Hoofdelijke aansprakelijkheid - Angst of verantwoordelijkheid

Hoofdelijke aansprakelijkheid voor bestuurders. Regeert de angst of 'part of the job'? In deze editie de achtergrond van hoofdelijke aansprakelijkheid.

Hoofdelijke aansprakelijkheid voor bestuurders is wettelijk verankerd in het Burgerlijk Wetboek. In art. 2:9 BW bijvoorbeeld over de hoofdelijke aansprakelijkheid jegens de rechtspersoon en als natuurlijke persoon in de rol van leidinggevende in artt. 6:102 jo. 6:162 BW als het gaat om onrechtmatige daad. De risicoaansprakelijkheid voor ondergeschikten en aansprakelijkheid bij wanprestatie worden niet behandeld.

Wat betekent hoofdelijke aansprakelijkheid in relatie tot wetgeving? Met name NIS2 heeft in art. 20 NIS2 deze hoofdelijke aansprakelijkheid verankerd. Hoe zou dit kunnen verhouden tussen bestuurder en toezichthouder?

Hoofdelijke aansprakelijkheid jegens rechtspersoon

Art. 2:9 BW gaat over een onbehoorlijke taakvervulling. Wanneer een bestuurder niet de opgedragen taken naar behoren uitvoert dan kan deze aansprakelijk zijn jegens de rechtspersoon. De rechtspersoon in deze is bijvoorbeeld de B.V., N.V., vereniging of stichting. Deze worden vertegenwoordigd door de aandeelhouders of leden (afhankelijk van wat statutair geregeld is). Er is sprake van een onbehoorlijke taakvervulling wanneer, naar maatstaven van een gemiddelde zorgvuldige bestuurder, de taken zijn uitgevoerd. Ook moet de bestuurder een ernstig verwijt gemaakt kunnen worden. Om te bepalen of er sprake is van een ernstig verwijt spelen de volgende omstandigheden een rol:

De aard van de door de rechtspersoon uit te oefenen activiteiten;

De in het algemeen daaruit voortvloeiende risico’s;

De taakverdeling binnen het bestuur;

De eventueel binnen het bestuur geldende richtlijnen;

De gegevens waar de bestuurder over beschikte of over behoorde te beschikken;

Het inzicht en de zorgvuldigheid die mogen worden verwacht van een bestuurder die voor zijn taak is berekend en deze nauwgezet vervult.

(bron: 'Het risico van bestuurdersaansprakelijkheid', )

Dit betekent dat een foutieve inschatting of een verkeerd besluit niet direct leidt tot een onbehoorlijke taakvervulling. Bestuurders zijn ook mensen en nemen continue risico's.

Bedenk wel dat deze vorm van hoofdelijke aansprakelijkheid alleen een interne werking heeft. Een externe partij kan zich niet op art. 2:9 BW beroepen. Dit betekent dat de bestuurder zich hierover moet verantwoorden aan de rechtspersoon (aandeelhouders- of ledenvergadering).

Het is te overwegen om de governance zo in te richten dat een CISO, compliance officer of andere functionaris toegang heeft tot de rechtspersoon in het kader van cybersecurity. Denk hier ook aan de positionering van een FG die rechtstreeks contact heeft met de directie of hoogste orgaan van een organisatie wanneer dit nodig is.

Als aanvullende bron verwijs ik ook naar de Wet bestuur en toezicht rechtspersonen (WBTR). Hierin worden aanvullende kaders gegeven over goed bestuur.

Hoofdelijke aansprakelijkheid bij onrechtmatige daad

Een onrechtmatige daad is beschreven in art. 6:162 jo. 6:163 BW. Wat valt eigenlijk onder een onrechtmatige daad? Een onrechtmatige daad (soms een 'fout' genoemd) is een inbreuk op een recht (het niet naleven van een wet), het nalaten in strijd met een wettelijke plicht (geen hulp bieden aan een persoon in nood) of met een ongeschreven rechtsregel. Alleen een rechtvaardigingsgrond kan zorgen dat er geen sprake is van een onrechtmatige daad (bijvoorbeeld een autoruit kapot slaan om een dier uit de hitte te redden. Het belang van het dier staat boven de autoruit.). Uit de omstandigheden van het geval bepaalt de rechter of er een rechtvaardigingsgrond aanwezig is.

Toerekening van onrechtmatige daad is op basis van schuld of als volgens algemene verkeersopvattingen de persoon schuld heeft. Ook moet er sprake zijn van relativiteit (art. 6:163 BW). De geschonden norm had er voor moeten zorgen dat de benadeelde geen schade had kunnen leiden. Hiervoor moet dan ook naar het doel en bedoeling van de geschonden norm gekeken worden of er relativiteit bestaat tussen schade en de onrechtmatige daad. Is er geen relativiteit, dan is er geen onrechtmatige daad. Er is immers niets onrechtmatigs gebeurd wanneer er geen norm geschonden wordt.

Onrechtmatige daad kan door externen toegepast worden op een bestuurder. Maar dan zal in de omstandigheden als inzichtelijk moeten zijn dat niet de rechtspersoon maar een specifieke bestuurder de onrechtmatige daad heeft gepleegd. Veelal zal de rechtspersoon de gedaagde zijn in een dergelijk geschil en eventueel via art. 2:9 BW dit verder intern opgepakt worden.

Toezicht houden

Begin deze maand werd de uitspraak gedaan dat een gemeente niet de boete van de AP hoefde te betalen vanwege Wifi-tracking (ECLI:NL:RBOVE:2024:594). De kern hiervan is dat de AP niet uit mag gaan van alleen de mogelijkheid dat een inbreuk kan plaatsvinden maar dat er daadwerkelijk een inbreuk heeft plaatsgevonden.

Deze overweging is in mijn beleving ook toepasbaar op hoofdelijke aansprakelijkheid. Een besluit van een bestuurder kan altijd (direct of indirect) leiden tot een inbreuk of datalek maar het zal aantoonbaar gemaakt moeten worden of dit besluit daadwerkelijk tot een inbreuk heeft geleid en nooit genomen had mogen worden. De omstandigheden van het geval zullen beoordeeld worden om te komen tot een conclusie. De ene situatie is de andere niet waardoor goed gekeken moet worden naar alle aspecten die hebben geleid tot de inbreuk en de mate de bestuurder een fout heeft gemaakt of iets te verwijten is.

Toezichthouders zullen met deze overweging rekening gaan houden wanneer ze haar onderzoeken instellen.

NIS2 heeft in artt. 30 tot en met 37 het toezicht beschreven. Voor belangrijke en essentiële entiteiten geven deze artikelen concrete handvatten wat van hen verwacht wordt en op welke manier toezicht gehouden wordt. Het zorgt ook voor een link tussen artt. 20 tot en met 25 NIS2 dat onder andere gaat over governance, risicomanagement en het nemen van passende en evenredige maatregelen.

Kortom, hoofdelijke aansprakelijkheid is onderdeel van besturen en is daarmee ook 'part-of-the-job'. Maak aantoonbaar dat actief bestuurd wordt, besluiten goed overwogen worden genomen maar ook dat besluiten tijdig herzien worden wanneer ontwikkelingen (nieuwe dreigingen, kwetsbaarheden of andere omstandigheden) hiertoe aanleiding geven. Voor de CISO, compliance officer en andere betrokkenen dus zaak om goed op de hoogte te blijven van deze ontwikkelingen. Dan kan het bestuur tijdig geïnformeerd worden zodat zij hun verantwoordelijkheid kunnen (blijven) nemen.