Bestuurdersaansprakelijkheid bij niet-melden datalek
Meldplicht datalekken
De Wet Bescherming Persoonsgegevens (Wbp) verplicht bedrijven sinds 1 januari 2016 om ernstige datalekken te melden. Nu komt bij het woord ‘datalek’ als eerste de gedachte op aan hackers die inbreken in de systemen van grote bedrijven, maar er is al sneller sprake van een datalek dat men verplicht is te melden. Ook bijvoorbeeld het versturen van een e-mail aan de verkeerde persoon, of het verliezen van een USB-stick kan een meldenswaardige datalek opleveren, als er een aanzienlijke kans is op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens. Dit is te zien in het recente overzicht dat de Autoriteit Persoonsgegevens heeft gepubliceerd van het eerste jaar van de meldplicht datalekken.
Persoonlijke boete
Indien bedrijven de meldplicht onder de Wbp niet nakomen, kan de Autoriteit Persoonsgegevens bedrijven een boete opleggen van maximaal EUR 820.000,- (of 10% van de jaaromzet, indien dit hoger is). Deze boete kan echter ook aan natuurlijke personen worden opgelegd indien (volgens de Parlementaire Geschiedenis): “zij feitelijk leiding hebben gegeven respectievelijk opdracht hebben gegeven tot het verrichten van de verboden gedraging en hebben nagelaten om maatregelen te treffen ter voorkoming van een verboden gedraging en daarmee bewust de kans wordt aanvaard dat deze gedraging zal plaatsvinden”
Persoonlijke aansprakelijkheid
Bestuurders lopen dan ook langs deze weg het risico van persoonlijke aansprakelijkheid bij het niet-melden van datalekken. Maar ook als de boete aan de rechtspersoon is opgelegd, zouden zij intern door deze rechtspersoon aangesproken kunnen worden indien de bestuurder bijvoorbeeld bekend was met (de ernst van) het datalek en heeft nagelaten de juiste maatregelen te treffen, waardoor hem onbehoorlijk bestuur verweten zou kunnen worden. Daarnaast zou de bestuurder ook persoonlijk kunnen worden aangesproken door de personen wiens gegevens ‘gelekt’ zijn.
Wees u bewust van cyberrisico’s
Al met al dus reden voor bestuurders om zich bewust te zijn van de verplichtingen die de Wbp voorschrijft voor het melden van datalekken. Het onderwerp van het monitoren en voorkomen van cyberrisico’s dient op de agenda van het bestuur te staan. Daarbij geldt uiteraard dat de risico’s groter worden naarmate de IT-systemen van de onderneming meer verouderd zijn. Laat u dus goed adviseren over de beveiliging van uw IT-systemen en instrueer uw medewerkers periodiek over het gewenste IT-gebruik.
Twijfelt u of u een bepaald datalek dient te melden bij de Autoriteit Persoonsgegevens? Het Privacy Team van Kennedy Van der Laan heeft een Datalek QuickScan ontwikkeld die u verder kan helpen.