Dankzij de digitalisering kan het bedrijfsleven ons steeds meer mogelijkheden aanbieden: gratis en overal internet, shoppen via je smartphone, bestanden delen in de cloud en internetbankieren. Maar de voortschrijdende digitalisering van onze samenleving heeft ook gevolgen voor onze privacy. Zij biedt immers niet alleen veel nieuwe kansen, maar brengt ook kwetsbaarheden mee: cybercrime en identiteitsfraude zijn twee voorbeelden van nieuwe vormen van criminaliteit. Privacybescherming wordt daarom een steeds dringendere kwestie. Overtreding van de privacywetgeving aanzienlijke gevolgen meebrengen. Niet alleen voor een organisatie maar ook voor diens bestuurders.
Civielrechtelijk – bestuurdersaansprakelijkheid
Aansprakelijkheid van een bestuurder kan voortvloeien uit allerlei omstandigheden, zoals het niet betalen van een vordering, faillissement van de organisatie, maar ook het onvoldoende beveiligen van persoonsgegevens of het niet melden van een datalek aan de Autoriteit Persoonsgegevens of de betrokkenen. Een bestuurder kan dan onder omstandigheden (persoonlijk) aansprakelijk zijn jegens de rechtspersoon (interne aansprakelijkheid) en/of jegens derden (externe aansprakelijkheid).
Interne aansprakelijkheid
De aansprakelijkheid van de bestuurder tegenover de organisatie kan worden gebaseerd op artikel 2:9 Burgerlijk Wetboek (BW). Op grond van die bepaling wordt een bestuurder de algemene norm opgelegd dat hij zijn taken behoorlijk moet vervullen, zoals een goed bestuurder in zijn plaats ook zou doen. Hierbij geldt dat de bestuurder alleen aansprakelijk is als hem persoonlijk een ernstig verwijt kan worden gemaakt voor het veroorzaken van schade. De term ‘ernstig verwijt’ moet worden ingevuld aan de hand van de omstandigheden van het geval. Een bestuurder kan bijvoorbeeld persoonlijk aansprakelijk worden gesteld als hij besluit om illegale besturingssystemen en/of software te laten installeren op de bedrijfscomputers, waardoor persoonsgegevens worden gelekt omdat het een virus blijkt te bevatten.
Externe aansprakelijkheid
Uitgangspunt is dat de organisatie bij schade in de eerste plaats aansprakelijk is jegens derden (bijvoorbeeld een persoon wiens persoonsgegevens zijn gelekt). Onder bijzondere omstandigheden kan daarnaast ook de bestuurder persoonlijk aansprakelijk zijn op grond van een onrechtmatige daad ex artikel 6:162 BW. Voor aansprakelijkheid op grond van een onrechtmatige daad moet de bestuurder rechtstreeks onzorgvuldig gehandeld hebben tegenover een derde. Dit kan bijvoorbeeld het geval zijn als een bestuurder willens en wetens gegevens over een bepaalde persoon heeft laten lekken.
Bestuursrechtelijk – boete Autoriteit Persoonsgegevens
Voor het overtreden van de meldplicht datalekken, het niet op orde hebben van adequate beveiliging of het verwerken van persoonsgegevens zonder toestemming, kan de Autoriteit Persoonsgegevens een bestuurlijke boete opleggen. Deze boete bedraagt per 1 januari 2016 maximaal 820.000 euro, of 10 procent van de jaaromzet voor zover 820.000 euro geen passende bestraffing zou zijn. In de meeste gevallen zal de Autoriteit Persoonsgegevens de boete opleggen aan het bedrijf zelf. Dit neemt echter niet weg dat de boete daarnaast of in plaats daarvan aan bestuurders kunnen worden opgelegd. De regering heeft hier bij de behandeling van de wet meldplicht datalekken het volgende over opgemerkt:
Bij een rechtspersoonlijkheid bezittende onderneming is de rechtspersoon de verantwoordelijke in de zin van de Wbp. Aangezien de verantwoordelijke in de zin van de Wbp de drager is van rechten en verplichtingen, ligt het voor de hand dat het Cbp in geval van overtreding door een rechtspersoon (verantwoordelijke) de rechtspersoon daarvoor een bestuurlijke boete oplegt. Dit neemt echter niet weg dat daarnaast of plaats daarvan natuurlijke personen binnen deze rechtspersoon kunnen worden beboet indien zij feitelijk leiding hebben gegeven respectievelijk opdracht hebben gegeven tot het verrichten van de verboden gedraging en hebben nagelaten om maatregelen te treffen ter voorkoming van een verboden gedraging en daarmee bewust de kans wordt aanvaard dat deze gedraging zal plaatsvinden. Deze natuurlijke personen kunnen bestuurders zijn van de onderneming, maar het kunnen ook andere personen zijn binnen de organisatie.
Zonder het expliciet te noemen verwijst de regering naar het strafrechtelijke Slavenburg II-arrest waarin de Hoge Raad heeft bepaald dat indien een functionaris, hoewel daartoe bevoegd en redelijkerwijs gehouden (het machtscriterium), maatregelen ter voorkoming van strafbare gedragingen achterwege laat en bewust de aanmerkelijke kans aanvaardt dat de verboden gedragingen zich zullen voordoen (het aanvaardingscriterium), hij geacht wordt opzettelijk de verboden gedragingen te hebben bevorderd.
Wie betaalt de boete?
De regering wijst verder op de mogelijkheid dat een (arbeids)overeenkomst tussen een bestuurder en de organisatie waarin staat dat een boete van de Autoriteit Persoonsgegevens toch door de rechtspersoon zal worden vergoed, in strijd zou kunnen zijn met de openbare orde en daarmee nietig zou kunnen zijn. De regering is hier echter niet stellig in en is dan ook van mening dat het aan de rechter is om zich hierover uit te laten:
Deze leden vragen zich voorts af, of een feitelijk leidinggevende en een verantwoordelijke in hun arbeidsovereenkomst kunnen vastleggen of anderszins overeenkomen dat in voorkomende gevallen de verantwoordelijke de feitelijke opdrachtgever of feitelijk leidinggevende compenseert ter waarde van de hoogte van de boete. Deze vraag laat zich, bij de huidige stand van de jurisprudentie, niet eenduidig beantwoorden. Artikel 3:40 BW vormt een begrenzing van de contractsvrijheid van partijen. Artikel 3:40, eerste lid, bepaalt dat een rechtshandeling die door inhoud of strekking in strijd is met de goede zeden of de openbare orde, nietig is. In aanmerking nemend dat de wetgever met een bestuurlijke boete beoogt dat de wetsovertreder die boete ook zelf in zijn eigen vermogen zal voelen (leedtoevoeging), onder meer als prikkel en afschrikking om in volgende aangelegenheden geen overtreding meer te begaan, lijkt het zeer wel voorstelbaar dat een contractuele afspraak als gevolg waarvan de boete wordt gedragen door een ander dan de persoon aan wie die is opgelegd, door de rechter in strijd met de openbare orde ex artikel 3:40 BW wordt geacht. […] Tegelijkertijd is het de vraag of, in de context van de Wbp, categorisch – dus in alle gevallen waarin een norm wordt geschonden en als gevolg daarvan een bestuurlijke boete wordt opgelegd – kan worden gesteld dat een contractuele afspraak als gevolg waarvan de boete wordt gedragen door een ander dan de persoon aan wie die is opgelegd, ontoelaatbaar is. In voorkomende gevallen zal uiteindelijk de rechter hieromtrent duidelijkheid moeten verschaffen.
Slot
De regering wijst er tot slot nog op dat het in de praktijk waarschijnlijker is dat een boete wordt opgelegd aan de rechtspersoon dan aan een bestuurder. “Het beboeten van feitelijk leidinggevenden of feitelijke opdrachtgevers brengt immers een zwaardere bewijslast mee omdat de toezichthouder aannemelijk moet maken dat de natuurlijke persoon daadwerkelijk feitelijk leiding heeft gegeven of feitelijk opdracht heeft gegeven tot het verrichten van de verboden gedraging en heeft nagelaten om maatregelen te treffen om de verboden gedraging te voorkomen.” Dit neemt echter niet weg dat de kans dus wel bestaat dat de Autoriteit Persoonsgegevens de boete aan een bestuurder oplegt. Daarnaast kan de rechtspersoon besluiten de bestuurder (intern) aansprakelijk te stellen voor de schade als gevolg van overtreding van de privacywetgeving. Tot slot, kunnen ook de personen wiens persoonsgegevens onrechtmatig zijn verwerkt of zelfs gelekt, besluiten om een bestuurder persoonlijk aansprakelijk te stellen.
Ook bestuurders zullen zich daarom bewust moeten zijn van het belang van privacybescherming en daartoe passende maatregelen treffen. Het is in dat verband belangrijk om na te gaan welke beveiligingsmaatregelen er dienen te worden genomen ter bescherming van persoonsgegevens en dient er een protocol aanwezig te zijn voor het geval er onverhoopt een inbreuk op de beveiligingsmaatregelen/datalek plaatsvindt.