Kans op 'persoonlijke' boete na een datalek neemt komende jaren toe
In de nabije toekomst gaat het gebeuren dat bestuurders hoofdelijk aansprakelijk worden gesteld voor datalekken. Die voorspelling deed een Gartner-onderzoeker onlangs bij het kennisevenement Cyber Security voor industriële controlesystemen. Hoe realistisch is het scenario?
© Hof van Justitie van de Europese Unie
Hof van Justitie van de Europese Uni
Volgens Wam Voster, senior director bij Gartner Research, kunnen datalekken in de toekomst zelfs forse gevangenisstraffen gaan opleveren. In 2025 zou het al zo ver zijn, luidt zijn voorspelling op het evenement. Een directeur werd in Frankrijk al eens persoonlijk beboet na een datalek, zo vertelde Voster. In België werd al eens een burgemeester aansprakelijk gesteld omdat hij e-mailadressen van burgers gebruikte in een campagne.
Dimmen Smolders, juridisch adviseur bij ICTRecht, ziet hoofdelijke aansprakelijkheid bij een datalek nog niet veel voorbij komen. In de privacywetgeving AVG is het hoofdelijk aansprakelijk stellen van bestuurders of directieleden voor een datalek bij een organisatie volgens hem niet mogelijk. Wel kan de verwerkingsverantwoordelijke aansprakelijk gesteld worden. "Maar dat is in het algemeen een bedrijf, organisatie of instelling. Bij de zaak in België is het toevallig de burgemeester zelf die verwerkingsverantwoordelijk is. Dat is weliswaar een persoon, maar hij werd niet als privépersoon aansprakelijk gesteld.”
Boete voor wanbestuur
Smolders kan zich wel vinden in de voorspelling van Gartner omdat ook hij ziet dat de Autoriteit Persoonsgegevens steeds meer boetes uitdeelt in Nederland. “In andere landen in Europa wordt al veel meer actief beboet met kleine bedragen. In Nederland ligt de focus vooral op grote publiciteitsgevoelige zaken, terwijl kleine overtredingen meestal onbestraft blijven.”
Wanneer een organisatie een boete krijgt, kan deze op zijn beurt een bestuurder aansprakelijk stellen. “Een forse boete kan rauw op het dak vallen van een overheidsorganisatie of een bedrijf. Een bestuurder die verantwoordelijk is voor de situatie kan vanuit de organisatie zelf een boete opgelegd krijgen voor wanbestuur. Daar zijn zeker juridische mogelijkheden voor”, aldus Smolders.
De voorspelling die Gartner doet, snijdt mede daarom wel hout, denkt Smolders. “Wanneer een organisatie beboet wordt en er is echt sprake van wanbestuur geweest bij een verantwoordelijke, dan wordt er zeker nagedacht over een schadeclaim.” De kans op meer ‘persoonlijke boetes’ neemt op die manier dus toe, denkt Smolders. “De theoretische mogelijkheid om boetes via de eigen organisatie op te leggen is er. En het is inderdaad zo dat er in Nederland steeds meer boetes voor datalekken volgen, dus dan neemt die kans ook toe.”
Reacties
Om een reactie achter te laten is een account vereist.
Inloggen Word abonnee