SlideShare a Scribd company logo

Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia de Keizer

Download as PPTX, PDF
AKD
AKD

Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia de Keizer

Business
1 of 66
1 Cyberrisico’s en bestuurdersaansprakelijkheid 2 juni 2016 AKD advocaten, notarissen & belastingadviseurs Concordia de Keizer
Cyberrisico’s en bestuurdersaansprakelijkheid 2 Agenda 1. Annet Govaert-Proos: Cyberrisico’s 2. Martin Hemmer: Cyberrisico’s 3. Annet Govaert-Proos: Cyberrisico’s 4. Marc Goethals: Bestuurdersaansprakelijkheid 5. Patrick Wilbrink: Bestuurdersaansprakelijkheid 6. Afsluiting & borrel
Annet Govaert-Proos: Cyberrisico’s Senior Specialist Aansprakelijkheid en Cyber bij Concordia de Keizer 3 T: +31 (0)10 25 11 246 M: +31 6 21 45 98 93 E: Annet.Govaert@concordiadekeizer.nl
4 Video: https://www.youtube.com/watch?v=uGC2VP- N120&feature=youtu.be
Cyberincident: “Het is niet de vraag óf het gebeurt, maar eerder wanneer? Bron: Stan Hegt, Manager Cybersecurity KPMG Themadossier Cyberrisico’s CdK nov 2014
Cyberrisico’s: Verbond van Verzekeraars: “Het financiële nadeel dat een verzekerde oploopt door of via computer- en/of ICT systemen, zonder dat er sprake is van materiële schade.” Oorzaken • Moedwillige aanval buitenaf (‘crime’); • Menselijke fout; • Technisch falen; Cyberrisico’s dus meeromvattend dan enkel cybercrime! 6
Investeren in cybersecurity: geen keuze maar noodzaak 'Cybercrime kost Nederlandse bedrijven jaarlijks 10 miljard' Cybercriminaliteit kost Nederlandse bedrijven en de overheid jaarlijks zo'n 10 miljard euro. Het gaat daarbij bijvoorbeeld om diefstal van intellectueel eigendom, schade door het vrijkomen van privacygevoelige gegevens en diefstal van geld. Bron Deloitte data-analyse Cyber Value at Risk in The Netherlands 4 april 2016 7
Investeren in cybersecurity: geen keuze maar noodzaak Wat is een cyberincident? • uw systeem gaat op “zwart” • oorzaak: een “hack” maar ook een menselijke fout • gevolgen: juridische en financiële consequenties Voorbeelden? 8
Martin Hemmer: Cyberrisico’s en meldplichten Advocaat, Partner: Intellectueel Eigendom, ICT & Privacy 9 T: +31 88 253 5916 M: +31 6 27 74 27 27 E: mhemmer@akd.nl
1. Meldplicht datalekken (Wbp) 2. Meldplicht datalekken (Verordening) 3. Aparte meldplicht beveiligingsincidenten 4. Overige relevante verplichtingen en risico’s 10
Is een datalek erg? 11
Soorten datalekken: externe risico’s • Intentioneel datalek (hackers) 12 http://www.smallbiztechnology.com/archive/2012/10/learn-to- protect-your-business-from-a-security-breach.hml/ http://www.merchantcircle.com/bts-technologies1-birmingham-al/picture/view/3166648 • Non-intentioneel datalek (onbedoeld lekken)
Startpunt: Beveiliging Art. 13 Wbp: De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Advies: Sluit aan bij standaarden! 13
Uitwerking art. 13 Bron: beleidsregels AP. 14
Beveiliging = Mensenwerk Naast technische beveiliging speelt het maken implementeren en uitvoeren van beleid een essentiële rol. PLAN DO CHECK ACT 15
AP: veel aandacht voor organisatie / beleid Onderzoek naar de beveiliging van persoonsgegevens via Suwinet bij 13 gemeenten. Vastgestelde overtredingen o.a. - Het ontbreken van een Beveiligingsplan danwel het niet updaten of evalueren daarvan - Het correct implementeren en controleren van toegangsrechten en autorisaties - Onvoldoende uitdragen van het Beveiligingsplan in de organisaties - Security Officer rapporteert in de praktijk niet aan hoogste management Ter voldoening aan de Wbp en de meldplicht datalekken is implementatie van adequaat beleid essentieel, ook voor bedrijven. 16
Meldplicht datalekken Art. 34a Wbp 1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. 2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. 17 Sinds 1 januari de Autoriteit http://venturebeat.com/2012/09/17/2012-security-breaches/
Verplichting tot sluiten bewerkersovereenkomst Art. 14 Wbp: 1. Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen, en ten aanzien van de melding van een inbreuk op de beveiliging, bedoeld in artikel 13, (..) Het is verplicht hier aandacht aan te besteden in bewerkersovereenkomsten. 18
Wat is een datalek? 19
Ernstige datalekken Zijn gegevens van gevoelige aard betrokken? Zo ja: ernstig datalek en meldplicht • Bijzondere persoonsgegevens • Gegevens over financiële of economische situatie betrokkene • Gegevens die kunnen leiden tot stigmatisering of uitsluiting van betrokkene (schoolprestaties / relatieproblemen / werkproblemen) • Gebruikersnamen wachtwoorden • Gegevens die kunnen worden gebruikt voor identiteitsfraude (kopie paspoort / bsn / biometrische) • Gegevens die onder een beroepsgeheim vallen (Het feit dat ik Whatsapp gebruik?) 20
Ernstige datalekken Leiden aard en omvang tot een aanzienlijke kans op nadelige gevolgen? Zo ja: ernstig datalek en meldplicht • veel gegevens per persoon of gegevens over veel personen. • Wat is de impact van beslissingen die op basis van de gegevens worden genomen? • Heeft het verlies op impact op aanpalende verwerkingen (gegevens die in een keten worden gedeeld bijvoorbeeld bij overheden) Melding moet onverwijld, uiterlijk binnen 72 uur. 21
Melden aan betrokkene? Wbp: indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Beleidsregels: gegevens van gevoelige aard of andere reden waarom de inbreuk waarschijnlijk ongunstige gevolgen zal hebben? Klokkenluiders: er is een tiplijn 22
Wat te doen? • Goede beveiliging ook organisatorisch (mede ter voorkoming ernstige verwijtbaarheid); • Goed incidentenbeheer inrichten; • Beslissen wie in de organisatie datalekken gaat beoordelen en melden bij de Autoriteit Persoonsgegevens. • Protocol informeren betrokkenen; • Protocol informeren media; • Beheer meldingsplichtige datalekken (bewaarplicht minimaal 1 jaar) • Bewerkersovereenkomsten updaten.  Waken voor over-compliance? 23
Uitbreiding boetebevoegdheid AP • Belangrijkste instrumenten waren: • Bestuurlijke boete van € 4.500,- • Last onder dwangsom (zie Google) • Publiciteit • Nieuw: • Boete van max. € 820.000,- / 10% jaaromzet • Eerst een bindende aanwijzing / wel directe boete bij opzet of ernstige nalatigheid 25
Melpldicht datalekken onder de Verordening Algemene Verordening Gegevensbescherming Van kracht: mei 2018 Art. 33, Melding bij AP: • zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, vertraging motiveren. • tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. 26
Inhoud melding a) de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie; b) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen; c) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; d) de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. • documentatieplicht 27
Melding aan betrokkene (Art. 34) Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen onverwijld melden in eenvoudige taal Melding kan achterwege blijven in het geval van: a) Passende preventieve maatregelen zoals versleuteling b) Maatregelen achteraf die het risico wegnemen c) de mededeling onevenredige inspanningen zou vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd. 28
Privacy Impact Assessments (art. 35 e.v. Vo.) “GEGEVENSBESCHERMINGSEFFECTBEOORDELING” • High risk verwerking (nieuwe technologieën) • Gevoelige gegevens • Systematische en grote schaal verwerking (cameratoezicht in grote ruimte op grote schaal) • Kan leiden tot ‘prior consultation’ • Niet nodig als wettelijke basis voorziet in PIA 29
Privacy by design / default (Art. 25 Vo.) “Gegevensbescherming door ontwerp” Gegevensbescherming door standaardinstellingen” Maar: de verplichting tot privacy enhancing measures volgt in feite al uit art. 13 Wbp Belangrijk: Aandacht voor versleuteling. Voldoet aan de verplichting tot gegevensbescherming door ontwerp, maar kan ook meldplicht aan betrokkenen voorkomen. 30
Boetes in de Verordening Geldboetes tot 20 miljoen Euro of 4% van de wereldwijde omzet Mede afhankelijk van reeks factoren waaronder: • De nalatige aard van de inbreuk • de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32 31
NIB richtlijn, aparte meldplicht Netwerk en informatiebeveiligingsrichtlijn (nog niet definitief). • Staat los van meldplicht datalekken / persoonsgegevens. • Nationale strategie + autoriteit voor de beveiliging van netwerk- en informatiesystemen • Computercrisisteams / Computer Security Incident Response Team (CSIRT) • Bepaalde marktdeelnemers dienen incidenten met een aanzienlijke impact op de continuïteit van dienstverlening te melden aan de bevoegde autoriteiten. • Operators of essential services (energie, water, infrastructuur, health care) • Digital service providers 32
Annet Govaert-Proos: Cyberrisico’s Senior Specialist Aansprakelijkheid en Cyber bij Concordia de Keizer 33 T: +31 (0)10 25 11 246 M: +31 6 21 45 98 93 E: Annet.Govaert@concordiadekeizer.nl
Financiële consequenties • Inschakelen experts voor het vaststellen van de oorzaak van een inbreuk of verlies van gegevens • het opnieuw configureren van netwerken • het herstel van de beveiliging van gegevens en systemen • de proceskosten in verband met verweer tegen aanspraken van derden • melden van een inbreuk aan AP en eventueel gedupeerden, boetes • het verlies van inkomsten als gevolg van het crashen van uw systemen (‘stilligschade’) • mogelijke reputatieschade voor uw organisatie • kosten van afpersing 34
Risicomanagement: Inventarisatie/preventie Hoe is mijn bedrijf beveiligd, wat zijn de consequenties van een inbreuk en wat kan ik daaraan doen? Tools: • Cyber security scan • Evaluatie Status Meldplicht Datalekken verwerking van persoonsgegevens. Deze geven een duidelijk beeld over de huidige situatie en de noodzakelijke verbeterpunten 35
Risicomanagement Verzekering Wat is verzekerd? Eigen schade: • Kosten juridisch en technisch onderzoek • Herstelkosten van systemen • Kosten melden aan klanten/benadeelden en monitoring • Reputatieschade en PR kosten • Bedrijfsschade • Afpersing • Boetes 36
Risicomanagement Verzekering Wat is verzekerd? Schade van derden/aansprakelijkheid: Kosten en claims voortvloeiende uit: • Inbreuk/verlies van persoonsgegevens • Inbreuk intellectuele eigendom • Inbreuk op vertrouwelijke (bedrijfs)informatie • Direct en indirecte schade aan computersystemen van derden 37
Risicomanagement Reactie Incident, wat als het mis gaat? Misschien wel belangrijkste onderdeel van een Cyberverzekering….. Incident response plan: 24/7 alarmnummer Website Incident coach It-bedrijven, juristen en communicatiedeskundigen 38
Onze specialisten staan voor u klaar Veel verzekeraars bieden een Cyberverzekering, daardoor relatief goedkoop met een complete dekking: Premie’s: • € 100.000 verzekerd bedrag : € 400,= en € 1.850,= (afhankelijk van uw omzet) • € 3.000.000 verzekerd bedrag: € 3.000 en € 6.000,= (afhankelijk van uw omzet) Verzekeringsmarkt voortdurend in beweging, onze specialisten volgen de ontwikkelingen op de voet 39
Tips 1. “versleutel” uw privacy gevoelige gegevens 2. Cyberrisico’s horen op de agenda van de bestuursvergadering 3. Creëer bewustzijn bij uw werknemers 4. Zorg voor een incident response plan zodat iedereen weet wat er moet gebeuren en wie er gebeld moet worden als uw netwerk op “zwart” gaat 40
Bedankt voor uw aandacht Vragen? 41
Marc Goethals: Bestuurdersaansprakelijkheid Advocaat: Herstructurering & Insolventie, Geschillenbeslechting 42 T: +31 88 253 5229 M: +31 6 21 27 23 42 E: mgoethals@akd.nl
Verantwoordelijkheid = Aansprakelijkheid “Behoudens beperkingen volgens de statuten is het bestuur belast met het besturen van de vennootschap.” (art. 2:129 lid 1 BW / art. 2:239 lid 1 BW) “Elke bestuurder is tegenover de rechtspersoon gehouden tot een behoorlijke vervulling van zijn taak. Tot de taak van de bestuurder behoren alle bestuurstaken die niet bij of krachtens de wet of de statuten aan een of meer andere bestuurders zijn toebedeeld.” (art. 2:9 lid 1 BW) “Elke bestuurder draagt verantwoordelijkheid voor de algemene gang van zaken. Hij is voor het geheel aansprakelijk terzake van onbehoorlijk bestuur, tenzij hem mede gelet op de aan anderen toebedeelde taken geen ernstig verwijt kan worden gemaakt en hij niet nalatig is geweest in het treffen van maatregelen om de gevolgen van onbehoorlijk bestuur af te wenden.” (art. 2:9 lid 2 BW) 43
Van waar komt het gevaar? Interne bestuurdersaansprakelijkheid: • de vennootschap Externe bestuurdersaansprakelijkheid: • de crediteuren • de curator 44
Wanneer aansprakelijk jegens de vennootschap Grondslagen: • Schending artikel 2:9 BW • Wanprestatie managementovereenkomst / arbeidsovereenkomst Maatstaf: • Een (persoonlijk) ernstig verwijt • Identieke maatstaf als kennelijk onbehoorlijk bestuur (art. 2:138 / 2:248 BW): als geen redelijk denkend bestuurder – onder dezelfde omstandigheden – zo gehandeld zou hebben • Geobjectiveerde maatstaf: van een bestuurder mag worden verwacht dat hij op zijn taak berekend is en deze nauwgezet vervult 45
Een voor allen, allen voor één? Nee, bedankt. Uitgangspunt: • Collegiaal bestuur: collectieve verantwoordelijkheid voor besturen vennootschap • Hoofdelijke aansprakelijkheid bij onbehoorlijk bestuur Uitzondering: • Taakverdeling krachtens de wet of statuten Echter: het algemeen beleid en financieel beleid blijft een collectieve taak • Disculpatie Geen eigen verwijtbaar handelen + niet nalatig in het treffen van maatregelen Tip: • Wijs een collega bestuurder aan tot portefeuillehouder ‘cybersecurity’  46
Valt er wat te regelen? NB: bij faillissement kan curator namens vennootschap deze vordering instellen Décharge: • Bevrijdt bestuurder van interne aansprakelijkheid • Bij décharge door AVA is reikwijdte beperkt tot informatie verstrekt in AVA • Vernietiging door curator op grond van pauliana is mogelijk Bestuurdersaansprakelijkheidsverzekering: • Voorkomt geen aansprakelijkheid, maar verzacht de gevolgen • Dekt ook de kosten verweer tegen onterechte claims 47
Wanneer aansprakelijk jegens crediteuren? Grondslag: • Onrechtmatige daad (art. 6:162 BW): inbreuk op recht, schending wettelijke plicht, maatschappelijk onbetamelijk gedrag Maatstaf: • In beginsel geldt voor bestuurdersaansprakelijkheid jegens derden dezelfde strenge maatstaf als bij (kennelijk) onbehoorlijk bestuur; • Echter, bij handelen anders dan in hoedanigheid van bestuurder geldt minder strenge maatstaf van regulier onrechtmatig handelen Opmerking: de vraag is of het strengere criterium ook geldt indien de geschonden regelgeving die de belangen van derden beoogt te beschermen zich niet richt tot de vennootschap, maar tot de bestuurders zelf. Tot wie richt de privacy regelgeving zich met het begrip ‘verantwoordelijke’; de vennootschap of de bestuurder? 48
Drie categorieën onbetamelijk handelen Uitgangspunt: • De vennootschap is jegens haar crediteuren aansprakelijk, niet haar bestuurders Drie uitzonderingen (maatschappelijk onbetamelijk handelen): • Beklamel-gevallen: aangaan overeenkomst terwijl bestuurder wist dat crediteur schade zou lijden • Verhaalsfrustratie: bewerkstelligen of toelaten dat vennootschap verplichtingen niet nakomt terwijl bestuurder wist dat crediteur daardoor schade zou lijden • Selectieve (wan)betaling: selectieve betaling is in beginsel toegestaan, maar bijkomende omstandigheden kunnen deze betaling onrechtmatig maken: bijvoorbeeld bij beëindiging van bedrijfsactiviteiten 49
Wanneer aansprakelijk jegens de curator? Grondslag: • Schending art. 2:138 BW / art. 2:248 BW Lid 1: “In geval van faillissement van de vennootschap is iedere bestuurder jegens de boedel hoofdelijk aansprakelijk voor het bedrag van de schulden voor zover deze niet door vereffening van de overige baten kunnen worden voldaan, indien het bestuur zijn taak kennelijk onbehoorlijk heeft vervuld en aannemelijk is dat dit een belangrijke oorzaak is van het faillissement.” Maatstaf: • Dezelfde maatstaf als bij schending artikel 2:9 BW 50
Een prettige wedstrijd op het level playing field De wetgever helpt de curator in de wedstrijd met de bewijsvermoedens van art. 2:138 / art. 2:248 lid 2 BW. Bij schending administratieplicht of publicatieplicht: • staat kennelijk onbehoorlijk bestuur vast • wordt dit vermoed een belangrijke oorzaak van het faillissement te zijn 51
Administratieplicht “Het bestuur is verplicht van de vermogenstoestand van de rechtspersoon en van alles betreffende de werkzaamheden van de rechtspersoon, naar de eisen die voortvloeien uit deze werkzaamheden, op zodanige wijze een administratie te voeren en de daartoe behorende boeken, bescheiden en andere gegevensdragers op zodanige wijze te bewaren, dat te allen tijde de rechten en verplichtingen van de rechtspersoon kunnen worden gekend.” (art. 2:10 lid 1 BW) Opmerking: naast debiteurenpositie, crediteurenpositie en stand van liquiditeiten ook andere elementen van de administratie van belang. 52
Disculpatie? “Niet aansprakelijk is de bestuurder die bewijst dat de onbehoorlijke taakvervulling door het bestuur niet aan hem te wijten is en dat hij niet nalatig is geweest in het treffen van maatregelen om de gevolgen daarvan af te wenden.” (art. 2:138 / art. 2:248 lid 3 BW) Ook bij het onweerlegbaar bewijsvermoeden van lid 2 is volgens de Hoge Raad disculpatie mogelijk, maar hoe? Bij schending van de administratieplicht staat immers ook het kennelijk onbehoorlijk bestuur voor het overige vast. Opmerking: Indien uw administratie wordt platgelegd door de een cyberaanval kan dit resulteren in een schending van de administratieplicht. Disculpatie is dan lastig. De rechter kan wel de schadevergoeding matigen. 53
Conclusies • Gelet op de mogelijke impact van cybersecurity issues op ondernemingen lijken deze inderdaad CEO issues te zijn geworden c.q. te gaan worden. • Verantwoordelijkheid van het bestuur impliceert mogelijke aansprakelijkheid van het bestuur. • Een interne taakverdeling is van invloed op de aansprakelijkheid van bestuurders. • De bescherming van de administratieve organisatie verdient extra aandacht vanuit het perspectief van bestuurdersaansprakelijkheid. • De redelijkerwijs te nemen maatregelen ter voorkoming van cybersecurity inbreuken en de back up plannen voor het geval deze zich wel voordoen, zijn afhankelijk van de aard en omvang van de onderneming. • Een verzekering voorkomt geen cybersecurity inbreuk, maar verzacht wel de gevolgen daarvan. 54
Patrick Wilbrink: Bestuurdersaansprakelijkheid Sr. Accountmanager 55 T: +31 (0)10 251 12 51 M: +31 (0) 6 29 05 20 78 E: Patrick.Wilbrink@concordiadekeizer.nl
De BCA-verzekering • Inhoud van de verzekering: De Dekking • Waar moet u rekening mee houden • Toekomstverwachtingen bestuurdersaansprakelijkheid 56
De Dekking 57  Wat ? Persoonlijke Aansprakelijkheid  Voor Wie ? Bestuurders & Commissarissen alsmede de Beleidsbepalers van de rechtspersoon zoals de Non Statutaire Directie, Aandeelhouders en voorts iedereen die uit hoofde van zijn functie of hoedanigheid ‘daden van bestuur’ verricht  Waarvoor ? Afdekking prive vermogen
Kern van de BCA-verzekering 2 Traps Raket • Rechtsbijstandselement • Schadevergoedingselement In verband met de (vermeende) persoonlijke aansprakelijkheid van de verzekerde personen 58
Waar moet u rekening mee houden ? 1. Verzekerd bedrag en premie 2. Welke Verzekeraar 3. Vergelijking tussen de verschillende BCA’s 4. Foute uitsluitingen 5. Dekkingsuitbreidingen 6. Dekkingssystematiek 7. Omstandigheden bij oversluiten 59
Check √  Verzekerd bedrag Niet op bezuinigen !  Premie Tegenwoordig veel lager ◄ Vroeger  Verzekeraars Voorlopers en Achterblijvers Verschil in Voorwaarden Schakel deskundigen in 60
Foute bepalingen | Uitsluitingen • Aandeelhoudersuitsluiting • Boekhoudplicht • Overschrijding Budget • Adequate verzekeringen • Opzeggen na Schade • Beperkte Uitloopmogelijkheden 61
Dekkingsuitbreidingen • Outside directorships • Dekking voor verdediging bij milieuclaims • Cost Exclusive • Werknemersaanspraken • USA | Canada dekkingen • Entity cover • Securities • Reinstatement clause • Prospectusaansprakelijkheid (bij uitgifte aandelen) • Verbeterde uitloopregelingen 62
Huidige Systematiek Claims Made • In principe onbeperkte inloop mits geen bekende omstandigheid • Einde verzekering = einde claim-mogelijkheid • Bekende omstandigheden tijdens looptijd verzekering = melden • Uitloop kopen bij beëindiging polis!  Verzekeraars -> Beter beheersbare polis  Verzekerden -> Kritisch blijven met name bij beëindiging 63
Omstandighedenmelding • Informatieplicht bij aangaan verzekering ! • Bij beëindiging verzekering nagaan of er omstandigheden te melden zijn bij de oude verzekeraar die later tot een aanspraak op de polis kunnen leiden • Beëindigingsdatum oude polis = ingangsdatum nieuwe polis ! • Zorg voor uitgebreide check van voorvallen voor opzeggen • Aan bekende of verwachte claims voor ingangsdatum van de (nieuwe) verzekering kunnen geen rechten worden ontleend 64
Toekomstverwachting Toenemende Aansprakelijkheidsrisico’s Bestuurders & Commissarissen door invoering van nieuwe wetgeving en jurisprudentie. Invloed van social media vergroot de kwetsbaarheid • Wet Pensioencommunicatie • Wetgeving i.v.m. Arbeidsomstandigheden, WIA, Ontslagrecht e.d. • Ontwikkelingen Arbeidsrecht • Wetgeving rondom Datalekken | Cybercrime • Reputatieschade 65
Bedankt voor uw aandacht Vragen? 66

Recommended

Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016
AKD
 
AKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVGAKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVG
AKD
 
Martin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en OverheidMartin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en Overheid
AKD
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door Sophos
SLBdiensten
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitief
Richard Claassens CIPPE
 
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure
 
Beleid informatiebeveiligingsincidenten stad
Beleid informatiebeveiligingsincidenten stadBeleid informatiebeveiligingsincidenten stad
Beleid informatiebeveiligingsincidenten stad
Tommy Vandepitte
 
Gdpr compliance
Gdpr complianceGdpr compliance
Gdpr compliance
Bart Van Den Brande
 

Recommended

Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016Privacy - Gemeentedagen 2016
Privacy - Gemeentedagen 2016
AKD
 
AKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVGAKD Legal Café Data Security onder de AVG
AKD Legal Café Data Security onder de AVG
AKD
 
Martin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en OverheidMartin Hemmer - Privacy en Overheid
Martin Hemmer - Privacy en Overheid
AKD
 
Presentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door SophosPresentatie Meldplicht Datalekken door Sophos
Presentatie Meldplicht Datalekken door Sophos
SLBdiensten
 
Privacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitiefPrivacy het nieuwe groen KNVI definitief
Privacy het nieuwe groen KNVI definitief
Richard Claassens CIPPE
 
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht DatalekkenWeSecure Data Security Congres: Meldplicht Datalekken
WeSecure Data Security Congres: Meldplicht Datalekken
WeSecure
 
Beleid informatiebeveiligingsincidenten stad
Beleid informatiebeveiligingsincidenten stadBeleid informatiebeveiligingsincidenten stad
Beleid informatiebeveiligingsincidenten stad
Tommy Vandepitte
 
Gdpr compliance
Gdpr complianceGdpr compliance
Gdpr compliance
Bart Van Den Brande
 
Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacy
B.A.
 
Members magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaamMembers magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaam
Sebyde
 
Sebyde security quickscan
Sebyde security quickscanSebyde security quickscan
Sebyde security quickscan
Sebyde
 
Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbij
VNG Realisatie
 
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data 3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
OrangeValley
 
Pxl 2015
Pxl 2015Pxl 2015
Pxl 2015
Bart Van Den Brande
 
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacy
Sebyde
 
Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekken
Sebyde
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheid
Sebyde
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Richard Claassens CIPPE
 
Members magazine q4 2015 HR
Members magazine q4 2015 HRMembers magazine q4 2015 HR
Members magazine q4 2015 HR
Sebyde
 
Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"
Bart Van Den Brande
 
20181102 Leveranciersdag_BIO-Logisch
20181102 Leveranciersdag_BIO-Logisch20181102 Leveranciersdag_BIO-Logisch
20181102 Leveranciersdag_BIO-Logisch
VNG Realisatie
 
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
Sebyde
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)
Wilma van de Meerakker
 
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
Bart Van Den Brande
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
B.A.
 
VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVJurgen van der Vlugt
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
HOlink
 
Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy Compliance
AKD
 
Gastcollege Universiteit Twente over Privacy
Gastcollege Universiteit Twente over PrivacyGastcollege Universiteit Twente over Privacy
Gastcollege Universiteit Twente over Privacy
wvholst_mitopics
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
Sebyde
 

More Related Content

What's hot

Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacy
B.A.
 
Members magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaamMembers magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaam
Sebyde
 
Sebyde security quickscan
Sebyde security quickscanSebyde security quickscan
Sebyde security quickscan
Sebyde
 
Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbij
VNG Realisatie
 
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data 3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
OrangeValley
 
Pxl 2015
Pxl 2015Pxl 2015
Pxl 2015
Bart Van Den Brande
 
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacy
Sebyde
 
Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekken
Sebyde
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheid
Sebyde
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Richard Claassens CIPPE
 
Members magazine q4 2015 HR
Members magazine q4 2015 HRMembers magazine q4 2015 HR
Members magazine q4 2015 HR
Sebyde
 
Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"
Bart Van Den Brande
 
20181102 Leveranciersdag_BIO-Logisch
20181102 Leveranciersdag_BIO-Logisch20181102 Leveranciersdag_BIO-Logisch
20181102 Leveranciersdag_BIO-Logisch
VNG Realisatie
 
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
Sebyde
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)
Wilma van de Meerakker
 
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
Bart Van Den Brande
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
B.A.
 
VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVJurgen van der Vlugt
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
HOlink
 

What's hot (19)

Verhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacyVerhalen uit de loopgraven - Workshop Security & privacy
Verhalen uit de loopgraven - Workshop Security & privacy
 
Members magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaamMembers magazine q1 2016 duurzaam
Members magazine q1 2016 duurzaam
 
Sebyde security quickscan
Sebyde security quickscanSebyde security quickscan
Sebyde security quickscan
 
Realisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbijRealisatiedag 21 juni Nijverdal De AVG voorbij
Realisatiedag 21 juni Nijverdal De AVG voorbij
 
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data 3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
3. Sabine Straver & Jitty van Doodewaerd - Grip op Data
 
Pxl 2015
Pxl 2015Pxl 2015
Pxl 2015
 
Algemene informatie RI&E privacy
Algemene informatie RI&E privacyAlgemene informatie RI&E privacy
Algemene informatie RI&E privacy
 
Meldplicht datalekken
Meldplicht datalekkenMeldplicht datalekken
Meldplicht datalekken
 
Members magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheidMembers magazine q3 2015 zekerheid
Members magazine q3 2015 zekerheid
 
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
Is privacywetgeving een blokkade voor technologisch gedreven innovatie?
 
Members magazine q4 2015 HR
Members magazine q4 2015 HRMembers magazine q4 2015 HR
Members magazine q4 2015 HR
 
Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"Sirius Friday seminarie "1 jaar gdpr"
Sirius Friday seminarie "1 jaar gdpr"
 
20181102 Leveranciersdag_BIO-Logisch
20181102 Leveranciersdag_BIO-Logisch20181102 Leveranciersdag_BIO-Logisch
20181102 Leveranciersdag_BIO-Logisch
 
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekkenDe gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
De gevolgen van de nieuwe privacywetgeving en meldplicht voor datalekken
 
Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)Algemene Verordening Gegevensbescherming (AVG)
Algemene Verordening Gegevensbescherming (AVG)
 
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
20170530 "Business meets itIT" seminarie gdpr: De impact van de #GDPR op uw m...
 
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectiefGDPR Revealed: EU privacy wetgeving in het juiste perspectief
GDPR Revealed: EU privacy wetgeving in het juiste perspectief
 
VU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdVVU Information Risk Management Security Management 2010 JvdV
VU Information Risk Management Security Management 2010 JvdV
 
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
Impact Wet bescherming persoonsgegevens en meldplicht datalekken op u en uw i...
 

Similar to Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia de Keizer

Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy Compliance
AKD
 
Gastcollege Universiteit Twente over Privacy
Gastcollege Universiteit Twente over PrivacyGastcollege Universiteit Twente over Privacy
Gastcollege Universiteit Twente over Privacy
wvholst_mitopics
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
Sebyde
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016Anja Dekhuijzen
 
BLIS AVG Kennissessie
BLIS AVG Kennissessie BLIS AVG Kennissessie
BLIS AVG Kennissessie
Suzanne Bruseker
 
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekkenHuub de Jong
 
AVG als grootste zorg-def
AVG als grootste zorg-defAVG als grootste zorg-def
AVG als grootste zorg-def
Saida Nhass CIPP-E
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy
Redactie ZiPconomy
 
Beveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerkBeveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerk
Axon Lawyers
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces
Robbert Hoendervanger ✓
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
GuyVanderSande
 
Expertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenExpertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman Advocaten
Media Perspectives
 
Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)
Stefano Verkooy
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeHenk Fernald
 
20201211 DPIA webinar
20201211 DPIA webinar20201211 DPIA webinar
20201211 DPIA webinar
Bart Van Den Brande
 
Zorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorgZorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorg
JUSTthIS_Molen
 
Av23
Av23Av23
Av23
Rogier Posthuma
 
Privacy
PrivacyPrivacy
Privacy
Wilma van de Meerakker
 
Technology Update: Privacy in Apps
Technology Update: Privacy in Apps Technology Update: Privacy in Apps
Technology Update: Privacy in Apps
Media Perspectives
 
HR Social Media Day - Stephanie Raets Claeys &Engels
HR Social Media Day - Stephanie Raets Claeys &EngelsHR Social Media Day - Stephanie Raets Claeys &Engels
HR Social Media Day - Stephanie Raets Claeys &EngelsHRmagazine
 

Similar to Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia de Keizer (20)

Complianceforum - Privacy Compliance
Complianceforum - Privacy ComplianceComplianceforum - Privacy Compliance
Complianceforum - Privacy Compliance
 
Gastcollege Universiteit Twente over Privacy
Gastcollege Universiteit Twente over PrivacyGastcollege Universiteit Twente over Privacy
Gastcollege Universiteit Twente over Privacy
 
De gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgevingDe gevolgen van de nieuwe privacywetgeving
De gevolgen van de nieuwe privacywetgeving
 
HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016HELIVIEW DATA PRIVACY 2016
HELIVIEW DATA PRIVACY 2016
 
BLIS AVG Kennissessie
BLIS AVG Kennissessie BLIS AVG Kennissessie
BLIS AVG Kennissessie
 
interview meldplicht datalekken
interview meldplicht datalekkeninterview meldplicht datalekken
interview meldplicht datalekken
 
AVG als grootste zorg-def
AVG als grootste zorg-defAVG als grootste zorg-def
AVG als grootste zorg-def
 
GDPR Webinar NextConomy
GDPR Webinar NextConomy GDPR Webinar NextConomy
GDPR Webinar NextConomy
 
Beveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerkBeveiliging van medische software in een netwerk
Beveiliging van medische software in een netwerk
 
Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces Presentatie meldplicht datalekken Aces
Presentatie meldplicht datalekken Aces
 
USG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPRUSG Professionals - Data Protection GDPR
USG Professionals - Data Protection GDPR
 
Expertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman AdvocatenExpertsessie Data4Media: Marxman Advocaten
Expertsessie Data4Media: Marxman Advocaten
 
Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)Whitepaper businessleads.nu avg_2019 (1)
Whitepaper businessleads.nu avg_2019 (1)
 
Workshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraudeWorkshop convenant aanpak verzekeringsfraude
Workshop convenant aanpak verzekeringsfraude
 
20201211 DPIA webinar
20201211 DPIA webinar20201211 DPIA webinar
20201211 DPIA webinar
 
Zorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorgZorg & ICT beurs 2015 - privacy & security in de zorg
Zorg & ICT beurs 2015 - privacy & security in de zorg
 
Av23
Av23Av23
Av23
 
Privacy
PrivacyPrivacy
Privacy
 
Technology Update: Privacy in Apps
Technology Update: Privacy in Apps Technology Update: Privacy in Apps
Technology Update: Privacy in Apps
 
HR Social Media Day - Stephanie Raets Claeys &Engels
HR Social Media Day - Stephanie Raets Claeys &EngelsHR Social Media Day - Stephanie Raets Claeys &Engels
HR Social Media Day - Stephanie Raets Claeys &Engels
 

More from AKD

Sponsorovereenkomst als overheidsopdracht
Sponsorovereenkomst als overheidsopdrachtSponsorovereenkomst als overheidsopdracht
Sponsorovereenkomst als overheidsopdracht
AKD
 
Projectontwikkeling altijd een overheidsopdracht?
Projectontwikkeling altijd een overheidsopdracht? Projectontwikkeling altijd een overheidsopdracht?
Projectontwikkeling altijd een overheidsopdracht?
AKD
 
Overheidsopdracht of subsidie
Overheidsopdracht of subsidie Overheidsopdracht of subsidie
Overheidsopdracht of subsidie
AKD
 
Overheidsopdracht of open house model
Overheidsopdracht of open house modelOverheidsopdracht of open house model
Overheidsopdracht of open house model
AKD
 
Introductie Aanbestedingswebinar
Introductie AanbestedingswebinarIntroductie Aanbestedingswebinar
Introductie Aanbestedingswebinar
AKD
 
Woningbouw en stikstof, hoe verder na pas
Woningbouw en stikstof, hoe verder na pasWoningbouw en stikstof, hoe verder na pas
Woningbouw en stikstof, hoe verder na pas
AKD
 
De corporatie als ontwikkelaar
De corporatie als ontwikkelaar De corporatie als ontwikkelaar
De corporatie als ontwikkelaar
AKD
 
Professioneel opdrachtgeverschap
Professioneel opdrachtgeverschapProfessioneel opdrachtgeverschap
Professioneel opdrachtgeverschap
AKD
 
Maatregelen middenhuur
Maatregelen middenhuur Maatregelen middenhuur
Maatregelen middenhuur
AKD
 
Inleiding
Inleiding Inleiding
Inleiding
AKD
 
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...
AKD
 
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...
AKD
 
AKD Aanbestedingsseminars 2019 introductie
AKD Aanbestedingsseminars 2019 introductieAKD Aanbestedingsseminars 2019 introductie
AKD Aanbestedingsseminars 2019 introductie
AKD
 
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?
AKD
 
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...
AKD
 
Aanbestedingsseminars 2019 workshop 2
Aanbestedingsseminars 2019 workshop 2Aanbestedingsseminars 2019 workshop 2
Aanbestedingsseminars 2019 workshop 2
AKD
 
Aanbestedingsseminars 2019 workshop 4
Aanbestedingsseminars 2019 workshop 4Aanbestedingsseminars 2019 workshop 4
Aanbestedingsseminars 2019 workshop 4
AKD
 
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...
AKD
 
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedure
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedureAanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedure
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedure
AKD
 
Aanbestedingsseminars 2019 introductie
Aanbestedingsseminars 2019 introductieAanbestedingsseminars 2019 introductie
Aanbestedingsseminars 2019 introductie
AKD
 

More from AKD (20)

Sponsorovereenkomst als overheidsopdracht
Sponsorovereenkomst als overheidsopdrachtSponsorovereenkomst als overheidsopdracht
Sponsorovereenkomst als overheidsopdracht
 
Projectontwikkeling altijd een overheidsopdracht?
Projectontwikkeling altijd een overheidsopdracht? Projectontwikkeling altijd een overheidsopdracht?
Projectontwikkeling altijd een overheidsopdracht?
 
Overheidsopdracht of subsidie
Overheidsopdracht of subsidie Overheidsopdracht of subsidie
Overheidsopdracht of subsidie
 
Overheidsopdracht of open house model
Overheidsopdracht of open house modelOverheidsopdracht of open house model
Overheidsopdracht of open house model
 
Introductie Aanbestedingswebinar
Introductie AanbestedingswebinarIntroductie Aanbestedingswebinar
Introductie Aanbestedingswebinar
 
Woningbouw en stikstof, hoe verder na pas
Woningbouw en stikstof, hoe verder na pasWoningbouw en stikstof, hoe verder na pas
Woningbouw en stikstof, hoe verder na pas
 
De corporatie als ontwikkelaar
De corporatie als ontwikkelaar De corporatie als ontwikkelaar
De corporatie als ontwikkelaar
 
Professioneel opdrachtgeverschap
Professioneel opdrachtgeverschapProfessioneel opdrachtgeverschap
Professioneel opdrachtgeverschap
 
Maatregelen middenhuur
Maatregelen middenhuur Maatregelen middenhuur
Maatregelen middenhuur
 
Inleiding
Inleiding Inleiding
Inleiding
 
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...
AKD Aanbestedingsseminars 2019 1. Fouten gedurende de aanbestedingsprocedure ...
 
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...
AKD Aanbestedingsseminars 2019 3. Fouten bij de beoordeling van inschrijvinge...
 
AKD Aanbestedingsseminars 2019 introductie
AKD Aanbestedingsseminars 2019 introductieAKD Aanbestedingsseminars 2019 introductie
AKD Aanbestedingsseminars 2019 introductie
 
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?
AKD Aanbestedingsseminars 2019 2. Fouten in inschrijving: herstel of niet?
 
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...
AKD Aanbestedingsseminars 1. Fouten en wijzigingen gedurende uitvoering van d...
 
Aanbestedingsseminars 2019 workshop 2
Aanbestedingsseminars 2019 workshop 2Aanbestedingsseminars 2019 workshop 2
Aanbestedingsseminars 2019 workshop 2
 
Aanbestedingsseminars 2019 workshop 4
Aanbestedingsseminars 2019 workshop 4Aanbestedingsseminars 2019 workshop 4
Aanbestedingsseminars 2019 workshop 4
 
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...
Aanbestedingsseminars 2019 workshop 3 - Fouten bij de beoordeling van inschri...
 
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedure
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedureAanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedure
Aanbestedingsseminars 2019 workshop 1 - fouten gedurende aanbestedingsprocedure
 
Aanbestedingsseminars 2019 introductie
Aanbestedingsseminars 2019 introductieAanbestedingsseminars 2019 introductie
Aanbestedingsseminars 2019 introductie
 

Seminar Cyberrisico's en bestuurdersaansprakelijkheid door AKD en Concordia de Keizer

  • 1. 1 Cyberrisico’s en bestuurdersaansprakelijkheid 2 juni 2016 AKD advocaten, notarissen & belastingadviseurs Concordia de Keizer
  • 2. Cyberrisico’s en bestuurdersaansprakelijkheid 2 Agenda 1. Annet Govaert-Proos: Cyberrisico’s 2. Martin Hemmer: Cyberrisico’s 3. Annet Govaert-Proos: Cyberrisico’s 4. Marc Goethals: Bestuurdersaansprakelijkheid 5. Patrick Wilbrink: Bestuurdersaansprakelijkheid 6. Afsluiting & borrel
  • 3. Annet Govaert-Proos: Cyberrisico’s Senior Specialist Aansprakelijkheid en Cyber bij Concordia de Keizer 3 T: +31 (0)10 25 11 246 M: +31 6 21 45 98 93 E: Annet.Govaert@concordiadekeizer.nl
  • 5. Cyberincident: “Het is niet de vraag óf het gebeurt, maar eerder wanneer? Bron: Stan Hegt, Manager Cybersecurity KPMG Themadossier Cyberrisico’s CdK nov 2014
  • 6. Cyberrisico’s: Verbond van Verzekeraars: “Het financiële nadeel dat een verzekerde oploopt door of via computer- en/of ICT systemen, zonder dat er sprake is van materiële schade.” Oorzaken • Moedwillige aanval buitenaf (‘crime’); • Menselijke fout; • Technisch falen; Cyberrisico’s dus meeromvattend dan enkel cybercrime! 6
  • 7. Investeren in cybersecurity: geen keuze maar noodzaak 'Cybercrime kost Nederlandse bedrijven jaarlijks 10 miljard' Cybercriminaliteit kost Nederlandse bedrijven en de overheid jaarlijks zo'n 10 miljard euro. Het gaat daarbij bijvoorbeeld om diefstal van intellectueel eigendom, schade door het vrijkomen van privacygevoelige gegevens en diefstal van geld. Bron Deloitte data-analyse Cyber Value at Risk in The Netherlands 4 april 2016 7
  • 8. Investeren in cybersecurity: geen keuze maar noodzaak Wat is een cyberincident? • uw systeem gaat op “zwart” • oorzaak: een “hack” maar ook een menselijke fout • gevolgen: juridische en financiële consequenties Voorbeelden? 8
  • 9. Martin Hemmer: Cyberrisico’s en meldplichten Advocaat, Partner: Intellectueel Eigendom, ICT & Privacy 9 T: +31 88 253 5916 M: +31 6 27 74 27 27 E: mhemmer@akd.nl
  • 10. 1. Meldplicht datalekken (Wbp) 2. Meldplicht datalekken (Verordening) 3. Aparte meldplicht beveiligingsincidenten 4. Overige relevante verplichtingen en risico’s 10
  • 11. Is een datalek erg? 11
  • 12. Soorten datalekken: externe risico’s • Intentioneel datalek (hackers) 12 http://www.smallbiztechnology.com/archive/2012/10/learn-to- protect-your-business-from-a-security-breach.hml/ http://www.merchantcircle.com/bts-technologies1-birmingham-al/picture/view/3166648 • Non-intentioneel datalek (onbedoeld lekken)
  • 13. Startpunt: Beveiliging Art. 13 Wbp: De verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of tegen enige vorm van onrechtmatige verwerking. Deze maatregelen garanderen, rekening houdend met de stand van de techniek en de kosten van de tenuitvoerlegging, een passend beveiligingsniveau gelet op de risico’s die de verwerking en de aard van te beschermen gegevens met zich meebrengen. De maatregelen zijn er mede op gericht onnodige verzameling en verdere verwerking van persoonsgegevens te voorkomen. Advies: Sluit aan bij standaarden! 13
  • 14. Uitwerking art. 13 Bron: beleidsregels AP. 14
  • 15. Beveiliging = Mensenwerk Naast technische beveiliging speelt het maken implementeren en uitvoeren van beleid een essentiële rol. PLAN DO CHECK ACT 15
  • 16. AP: veel aandacht voor organisatie / beleid Onderzoek naar de beveiliging van persoonsgegevens via Suwinet bij 13 gemeenten. Vastgestelde overtredingen o.a. - Het ontbreken van een Beveiligingsplan danwel het niet updaten of evalueren daarvan - Het correct implementeren en controleren van toegangsrechten en autorisaties - Onvoldoende uitdragen van het Beveiligingsplan in de organisaties - Security Officer rapporteert in de praktijk niet aan hoogste management Ter voldoening aan de Wbp en de meldplicht datalekken is implementatie van adequaat beleid essentieel, ook voor bedrijven. 16
  • 17. Meldplicht datalekken Art. 34a Wbp 1. De verantwoordelijke stelt het College onverwijld in kennis van een inbreuk op de beveiliging, bedoeld in artikel 13, die leidt tot de aanzienlijke kans op ernstige nadelige gevolgen dan wel ernstige nadelige gevolgen heeft voor de bescherming van persoonsgegevens. 2. De verantwoordelijke, bedoeld in het eerste lid, stelt de betrokkene onverwijld in kennis van de inbreuk, bedoeld in het eerste lid, indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. 17 Sinds 1 januari de Autoriteit http://venturebeat.com/2012/09/17/2012-security-breaches/
  • 18. Verplichting tot sluiten bewerkersovereenkomst Art. 14 Wbp: 1. Indien de verantwoordelijke persoonsgegevens te zijnen behoeve laat verwerken door een bewerker, draagt hij zorg dat deze voldoende waarborgen biedt ten aanzien van de technische en organisatorische beveiligingsmaatregelen met betrekking tot de te verrichten verwerkingen, en ten aanzien van de melding van een inbreuk op de beveiliging, bedoeld in artikel 13, (..) Het is verplicht hier aandacht aan te besteden in bewerkersovereenkomsten. 18
  • 19. Wat is een datalek? 19
  • 20. Ernstige datalekken Zijn gegevens van gevoelige aard betrokken? Zo ja: ernstig datalek en meldplicht • Bijzondere persoonsgegevens • Gegevens over financiële of economische situatie betrokkene • Gegevens die kunnen leiden tot stigmatisering of uitsluiting van betrokkene (schoolprestaties / relatieproblemen / werkproblemen) • Gebruikersnamen wachtwoorden • Gegevens die kunnen worden gebruikt voor identiteitsfraude (kopie paspoort / bsn / biometrische) • Gegevens die onder een beroepsgeheim vallen (Het feit dat ik Whatsapp gebruik?) 20
  • 21. Ernstige datalekken Leiden aard en omvang tot een aanzienlijke kans op nadelige gevolgen? Zo ja: ernstig datalek en meldplicht • veel gegevens per persoon of gegevens over veel personen. • Wat is de impact van beslissingen die op basis van de gegevens worden genomen? • Heeft het verlies op impact op aanpalende verwerkingen (gegevens die in een keten worden gedeeld bijvoorbeeld bij overheden) Melding moet onverwijld, uiterlijk binnen 72 uur. 21
  • 22. Melden aan betrokkene? Wbp: indien de inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor diens persoonlijke levenssfeer. Beleidsregels: gegevens van gevoelige aard of andere reden waarom de inbreuk waarschijnlijk ongunstige gevolgen zal hebben? Klokkenluiders: er is een tiplijn 22
  • 23. Wat te doen? • Goede beveiliging ook organisatorisch (mede ter voorkoming ernstige verwijtbaarheid); • Goed incidentenbeheer inrichten; • Beslissen wie in de organisatie datalekken gaat beoordelen en melden bij de Autoriteit Persoonsgegevens. • Protocol informeren betrokkenen; • Protocol informeren media; • Beheer meldingsplichtige datalekken (bewaarplicht minimaal 1 jaar) • Bewerkersovereenkomsten updaten.  Waken voor over-compliance? 23
  • 24.
  • 25. Uitbreiding boetebevoegdheid AP • Belangrijkste instrumenten waren: • Bestuurlijke boete van € 4.500,- • Last onder dwangsom (zie Google) • Publiciteit • Nieuw: • Boete van max. € 820.000,- / 10% jaaromzet • Eerst een bindende aanwijzing / wel directe boete bij opzet of ernstige nalatigheid 25
  • 26. Melpldicht datalekken onder de Verordening Algemene Verordening Gegevensbescherming Van kracht: mei 2018 Art. 33, Melding bij AP: • zonder onredelijke vertraging en, indien mogelijk, uiterlijk 72 uur nadat hij er kennis van heeft genomen, vertraging motiveren. • tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. 26
  • 27. Inhoud melding a) de aard van de inbreuk in verband met persoonsgegevens, waar mogelijk onder vermelding van de categorieën van betrokkenen en persoonsgegevensregisters in kwestie en, bij benadering, het aantal betrokkenen en persoonsgegevensregisters in kwestie; b) de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen; c) de waarschijnlijke gevolgen van de inbreuk in verband met persoonsgegevens; d) de maatregelen die de verwerkingsverantwoordelijke heeft voorgesteld of genomen om de inbreuk in verband met persoonsgegevens aan te pakken, waaronder, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen daarvan. • documentatieplicht 27
  • 28. Melding aan betrokkene (Art. 34) Wanneer de inbreuk waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen onverwijld melden in eenvoudige taal Melding kan achterwege blijven in het geval van: a) Passende preventieve maatregelen zoals versleuteling b) Maatregelen achteraf die het risico wegnemen c) de mededeling onevenredige inspanningen zou vergen. In dat geval komt er in de plaats daarvan een openbare mededeling of een soortgelijke maatregel waarbij betrokkenen even doeltreffend worden geïnformeerd. 28
  • 29. Privacy Impact Assessments (art. 35 e.v. Vo.) “GEGEVENSBESCHERMINGSEFFECTBEOORDELING” • High risk verwerking (nieuwe technologieën) • Gevoelige gegevens • Systematische en grote schaal verwerking (cameratoezicht in grote ruimte op grote schaal) • Kan leiden tot ‘prior consultation’ • Niet nodig als wettelijke basis voorziet in PIA 29
  • 30. Privacy by design / default (Art. 25 Vo.) “Gegevensbescherming door ontwerp” Gegevensbescherming door standaardinstellingen” Maar: de verplichting tot privacy enhancing measures volgt in feite al uit art. 13 Wbp Belangrijk: Aandacht voor versleuteling. Voldoet aan de verplichting tot gegevensbescherming door ontwerp, maar kan ook meldplicht aan betrokkenen voorkomen. 30
  • 31. Boetes in de Verordening Geldboetes tot 20 miljoen Euro of 4% van de wereldwijde omzet Mede afhankelijk van reeks factoren waaronder: • De nalatige aard van de inbreuk • de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 25 en 32 31
  • 32. NIB richtlijn, aparte meldplicht Netwerk en informatiebeveiligingsrichtlijn (nog niet definitief). • Staat los van meldplicht datalekken / persoonsgegevens. • Nationale strategie + autoriteit voor de beveiliging van netwerk- en informatiesystemen • Computercrisisteams / Computer Security Incident Response Team (CSIRT) • Bepaalde marktdeelnemers dienen incidenten met een aanzienlijke impact op de continuïteit van dienstverlening te melden aan de bevoegde autoriteiten. • Operators of essential services (energie, water, infrastructuur, health care) • Digital service providers 32
  • 33. Annet Govaert-Proos: Cyberrisico’s Senior Specialist Aansprakelijkheid en Cyber bij Concordia de Keizer 33 T: +31 (0)10 25 11 246 M: +31 6 21 45 98 93 E: Annet.Govaert@concordiadekeizer.nl
  • 34. Financiële consequenties • Inschakelen experts voor het vaststellen van de oorzaak van een inbreuk of verlies van gegevens • het opnieuw configureren van netwerken • het herstel van de beveiliging van gegevens en systemen • de proceskosten in verband met verweer tegen aanspraken van derden • melden van een inbreuk aan AP en eventueel gedupeerden, boetes • het verlies van inkomsten als gevolg van het crashen van uw systemen (‘stilligschade’) • mogelijke reputatieschade voor uw organisatie • kosten van afpersing 34
  • 35. Risicomanagement: Inventarisatie/preventie Hoe is mijn bedrijf beveiligd, wat zijn de consequenties van een inbreuk en wat kan ik daaraan doen? Tools: • Cyber security scan • Evaluatie Status Meldplicht Datalekken verwerking van persoonsgegevens. Deze geven een duidelijk beeld over de huidige situatie en de noodzakelijke verbeterpunten 35
  • 36. Risicomanagement Verzekering Wat is verzekerd? Eigen schade: • Kosten juridisch en technisch onderzoek • Herstelkosten van systemen • Kosten melden aan klanten/benadeelden en monitoring • Reputatieschade en PR kosten • Bedrijfsschade • Afpersing • Boetes 36
  • 37. Risicomanagement Verzekering Wat is verzekerd? Schade van derden/aansprakelijkheid: Kosten en claims voortvloeiende uit: • Inbreuk/verlies van persoonsgegevens • Inbreuk intellectuele eigendom • Inbreuk op vertrouwelijke (bedrijfs)informatie • Direct en indirecte schade aan computersystemen van derden 37
  • 38. Risicomanagement Reactie Incident, wat als het mis gaat? Misschien wel belangrijkste onderdeel van een Cyberverzekering….. Incident response plan: 24/7 alarmnummer Website Incident coach It-bedrijven, juristen en communicatiedeskundigen 38
  • 39. Onze specialisten staan voor u klaar Veel verzekeraars bieden een Cyberverzekering, daardoor relatief goedkoop met een complete dekking: Premie’s: • € 100.000 verzekerd bedrag : € 400,= en € 1.850,= (afhankelijk van uw omzet) • € 3.000.000 verzekerd bedrag: € 3.000 en € 6.000,= (afhankelijk van uw omzet) Verzekeringsmarkt voortdurend in beweging, onze specialisten volgen de ontwikkelingen op de voet 39
  • 40. Tips 1. “versleutel” uw privacy gevoelige gegevens 2. Cyberrisico’s horen op de agenda van de bestuursvergadering 3. Creëer bewustzijn bij uw werknemers 4. Zorg voor een incident response plan zodat iedereen weet wat er moet gebeuren en wie er gebeld moet worden als uw netwerk op “zwart” gaat 40
  • 41. Bedankt voor uw aandacht Vragen? 41
  • 42. Marc Goethals: Bestuurdersaansprakelijkheid Advocaat: Herstructurering & Insolventie, Geschillenbeslechting 42 T: +31 88 253 5229 M: +31 6 21 27 23 42 E: mgoethals@akd.nl
  • 43. Verantwoordelijkheid = Aansprakelijkheid “Behoudens beperkingen volgens de statuten is het bestuur belast met het besturen van de vennootschap.” (art. 2:129 lid 1 BW / art. 2:239 lid 1 BW) “Elke bestuurder is tegenover de rechtspersoon gehouden tot een behoorlijke vervulling van zijn taak. Tot de taak van de bestuurder behoren alle bestuurstaken die niet bij of krachtens de wet of de statuten aan een of meer andere bestuurders zijn toebedeeld.” (art. 2:9 lid 1 BW) “Elke bestuurder draagt verantwoordelijkheid voor de algemene gang van zaken. Hij is voor het geheel aansprakelijk terzake van onbehoorlijk bestuur, tenzij hem mede gelet op de aan anderen toebedeelde taken geen ernstig verwijt kan worden gemaakt en hij niet nalatig is geweest in het treffen van maatregelen om de gevolgen van onbehoorlijk bestuur af te wenden.” (art. 2:9 lid 2 BW) 43
  • 44. Van waar komt het gevaar? Interne bestuurdersaansprakelijkheid: • de vennootschap Externe bestuurdersaansprakelijkheid: • de crediteuren • de curator 44
  • 45. Wanneer aansprakelijk jegens de vennootschap Grondslagen: • Schending artikel 2:9 BW • Wanprestatie managementovereenkomst / arbeidsovereenkomst Maatstaf: • Een (persoonlijk) ernstig verwijt • Identieke maatstaf als kennelijk onbehoorlijk bestuur (art. 2:138 / 2:248 BW): als geen redelijk denkend bestuurder – onder dezelfde omstandigheden – zo gehandeld zou hebben • Geobjectiveerde maatstaf: van een bestuurder mag worden verwacht dat hij op zijn taak berekend is en deze nauwgezet vervult 45
  • 46. Een voor allen, allen voor één? Nee, bedankt. Uitgangspunt: • Collegiaal bestuur: collectieve verantwoordelijkheid voor besturen vennootschap • Hoofdelijke aansprakelijkheid bij onbehoorlijk bestuur Uitzondering: • Taakverdeling krachtens de wet of statuten Echter: het algemeen beleid en financieel beleid blijft een collectieve taak • Disculpatie Geen eigen verwijtbaar handelen + niet nalatig in het treffen van maatregelen Tip: • Wijs een collega bestuurder aan tot portefeuillehouder ‘cybersecurity’  46
  • 47. Valt er wat te regelen? NB: bij faillissement kan curator namens vennootschap deze vordering instellen Décharge: • Bevrijdt bestuurder van interne aansprakelijkheid • Bij décharge door AVA is reikwijdte beperkt tot informatie verstrekt in AVA • Vernietiging door curator op grond van pauliana is mogelijk Bestuurdersaansprakelijkheidsverzekering: • Voorkomt geen aansprakelijkheid, maar verzacht de gevolgen • Dekt ook de kosten verweer tegen onterechte claims 47
  • 48. Wanneer aansprakelijk jegens crediteuren? Grondslag: • Onrechtmatige daad (art. 6:162 BW): inbreuk op recht, schending wettelijke plicht, maatschappelijk onbetamelijk gedrag Maatstaf: • In beginsel geldt voor bestuurdersaansprakelijkheid jegens derden dezelfde strenge maatstaf als bij (kennelijk) onbehoorlijk bestuur; • Echter, bij handelen anders dan in hoedanigheid van bestuurder geldt minder strenge maatstaf van regulier onrechtmatig handelen Opmerking: de vraag is of het strengere criterium ook geldt indien de geschonden regelgeving die de belangen van derden beoogt te beschermen zich niet richt tot de vennootschap, maar tot de bestuurders zelf. Tot wie richt de privacy regelgeving zich met het begrip ‘verantwoordelijke’; de vennootschap of de bestuurder? 48
  • 49. Drie categorieën onbetamelijk handelen Uitgangspunt: • De vennootschap is jegens haar crediteuren aansprakelijk, niet haar bestuurders Drie uitzonderingen (maatschappelijk onbetamelijk handelen): • Beklamel-gevallen: aangaan overeenkomst terwijl bestuurder wist dat crediteur schade zou lijden • Verhaalsfrustratie: bewerkstelligen of toelaten dat vennootschap verplichtingen niet nakomt terwijl bestuurder wist dat crediteur daardoor schade zou lijden • Selectieve (wan)betaling: selectieve betaling is in beginsel toegestaan, maar bijkomende omstandigheden kunnen deze betaling onrechtmatig maken: bijvoorbeeld bij beëindiging van bedrijfsactiviteiten 49
  • 50. Wanneer aansprakelijk jegens de curator? Grondslag: • Schending art. 2:138 BW / art. 2:248 BW Lid 1: “In geval van faillissement van de vennootschap is iedere bestuurder jegens de boedel hoofdelijk aansprakelijk voor het bedrag van de schulden voor zover deze niet door vereffening van de overige baten kunnen worden voldaan, indien het bestuur zijn taak kennelijk onbehoorlijk heeft vervuld en aannemelijk is dat dit een belangrijke oorzaak is van het faillissement.” Maatstaf: • Dezelfde maatstaf als bij schending artikel 2:9 BW 50
  • 51. Een prettige wedstrijd op het level playing field De wetgever helpt de curator in de wedstrijd met de bewijsvermoedens van art. 2:138 / art. 2:248 lid 2 BW. Bij schending administratieplicht of publicatieplicht: • staat kennelijk onbehoorlijk bestuur vast • wordt dit vermoed een belangrijke oorzaak van het faillissement te zijn 51
  • 52. Administratieplicht “Het bestuur is verplicht van de vermogenstoestand van de rechtspersoon en van alles betreffende de werkzaamheden van de rechtspersoon, naar de eisen die voortvloeien uit deze werkzaamheden, op zodanige wijze een administratie te voeren en de daartoe behorende boeken, bescheiden en andere gegevensdragers op zodanige wijze te bewaren, dat te allen tijde de rechten en verplichtingen van de rechtspersoon kunnen worden gekend.” (art. 2:10 lid 1 BW) Opmerking: naast debiteurenpositie, crediteurenpositie en stand van liquiditeiten ook andere elementen van de administratie van belang. 52
  • 53. Disculpatie? “Niet aansprakelijk is de bestuurder die bewijst dat de onbehoorlijke taakvervulling door het bestuur niet aan hem te wijten is en dat hij niet nalatig is geweest in het treffen van maatregelen om de gevolgen daarvan af te wenden.” (art. 2:138 / art. 2:248 lid 3 BW) Ook bij het onweerlegbaar bewijsvermoeden van lid 2 is volgens de Hoge Raad disculpatie mogelijk, maar hoe? Bij schending van de administratieplicht staat immers ook het kennelijk onbehoorlijk bestuur voor het overige vast. Opmerking: Indien uw administratie wordt platgelegd door de een cyberaanval kan dit resulteren in een schending van de administratieplicht. Disculpatie is dan lastig. De rechter kan wel de schadevergoeding matigen. 53
  • 54. Conclusies • Gelet op de mogelijke impact van cybersecurity issues op ondernemingen lijken deze inderdaad CEO issues te zijn geworden c.q. te gaan worden. • Verantwoordelijkheid van het bestuur impliceert mogelijke aansprakelijkheid van het bestuur. • Een interne taakverdeling is van invloed op de aansprakelijkheid van bestuurders. • De bescherming van de administratieve organisatie verdient extra aandacht vanuit het perspectief van bestuurdersaansprakelijkheid. • De redelijkerwijs te nemen maatregelen ter voorkoming van cybersecurity inbreuken en de back up plannen voor het geval deze zich wel voordoen, zijn afhankelijk van de aard en omvang van de onderneming. • Een verzekering voorkomt geen cybersecurity inbreuk, maar verzacht wel de gevolgen daarvan. 54
  • 55. Patrick Wilbrink: Bestuurdersaansprakelijkheid Sr. Accountmanager 55 T: +31 (0)10 251 12 51 M: +31 (0) 6 29 05 20 78 E: Patrick.Wilbrink@concordiadekeizer.nl
  • 56. De BCA-verzekering • Inhoud van de verzekering: De Dekking • Waar moet u rekening mee houden • Toekomstverwachtingen bestuurdersaansprakelijkheid 56
  • 57. De Dekking 57  Wat ? Persoonlijke Aansprakelijkheid  Voor Wie ? Bestuurders & Commissarissen alsmede de Beleidsbepalers van de rechtspersoon zoals de Non Statutaire Directie, Aandeelhouders en voorts iedereen die uit hoofde van zijn functie of hoedanigheid ‘daden van bestuur’ verricht  Waarvoor ? Afdekking prive vermogen
  • 58. Kern van de BCA-verzekering 2 Traps Raket • Rechtsbijstandselement • Schadevergoedingselement In verband met de (vermeende) persoonlijke aansprakelijkheid van de verzekerde personen 58
  • 59. Waar moet u rekening mee houden ? 1. Verzekerd bedrag en premie 2. Welke Verzekeraar 3. Vergelijking tussen de verschillende BCA’s 4. Foute uitsluitingen 5. Dekkingsuitbreidingen 6. Dekkingssystematiek 7. Omstandigheden bij oversluiten 59
  • 60. Check √  Verzekerd bedrag Niet op bezuinigen !  Premie Tegenwoordig veel lager ◄ Vroeger  Verzekeraars Voorlopers en Achterblijvers Verschil in Voorwaarden Schakel deskundigen in 60
  • 61. Foute bepalingen | Uitsluitingen • Aandeelhoudersuitsluiting • Boekhoudplicht • Overschrijding Budget • Adequate verzekeringen • Opzeggen na Schade • Beperkte Uitloopmogelijkheden 61
  • 62. Dekkingsuitbreidingen • Outside directorships • Dekking voor verdediging bij milieuclaims • Cost Exclusive • Werknemersaanspraken • USA | Canada dekkingen • Entity cover • Securities • Reinstatement clause • Prospectusaansprakelijkheid (bij uitgifte aandelen) • Verbeterde uitloopregelingen 62
  • 63. Huidige Systematiek Claims Made • In principe onbeperkte inloop mits geen bekende omstandigheid • Einde verzekering = einde claim-mogelijkheid • Bekende omstandigheden tijdens looptijd verzekering = melden • Uitloop kopen bij beëindiging polis!  Verzekeraars -> Beter beheersbare polis  Verzekerden -> Kritisch blijven met name bij beëindiging 63
  • 64. Omstandighedenmelding • Informatieplicht bij aangaan verzekering ! • Bij beëindiging verzekering nagaan of er omstandigheden te melden zijn bij de oude verzekeraar die later tot een aanspraak op de polis kunnen leiden • Beëindigingsdatum oude polis = ingangsdatum nieuwe polis ! • Zorg voor uitgebreide check van voorvallen voor opzeggen • Aan bekende of verwachte claims voor ingangsdatum van de (nieuwe) verzekering kunnen geen rechten worden ontleend 64
  • 65. Toekomstverwachting Toenemende Aansprakelijkheidsrisico’s Bestuurders & Commissarissen door invoering van nieuwe wetgeving en jurisprudentie. Invloed van social media vergroot de kwetsbaarheid • Wet Pensioencommunicatie • Wetgeving i.v.m. Arbeidsomstandigheden, WIA, Ontslagrecht e.d. • Ontwikkelingen Arbeidsrecht • Wetgeving rondom Datalekken | Cybercrime • Reputatieschade 65
  • 66. Bedankt voor uw aandacht Vragen? 66