Kun je een CISO persoonlijk aansprakelijk stellen voor prutserniveau beveiliging?

Courtany / Pixabay

Bij het bedrijf Solarwinds, waardoor vorig jaar een enorme cyberaanval mogelijk bleek, is nu de CEO en CISO persoonlijk aangeklaagd door aandeelhouders. Dat las ik bij Secureworld, dankzij Henri Koppen’s Linkedin-discussie. Een CISO persoonlijk aansprakelijk stellen maakt het beroep nu niet bepaald aantrekkelijker, zegt deze terecht. Tegelijkertijd, als het wáár is wat ik lees (wachtwoord: solarwinds123, geen UAC, geen securityteam onder de CISO, geen documentatie) dan snap ik wel dat je die CISO meer wilt verwijten dan “wat jammer dat je gehackt bent”.

Het gaat hier om een rechtszaak door aandeelhouders. Die zagen de koers van hun aandelen omlaag duikelen na de hack, en zij menen dat dat onterecht is omdat zij mochten rekenen op een sterk securitybeleid uitgevoerd door een daadkrachtige CISO. Dat noemen we dan aandelenfraude: mensen misleiden over de kwaliteit van je bedrijf zodat ze je aandelen kopen (of niet verkopen). Everything is securities fraud, elk probleem met je bedrijf is ergens wel te herleiden tot “en daardoor gingen de aandelen ten onrechte omlaag en dat is misleiding”.

Hoe je het bedrijf daarvoor aansprakelijk stelt, dat zie ik wel. Prutswerk in je core business én daarover niet eerlijk zijn, dat is ergens wel misleidend of frauduleus te noemen. Prima. Maar om een bestuurslid persoonlijk aansprakelijk te stellen voor wanprestatie van het bedrijf, daar is wel meer voor nodig zou je zeggen.

En dat is ook zo, zowel in Nederland als in de VS. Bij ons is het criterium kort gezegd dat

in het algemeen, alleen dan kan worden aangenomen dat de bestuurder jegens de schuldeiser van de vennootschap onrechtmatig heeft gehandeld wanneer hem persoonlijk, mede gelet op zijn verplichting tot een behoorlijke taakuitoefening als bedoeld in artikel 2:9 BW, een voldoende ernstig verwijt kan worden gemaakt.
In de praktijk gaat het dan meestal om bestuurders die verplichtingen aangaan waarvan ze weten dat het bedrijf die niet kan dragen, bijvoorbeeld door vlak voor een faillissement nog even dingen te kopen of schuldeisers onder druk zetten om te betalen (wetende dat er dan niet meer geleverd gaat worden vanwege dat faillissement). Dit heet de Beklamel-norm. Daarnaast zijn er meer mogelijkheden, zoals IE-inbreuk of het opzettelijk en willens en wetens aansturen op het schenden van contractuele afspraken:
Van een persoonlijk ernstig verwijt kan ook sprake zijn indien de bestuurder heeft bewerkstelligd of toegelaten dat de vennootschap haar wettelijke of contractuele verplichtingen niet nakomt (zie Hoge Raad 8 december 2006, HR:2006:AZ0758 (Ontvanger/Roelofsen) en Hoge Raad 18 februari 2000, NJ 2000/295 New Holland-arrest).
Hier gaat het echter niet om contractuele tekortkomingen of schendingen van specifieke rechten, maar om het verstrekken van misleidende informatie aan aandeelhouders. Dat ligt een stuk moeilijker:
… aansprakelijkheid van een bestuurder op grond van onbehoorlijk bestuur is een interne aansprakelijkheid jegens de vennootschap en niet tevens een aansprakelijkheid jegens de individuele aandeelhouder. Dit laat echter onverlet dat een aandeelhouder een falende bestuurder zou kunnen aanspreken op grond van onrechtmatige daad.
De eis bij dat laatste is echter dat de bestuurder van plan was die aandeelhouders te benadelen. En dat is nogal lastig te bewijzen als je gewoon in het algemeen zegt “onze security is top” terwijl die bestond uit een wachtwoord “solarwinds123”, nul personeel op security en een Documentatie.pdf van nul bytes.

In de VS is er wellicht meer mogelijk, maar vaak zie je dat zulke claims worden gemaakt puur om het bedrijf meer onder druk te zetten. Als de CISO (en de CEO natuurlijk) hun eigen vermogen onder druk zien staan, dan zal men wellicht sneller aansturen op een schikking vanuit het bedrijf.

Arnoud

Bedienen van telefoon in houder is ook een vorm van vasthouden

Onder het begrip vasthouden moet ook worden verstaan het met een hand bedienen van een telefoon terwijl deze geplaatst is in een telefoonhouder die bevestigd is op het dashboard. Dat bepaalde de rechtbank Noord-Nederland vorige maand (pas dinsdag gepubliceerd) in een van de vele vonnissen rond wat je nu wel en niet mag doen met een telefoon als bestuurder van een motorvoertuig. Een tikje vreemd misschien want het ding zit niet in je hand. Maar dit is waarom rechters do-what-I-mean compilers van het recht zijn.

Een man kreeg in december vorig jaar een boete voor het vasthouden van een mobiele telefoon tijdens het besturen van een motorvoertuig (art. 61a Reglement verkeersregels en verkeerstekens). Maar hij ging in bezwaar, want:

Betrokkene heeft ter zitting aangevoerd dat hij zijn mobiele telefoon niet heeft vastgehouden. Betrokkene heeft zijn mobiel altijd in een dashmount die geïnstalleerd is aan de linkerkant van het dashboard bij de linker raamstijl. Betrokkene heeft zijn arm altijd ter hoogte van de raamstijl, hetgeen voor hem een comfortabele houding is.

Taalkundig gezien is dus inderdaad geen sprake van overtreding van het verbod: de man hield de telefoon niet fysiek vast. Hij bediende deze wel, maar met een vinger het scherm aanraken kun je moeilijk taalkundig als ‘vasthouden’ aanduiden. Maar wetsteksten worden op meer manieren gelezen dan enkel taalkundig. Ook het doel van een wet, en hoe het artikel was bedoeld door de wetgever, weegt zwaar bij bepalen of iets er nu onder valt of niet.

In dit geval was het doel van dit wetsartikel de verkeersveiligheid verhogen. Het is al decennia bekend dat handmatig telefoneren en het gelijktijdig besturen van een motorvoertuig, invalidenvoertuig of bromfiets vormt een gevaar voor de verkeersveiligheid vormt. Een belangrijk aspect daarvan is dat je dan maar één hand over had om het voertuig te besturen (denk aan schakelen of sturen). Vandaar dat het verbod is geformuleerd als “vasthouden”.

Datzelfde probleem doet zich voor als je de smartphone weliswaar in een carkit hebt zitten maar vervolgens een hand gebruikt om deze te bedienen. Ook dan is die hand niet beschikbaar om het stuur te bedienen et cetera. Daarom rekent de rechter dit nu ook onder het verbod. Dit was de bedoeling van de wet en daarom is dit een overtreding van de wet.

En nee, het betekent niet dat je nu te allen tijde twee handen aan het stuur moet hebben of dat je niet mag bellen met een handsfreekit. Het betekent grofweg dat je van je telefoon af moet blijven tijdens het rijden. Dus ook niet een gesprek accepteren, als dat via een toets op je scherm of telefoon gaat.

Arnoud

De persoonlijke aansprakelijkheid van bestuurders

i-heart-bv-besloten-vennootschap-rechtspersoonMet enige regelmaat krijg ik vragen van internetondernemers die een bv willen oprichten (of een stichting) omdat ze hun aansprakelijkheid willen beperken. Dat kan (hoewel je altijd ook goed de fiscale implicaties moet doorrekenen met je boekhouder) maar het is geen 100% garantie. Een bestuurer kan wel degelijk in privé aansprakelijk zijn voor handelen van zijn bv of stichting, hoewel daar wel een hoge bewijslast bij geldt.

Een bv is een aparte rechtspersoon, een aparte entiteit en als die een fout maakt of schade veroorzaakt dan moet de bv die vergoeden. Niet de directeur of andere bestuurders persoonlijk. Bij een eenmanszaak is dat wél het geval.

Iedere handige jongen ziet dan meteen de juridische hack: open een bv, koop en doe vanuit de bv wat je wil, keer de winst aan jezelf uit en laat de schuldeisers het met de lege bv uitvechten terwijl jij in privé niet aansprakelijk bent.

Dergelijke handige jongens worden juridisch gezien niet op prijs gesteld, dus verbaast het niet dat de rechtspraak ondertussen richtsnoeren hiervoor heeft ontwikkeld. In een Hoge Raad-arrest uit 2006 werden twee eisen geformuleerd.

Er zijn twee mogelijkheden: óf de bestuurder heeft zelf namens de vennootschap de handeling verricht, óf hij heeft actief toegelaten of bewerkstelligd dat er schade ontstond. Een bestuurder die kort gezegd niets te maken had met de schade, kan dus niet in privé worden aangesproken. In geval 2

Bij mogelijkheid 1 wordt als maatstaf gehanteerd dat de bestuurder “wist of redelijkerwijze behoorde te begrijpen” dat dit mis zou gaan. Logisch. In mogelijkheid 2 is de maatstaf of zijn handelen zodanig onzorgvuldig was dat je hem dat als persoon kunt verwijten – en ja dat klinkt mij ook als een cirkelredenering in de oren, maar goed dit is wél de Hoge Raad. En ze vullen meteen aan dat ook hier dat “weten of behoren te begrijpen” een belangrijke aanwijzing is dat er zo’n persoonlijk verwijt kan worden gemaakt.

In juli dit jaar vonniste de rechtbank Den Haag dat een bestuurder privé aansprakelijk was voor inbreuk op merken en auteursrechten omdat hij zelf de inkoop deed en de klantenservice behandelde. In dat geval neem je toch een zeker risico, zal ik maar zeggen.

Maar in april vorig jaar vonniste de rechtbank juist dat een bestuurder niet aansprakelijk was voor de namaakhamsters verkocht door zijn bedrijf. Hij handelde alleen als bestuurder en dat deed hij niet zódanig onzorgvuldig dat hem dat persoonlijk te verwijten was. Hij kon de inbreukmakende hamsters niet terughalen wegens gebrek aan geld in het bedrijf, en dat is ‘gewoon’ een zakelijke beslissing die niet tot persoonlijke aansprakelijkheid zal leiden.

En om een of andere reden vind ik het hilarisch, inbreukmakende hamsters. Maar dat terzijde.

Arnoud