De verantwoordelijkheid en aansprakelijkheid van een bestuurder raakt vele vlakken. Steeds vaker ook het vlak privacy en cyberrisico’s. Complexe risico’s waar bestuurders zich bewust van moeten zijn. We zetten de belangrijkste wetgeving en risico’s op een rijtje.
Algemene Verordening Gegevensbescherming (AVG)
Sinds 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing voor overheden en bedrijven in heel Europa. Onder deze nieuwe wetgeving hebben organisaties die persoonsgegevens verwerken meer verplichtingen. Er wordt in de AVG meer nadruk gelegd op de verantwoordelijkheid van organisaties zelf om te kunnen aantonen dat zij zich aan de wet houden (accountability). Met een documentatieplicht moeten bedrijven kunnen aantonen dat zij de juiste organisatorische en technische maatregelen hebben genomen om aan de AVG te voldoen.
Boetes
De Autoriteit Persoonsgegevens kan een boete opleggen van maximaal 20 miljoen. Er zijn twee categorieën overtredingen en bijbehorende boetes.
- Boete van maximaal 10 miljoen
Organisaties hebben onder de AVG verplichtingen zoals een documentatieplicht. Wanneer ze een van deze verplichtingen niet nakomen, kan er een boete worden opgelegd van maximaal 10 miljoen of 2% van de wereldwijde jaaromzet - Boete van maximaal 20 miljoen
Overtreedt een organisatie de beginselen of grondslagen van de AVG of de privacyrechten van de betrokkenen? Dan kan er een boete worden opgelegd van maximaal 20 miljoen of 4% van de wereldwijde omzet
Verantwoordelijkheid nemen
We gaan met zijn allen steeds digitaler werken. Juist daarom is het van belang dat bestuurders de verantwoordelijkheid nemen om passende maatregelen te treffen om persoonsgegevens te beveiligen en af te schermen van onbevoegden. Wanneer er onvoldoende beveiligingsmaatregelen zijn getroffen die tot gevolg hebben dat persoonsgegevens worden ‘gestolen’, verloren gaan of op onjuiste wijze worden verwerkt, dan kan dit serieuze gevolgen hebben. Denk hierbij naast inbreuk op uw systemen of een bedrijfsstilstand aan hoge boetes, reputatieschade, omzetderving of claims van betrokkenen.
Persoonlijk aansprakelijk
Ook bestuurders lopen het risico van persoonlijke aansprakelijkheid bij het niet melden van datalekken. Maar ook als de boete aan de rechtspersoon is opgelegd, kan deze rechtspersoon de bestuurder aanspreken. Zoals een bestuurder die bekend was met een datalek, waardoor hem onbehoorlijk bestuur verweten zou kunnen worden. Daarnaast kan een bestuurder ook persoonlijk worden aangesproken door betrokkenen van wie er gegevens gelekt zijn.
Verzekeringen: taak van het bestuur
Het afsluiten van de juiste verzekeringen die voor de bedrijfsvoering noodzakelijk zijn, is iets dat behoort tot de taakvervulling van bestuurders. Want ook wanneer u de risico’s maximaal heeft gereduceerd, kan er op het gebied van privacy en de bescherming daarvan iets misgaan. De meeste datalekken worden immers veroorzaakt door menselijk handelen. Vanwege strengere en verdergaande regelgeving en potentieel zwaardere sancties, neemt het belang van een bestuurdersaansprakelijkheid- en cyberverzekering toe. Neem voor meer informatie of vragen contact op met Freek Njio via 013 – 594 28 28.