Privacy en Bestuurders aansprakelijkheid

De afgelopen tijd hebben wij het regelmatig bij u onder de aandacht gebracht; de digitalisering van de samenleving en de opkomst van commercieel gebruik van het internet heeft de wereld veranderd. Dit brengt kansen, maar ook risico’s met zich mee. Risico’s waar u zich als ondernemer bewust van moet zijn. De verantwoordelijkheid en aansprakelijkheid van een bestuurder raakt namelijk vele vlakken, steeds meer ook het vlak van privacy.

Meldplicht

Een goed voorbeeld hiervan is de per 1 januari 2016 ingevoerde Wet Meldplicht Datalekken. In Nederland lopen we hiermee voorop, want in Europa geldt deze meldplicht vanaf 25 mei 2018 ook als de Algemene Verordening Gegevensbescherming van toepassing wordt. Datalekken moeten worden gemeld en als dit wordt vergeten, kunnen er hoge boetes worden opgelegd.

De meldplicht die voor ondernemers geldt, zorgt er – samen met de strenger wordende privacyregels en ruimere handhavingsbevoegdheden van de Autoriteit Persoonsgegevens – voor dat de risico’s niet langer onderschat kunnen worden en dat deze risico’s meer en meer op de agenda van de bestuurder moeten komen te staan. Dit lijkt ook logisch, want bestuurders hebben een algemene verantwoordelijkheid voor de manier waarop hun onderneming wordt ingericht. Zoals gezegd, hebben privacy en IT-aspecten hierin een steeds groter aandeel. Bewustwording is een must!

Bestuurdersaansprakelijkheid

Computers zijn niet meer weg te denken uit de dagelijkse bedrijfsvoering. Veel werk gebeurt digitaal en daar zijn vaker dan wordt gedacht ook (gevoelige) persoonsgegevens bij betrokken. Juist daarom is het van belang dat het bestuur van de onderneming zich verantwoordelijk voelt voor het treffen van ‘passende technische en organisatorische maatregelen’ om deze gegevens te beveiligen en af te schermen van onbevoegden. Denk hierbij ook aan uw eigen personeel. De bestuurder is hier in het kader van zijn behoorlijke taakvervulling namelijk ook verantwoordelijk voor.

Wanneer onvoldoende beveiligingsmaatregelen worden getroffen en dit heeft tot gevolg dat persoonsgegevens worden ‘gestolen’, verloren gaan of op onjuiste wijze worden verwerkt (voor een ander doel dan waarvoor ze zijn verzameld), dan kan dit serieuze gevolgen hebben. Denk hierbij aan hoge boetes, bedrijfsstilstand, reputatieschade en claims van betrokkenen (degene van wie de persoonsgegevens zijn). Wanneer er onvoldoende bewustwording is en de bestuurder daardoor ook onvoldoende beveiligingsmaatregelen treft, is het denkbaar dat hem daarvan een ernstig persoonlijk verwijt kan worden gemaakt. Als dit daadwerkelijk zo is, kan de bestuurder in privé worden aangesproken.

Verzekeren?

Het afsluiten van verzekeringen die voor de bedrijfsvoering noodzakelijk en/of gebruikelijk zijn, is iets dat behoort tot de behoorlijke taakvervulling van een bestuurder. Want ook wanneer u de risico’s maximaal heeft gereduceerd, kan er op het gebied van privacy en de bescherming daarvan iets misgaan. De meeste datalekken worden immers veroorzaakt door menselijk handelen. Het afsluiten van een cyberrisicoverzekering is dus zeker iets wat u als ondernemer kunt onderzoeken.

Conclusie

Bewustwording omtrent de mogelijkheden en risico’s die onze moderne samenleving meebrengen is noodzakelijk. Bestuurders horen met name ook de risico’s te kennen en te weten hoe hiermee om te gaan. In het kader van de behoorlijke taakvervulling van bestuurders moeten zij waar mogelijk maatregelen nemen en investeren in beveiliging. De cybersecurity en de cyberrisico’s moeten een standaard onderdeel uitmaken van het algemene risicomanagement uw onderneming!

Vragen of opmerkingen?

Dit was slechts een deel van wat wij u kunnen vertellen. Meer weten?
Wij antwoorden graag, neem vrijblijvend contact op!

Blog reactie

Chat openen
1
Vragen? Stel ze nu, wij beantwoorden ze graag!