Netherlands

Loading

AGRC Risk Impact: aansprakelijkheid blijft aandachtspunt

Editie April 2016

Risk Impact is een uitgave van Aon Global Risk Consulting (AGRC), waarin de actuele risico’s en hun potentiële impact voor het Nederlands bedrijfsleven worden besproken. Wat speelt er in de wereld, wat betekent dit voor u en wat kunt u doen om de impact op uw bedrijf te beheersen en beperken?

Met de aanslagen in Brussel en het treinongeval in Dalfsen gaven we in de vorige editie van de AGRC voorbeelden van incidenten die tot aansprakelijkheidsclaims leiden. Maar aansprakelijkheidsrisico’s dringen zich vaker op dan alleen bij rampen of incidenten, onder meer door ontwikkelingen op het gebied van wet- en regelgeving. De Meldplicht Datalekken is het meest recente voorbeeld.

Toen de Meldplicht Datalekken in werking trad, was Nederland in één klap koploper in privacybescherming binnen de Europese Unie. Inmiddels is die status verleden tijd: afgelopen maand werd ook op Europees niveau besloten om strenger op te treden bij privacy-incidenten. In deze editie leggen we uit wat deze wetswijziging voor u betekent.

Daarnaast zoomen we in op het beroepsaansprakelijkheidsrisico voor dienstverlenende organisaties. Dit risico wordt doorgaans laag ingeschaald maar kan wel degelijk de continuïteit van uw organisatie bedreigen. Waarom dat zo is, leest u hieronder.

Van nationaal naar Europees: AVG vervangt Wbp
Wie verstandig is, noteert het alvast: de Wet bescherming persoonsgegevens (Wbp) wordt binnenkort vervangen door de ‘Algemene Verordening Gegevensbescherming’ (AVG). Deze overkoepelende Europese regelgeving komt op een saillant moment: de Wbp is begin dit jaar nog aangescherpt. Dankzij de AVG gelden vanaf begin 2018 in heel Europa dezelfde privacyregels.

Niet álles wordt anders onder de AVG. De meldplicht datalekken blijft van kracht, maar dan nog breder. Een (vermoedelijk) lek – een verloren USB-stick, een gestolen laptop, maar ook een hack van databestanden of een malware-besmetting waarbij persoonsgegevens verloren gaan – moet straks in heel Europa binnen 72 uur zijn gemeld, in de meeste gevallen ook bij degene(n) van wie de gegevens zijn.

Een belangrijk verschil is dat de toezichthouder onder de AVG alleen bij een daadwerkelijk lek ingelicht dient te worden. Dat is minder snel dan onder de Wbp: die spreekt al van een datalek als de onrechtmatige verwerking van persoonsgegevens niet uit te sluiten is (bijvoorbeeld bij een hack waarbij gegevens zijn ingezien terwijl u niet weet wat daarmee is gebeurd). De boete voor een nagelaten melding is flink hoger onder de AVG, en kan oplopen tot maar liefst €20.000.000 of 4% van de wereldwijde jaaromzet.

Nieuw: de ‘privacy officer’
Ook nieuw onder de AVG is de verplichte ‘privacy officer’ voor overheidsinstanties en organisaties die stelselmatig op grote schaal personen observeren of bijzondere persoonsgegevens verwerken. Hij of zij ziet erop toe dat de AVG strikt nageleefd en toegepast wordt. De voorwaarden voor een verplichte PO-aanstelling zijn minimaal: lidstaten mogen zelf strengere criteria opstellen.

Een Privacy Impact Assessment (PIA) is onder de AVG verplicht als u op grote schaal persoonsgegevens of bijzondere gegevens verwerkt – denk aan medische of financiële gegevens, of gegevens van minderjarigen. Middels zo’n PIA krijgt u de data(stromen) binnen uw organisatie in kaart en ziet u in welke systemen en bedrijfsprocessen persoonsgegevens worden verwerkt. Ook de bijkomende privacy-risico’s krijgen een beoordeling en komen stuk voor stuk in beeld.

Een bewerkersovereenkomst met externe leveranciers die persoonsgegevens voor u verwerken of opslaan, is nu al verplicht. Onder de AVG is het verboden om überhaupt met ’een externe partij te werken. Het mag alleen als de verantwoordelijke vooraf schriftelijk toestemming geeft.

Voorbereiden cruciaal
Wat moet u doen om op de AVG voorbereid te zijn? Zet in elk geval de volgende stappen:

  • Blijf alert op datalekken en informeer de toezichthouder direct bij vaststelling van een lek. Zorg voor een goed protocol.
  • Stel een privacy officer aan die binnen uw organisatie toezicht houdt op de toepassing en naleving van de wet (compliance).
  • Voer een Privacy Impact Assessment uit. Ga direct aan de slag als blijkt dat aanvullende technische en organisatorische maatregelen nodig zijn.
  • Houd een register bij van alle activiteiten rond de verwerking van persoonsgegevens.
  • Sluit een bewerkersovereenkomsten af met leveranciers die voor u persoonsgegevens verwerken of opslaan.
Tijdig aan de slag gaan, daar draait alles om. Aon kan u helpen bij diverse maatregelen, onder andere bij het uitvoeren van een PIA of risicoanalyse. Kijk voor meer informatie op www.aon.nl/cyber.

Beroepsaansprakelijkheid: een groeiend risico
Beroepsaansprakelijkheidsrisico’s zijn een vaak terugkerend thema bij de advisering van dienstverlenende bedrijven. Vooral middelgrote en grote ondernemingen staan steeds vaker aan dit soort risico’s bloot. De oorzaken variëren van commerciële omstandigheden tot onzorgvuldig contractmanagement en beperkt risicobewustzijn.

Een vaak terugkerend probleem is dat belangrijke issues niet doordringen tot de boardroom van de organisatie. Vaak ook wordt de impact van risico’s fors onderschat. Veel organisaties hebben geen idee welk risico ze met hun gebrekkige alertheid nemen. Ze beseffen niet dat onvoldoende aandacht en sturing de continuïteit van de onderneming bedreigt.

Voor een beter beeld van de groeiende risico’s in het bedrijfsleven en mogelijke oorzaken, voerde Aon onlangs een enquête uit onder Nederlandse dienstverlenende bedrijven. De uitkomsten waren – voorzichtig gesteld – opzienbarend.

De belangrijkste conclusies:

  • Veel dienstverlenende bedrijven, vooral de grotere, zien een toename van het beroepsaansprakelijkheidsrisico.
  • De oorzaken van deze toename zijn vaak bekend. De meest genoemde: internationale toename van claimgedrag, het afwijken van eigen algemene voorwaarden en instemming met inkoopvoorwaarden met groeiende aansprakelijkheid tot gevolg.
  • Contractmanagement raakt steeds meer gecentraliseerd, maar de functies van de verantwoordelijken voor contractmanagement zijn zeer divers.
  • De omvang van mogelijke schadescenario’s (inclusief worst case-scenario) is bekend; de financiering/verzekering is daarop afgestemd.
  • De risicodekking zoals beschreven in contracten, weerspiegelt zelden de visie van de directie. De risicobeperking blijkt daardoor toch niet altijd op orde.

Risico’s disproportioneel
Gaat u er meestal vanuit dat de schade bij een incident uiteindelijk wel meevalt? Denkt u zelden na over de risico’s bij een verstrekkende aansprakelijkheid? Neem van ons aan: u hoort bij de meerderheid. Toch is deze situatie zeer onwenselijk: elke ondernemer heeft zijn risico’s het liefst vooraf in kaart om een goede afweging tussen commerciële belangen en bijkomende risico’s te kunnen maken. Ook de financiering (verzekering) van de risico’s en beheersmaatregelen vereisen duidelijkheid vooraf.

Eén ding staat vast: de risico’s zijn disproportioneel als een organisatie zijn aansprakelijkheid negeert. Elke tekortkoming in de naleving van een overeenkomst kan een forse schade veroorzaken. Zo leidt een adviesdienst van enkele duizenden euro’s bijvoorbeeld zomaar tot een miljoenenclaim. Een goede risicoanalyse is dus evident.

Wilt u meer weten over beroepsaansprakelijkheid? Download de onepager over dit onderwerp op www.aon.nl/agrc.