Zoals te zien is op de GDPR Enforcement Tracker van CMS, zijn de Europese privacytoezichthouders eindelijk op stoom wat betreft handhaving van de AVG. De boetes die door de toezichthouders worden opgelegd zijn in beginsel voor de organisatie (de verwerkingsverantwoordelijke of verwerker) die de overtreding heeft begaan. Ja, natuurlijke personen (individuen) kunnen ook worden beboet, maar mede gelet op overweging 148 AVG blijft het vaak bij een berisping. Daardoor wordt een bestuurder niet direct in zijn of haar portemonnee geraakt.
Echter, deze boetes kunnen wel leiden tot aansprakelijkstellingen van betrokkenen, waarbij de organisatie verplicht is de Hierover is ook de nodige jurisprudentie geweest, het moet gaan om echt geleden schade. Wegens de aard van deze blog ga ik hier nu niet verder op in.te vergoeden volgens art. 82 lid 1 AVG. Dit betekent dat een bestuurder in principe niet persoonlijk aansprakelijk kan worden gesteld door een betrokkene. Toch betekent dat niet dat een bestuurder zomaar overal mee weg kan komen. In Nederland (en ongetwijfeld een hoop andere EU-lidstaten) hebben we namelijk de doctrine van bestuurdersaansprakelijkheid. Hierdoor kan een bestuurder, in uitzonderlijke gevallen, persoonlijk aansprakelijk worden (gesteld) voor de geleden schade.
In deze blog behandel ik de interne en externe bestuurdersaansprakelijkheid in de context van de AVG. In het werkveld heeft het het benoemen van deze mogelijkheid vaak ten doel om het bestuur bij organisaties angst in te boezemen. Angst = centjes voor compliance, zo is vaak de gedachte. Laat ik eerst beginnen met uit te leggen waarom dreigen met enorme boetebedragen en aansprakelijkheid vaak niet helpt om bestuurders te overtuigen van het belang van AVG-compliance (en de borging van de onderliggende grondrechten).
Scared straight: waarom dreigen met boetes niet helpt
Om mensen het belang van privacy en gegevensbescherming bij te brengen, ga ik veel liever uit van de positieve dan de negatieve kanten. Dat dit beter werkt is inmiddels door legio onderzoeken aangetoond (cf. deze en deze studie, mutatis mutandis toe te passen op framing van een boodschap). Ook heb ik zelf ondervonden dat angst een slechte raadgever is toen ik medio 2017, naast mijn studie, als juridisch adviseur betrokken was bij een onderneming die organisaties hielp AVG-compliant te worden voor 25 mei 2018. Ja, ik ben mij inmiddels volledig bewust van deze, ietwat naïeve, utopische doelstelling destijds... Bij het pitchen van ons voorstel, gebruikten we alle doemscenario's die destijds de rondte deden: enorme boetes, handhaving, staken van de bedrijfsvoering en andere Bijbelse rampen. Toen één bestuurslid simpelweg zei "ik geloof het allemaal wel, ik heb al vaak dit soort wetten voorbij zien komen en dat loopt altijd wel los. Succes verder.", wisten we dat het prediken van angst geen successtrategie was.
)
Die ene pitch was dan ook een keerpunt in mijn aanpak. Sindsdien weet ik dat angst inboezemen zelden werkt en dat het veel effectiever is om organisaties te benaderen vanuit de voordelen van AVG-compliance, in plaats van de risico's van non-compliance (mensen schieten hierdoor snel in de verdediging of worden apathisch). Denk ook aan die overdreven scared straight-programma's waarbij gevangenen in een eindeloze tirade naar probleemjongeren schreeuwen om ze zo proberen af te laten te schrikken; meestal eindigt het in lachende tieners. Daardoor begon ik de nadruk te leggen op de positieve aspecten, zoals: het opbouwen van vertrouwen bij klanten, het verbeteren van de reputatie van het bedrijf, het besparen van tijd en geld achteraf wanneer wél wordt gehandhaafd en het etaleren van een ethische bedrijfsvoering. Of beter gezegd: een bedrijfsvoering die niet (semi-)moedwillig grondrechten schendt. Dus, gratis tip voor je volgende business case: benadruk de positieve kanten minstens zoveel als de negatieve kanten.
Toch is het nooit verkeerd om de stok achter de deur te benoemen. Al is het maar om mensen bewust te maken dat iets überhaupt een risico of mogelijkheid is. Daarom vertel ik, wellicht terloops, ook regelmatig dat het voldoen aan de AVG simpelweg een wettelijke verplichting is. En, indien je het echt bont maakt, je ook persoonlijk aansprakelijk kan worden gesteld. Maar, welke situaties leiden er dan toe dat de bescherming van een rechtspersoon vervalt en je zelf in het vizier komt te staan? Ik licht hieronder eerst de regels vanuit het aansprakelijkheids- en ondernemingsrecht toe en stop ze daarna in een privacyrechtelijk jasje.
Interne aansprakelijkheid
Zoals gezegd kan een bestuurder van een rechtspersoon in beginsel niet privé aansprakelijk worden gesteld. In enkele uitzonderlijke gevallen verandert dit. Eén van die gevallen is de interne aansprakelijkheid op grond van art. 2:9 BW. Hierbij gaat het om aansprakelijkheid van de bestuurder ten opzichte van de onderneming zelf wegens onbehoorlijk bestuur.
Art. 2:9 lid 1 BW stelt: "Elke bestuurder is tegenover de rechtspersoon gehouden tot een behoorlijke vervulling van zijn taak." Dit is een erg brede norm, die ook voor het overgrote deel door jurisprudentie (juristentaal voor: rechtspraak) wordt ingevuld. Dit is ook een norm met een vrij hoge drempel (voor de juristen: er moet een ernstig verwijt kunnen worden gemaakt) . Dat wil zeggen dat 'normale' fouten geen onbehoorlijk bestuur opleveren. Eigenlijk is de vraag vaak: "Heeft deze bestuurder hetzelfde gehandeld als een gemiddeld bestuurder in zijn/haar positie zou doen?" Is het antwoord nee, dan heb je best een kans dat je aansprakelijk bent voor geleden schade.
Een belangrijk onderdeel van dit artikel is de collectieve aansprakelijkheid. Dat betekent dat, wanneer één bestuurder zich heeft misdragen, alle bestuurders hoofdelijk aansprakelijk (juristentaal voor: je kan iedere bestuurder aanspreken voor de schade en ze vechten vervolgens zelf maar uit hoe ze die schade onderling verdelen) zijn. Alleen als je onomstotelijk kan aantonen dat jou geen blaam treft, val je buiten die collectieve aansprakelijkheid (art. 2:9 lid 2 BW). Dat is niet altijd makkelijk. Ben je er als bestuurder dus van bewust dat je ook verantwoordelijk bent voor het handelen van je medebestuurders.
Externe aansprakelijkheid
Naast een interne aansprakelijkheid bestaat ook een externe aansprakelijkheid. Hierbij zijn er twee opties: in geval van faillissement en door een onrechtmatige daad.
Faillissement
Artikel 2:138 (voor een nv) en 2:248 (voor een bv) BW gaan over de aansprakelijkheid bij een faillissement. Deze vorm van externe aansprakelijkheid kan enkel door de curator worden ingeroepen. Simpel gezegd gaat dat zo: de curator handelt het faillissement van een onderneming af; constateert dat het bestuur achterover heeft geleund, niks heeft gedaan om een faillissement af te wenden en er zelfs voor heeft gezorgd door bijvoorbeeld flinke schulden is aangegaan en wist dat die schulden nooit afgelost konden worden; curator stelt de bestuurders aansprakelijk. Een klassiek voorbeeld waarbij wanbestuur vaststaat bij een faillissement is wanneer (het bestuur van) de onderneming niet aan zijn administratieplicht heeft voldaan; bijvoorbeeld de jaarrekening niet publiceren. Alle schulden die niet door de onderneming kunnen worden voldaan, worden dan dus door de curator op de bestuurders verhaald.
Ook hier geldt de collectieve aansprakelijkheid en de mogelijkheid om je als individuele bestuurder te verweren tegen een hoofdelijke aansprakelijkstelling.
)
Onrechtmatige daad
Tot slot is er de aansprakelijkheid op grond van de onrechtmatige daad, art. 6:162 BW. Dit is een ontzettend belangrijk artikel binnen het aansprakelijkheidsrecht, zelfs het recht in zijn algemeenheid. Dat komt doordat het artikel mensen en organisaties beschermt tegen schadelijk gedrag van anderen. Als iemand namelijk schade lijdt door het doen of nalaten van een ander, kan je aan de hand van dit artikel gecompenseerd worden. Wanneer je voor de duizendste keer op tv een Amerikaan "I'm gonna sue you!!!" hoort schreeuwen, beroept diegene zich vaak op het Amerikaans equivalent van dit wetsartikel.
In essentie stelt het artikel dat degene die tegen een ander een onrechtmatige daad pleegt, verplicht is de schade die de ander lijdt te vergoeden. Een daad kan bijvoorbeeld onrechtmatig zijn vanwege een inbreuk op iemands recht, een doen of nalaten in strijd met een wettelijke plicht, of een schending van wat volgens ongeschreven recht in het maatschappelijk verkeer betaamt. Ergo, heb je je wel of niet normaal gedragen?
Belangrijk om op te merken is dat bij deze vorm van aansprakelijkheid geen collectieve aansprakelijkheid geldt. Om als bestuurder op grond van de onrechtmatige daad aansprakelijk gesteld te worden, moet je je persoonlijk hebben misdragen. Bijvoorbeeld doordat je een overeenkomst aangaat met een leverancier en vervolgens weigert die na te komen. Of dat je schulden aangaat waarvan je wist dat de onderneming die nooit zou voldoen. Niet eens per se wegens ontoereikende middelen (geld), maar ook omdat je bijvoorbeeld een springkussen van 20 vierkante meter hebt besteld voor je accountantskantoor. Alhoewel me dat een doorsnee aankoop lijkt bij nader aanzien. Dan kan die leverancier jou aansprakelijk stellen, zonder dat de organisatie of je medebestuurders aan de kosten bijdragen.
Bestuurdersaansprakelijkheid onder de AVG
In de inleiding schreef ik dat art. 82 lid 1 AVG stelt dat de verwerkingsverantwoordelijke of verwerker schade van betrokkenen moet vergoeden. Hoewel een individu een verantwoordelijke of verwerker kan zijn, heb je het over een organisatie wanneer je van een bestuurder spreekt. De megalomane freelancers daargelaten, en nee, ik voel me niet aangesproken. Daarom wordt de bestuurder dus in beginsel niet aangesproken voor geleden schade door betrokkenen. Maar, wat als die bestuurder een ernstig verwijt te maken valt?
Voor zowel de interne aansprakelijkheid als de aansprakelijkheid bij een faillissement, zie ik best wat mogelijkheden om als bestuurder aansprakelijk te worden gesteld. In de Enforcement Tracker is onder het kopje Highest fines: by type of violation te zien dat boetes die op artikel 5 en 6 van de AVG zien, voor verreweg de hoogste boetebedragen hebben gezorgd. Dat zijn niet de minste artikelen om te overtreden. Deze gaan respectievelijk over de beginselen van gegevensverwerking en de grondslag van je verwerking. In andere woorden, de essentie van de verwerking: waarom doe je dit, waarom mag je dit, hoe worden betrokkenen beschermd, hoe lang bewaar je de gegevens etc. Indien een bestuurder weet heeft van een overtreding van deze artikelen en daar moedwillig niets mee doet of het zelfs aanmoedigt, kun je wat mij betreft wel spreken van een ernstig verwijt. In dat geval kan de bestuurder aansprakelijk worden gesteld door de onderneming en/of curator.
Daarnaast kan ook een betrokkene een bestuurder in een dergelijke situatie aansprakelijk stellen. Wanneer je bewust (grof) nalatig bent geweest in het voldoen aan de AVG, schend je een wettelijke plicht. In dat geval zie ik een mogelijkheid voor een betrokkene om de bestuurder aansprakelijk te stellen voor de geleden schade, zeker als deze (in)direct betrokken is geweest bij handelingen die tot de schade hebben geleid.
De grote lettertjes
Concluderend is de bescherming die een bestuurder geniet in beginsel sterk. Je moet het wel heel bont maken wil je persoonlijk aansprakelijk worden gesteld. Toch is het ook weer niet zo onwaarschijnlijk dat het een verwaarloosbaar risico is. Het zorgt ervoor dat bestuurders scherp blijven op zowel hun eigen handelen als dat van de medebestuurders. In de context van de AVG houdt dit in dat geconstateerde risico's door bijvoorbeeld de Functionaris Gegevensbescherming serieus worden genomen, dat de beginselen van gegevensverwerking niet met voeten worden getreden en dat bijvoorbeeld datalekken niet worden verhuld of genegeerd. Onthoud ook dat niemand zit te wachten op een preek van doemscenario's, maar dat het altijd goed is om mensen te attenderen op mogelijke risico's.