Presentatie Meldplicht Datalekken door SophosSLBdiensten
Beveiligingsdag SLBdiensten: 26 juni 2015
De nieuwe meldplicht datalekken WBP. Voorgestelde wijzigingen en wat dit betekent voor uw organisatie. Door Harm van Koppen, Channel Accountmanager, Sophos.
Wat is de inhoud en betekenis van de Algemene Verordening Gegevensbescherming (GDPR) voor uw bedrijf en welke stappen zijn nodig om compliant te zijn tegen mei 2018? Sirius Legal geeft u een bevattelijk overzicht.
Presentatie Meldplicht Datalekken door SophosSLBdiensten
Beveiligingsdag SLBdiensten: 26 juni 2015
De nieuwe meldplicht datalekken WBP. Voorgestelde wijzigingen en wat dit betekent voor uw organisatie. Door Harm van Koppen, Channel Accountmanager, Sophos.
Wat is de inhoud en betekenis van de Algemene Verordening Gegevensbescherming (GDPR) voor uw bedrijf en welke stappen zijn nodig om compliant te zijn tegen mei 2018? Sirius Legal geeft u een bevattelijk overzicht.
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data OrangeValley
Beveiliging van persoonsgegevens, meldplicht datalekken, big data & profilering staan dit jaar opnieuw hoog op de agenda van onze privacytoezichthouder. Daarnaast wordt alsmaar benadrukt dat organisaties in onze data driven samenleving de verantwoordelijkheid hebben om zorgvuldig met data om te gaan én dat de consument het recht heeft goed en volledig geïnformeerd te worden. Hoe zorgt u als organisatie dat u daaraan voldoet? Waartoe bent u op basis van privacywetgeving verplicht? Sabine Straver, jurist bij DDMA, vertelt wat dit voor uw organisatie betekent.
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenSebyde
In dit document kunt u lezen waarom de nieuwe privacywetgeving per 1-1-2016 geen exclusief "ICT feestje" is maar dat het veel belangrijke disciplines binnen organisaties raakt.
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefB.A.
Korte presentatie @ infosecurity 2018 beurs, 14 maart 2018 in de Brussels Expo. De organisatie vroeg me om in te vallen voor de oorspronkelijke spreker Eddy Vanderstock. Poging om op een bevattelijke manier met mijn beperkte kennis GDPR praktisch te duiden.
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data OrangeValley
Beveiliging van persoonsgegevens, meldplicht datalekken, big data & profilering staan dit jaar opnieuw hoog op de agenda van onze privacytoezichthouder. Daarnaast wordt alsmaar benadrukt dat organisaties in onze data driven samenleving de verantwoordelijkheid hebben om zorgvuldig met data om te gaan én dat de consument het recht heeft goed en volledig geïnformeerd te worden. Hoe zorgt u als organisatie dat u daaraan voldoet? Waartoe bent u op basis van privacywetgeving verplicht? Sabine Straver, jurist bij DDMA, vertelt wat dit voor uw organisatie betekent.
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenSebyde
In dit document kunt u lezen waarom de nieuwe privacywetgeving per 1-1-2016 geen exclusief "ICT feestje" is maar dat het veel belangrijke disciplines binnen organisaties raakt.
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefB.A.
Korte presentatie @ infosecurity 2018 beurs, 14 maart 2018 in de Brussels Expo. De organisatie vroeg me om in te vallen voor de oorspronkelijke spreker Eddy Vanderstock. Poging om op een bevattelijke manier met mijn beperkte kennis GDPR praktisch te duiden.
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...HOlink
Donderdag 16 juni 2016
Parallelsessieronde 2
Titel: Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw instelling
Spreker: Joost Ale (Scope4mation)
Zaal: Cambridge 25
Zorginstellingen delen in dit document hun dilemma's op het vlak van privacy. Deze worden besproken. Daarnaast wordt stil gestaan bij een aantal actuele onderwerpen en worden aanbevelingen gedaan om in control te blijven.
GDPR en de gevolgen voor recruitment en inhuren extern talent. Slides behorende bij NextConomy webinar over dit onderwerp, ism Federgon, Tapfin en proUnity.
Weet u wat nu een datalek is? Wie is bij u verantwoordelijk voor het melden van een datalek binnen uw organisatie? Heeft u een draaiboek? weet u wat u moet doen?
Minicongres over privacy en de meldplicht datalekken waarin de volgende onderwerpen aan bod kwamen:
-Op welke gegevens is de Wet bescherming persoonsgegevens van toepassing? Wat mag wel en wat niet?
-Welke effecten heeft de nieuwe meldplicht datalekken op uw bedrijf?
-Wie is er aansprakelijk als de Wet bescherming persoonsgegevens niet wordt gevolgd en welke risico’s loopt u?
-Welke maatregelen moeten worden genomen om te voldoen aan de Wbp?
2. Cyberrisico’s en bestuurdersaansprakelijkheid
2
Agenda
1. Annet Govaert-Proos: Cyberrisico’s
2. Martin Hemmer: Cyberrisico’s
3. Annet Govaert-Proos: Cyberrisico’s
4. Marc Goethals: Bestuurdersaansprakelijkheid
5. Patrick Wilbrink: Bestuurdersaansprakelijkheid
6. Afsluiting & borrel
3. Annet Govaert-Proos: Cyberrisico’s
Senior Specialist Aansprakelijkheid en Cyber bij Concordia de Keizer
3
T: +31 (0)10 25 11 246
M: +31 6 21 45 98 93
E: Annet.Govaert@concordiadekeizer.nl
5. Cyberincident:
“Het is niet de vraag óf
het gebeurt, maar eerder
wanneer?
Bron: Stan Hegt, Manager Cybersecurity KPMG
Themadossier Cyberrisico’s CdK nov 2014
6. Cyberrisico’s:
Verbond van Verzekeraars:
“Het financiële nadeel dat een verzekerde oploopt door of via computer- en/of
ICT systemen, zonder dat er sprake is van materiële schade.”
Oorzaken
• Moedwillige aanval buitenaf (‘crime’);
• Menselijke fout;
• Technisch falen;
Cyberrisico’s dus meeromvattend dan enkel cybercrime!
6
7. Investeren in cybersecurity: geen keuze maar
noodzaak
'Cybercrime kost Nederlandse bedrijven jaarlijks 10 miljard'
Cybercriminaliteit kost Nederlandse bedrijven en de overheid jaarlijks zo'n 10
miljard euro. Het gaat daarbij bijvoorbeeld om diefstal van intellectueel
eigendom, schade door het vrijkomen van privacygevoelige gegevens en
diefstal van geld.
Bron Deloitte data-analyse Cyber Value at Risk in The Netherlands 4 april 2016
7
8. Investeren in cybersecurity: geen keuze maar
noodzaak
Wat is een cyberincident?
• uw systeem gaat op “zwart”
• oorzaak: een “hack” maar ook een menselijke fout
• gevolgen: juridische en financiële consequenties
Voorbeelden?
8
13. Startpunt: Beveiliging
Art. 13 Wbp:
De verantwoordelijke legt passende technische en organisatorische
maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen
enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening
houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een
passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van
te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op
gericht onnodige verzameling en verdere verwerking van persoonsgegevens te
voorkomen.
Advies: Sluit aan bij standaarden!
13
15. Beveiliging = Mensenwerk
Naast technische beveiliging speelt het maken implementeren en uitvoeren van beleid
een essentiële rol.
PLAN
DO
CHECK
ACT
15
16. AP: veel aandacht voor organisatie / beleid
Onderzoek naar de beveiliging van persoonsgegevens via Suwinet bij 13 gemeenten.
Vastgestelde overtredingen o.a.
- Het ontbreken van een Beveiligingsplan danwel het niet updaten of evalueren
daarvan
- Het correct implementeren en controleren van toegangsrechten en autorisaties
- Onvoldoende uitdragen van het Beveiligingsplan in de organisaties
- Security Officer rapporteert in de praktijk niet aan hoogste management
Ter voldoening aan de Wbp en de meldplicht datalekken is implementatie van
adequaat beleid essentieel, ook voor bedrijven.
16
17. Meldplicht datalekken
Art. 34a Wbp
1. De verantwoordelijke stelt het College onverwijld
in kennis van een inbreuk op de beveiliging,
bedoeld in artikel 13, die leidt tot de
aanzienlijke kans op ernstige nadelige
gevolgen dan wel ernstige nadelige
gevolgen heeft voor de bescherming van
persoonsgegevens.
2. De verantwoordelijke, bedoeld in het eerste lid,
stelt de betrokkene onverwijld in kennis van de
inbreuk, bedoeld in het eerste lid, indien de
inbreuk waarschijnlijk ongunstige gevolgen
zal hebben voor diens persoonlijke
levenssfeer.
17
Sinds 1 januari
de Autoriteit
http://venturebeat.com/2012/09/17/2012-security-breaches/
18. Verplichting tot sluiten bewerkersovereenkomst
Art. 14 Wbp:
1. Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat
verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen
biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen
met betrekking tot de te verrichten verwerkingen, en ten aanzien van de
melding van een inbreuk op de beveiliging, bedoeld in artikel 13, (..)
Het is verplicht hier aandacht aan te besteden in bewerkersovereenkomsten.
18
20. Ernstige datalekken
Zijn gegevens van gevoelige aard betrokken? Zo ja: ernstig datalek en
meldplicht
• Bijzondere persoonsgegevens
• Gegevens over financiële of economische situatie betrokkene
• Gegevens die kunnen leiden tot stigmatisering of uitsluiting van betrokkene
(schoolprestaties / relatieproblemen / werkproblemen)
• Gebruikersnamen wachtwoorden
• Gegevens die kunnen worden gebruikt voor identiteitsfraude (kopie paspoort / bsn
/ biometrische)
• Gegevens die onder een beroepsgeheim vallen (Het feit dat ik Whatsapp gebruik?)
20
21. Ernstige datalekken
Leiden aard en omvang tot een aanzienlijke kans op nadelige gevolgen?
Zo ja: ernstig datalek en meldplicht
• veel gegevens per persoon of gegevens over veel personen.
• Wat is de impact van beslissingen die op basis van de gegevens worden genomen?
• Heeft het verlies op impact op aanpalende verwerkingen (gegevens die in een
keten worden gedeeld bijvoorbeeld bij overheden)
Melding moet onverwijld, uiterlijk binnen 72 uur.
21
22. Melden aan betrokkene?
Wbp: indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens
persoonlijke levenssfeer.
Beleidsregels: gegevens van gevoelige aard of andere reden waarom de inbreuk
waarschijnlijk ongunstige gevolgen zal hebben?
Klokkenluiders: er is een tiplijn
22
23. Wat te doen?
• Goede beveiliging ook organisatorisch (mede ter voorkoming ernstige
verwijtbaarheid);
• Goed incidentenbeheer inrichten;
• Beslissen wie in de organisatie datalekken gaat beoordelen en melden bij de
Autoriteit Persoonsgegevens.
• Protocol informeren betrokkenen;
• Protocol informeren media;
• Beheer meldingsplichtige datalekken (bewaarplicht minimaal 1 jaar)
• Bewerkersovereenkomsten updaten.
Waken voor over-compliance?
23
24.
25. Uitbreiding boetebevoegdheid AP
• Belangrijkste instrumenten waren:
• Bestuurlijke boete van € 4.500,-
• Last onder dwangsom (zie Google)
• Publiciteit
• Nieuw:
• Boete van max. € 820.000,- / 10% jaaromzet
• Eerst een bindende aanwijzing / wel directe boete bij opzet of ernstige
nalatigheid
25
26. Melpldicht datalekken onder de Verordening
Algemene Verordening Gegevensbescherming
Van kracht: mei 2018
Art. 33, Melding bij AP:
• zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er
kennis van heeft genomen, vertraging motiveren.
• tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens
een risico inhoudt voor de rechten en vrijheden van natuurlijke personen.
26
27. Inhoud melding
a) de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder
vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in
kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in
kwestie;
b) de naam en de contactgegevens van de functionaris voor gegevensbescherming of
een ander contactpunt waar meer informatie kan worden verkregen;
c) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens;
d) de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen
om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in
voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen
daarvan.
• documentatieplicht
27
28. Melding aan betrokkene (Art. 34)
Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en
vrijheden van natuurlijke personen onverwijld melden in eenvoudige taal
Melding kan achterwege blijven in het geval van:
a) Passende preventieve maatregelen zoals versleuteling
b) Maatregelen achteraf die het risico wegnemen
c) de mededeling onevenredige inspanningen zou vergen.
In dat geval komt er in de plaats daarvan een openbare mededeling of een
soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd.
28
29. Privacy Impact Assessments (art. 35 e.v. Vo.)
“GEGEVENSBESCHERMINGSEFFECTBEOORDELING”
• High risk verwerking (nieuwe technologieën)
• Gevoelige gegevens
• Systematische en grote schaal verwerking (cameratoezicht in
grote ruimte op grote schaal)
• Kan leiden tot ‘prior consultation’
• Niet nodig als wettelijke basis voorziet in PIA
29
30. Privacy by design / default (Art. 25 Vo.)
“Gegevensbescherming door ontwerp”
Gegevensbescherming door standaardinstellingen”
Maar: de verplichting tot privacy enhancing measures volgt in feite al uit art. 13 Wbp
Belangrijk:
Aandacht voor versleuteling. Voldoet aan de verplichting tot gegevensbescherming
door ontwerp, maar kan ook meldplicht aan betrokkenen voorkomen.
30
31. Boetes in de Verordening
Geldboetes tot 20 miljoen Euro of 4% van de wereldwijde omzet
Mede afhankelijk van reeks factoren waaronder:
• De nalatige aard van de inbreuk
• de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk
is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd
overeenkomstig de artikelen 25 en 32
31
32. NIB richtlijn, aparte meldplicht
Netwerk en informatiebeveiligingsrichtlijn (nog niet definitief).
• Staat los van meldplicht datalekken / persoonsgegevens.
• Nationale strategie + autoriteit voor de beveiliging van netwerk- en
informatiesystemen
• Computercrisisteams / Computer Security Incident Response Team (CSIRT)
• Bepaalde marktdeelnemers dienen incidenten met een aanzienlijke impact op de
continuïteit van dienstverlening te melden aan de bevoegde autoriteiten.
• Operators of essential services (energie, water, infrastructuur, health care)
• Digital service providers
32
33. Annet Govaert-Proos: Cyberrisico’s
Senior Specialist Aansprakelijkheid en Cyber bij Concordia de Keizer
33
T: +31 (0)10 25 11 246
M: +31 6 21 45 98 93
E: Annet.Govaert@concordiadekeizer.nl
34. Financiële consequenties
• Inschakelen experts voor het vaststellen van de oorzaak van een inbreuk of
verlies van gegevens
• het opnieuw configureren van netwerken
• het herstel van de beveiliging van gegevens en systemen
• de proceskosten in verband met verweer tegen aanspraken van derden
• melden van een inbreuk aan AP en eventueel gedupeerden, boetes
• het verlies van inkomsten als gevolg van het crashen van uw systemen
(‘stilligschade’)
• mogelijke reputatieschade voor uw organisatie
• kosten van afpersing
34
35. Risicomanagement: Inventarisatie/preventie
Hoe is mijn bedrijf beveiligd, wat zijn de consequenties van een inbreuk en wat
kan ik daaraan doen?
Tools:
• Cyber security scan
• Evaluatie Status Meldplicht Datalekken verwerking van persoonsgegevens.
Deze geven een duidelijk beeld over de huidige situatie en de noodzakelijke
verbeterpunten
35
36. Risicomanagement Verzekering
Wat is verzekerd?
Eigen schade:
• Kosten juridisch en technisch onderzoek
• Herstelkosten van systemen
• Kosten melden aan klanten/benadeelden en monitoring
• Reputatieschade en PR kosten
• Bedrijfsschade
• Afpersing
• Boetes
36
37. Risicomanagement Verzekering
Wat is verzekerd?
Schade van derden/aansprakelijkheid:
Kosten en claims voortvloeiende uit:
• Inbreuk/verlies van persoonsgegevens
• Inbreuk intellectuele eigendom
• Inbreuk op vertrouwelijke (bedrijfs)informatie
• Direct en indirecte schade aan computersystemen van derden
37
38. Risicomanagement Reactie Incident, wat als het
mis gaat?
Misschien wel belangrijkste onderdeel van een Cyberverzekering…..
Incident response plan:
24/7 alarmnummer
Website
Incident coach
It-bedrijven, juristen en communicatiedeskundigen
38
39. Onze specialisten staan voor u klaar
Veel verzekeraars bieden een Cyberverzekering, daardoor relatief goedkoop met
een complete dekking:
Premie’s:
• € 100.000 verzekerd bedrag : € 400,= en € 1.850,= (afhankelijk van uw
omzet)
• € 3.000.000 verzekerd bedrag: € 3.000 en € 6.000,= (afhankelijk van uw
omzet)
Verzekeringsmarkt voortdurend in beweging, onze specialisten volgen de
ontwikkelingen op de voet
39
40. Tips
1. “versleutel” uw privacy gevoelige gegevens
2. Cyberrisico’s horen op de agenda van de bestuursvergadering
3. Creëer bewustzijn bij uw werknemers
4. Zorg voor een incident response plan zodat iedereen weet wat er moet
gebeuren en wie er gebeld moet worden als uw netwerk op “zwart” gaat
40
43. Verantwoordelijkheid = Aansprakelijkheid
“Behoudens beperkingen volgens de statuten is het bestuur belast met het besturen
van de vennootschap.” (art. 2:129 lid 1 BW / art. 2:239 lid 1 BW)
“Elke bestuurder is tegenover de rechtspersoon gehouden tot een behoorlijke
vervulling van zijn taak. Tot de taak van de bestuurder behoren alle bestuurstaken die
niet bij of krachtens de wet of de statuten aan een of meer andere bestuurders zijn
toebedeeld.” (art. 2:9 lid 1 BW)
“Elke bestuurder draagt verantwoordelijkheid voor de algemene gang van zaken. Hij is
voor het geheel aansprakelijk terzake van onbehoorlijk bestuur, tenzij hem mede gelet
op de aan anderen toebedeelde taken geen ernstig verwijt kan worden gemaakt en hij
niet nalatig is geweest in het treffen van maatregelen om de gevolgen van
onbehoorlijk bestuur af te wenden.” (art. 2:9 lid 2 BW)
43
44. Van waar komt het gevaar?
Interne bestuurdersaansprakelijkheid:
• de vennootschap
Externe bestuurdersaansprakelijkheid:
• de crediteuren
• de curator
44
45. Wanneer aansprakelijk jegens de vennootschap
Grondslagen:
• Schending artikel 2:9 BW
• Wanprestatie managementovereenkomst / arbeidsovereenkomst
Maatstaf:
• Een (persoonlijk) ernstig verwijt
• Identieke maatstaf als kennelijk onbehoorlijk bestuur (art. 2:138 / 2:248 BW):
als geen redelijk denkend bestuurder – onder dezelfde omstandigheden – zo
gehandeld zou hebben
• Geobjectiveerde maatstaf:
van een bestuurder mag worden verwacht dat hij op zijn taak berekend is en deze
nauwgezet vervult
45
46. Een voor allen, allen voor één? Nee, bedankt.
Uitgangspunt:
• Collegiaal bestuur: collectieve verantwoordelijkheid voor besturen vennootschap
• Hoofdelijke aansprakelijkheid bij onbehoorlijk bestuur
Uitzondering:
• Taakverdeling krachtens de wet of statuten
Echter: het algemeen beleid en financieel beleid blijft een collectieve taak
• Disculpatie
Geen eigen verwijtbaar handelen + niet nalatig in het treffen van maatregelen
Tip:
• Wijs een collega bestuurder aan tot portefeuillehouder
‘cybersecurity’
46
47. Valt er wat te regelen?
NB: bij faillissement kan curator namens vennootschap deze vordering instellen
Décharge:
• Bevrijdt bestuurder van interne aansprakelijkheid
• Bij décharge door AVA is reikwijdte beperkt tot informatie verstrekt in AVA
• Vernietiging door curator op grond van pauliana is mogelijk
Bestuurdersaansprakelijkheidsverzekering:
• Voorkomt geen aansprakelijkheid, maar verzacht de gevolgen
• Dekt ook de kosten verweer tegen onterechte claims
47
48. Wanneer aansprakelijk jegens crediteuren?
Grondslag:
• Onrechtmatige daad (art. 6:162 BW):
inbreuk op recht, schending wettelijke plicht, maatschappelijk onbetamelijk gedrag
Maatstaf:
• In beginsel geldt voor bestuurdersaansprakelijkheid jegens derden dezelfde strenge
maatstaf als bij (kennelijk) onbehoorlijk bestuur;
• Echter, bij handelen anders dan in hoedanigheid van bestuurder geldt minder
strenge maatstaf van regulier onrechtmatig handelen
Opmerking: de vraag is of het strengere criterium ook geldt indien de geschonden regelgeving
die de belangen van derden beoogt te beschermen zich niet richt tot de vennootschap, maar tot
de bestuurders zelf. Tot wie richt de privacy regelgeving zich met het begrip
‘verantwoordelijke’; de vennootschap of de bestuurder?
48
49. Drie categorieën onbetamelijk handelen
Uitgangspunt:
• De vennootschap is jegens haar crediteuren aansprakelijk, niet haar bestuurders
Drie uitzonderingen (maatschappelijk onbetamelijk handelen):
• Beklamel-gevallen:
aangaan overeenkomst terwijl bestuurder wist dat crediteur schade zou lijden
• Verhaalsfrustratie:
bewerkstelligen of toelaten dat vennootschap verplichtingen niet nakomt terwijl
bestuurder wist dat crediteur daardoor schade zou lijden
• Selectieve (wan)betaling:
selectieve betaling is in beginsel toegestaan, maar bijkomende omstandigheden
kunnen deze betaling onrechtmatig maken: bijvoorbeeld bij beëindiging van
bedrijfsactiviteiten
49
50. Wanneer aansprakelijk jegens de curator?
Grondslag:
• Schending art. 2:138 BW / art. 2:248 BW
Lid 1: “In geval van faillissement van de vennootschap is iedere bestuurder jegens de
boedel hoofdelijk aansprakelijk voor het bedrag van de schulden voor zover deze niet
door vereffening van de overige baten kunnen worden voldaan, indien het bestuur zijn
taak kennelijk onbehoorlijk heeft vervuld en aannemelijk is dat dit een belangrijke
oorzaak is van het faillissement.”
Maatstaf:
• Dezelfde maatstaf als bij schending artikel 2:9 BW
50
51. Een prettige wedstrijd op het level playing field
De wetgever helpt de curator in de wedstrijd met de bewijsvermoedens van
art. 2:138 / art. 2:248 lid 2 BW.
Bij schending administratieplicht of publicatieplicht:
• staat kennelijk onbehoorlijk bestuur vast
• wordt dit vermoed een belangrijke oorzaak van het faillissement te zijn
51
52. Administratieplicht
“Het bestuur is verplicht van de vermogenstoestand van de rechtspersoon en van
alles betreffende de werkzaamheden van de rechtspersoon, naar de eisen die
voortvloeien uit deze werkzaamheden, op zodanige wijze een administratie te voeren
en de daartoe behorende boeken, bescheiden en andere gegevensdragers op zodanige
wijze te bewaren, dat te allen tijde de rechten en verplichtingen van de rechtspersoon
kunnen worden gekend.” (art. 2:10 lid 1 BW)
Opmerking: naast debiteurenpositie, crediteurenpositie en stand van liquiditeiten ook
andere elementen van de administratie van belang.
52
53. Disculpatie?
“Niet aansprakelijk is de bestuurder die bewijst dat de onbehoorlijke taakvervulling
door het bestuur niet aan hem te wijten is en dat hij niet nalatig is geweest in het
treffen van maatregelen om de gevolgen daarvan af te wenden.”
(art. 2:138 / art. 2:248 lid 3 BW)
Ook bij het onweerlegbaar bewijsvermoeden van lid 2 is volgens de Hoge Raad
disculpatie mogelijk, maar hoe? Bij schending van de administratieplicht staat immers
ook het kennelijk onbehoorlijk bestuur voor het overige vast.
Opmerking: Indien uw administratie wordt platgelegd door de een cyberaanval kan dit
resulteren in een schending van de administratieplicht. Disculpatie is dan lastig. De
rechter kan wel de schadevergoeding matigen.
53
54. Conclusies
• Gelet op de mogelijke impact van cybersecurity issues op ondernemingen lijken
deze inderdaad CEO issues te zijn geworden c.q. te gaan worden.
• Verantwoordelijkheid van het bestuur impliceert mogelijke aansprakelijkheid van
het bestuur.
• Een interne taakverdeling is van invloed op de aansprakelijkheid van bestuurders.
• De bescherming van de administratieve organisatie verdient extra aandacht vanuit
het perspectief van bestuurdersaansprakelijkheid.
• De redelijkerwijs te nemen maatregelen ter voorkoming van cybersecurity
inbreuken en de back up plannen voor het geval deze zich wel voordoen, zijn
afhankelijk van de aard en omvang van de onderneming.
• Een verzekering voorkomt geen cybersecurity inbreuk, maar verzacht wel de
gevolgen daarvan.
54
56. De BCA-verzekering
• Inhoud van de verzekering: De Dekking
• Waar moet u rekening mee houden
• Toekomstverwachtingen bestuurdersaansprakelijkheid
56
57. De Dekking
57
Wat ? Persoonlijke Aansprakelijkheid
Voor Wie ? Bestuurders & Commissarissen alsmede de
Beleidsbepalers van de rechtspersoon zoals de Non
Statutaire Directie, Aandeelhouders en voorts iedereen die
uit hoofde van zijn functie of hoedanigheid ‘daden van
bestuur’ verricht
Waarvoor ? Afdekking prive vermogen
58. Kern van de BCA-verzekering
2 Traps Raket
• Rechtsbijstandselement
• Schadevergoedingselement
In verband met de (vermeende) persoonlijke
aansprakelijkheid van de verzekerde personen
58
59. Waar moet u rekening mee houden ?
1. Verzekerd bedrag en premie
2. Welke Verzekeraar
3. Vergelijking tussen de verschillende BCA’s
4. Foute uitsluitingen
5. Dekkingsuitbreidingen
6. Dekkingssystematiek
7. Omstandigheden bij oversluiten
59
60. Check √
Verzekerd bedrag Niet op bezuinigen !
Premie Tegenwoordig veel lager ◄ Vroeger
Verzekeraars Voorlopers en Achterblijvers
Verschil in Voorwaarden
Schakel deskundigen in
60
63. Huidige Systematiek
Claims Made
• In principe onbeperkte inloop mits geen bekende omstandigheid
• Einde verzekering = einde claim-mogelijkheid
• Bekende omstandigheden tijdens looptijd verzekering = melden
• Uitloop kopen bij beëindiging polis!
Verzekeraars -> Beter beheersbare polis
Verzekerden -> Kritisch blijven met name bij beëindiging
63
64. Omstandighedenmelding
• Informatieplicht bij aangaan verzekering !
• Bij beëindiging verzekering nagaan of er omstandigheden te melden zijn bij de
oude verzekeraar die later tot een aanspraak op de polis kunnen leiden
• Beëindigingsdatum oude polis = ingangsdatum nieuwe polis !
• Zorg voor uitgebreide check van voorvallen voor opzeggen
• Aan bekende of verwachte claims voor ingangsdatum van de (nieuwe) verzekering
kunnen geen rechten worden ontleend
64
65. Toekomstverwachting
Toenemende Aansprakelijkheidsrisico’s Bestuurders & Commissarissen door invoering
van nieuwe wetgeving en jurisprudentie. Invloed van social media vergroot de
kwetsbaarheid
• Wet Pensioencommunicatie
• Wetgeving i.v.m. Arbeidsomstandigheden, WIA, Ontslagrecht e.d.
• Ontwikkelingen Arbeidsrecht
• Wetgeving rondom Datalekken | Cybercrime
• Reputatieschade
65