Heb jij een interessante vraag op het snijvlak van privacy, cybersecurity en recht? Stuur je vraag naar juridischevraag@security.nl. Elke week geeft ict-jurist Arnoud Engelfriet in deze rubriek antwoord.
Juridische vraag: De Amerikaanse bedrijfstoezichthouder SEC heeft de CISO van Solar Winds persoonlijk aansprakelijk gesteld. Hoe zou dat in Nederland uitpakken?
Antwoord: In 2021 was er ook nieuws over zo’n claim tegen de CISO persoonlijk, maar dat ging toen over een civielrechtelijke claim van aandeelhouders die securities fraud zagen in de wanboel die deze man ervan had gemaakt. Nu is het dus de beurstoezichthouder, maar de insteek is hetzelfde: door enerzijds te zeggen dat de security top is, en anderzijds diezelfde security volledig te verprutsen, misleid je aandeelhouders.
Kun je zoiets de CISO persoonlijk verwijten? Dat hangt allereerst af van waar deze staat. Ondanks de C-titel is een CISO namelijk niet perse een chief, een directeur of vergelijkbaar. Zoals het NCSC het uitlegt:
De CISO heeft, als kenner van cybersecurity, een adviserende, coördinerende en controlerende rol. De CISO heeft geen zelfstandige verantwoordelijkheid voor de cybersecurity van de organisatie. De CISO is namelijk geen eigenaar van IT- of OT-systemen. Die rol wordt altijd belegd bij het lijnmanagement van de organisatie.
Een adviseur of controlerende functie in een organisatie is natuurlijk geen bestuurder en kan dan niet persoonlijk aansprakelijk gehouden worden door derden. De juridische norm van “opzet of bewuste roekeloosheid” (art. 7:661 BW) ligt zó hoog dat je dit in de praktijk vrijwel nooit haalt.
Wie wél bestuurder is (een CISO in de board, dus) zou wel als bestuurder persoonlijk aansprakelijk gesteld kunnen worden. Het criterium is dan kort gezegd dat
in het algemeen, alleen dan kan worden aangenomen dat de bestuurder jegens de schuldeiser van de vennootschap onrechtmatig heeft gehandeld wanneer hem persoonlijk, mede gelet op zijn verplichting tot een behoorlijke taakuitoefening als bedoeld in artikel 2:9 BW, een voldoende ernstig verwijt kan worden gemaakt.
Het gaat dan vaak om zaken als willens en wetens verplichtingen aangaan die het bedrijf niet kan hebben, opzettelijk aansturen op contractbreuk enzovoorts. Maar hier gaat het primair om je werk niet goed doen, zitten te slapen in plaats van de security op orde te maken. Dat ligt een stuk moeilijker:
… aansprakelijkheid van een bestuurder op grond van onbehoorlijk bestuur is een interne aansprakelijkheid jegens de vennootschap en niet tevens een aansprakelijkheid jegens de individuele aandeelhouder. Dit laat echter onverlet dat een aandeelhouder een falende bestuurder zou kunnen aanspreken op grond van onrechtmatige daad.
De eis bij dat laatste is echter dat de bestuurder van plan was die aandeelhouders te benadelen. En dat is nogal lastig te bewijzen als je gewoon in het algemeen zegt “onze security is top” terwijl die bestond uit een wachtwoord “solarwinds123”, nul personeel op security en een Documentatie.pdf van nul bytes.
Voor de falende security zelf zie ik ook geen claims richting de bestuurder-CISO persoonlijk. Dat is ‘gewoon’ tekortschieten in je werk, en geen opzet om klanten of anderen schade toe te brengen.
In Europa kan er straks onder de NIS2-richtlijn meer. Het governance-artikel (20) bepaalt namelijk in lid 1:
De lidstaten zorgen ervoor dat de bestuursorganen van essentiële en belangrijke entiteiten de door deze entiteiten genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren om te voldoen aan artikel 21, toezien op de uitvoering ervan en aansprakelijk kunnen worden gesteld voor inbreuken door de entiteiten op dat artikel.
De bestuursorganen (zoals de directie) moeten dus zorgen voor adequate cyberbeveiliging. En dan staat in artikel 29:
De lidstaten zorgen ervoor dat elke natuurlijke persoon die verantwoordelijk is voor of optreedt als wettelijke vertegenwoordiger van een essentiële entiteit op basis van de bevoegdheid om deze te vertegenwoordigen, de bevoegdheid om namens deze entiteit beslissingen te nemen of de bevoegdheid om controle uit te oefenen op deze entiteit, de bevoegdheid heeft om ervoor te zorgen dat deze entiteit deze richtlijn nakomt. De lidstaten zorgen ervoor dat dergelijke natuurlijke personen aansprakelijk kunnen worden gesteld voor het niet nakomen van hun verplichtingen om te zorgen voor de naleving van deze richtlijn.
Een eindverantwoordelijke voor informatiebeveiliging zou dus in theorie aan te spreken kunnen worden onder de NIS2 regels. Maar dat gaat niet direct over “de security was bagger” maar over “je bedrijf was zo ingericht dat de security wel bagger moest zijn”, over het niet kunnen nakomen van de richtlijn vanwege te beperkte bevoegdheden.
Arnoud Engelfriet is Ict-jurist, gespecialiseerd in internetrecht waar hij zich al sinds 1993 mee bezighoudt. Hij werkt als partner bij juridisch adviesbureau ICTRecht. Zijn site Ius mentis is één van de meest uitgebreide sites van Nederland over internetrecht, techniek en intellectueel eigendom. Hij schreef twee boeken, De wet op internet en Security: Deskundig en praktisch juridisch advies.
Deze posting is gelocked. Reageren is niet meer mogelijk.