Aansprakelijkheid van bestuurders bij datalekken & cyberaanvallen (Mr. Franklin)

Auteur: Mattice De Schagt (Mr. Franklin)

In Nederland riskeren beursgenoteerde bedrijven vanaf 2023 een boete wanneer zou blijken dat hacking of het falen van IT-systemen van de onderneming te wijten is aan onvoldoende genomen maatregelen om zulks te voorkomen. Dit staat te lezen in de gewijzigde Corporate Governace Code. Zo riskeert ook de bestuurder daarvoor aansprakelijk te worden gesteld. Welke risico’s lopen bestuurders in België indien zij onvoldoende maatregelen nemen om hun onderneming in regel te stellen met de GDPR-verplichtingen? Mr. Franklin lijst het voor u op.

Wat is bestuurdersaansprakelijkheid?

Bestuurdersaansprakelijkheid verwijst naar de juridische verantwoordelijkheid van leidinggevenden en bestuurders van een onderneming voor hun handelingen en beslissingen. Het betekent dat bestuurders persoonlijk aansprakelijk kunnen worden gesteld voor schade die voortvloeit uit hun nalatigheid, onjuiste beslissingen of onrechtmatige handelingen die ze namens de onderneming hebben genomen.

Onvoldoende GDPR en IT-veiligheidsmaatregelen kunnen leiden tot bestuurdersaansprakelijkheid

In de situatie waar de IT-systemen van de onderneming worden gehackt, is het mogelijk dat naar aanleiding van die hacking persoonsgegevens van klanten, werknemers, … in verkeerde handen belanden, hetgeen men kwalificeert als een datalek. Indien daarbij zou blijken dat onvoldoende maatregelen werden genomen om de IT-systemen op voldoende wijze daartegen te beschermen of het GDPR-beleid van de onderneming niet naar behoren is uitgewerkt, loopt een bestuurder het risico intern door de vennootschap daarvoor aansprakelijk te worden.

Een bestuurder zal slechts aansprakelijk worden gesteld indien blijkt dat zijn beslissingen, daden of gedragingen zich kennelijk buiten de marge bevonden van hoe een normaal voorzichtige en zorgvuldige bestuurder zich in dezelfde omstandigheden zou hebben gedragen. Wanneer een bestuurder of een bestuursorgaan niet alle redelijke maatregelen zou hebben genomen om een degelijk GDPR-beleid uit te rollen en de IT-systemen op voldoende wijze te beveiligen, waarbij o.a. rekening zou kunnen worden gehouden met de kosten-baten, de waarschijnlijkheid van hacking en de gevoeligheid van de gegevens die door de onderneming worden verwerkt, is de kans reëel dat de bestuurder aansprakelijk kan worden gesteld door de vennootschap. Ook het geval waarbij de Gegevensbeschermingsautoriteit aan een onderneming een boete oplegt wegens GDPR-schendingen (bv. onvoldoende veiligheidsmaatregelen), kan leiden tot interne bestuurdersaansprakelijkheid. Elke bestuurder behoort namelijk te weten dat een onderneming die persoonsgegevens verwerkt, rekening moet houden met de GDPR-verplichtingen.

Bestuurders, leden van het bestuursorgaan of personen die ten aanzien van de rechtspersoon een werkelijke bestuursbevoegdheid hebben, zullen ook ten aanzien van derden extern aansprakelijk zijn voor zover hun fout een buitencontractuele fout betreft (= buitencontractuele bestuursfout). Een derde is in het geval van een hacking waarbij persoonsgegevens worden vrijgegeven de betrokkene wiens persoonsgegevens zijn gelekt. Om de bestuurder die naliet voldoende maatregelen te treffen om het datalek te voorkomen aansprakelijk te kunnen stellen, zal het aan de betrokkene toekomen om de fout van de bestuurder te bewijzen, de door het datalek geleden schade aan te tonen en zal de betrokkene moeten bewijzen dat de schade werd veroorzaakt door de fout van de bestuurder.

Rol van cyberverzekering en bestuurdersaansprakelijkheidsverzekering

Een van de maatregelen die door de bestuurder of door het bestuursorgaan kan worden getroffen om eventuele schade voortvloeiend uit een cyberaanval te dekken, is het afsluiten van een cyberverzekering. Een dergelijke verzekering voorziet de dekking van de financiële schade die is ontstaan naar aanleiding van een cyberaanval, datalek of naar aanleiding van het falen van het IT-systeem. Een belangrijke vraag hierbij is of ook beroep kan worden gedaan op dergelijke cyberverzekering wanneer men als bestuurder persoonlijk aansprakelijk wordt gesteld voor de hierboven reeds omschreven schade.

Het antwoord op die vraag is negatief aangezien een cyberverzekering enkel de schade zal dekken waarvoor de onderneming zelf aansprakelijk wordt gesteld. Wanneer je als bestuurder persoonlijk aansprakelijk wordt gesteld voor de schade die werd veroorzaakt door een cyberaanval of datalek, zal je als bestuurder ook persoonlijk moeten instaan voor de gevorderde schadevergoeding. Om die reden kan het als bestuurder ook aangewezen zijn om een bestuurdersaansprakelijkheidsverzekering af te sluiten die schade voortvloeiend uit bestuursfouten wel dekt.

Bron: Mr. Franklin