Bestuurder aansprakelijk voor datalek?

De afgelopen maanden is er veel aandacht besteed aan cyberrisico’s en de Meldplicht Datalekken. Ook advocatenkantoren en accountants bloggen graag over dit onderwerp. Een cyberverzekering is een oplossing voor dit risico. Maar wie draait er op voor de kosten als deze er niet is, vraagt Björn Jalving (Turien & Co) zich af. “Kunnen de bestuurders hiervoor uiteindelijk in hun privévermogen worden aangesproken?”

Bij een datalek onderscheiden wij grofweg de volgende kostensoorten:
• de boete op grond van de Meldplicht Datalekken;
• de interne kosten die een organisatie moet maken om een datalek af te handelen. Hierbij valt te denken aan opsporings-, onderzoeks-, meldings-, correspondentiekosten en juridisch advies;
• de externe kosten. Hierbij valt te denken aan aansprakelijkheids- en verweerkosten.

Een bestuurder van een rechtspersoon is niet zomaar aansprakelijk. Hiervan kan echter wel sprake zijn bij een onbehoorlijke taakvervulling of wanneer de bestuurder een ernstig verwijt te maken valt. Rechterlijke uitspraken op het gebied van bestuurdersaansprakelijkheid en datalekken of privacyschending zijn er bij mijn weten op dit moment nog niet. Wel zien wij twee nationale en één internationale ontwikkelingen op het gebied van bestuurdersaansprakelijkheid waardoor dit mogelijk in de toekomst verandert.

Uit onachtzaamheid fundamentele bestuursplichten verwaarlozen. Het bijhouden van een behoorlijke administratie is een duidelijke plicht van het bestuur. Vandaag de dag zou je eveneens van een bestuurder mogen verwachten dat deze administratie adequaat wordt beveiligd. Zeker wanneer het hier gaat om privacygevoelige persoonsgegevens.

Enerzijds is dit in het belang van de organisatie. Een datalek kost simpelweg geld en is bovendien van invloed op de reputatie van een organisatie, daarnaast verlangt de Meldplicht Datalekken (Wet Bescherming Persoonsgegevens) dit van een organisatie. Anderzijds kan een datalek ook anderen (klanten, cliënten en patiënten) schade toebrengen. Denk hierbij bijvoorbeeld aan een datalek bij een bedrijfsarts, waardoor een medewerker geen kans maakt op een andere baan.

Zou je van een bestuurder niet mogen verwachten dat de rechtspersoon – in het bijzonder wanneer deze privacygevoelige informatie onder zich heeft – adequate technische en organisatorische preventie- en beveiligingsmaatregelen treft?

Nalaten zich in te dekken tegen voorzienbare (financiële) risico's. In een eerdere blog op de website van Turien publiceerden wij een overzicht van de kosten bij een datalek. Naast deze kosten zijn er ook andere cyberrisico’s die mogelijk tot een grote schadepost kunnen leiden; denk bijvoorbeeld aan omzetderving door een offline website of portaal. Zijn deze risico’s duidelijk te voorzien? Datalekken zijn wekelijks in het nieuws. Cyberrisico zouden dus in iedere bestuurskamer besproken moeten worden, het is immers 2016!

In de VS hebben aandeelhouders de afgelopen jaren diverse malen getracht bestuurders aansprakelijk te stellen voor een datalek. Overigens zijn deze claims lang niet altijd succesvol. Argumenten die in deze zaken worden aangevoerd zijn onder meer het hebben van zwaar verouderde systemen of het niet adequaat monitoren van de ICT-processen (gebrek aan controle).

Dekking bestuurdersaansprakelijkheidsverzekering

Boetes zijn een met name genoemde uitsluiting op de bestuurdersaansprakelijkheidsverzekering, dus hiervoor biedt deze verzekering dan ook geen dekking. Voor de interne en externe kosten ligt dit anders en is deze dekking er doorgaans bij de meeste maatschappijen wel. Een goede bestuurdersaansprakelijkheidsverzekering biedt dekking bij doen en bij nalaten en biedt tevens dekking voor het niet afsluiten van een adequate verzekering. Dat er mogelijk voor een deel van de kosten uiteindelijk dekking bestaat op een bestuurdersaansprakelijkheidsverzekering, betekent uiteraard niet dat een cyberverzekering overbodig is.

Vaker verhaal op bestuurders
Wanneer de financiële consequenties erg groot zijn, zou een aandeelhouder of een andere belangrijke stakeholder een bestuurder succesvol kunnen aanspreken bij een datalek. Die duurbetaalde en ervaren bestuurder moet toch immers weten dat er voor Windows XP geen beveiligingsupdates meer plaatsvinden?

Waar ik persoonlijk het meest van verwacht is bestuurdersaansprakelijkheid op grond van de externe kosten. Wanneer particulieren schade hebben als gevolg van een datalek en de rechtspersoon onvoldoende financiële middelen heeft om deze schade te vergoeden, is het dan niet redelijk dat de particuliere klanten dit op de bestuurders kunnen verhalen? Ik zie meerdere aanknopingspunten waaronder de meldplicht datalekken, de aankomende Dataprotectieverordening, de Autoriteit Persoonsgegevens die in een open brief aan bestuurders van zorginstellingen aandacht vraagt voor de bescherming van patiëntgegevens en de maatschappelijke ontwikkelingen die tenderen naar het secuur omgaan met privacygevoelige informatie. Ik ben benieuwd hoe dit zich verder zal gaan ontwikkelen!

Reactie toevoegen

AP: 1.946 datalekmeldingen financiële dienstverlening

De Autoriteit Persoonsgegevens (AP) ontving in 2023 meer dan 25.000 meldingen van een datalek. De meeste datalekmeldingen waren van organisaties in de sectoren...

Campagne ‘Dubbel beveiligd is dubbel zo veilig’

De Rijksoverheid is de campagne ‘Dubbel beveiligd is dubbel zo veilig’ gestart. Deze campagne wil Nederlanders stimuleren tweestapsverificatie in te...

AI vergroot risico bestuurders bedrijven

Bestuurders van bedrijven kunnen voor steeds meer zaken aansprakelijk worden gesteld, volgens het D&O verzekeringsrapport van Allianz Commercial. Allianz: “Inadequate...

Brochure met tips van adviseurs over cyberrisicoverzekeringen

Turien & Co. en AnsvarIdéa hebben een brochure uitgebracht met tips van financieel adviseurs aan collega’s over de advisering van cyberrisicoverzekeringen. De...

Eerste codes schadeoorzaken cyber

De eerste codes schadeoorzaken voor de branche Cyberverzekeringen zijn gepubliceerd. Deze codes zijn ontwikkeld door het kennis- en standaardisatie-instituut...

Een cyberverzekering die beter te vergelijken is

(Blog door Björn Jalving, manager productmanagement bij Turien & Co.) PCI, EDR en MFA. Grote kans dat je deze drie afkortingen tegenkomt als je cyberverzekeringen...

Verbond: “Niet doen alsof markt cyberverzekeringen al volwassen is”

Verzekeraars zetten al stappen om cyberpolissen voor iedereen begrijpelijker en beter vergelijkbaar te maken. Aldus reageert het Verbond van Verzekeraars op de AFM-verkenning...

Adfiz: "Preventie-eisen cyberverzekering moeten duidelijk zijn"

"Wij herkennen de problemen die de AFM signaleert over cyberverzekeringen." Zo reageert Adfiz op de maandag verschenen AFM-verkenning waarin de toezichthouder verzekeraars...

AFM: "Vergelijkbaarheid cyberpolissen vraagt aandacht van verzekeraars"

Het is moeilijk om cyberverzekeringen onderling te vergelijken, onder meer door complexiteit van het risico en de voorwaarden. Het is van belang dat de sector gezamenlijk...

Consultatie van aanpassing van bedragen voor beroepsaansprakelijkheidsverzekering verzekeringssector

De Europese toezichthouder op de verzekeringssector EIOPA wil de wettelijk verplichte minimale verzekerde bedragen voor de beroepsaansprakelijkheidsverzekering voor...

Events

VVP Vakevent Inkomen 2024

2 juli 2024 - 2 juli 2024

Lees meer

Finale VVP Advies Award 2024

1 oktober 2024 - 1 oktober 2024

Lees meer

Quote van de dag

Het is toch niet sinds gisteren bekend dat Nederland op palen en drijfzand is gebouwd?

Rubriek 'Actueel op de korrel' in de nieuwe VVP

Stelling

Wet toekomst pensioenen niet meer ter discussie stellen

Laatste reacties

Recente editie

VVP 2-2024 introduceert nieuwe gezichten in die o zo leuke rubriek ‘Uit de adviespraktijk’: Christian Dijkhof (Dijkhof & Partners, HypotheekCompany, OvFD), Thomas van Uunen (Thomas verzekert) en Dorthe Verheijden (Bij Verheijden). “Er is zoveel wat beter kan”, aldus Dorthe.

Adfiz-directeur Enno Wiertsema neemt het op tegen ChatGPT. “Zou u boarden in een vliegtuig dat uitsluitend door AI-technologie wordt bestuurd?”

Het vrouwenquotum mag ambitieuzer en zeker breder, zegt Pascale van Heugten (La Confiante) in de rubriek ‘Vrouw & Advies’. Sanne Geerts vertelt hoe Geerts verduurzaamt.

In de praktijkrubriek Ken je vak! onder meer AI in de adviespraktijk, aan de slag met zorgplicht, een eerste bespreking van het OCTAS-rapport en aandacht voor de problematiek van de duurzame drager.

In het katern Pensioen & Vermogen verslagen van de kennissessies op het gelijknamige VVP-event van 19 maart. Uiteraard ook aandacht voor de algemene inleidingen door Theo Gommer ( “Verplichtstelling afschaffen en pensioenplicht invoeren”) en Hubrien Meijaard (‘Kies voor écht duurzaam beleggen”).

Bekijk de inhoud

Special Duurzaam Advies

Duurzaamheid is een onderdeel van modern ondernemerschap. Iedere adviseur zal actie moeten ondernemen. Aldus Kees Dullemond (INSVER) in de special Duurzaam Advies 2024, een nauwe samenwerking van VVP en het instituut voor verduurzaming van de financiële sector. De special barst van de tips, praktijkinfo en handige checklists om verduurzaming in het eigen bedrijf vorm te geven én om de klant aan het verduurzamen te krijgen.

Adviseurs Mieke Dadema, Thomas Paardekooper, Alexander Vugts, André Vugts en Paul Burger vertellen hoe zij duurzaam advies in de praktijk brengen. “Duurzaamheid draait om duurzame relaties”, aldus Dadema.

Verder bijdragen van onder meer Adfiz (‘Advies kan duurzaam gedrag verbeteren”), Fred de Jong (“Duurzaam advies aan mkb is integraal”) en het Verbond van Verzekeraars (“Deze transitie gaat alle klanten raken”).

In een rondetafel stellen kennispartners AnsvarIdéa/Turien &Co.,Evi Van Lanschot, INSVER, MainPlus, Obvion: “De wereld verandert, dat is een gegeven, maar wij kunnen nu samen al de richting bepalen.”

Bekijk de inhoud

Nieuwsbrief

Wil je op de hoogte blijven van het laatste nieuws? Meld je dan hier aan voor de nieuwsbrief!