Bestuurdersaansprakelijkheid bij niet melden datalek
Vanaf mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) officieel van toepassing en moeten dus alle ondernemingen aan de nieuwe Europese privacywetgeving voldoen. Vanaf 25 mei jl. is de Autoriteit Persoonsgegevens (AP) ook bevoegd boetes op te leggen bij overtreding of niet-naleving van de AVG. Dit kan zij doen aan de rechtspersoon, maar zij kan ook een persoonlijke boete opleggen aan de bestuurder(s) van een onderneming, net als de ACM onder de Mededingingswet.
Persoonlijk aansprakelijk
Onder meer bij het niet melden van een datalek wanneer dit wel verplicht was, loopt de bestuurder het risico om persoonlijk aansprakelijk te worden gesteld. Uit de Parlementaire Geschiedenis blijkt dat deze boete ook aan natuurlijke personen kan worden opgelegd indien: “zij feitelijk leiding hebben gegeven respectievelijk opdracht hebben gegeven tot het verrichten van de verboden gedraging en hebben nagelaten om maatregelen te treffen ter voorkoming van een verboden gedraging en daarmee bewust de kans wordt aanvaard dat deze gedraging zal plaatsvinden.” De persoonlijke boete zal waarschijnlijk bovenop de boete komen die aan de onderneming wordt opgelegd. Wanneer de AP besluit om een boete op te leggen dient het boetebedrag te worden vastgesteld aan de hand van de aard, de ernst en de duur van de inbreuk, of de inbreuk opzettelijk of nalatig van aard was en welke maatregelen zijn getroffen door de verwerkingsverantwoordelijke of de verwerker om de door betrokkenen geleden schade te beperken.
De wetgever heeft hierover wel al aangegeven dat er een zwaardere bewijslast bestaat.
Betrokkenen
Daarnaast kan een bestuurder ook persoonlijk worden aangesproken door betrokkenen van wie er gegevens gelekt zijn. De Uitvoeringswet AVG (UAVG) bepaalt dat de bestuurders van een verwerkingsverantwoordelijke alsmede van de verwerker in persoon aansprakelijk kunnen worden gesteld in het geval iemand schade lijdt doordat er in strijd wordt gehandeld met de AVG.
Deze persoonlijke aansprakelijkheid kan men ook via de gewone civiele wijze bewerkstelligen, zoals bijvoorbeeld aansprakelijkstelling van de bestuurder voor onrechtmatige daad. De wet geeft ook aan dat een bestuurder zijn taken goed moet vervullen. Een bestuurder kan aansprakelijk worden gesteld als er sprake is van onbehoorlijk bestuur en de bestuurder een ernstig verwijt kan worden gemaakt. Daarnaast moet er sprake zijn van schade. In de wet is ook een regeling opgenomen over de interne aansprakelijkheid van de bestuurder jegens de rechtspersoon. De rechtspersoon spreekt dan de bestuurder aan als er een boete is opgelegd aan de rechtspersoon.
Een derde (de betrokkene) kan een aanspraak doen op de externe aansprakelijkheid van artikel 6:162 BW. er moet dan sprake zijn van onzorgvuldig handelen, waardoor de betrokkene schade heeft geleden.
Des te meer reden dus om nog eens extra na te gaan of u al voldoet aan de nieuwe wetgeving. Twijfelt u nog of heeft u vragen over hoe u uw bedrijfsvoering moet aanpassen om AVG-compliant te zijn? Neem dan contact op met één van onze juristen.