakte USB-stick met daarop informatie of bij het versturen van een e-mail aan een verkeerde persoon. Dit blijk ook uit het recente overzicht dat door de Autoriteit Persoonsgegevens is gepubliceerd naar aanleiding van het eerste jaar van ‘de meldplicht datalekken’. 
 
Persoonlijke boete
 
Op het niet nakomen van de meldplicht onder de Wbp kunnen relatief hoge sancties staan. De Autoriteit Persoonsgegevens kan bedrijven een boete van maximaal EUR 820.000,- (of 10% van de jaaromzet, indien dit hoger is) opleggen. Uit de Parlementaire Geschiedenis blijkt dat deze boete ook aan natuurlijke personen kan worden opgelegd indien: “zij feitelijk leiding hebben gegeven respectievelijk opdracht hebben gegeven tot het verrichten van de verboden gedraging en hebben nagelaten om maatregelen te treffen ter voorkoming van een verboden gedraging en daarmee bewust de kans wordt aanvaard dat deze gedraging zal plaatsvinden”
 
Persoonlijke aansprakelijkheid
 
Langs deze weg lopen bestuurders bij het niet-melden van datalekken het risico op persoonlijke aansprakelijkheid. Denkbaar is ook dat nadat de rechtspersoon door de Autoriteit Persoonsgegevens een boete krijgt opgelegd, de rechtspersoon vervolgens intern de bestuurder aanspreekt. De bestuurder zal bijvoorbeeld onbehoorlijk bestuur verweten kunnen worden, indien hij bekend is geweest met de ernst van de datalek en hij in weerwil van die kennis heeft nagelaten de juiste maatregelen te treffen. Belangrijk is ook dat tevens de personen wiens gegevens zijn gelekt, de bestuurder persoonlijk kunnen aanspreken. Mede gelet op de mogelijke substantiële financiële risico’s is het voor bestuurders raadzaam om niet alleen toe te zien op verzekering van het zogenaamde cyberrisico, maar ook een afdoende (bestuurdersaansprakelijkheids)verzekering af te sluiten.
 
Cyberrisico’s en bewustzijn daaromtrent
 
Voor bestuurders is er dus reden genoeg om stil te staan bij de meldplicht van datalekken die door de Wbp wordt voorgeschreven. Vandaag de dag is het onderwerp van cyberrisico’s, inclusief het monitoren en voorkomen daarvan, dermate belangrijk dat het bestuur er goed aan doet om daarvoor ruimte in te ruimen op de agenda (van het bestuur). Uiteraard geldt daarbij dat naarmate de IT-systemen van de onderneming verouderd zijn, de risico’s groter worden. Het is dus belangrijk dat het bestuur zich goed laat adviseren over de IT-systemen die het bedrijf gebruikt. Daarnaast is het van belang om periodiek het personeel te instrueren over het gewenste IT-gebruik.
 
Nieuwe regelgeving per 25 mei 2018
 
Overigens is van belang dat per 25 mei 2018 de Algemene verordening gegevensbescherming (AVG) van toepassing is. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie. De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. De AVG zorgt onder meer voor versterking en uitbreiding van privacyrechten, meer verantwoordelijkheden voor organisaties en stevige bevoegdheden voor alle Europese privacytoezichthouders, zoals de bevoegdheid om boetes tot 20 miljoen euro op te leggen. Het is voor bedrijven en bestuurders, mede uit het oogpunt van bestuurdersaansprakelijkheid, van belang om de periode tot de inwerkingtreding te gebruiken om de organisatie aan te passen aan de eisen zoals die zullen gaan gelden per 25 mei 2018. Vanwege de strengere en verdergaande regelgeving en potentieel zwaardere sancties, neemt het belang voor bestuurders om een afdoende (bestuurdersaansprakelijkheids)verzekering af te sluiten ook toe.