Een lezer vroeg me:
Dankzij het Odido-datalek heeft mijn stalker me weer weten te vinden. Ik moet nu mogelijk noodgedwongen verhuizen, nieuw nummer nemen en wat al niet meer. Nu las ik dat onder de NIS2 Richtlijn de directie van een telecombedrijf persoonlijk aansprakelijk is voor schade door falende beveiliging. Kan ik een claim indienen?
Inderdaad bevat de NIS2 Richtlijn (2022/2555) een artikel dat een route biedt voor persoonlijke aansprakelijkheid van de directie. Artikel 20 lid 1 bepaalt namelijk:
De lidstaten zorgen ervoor dat de bestuursorganen van essentiële en belangrijke entiteiten de door deze entiteiten genomen maatregelen voor het beheer van cyberbeveiligingsrisico’s goedkeuren om te voldoen aan artikel 21, toezien op de uitvoering ervan en aansprakelijk kunnen worden gesteld voor inbreukendoor de entiteiten op dat artikel.
Doel hiervan is natuurlijk om de zorg voor goede cyberbeveiliging in de boardroom urgent te maken. De term “in privé aansprakelijk” is iets om je druk over te maken als bestuurder van een groot bedrijf.
Telecom (openbare elektronische communicatienetwerken of -diensten) is een essentiële entiteit, en het lijkt er sterk op dat de beveiliging van persoonsgegevens niet adequaat was bij Odido. Dus daarmee is dit artikel overdreven en kunnen we procederen, toch?
Niet helemaal. NIS2 is een richtlijn, geen verordening zoals de AVG of AI Act. Dat betekent dat deze pas rechtskracht heeft als Nederland een wet heeft aangenomen die NIS2 nader uitwerkt. Dat is nog steeds niet gebeurd, hoewel dat eigenlijk wel had gemoeten. Ik citeer de digitale overheid:
De Cyberbeveiligingswet treedt in werking nadat de Tweede en Eerste Kamer akkoord hebben gegeven. Naar verwachting is dat Q2 2026, maar dat hangt af van wanneer de behandeling in de Kamers is.
Totdat die wet er is, kun je je dus niet rechtstreeks op de bepalingen eruit beroepen. Zogeheten horizontale directe werking bestaat niet bij richtlijnen, zeggen juristen dan. (De overheid aansprakelijk stellen voor de te late implementatie is een theoretische optie, die bij de illegaaldownloadendiscussie werkelijk werd ingezet.)
Soms is er indirect wat mogelijk. Dat heet richtlijnconforme uitleg: kunnen we een wél geldende wettelijke bepaling zo lezen dat wat de richtlijn bedoelt, er ook onder valt. Dat kan alleen als er ruimte voor interpretatie is, je mag niet een wetsartikel tegen de letterlijke tekst in oprekken. Ook moet het wel redelijk blijven.
In het voorstel van wet van de Cyberbeveiligingswet staat in het geheel geen artikel dat persoonlijke aansprakelijkheid voor bestuurders regelt. De Memorie van Toelichting legt uit:
Het voorgaande brengt met zich mee dat de artikelen 20, eerste lid … NIS2-richtlijn reeds zijn geïmplementeerd in het Nederlands recht. … Ten overvloede wordt nog opgemerkt dat naast het voorgaande ook civielrechtelijke aansprakelijkheid van het bestuur jegens de entiteit een rol kan spelen in het geval van niet-naleving van de Cbw, onder andere op grond van artikel 2:9 BW.
Dat laatste wetsartikel verwijst naar wat wij interne aansprakelijkheid noemen. De organisatie kan een bestuurder aansprakelijk stellen als deze te kort blijkt te zijn geschoten in zijn bestuurstaak. Artikel 20 lid 1 NIS2 is dan niet meer dan een verduidelijking dat cyberbeveiliging regelen een bestuurstaak is, zodat de interne aansprakelijkheid nu al mogelijk is. Odido zelf kan dus haar directie aansprakelijk stellen voor de schade als blijkt dat er wanbestuur gepleegd is op dit gebied.
Als slachtoffer de directeur persoonlijk aanspreken heet externe aansprakelijkheid, en dat regelt NIS2 dus niet. Althans, in de Nederlandse lezing – ik ben er nog niet van overtuigd dat deze beperkte insteek ook de bedoeling van de Europese wetgever was. De meeste landen hebben in hun NIS2-implementatiewet simpelweg artikel 20 overgeschreven, zodat in het midden blijft wat nu de bedoeling was.
Arnoud
