Bedrijfsjuristen Monitor 2012

Transcriptie

1 Bedrijfsjuristen Monitor 2012

2 2 Bedrijfsjuristen Monitor 2012

3 3 Bedrijfsjuristen Monitor 2012

4 4 Bedrijfsjuristen Monitor 2012

5 Inhoud 7 Voorwoord 11 Legal Outlook 2013 and Beyond - De top 6 juridische onderwerpen 12 Verslag van de rondetafelgesprekken 26 Er komt een enorme hausse aan wet- en regelgeving aan Angelique Keijsers, Ernst & Young 30 Gezonde bedrijven kunnen niet zonder gedegen record management Michiel van den Bosch, Anthos 34 De stap om te gaan uitbesteden moet weloverwogen zijn Kay Behnke, NXP 38 IT-advocaten over privacy, dataopslag en retention: de praktijk is weerbarstig Wolter Wefers Bettink en Thomas de Weerd, Houthoff Buruma 42 Bij disclosure is het de vraag: hoe duur is onredelijk? John Payton 46 Anti-corruptie hoort in de cultuur van bedrijven verweven te zijn Philippe Creijghton, Houthoff Buruma 50 Bedrijven moeten klokkenluiders niet als bedreiging, maar als kans zien Joost Wiebenga, Tyco International 54 Het begint ermee dat vertrouwelijke informatie ook als zodanig moet worden herkend Jean Schreurs, NXP 58 Fair disclosure speelt grotere rol bij M&A Willem de Nijs Bik, Houthoff Buruma 62 Commissarissen vervullen een steeds actievere rol Robert Roelofs, ASML 66 Autonome denkkracht van bestuurders moet heilig zijn Philippe König, Houthoff Buruma 70 Het belang van een goede lobby is groot Suzanne Drion, VNO NCW 77 Colofon 5 Bedrijfsjuristen Monitor 2012

6 6 Bedrijfsjuristen Monitor 2012

7 voorwoord Jaap Bosman, Houthoff Buruma In november 2007 presenteerde Houthoff Buruma in samenwerking met het Nederlands Genootschap van Bedrijfsjuristen (NGB) voor de eerste maal de Bedrijfsjuristen Monitor. Inmiddels is het november 2012 en presenteren we met trots Bedrijfsjuristen Monitor nummer vijf. De eerste Bedrijfsjuristen Monitor in 2007 was meteen een succes; naast de ruim 2500 hardcopies die zijn gedistribueerd werd het rapport in één middag ruim 5000 keer gedownload. Het was het eerste serieuze kwantitatieve onderzoek dat ooit onder bedrijfsjuristen in Nederland was gehouden en het begin van een trend. In de jaren die volgden kwamen tal van commerciële partijen met initiatieven om bij de bedrijfsjurist in de gunst te komen. Bedrijfsjuristen werden in korte tijd van een relatief onbekende beroepsgroep een interessante doelgroep. De Houthoff Buruma Bedrijfsjuristen Monitor is initiërend, niet volgend. Om onze voorsprong te behouden en om relevant te blijven voor de bedrijfsjurist hebben wij de opzet bij iedere nieuwe editie volledig opnieuw moeten uitvinden. Deze vijfde editie is ook weer volledig anders dan ieder van de vier voorgaande. Waar we in 2011 nog een prachtig boek hadden met schitterende foto s en interviews waarin bedrijfsjuristen werden geportretteerd, hebben we dit jaar een bescheiden A5 naslagwerkje, zonder foto s. In deze turbulente en onzekere tijden focussen we op de inhoud en proberen we in kaart te brengen welke problemen en uitdagingen voor de bedrijfsjurist aan de horizon opdoemen. Het thema is dit jaar: Legal Outlook 2013 and Beyond Samen met het NGB zijn we op zoek gegaan naar de thema s die volgens bedrijfsjuristen in 2013 en de jaren daarna hoog op de agenda moeten staan. We hebben dat gedaan tijdens vier rondetafelgesprekken met zeer ervaren NGB leden die een juridisch-strategische verantwoordelijkheid hebben binnen de onderneming waarbij zij werkzaam zijn. Gediscussieerd werd aan de hand van een discussion paper op basis van volledige vertrouwelijkheid. In de pagina s die volgen zijn de kernpunten van de discussie samengevat. Hoewel het verloop van de discussie vier keer volledig verschillend was, was de uitkomst verrassend eenduidig. De thema s die het hoogst op de agenda zouden moeten staan zijn: Risk Management IT-gerelateerde issues zoals datamanagement en privacy Whistleblowing Fair disclosure Corporate governance: de veranderende rol van de commissaris Populistische wet- en regelgeving 7 Bedrijfsjuristen Monitor 2012

8 Tijdens de rondetafelgesprekken bleek ook dat de mogelijkheid om in besloten sfeer met directe peers kennis en ervaring uit te wisselen zeer werd gewaardeerd. Dat is bij uitstek de rol die het NGB voor zijn leden vervult. Geen andere organisatie in Nederland is in staat om zoveel nuttige kennis en ervaring van bedrijfsjuristen in besloten setting bijeen te brengen. De juridische thema s zijn verder uitgewerkt in de diverse hoofdstukken van dit boekje. We hebben 13 experts gevraagd om hun kennis met ons te delen. Het resultaat is een praktisch, leesbaar boekje dat de bedrijfsjurist in staat stelt om snel en efficiënt de juridische horizon te verkennen. En zo hoort het ook, want als er één ding is dat wij als rode draad uit vijf jaar Bedrijfsjuristen Monitor hebben geleerd, dan is het dat de bedrijfsjurist geen tijd heeft voor juridisch/wetenschappelijk geneuzel. 8 Bedrijfsjuristen Monitor 2012

9 9 Bedrijfsjuristen Monitor 2012

10 10 Bedrijfsjuristen Monitor 2012

11 Legal Outlook 2013 and Beyond - De top 6 juridische onderwerpen Risk Management Retention, Record Management, IT, Privacy en Discovery Klokkenluiders Fair Disclosure Governance - De rol van de Raad van Commissarissen Lobbyen en populistische wetgeving 11 Bedrijfsjuristen Monitor 2012

12 Bedrijfsjuristen Monitor 2012 Het beroep van bedrijfsjurist is in de afgelopen decennia geëvolueerd van interne jurist met een eigen winkel, naar raadgever die midden in de business staat en naast juridische kennis ook dient te beschikken over kennis en ervaring in andere disciplines. De verder internationaliserende samenleving, waarin vele bedrijfsactiviteiten grensoverschrijdende aspecten hebben en de stormachtige technologische ontwikkelingen, onder meer in IT, nopen de bedrijfsjurist tot verbreden en verdiepen van kennis. Andere voor bedrijfsjuristen belangrijke thema s, zoals Risk Management en Compliance, komen in toenemende mate op het bordje van de bedrijfsjurist zelf te liggen. Door al deze ontwikkelingen blijven de werkzaamheden van de bedrijfsjurist al lang niet meer beperkt tot de klassieke juridische werkzaamheden als het opstellen van contracten; er zijn tal van nieuwe thema s en taken bijgekomen. De verwachting is dat dit takenpakket de komende jaren alleen nog uitgebreid gaan worden. Om erachter te komen welke thema s op dit moment onder bedrijfsjuristen leven en welke onderwerpen zij de komende jaren een vlucht zien nemen, zijn voorafgaand aan deze publicatie vier rondetafelgesprekken georganiseerd waarbij in totaal meer dan 40 Nederlandse General Counsel en senior bedrijfsjuristen met elkaar in discussie zijn gegaan. Zij zijn werkzaam in uiteenlopende sectoren, bij grote, middelgrote en kleinere bedrijven; sommigen werken vooral nationaal, anderen zijn vooral internationaal actief. De input van deze vier rondetafelgesprekken is zeer waardevol en vormt de basis van de Bedrijfsjuristen Monitor Opvallend hierbij is dat in elk rondetafelgesprek een aantal kernthema s naar voren kwam, maar dat de vier sessies verder zeer verschillend waren. Dat illustreert dat bedrijfsjuristen in hun dagelijkse werk steeds weer tegen verschillende uitdagingen en dilemma s aanlopen. De moderne bedrijfsjurist is een duizendpoot. Dat bleek ook uit de enorme verscheidenheid aan onderwerpen die de deelnemers aan de rondetafels als belangrijk bestempelen. Die onderwerpen zijn gegroepeerd in zes thema s, die in deze Bedrijfsjuristen Monitor zijn uitgediept door middel van interviews met experts. De thema s weerspiegelen de uitdagingen van de bedrijfsjurist anno 2012, die naar verwachting de komende jaren alleen nog maar groter zullen worden. Deze Bedrijfsjuristen Monitor wil daarom een handvat bieden aan bedrijfsjuristen om die uitdagingen het hoofd te bieden: een goede voorbereiding is immers het halve werk. 12 Bedrijfsjuristen Monitor 2012

13 De zes Thema s van de Bedrijfsjuristen Monitor 2012 Thema 1. Risk Management Tijdens de vier rondetafelgesprekken bleek Risk Management en Compliance verreweg het belangrijkste thema. Door een steeds proactievere houding aan te nemen en te voorkomen in plaats van genezen, hebben veel Legal Counsel de laatste jaren ook een taak gekregen als Legal Risk Managers. Dat een belangrijke taak van bedrijfsjuristen bestaat uit Risk Management, zal geen verrassing meer zijn. Wat echter precies onder Risk Management wordt verstaan, en welke taken daarbij horen, is echter bijzonder breed en aan continue verandering onderhevig; veel te veel om alleen op het bordje van Legal te leggen. Welke aspecten van risicomanagement zijn de verantwoordelijkheid van de juridische afdeling? Hoeveel risico kun je indammen en dam je ook daadwerkelijk in en hoeveel risico is nog gezond te noemen? De deelnemers aan de verschillende rondetafelgesprekken zijn het er in meerderheid over eens dat, hoewel Legal een zeer belangrijke rol heeft bij risicomanagement, die rol in grote lijnen bestaat uit een meer adviserende en concipiërende rol; de business blijft verantwoordelijk voor het risicomanagement, en voert uit. Wie pakt de verantwoordelijkheid? Het managen van risico s leg ik heel bewust bij de betreffende managers neer, aldus een General Counsel. Wij opereren wereldwijd en de managers in alle verschillende landen hebben het beste zicht op de dagelijkse business en de risico s die daarbij komen kijken. Het proces om tot een bepaald risicoprofiel te komen, dat ligt voor een deel bij de centrale juridische afdeling, maar je kunt van ons bedrijfsjuristen niet verwachten dat we op de hoogte zijn van lokale milieuwetgeving of specifieke regelgeving die vaak per land verschilt. De verantwoordelijkheid leg ik daarom voor een groot gedeelte ook bij de uitvoerders neer. Een ander is het daar roerend mee eens. De neiging bestaat om veel bij bedrijfsjuristen neer te leggen en het ligt in onze natuur om direct met een risico aan de slag te gaan, zodra je er aan gesnuffeld hebt. Met sommige risico s heb je als bedrijfsjurist inderdaad zeer weinig te maken; leg die zaken dan ook neer bij mensen die er meer verstand van hebben. Binnen het bedrijf worden steeds meer zaken projectmatig aangepakt. Om te voorkomen dat je overal wordt uitgenodigd, dien je constant je rol duidelijk te maken. Betrek mij in belangrijke zaken en het liefst in een zo vroeg mogelijk stadium, zeg ik dan, maar betrek me niet bij alle zaken waar mogelijk een risico aan zou kunnen kleven. Iedereen in een organisatie dient vanuit zijn eigen rol bij te dragen aan een integraal risicomanagement. Een goede manier om Risk Management binnen de organisatie uit te rollen is door de verantwoordelijkheden te spreiden over verschillende afdelingen en disciplines. Een 13 Bedrijfsjuristen Monitor 2012

14 constructie van first, second & third line of defense is daarvoor een geijkt principe. De eerste lijn is daarbij het lijnmanagement, dat direct verantwoordelijk is voor risicomanagement en controle daarop. De tweede lijn betreft de verantwoordelijke personen in de verschillende business afdelingen en de derde lijn is de internal audit functie die onder meer de inrichting en werking van de eerste en tweede lijn controleert. Een Risk Management Board, met bestuurders, Legal Counsel en Managers vanuit de verschillende business units is hier een afgeleide van. Naast een inhoudelijke rol spelen bedrijfsjuristen vooral ook een rol bij het faciliteren van dit proces. Het bordje van Legal Wij hebben het vormgegeven in een Risk Management Board met een General Counsel, het bestuur, de verschillende Business Unit Managers en de verschillende fabrieksmanagers, aldus een General Counsel. De tien grootste risico s zijn daarbij geïdentificeerd; bijvoorbeeld het gebrek aan geschikt personeel, de R&D die te weinig innoveert, het floppen van een bepaald product en het voorkomen van kartelvorming. De eindverantwoordelijkheid voor die tien hoofdrisico s hebben we onderling verdeeld. Zo houdt er altijd iemand het overzicht. Een andere General Counsel suggereert om nooit de volledige verantwoordelijkheid te nemen; dat zorgt voor te grote betrokkenheid en bovendien worden daarmee verwachtingen gewekt die niet waargemaakt kunnen worden. Bovendien: het bordje van Legal is al vol genoeg. Maar belangrijker is misschien dat risico s voor een groot deel samenhangen met de wijze waarop de business wordt gemanaged. Je kunt toch nooit zeggen, ik ben als jurist eindverantwoordelijk voor het voorkomen van kartelvorming? Veel risico s hebben weliswaar juridische raakvlakken, maar er spelen vaak ook andere (m.n. business) aspecten, zoals een financiële component, een rol. Als bedrijfsjurist ben je altijd ondersteunend. Natuurlijk, je neemt je verantwoordelijkheid, maar nooit dé eindverantwoordelijkheid voor het voorkomen of uitsluiten van risico s. Te veel zelf willen doen, omdat er altijd een juridische component aan een risico claimt. Eén bedrijfsjurist heeft er dagelijks mee te maken. Ik ben tussen acht uur s ochtends en zes uur s avonds eerder een vraagbaak voor de onderneming: de hele dag ben je aan het praten met medewerkers uit alle lagen en alle disciplines binnen het bedrijf. Tussen zes en tien s avonds, wanneer de meesten weg zijn, kom ik in feite pas toe aan de klassieke bedrijfsjuridische werkzaamheden. Mijn rol is wezenlijk veranderd in de afgelopen tien jaar. De bedrijfsjurist wordt van nature snel bij zaken rondom Risk Management betrokken, zo blijkt uit de vier rondetafelgesprekken. Er wordt ook ontzettend veel richting Legal geschoven onder de noemer risico; in feite hebben de meeste risico s natuurlijk ook een juridische component. Het is daarom van belang om goed te definiëren welke verantwoordelijkheden bij welke afdeling liggen. Daartoe dienen eerst de grootste risico s 14 Bedrijfsjuristen Monitor 2012

15 van het bedrijf gedefinieerd te worden. Dat gebeurt vaak in samenspraak tussen Legal en de business. In control zijn is voor ieder bedrijf verschillend. Legal denkt mee over het beleid met betrekking tot een bepaald risico; de business voert dit uit maar heeft zeker ook advies nodig om dat te kunnen doen. Risico s nemen is een wezenlijk onderdeel van ondernemen: Legal zal ook nooit alle risico s kunnen uitsluiten, beperken, beheersen en controleren. Beheersbare en betaalbare risico s passen prima in de bedrijfsvoering. Grote risico s kunnen worden genomen, maar wanneer die risico s niet als zodanig zijn geïdentificeerd dient de business daar wel verantwoordelijkheid voor te nemen. Anti-bribery Door de enorme schade die omkopingsschandalen kunnen hebben voor het imago van een bedrijf, krijgen juridische afdelingen hier steeds meer vragen over. Hardop wordt eraan getwijfeld of het klassieke tick the box model wel voldoet om ervoor te zorgen dat Compliance regels in brede zin, daaronder begrepen anti-bribery wetgeving, worden nageleefd; je komt er niet met alleen maar procedures op te stellen en vinkjes te plaatsen. Compliance moet worden uitgedragen vanuit de top van de onderneming en ingebed worden in alle lagen van de onderneming. Alleen maar gedragscodes opstellen biedt slechts een schijnzekerheid. Zelfs het aanstellen van een grote groep Compliance Officers zal niet altijd alle risico s kunnen uitsluiten. Bovendien: Waar ligt de grens?, zo valt tijdens de rondetafelgesprekken meerdere malen te horen. Beter is het om de nadruk te leggen op de echt belangrijke, grote risico s, daadwerkelijk controles uit te voeren en sancties in te stellen als niet aan de interne en externe regels wordt voldaan. Een handtekening onder een anti-bribery verklaring levert meer bewustwording op dan een interne cursus over risico s van omkoping. Een veelgehoorde opmerking bij de rondetafelgesprekken is dat de bedrijfsjurist van nu zich geconfronteerd ziet met een enorme toename van regels; voor bedrijven die internationaal opereren is die toename soms ook van tegenstrijdige regels nog groter, al helemaal voor sterk gereguleerde sectoren zoals de financiële sector. Voordeel voor dergelijke organisaties is wel dat zij meestal beschikken over een separate (en soms zeer omvangrijke) Compliance afdeling, waarbinnen Compliance Officers ervoor zorgen dat de organisatie voldoet aan die wet- en regelgeving, door samen te schakelen met alle mogelijke disciplines waaronder Legal. Toezichthouders zitten er bovenop. Onwetendheid is geen excuus meer, zo verwoordt een General Counsel de aandacht voor anti-bribery in ondernemingen. Een internationaal bedrijf als het onze ontkomt er daarom niet aan om anti-bribery verklaringen te laten tekenen. Riskant gedrag van collega s, zoals kleine bedragen betalen om lokaal business te doen, kunnen leiden tot grote schade voor het bedrijf als geheel. Daarom wil ik handtekeningen onder de verklaringen en jaag ik die tot de laatste werknemer na. Niemand maakt bewust fouten, maar zodra managers zeer hoge eisen stellen kunnen 15 Bedrijfsjuristen Monitor 2012

16 werknemers voor de kortste route kiezen. Dat is gedrag dat je niet moet willen. Zodra er een handtekening is gezet, zie je echt wat veranderen in die hoofden. Wees duidelijk: dit kan echt absoluut niet. Wanneer ze vervolgens moeten tekenen, lezen ze ineens wel die opgestelde risicoprofielen. Desalniettemin is het lastig om anti-bribery wetgeving ook in de praktijk toe te passen, zo weten de deelnemers aan de rondetafelgesprekken. Een delegatie uit China of Indonesië verwacht nu eenmaal een gepaste ontvangst. Maar waar eindigt een chique zakendiner en begint omkoping door buitenlandse partners zwaar te fêteren? Tegenwoordig is men ontzettend voorzichtig in het uitnodigen van partners en zakelijke contacten; te bang om als omkoper te boek te staan. Dat was deze zomer ook goed te zien aan de lege tribunes bij de Olympische Spelen. Streven naar Legal awareness Het kweken van bewustzijn over risico s wordt door meerdere General Counsel naar voren geschoven als één van de kerntaken van de bedrijfsjurist. De business beheerst zelf de risico s, maar heeft wel advies nodig, aldus één van hen. Dat doe je bijvoorbeeld middels interne trainingen, waarin ethische kwesties worden voorgelegd. Welke dilemma s komen we tegen in de dagelijkse werkzaamheden en hoe gaan we daarmee om? Managers spelen daarbij een cruciale rol: als het bij hen niet leeft, leeft het ook bij hun team niet. Niemand vindt het prettig om de hele dag met risico s bezig te zijn. Aan mij de taak om dus constant op het belang ervan te hameren. Een andere General Counsel vult aan: Ik ben laatst betrokken geweest bij het internationaal uitrollen van een nieuw risk- en Compliance beleid. Dat kun je via , conference calls en telefoon doen, maar ik wilde echt ieder land zelf bezoeken en heb dat ook nadrukkelijk bij het bestuur aangekaart. Natuurlijk, zoiets kost ontzettend veel tijd, maar het persoonlijk contact met lokale Compliance Officers zorgt er wel voor dat ook zij het belang van risicobeheersing inzien. Legal awareness kweken vraagt veel tijd van onze afdeling. Het vergt echter ook een andere opstelling bij de bedrijfsjuristen zelf: De meeste mensen bij onze afdeling hebben niets met Compliance. Ambtelijk gedoe, daar ligt hun belangstelling toch niet, aldus een General Counsel. Bedrijfsjuristen zullen ook zelf moeten leren dat Compliance iets anders is dan louter de naleving van regels najagen. Het gaat erom dat de hele organisatie, het bedrijf van boven tot onder, ervan bewust moet worden gemaakt dat het naleven van regels in het belang is van het bedrijf. Voor de bedrijfsjurist betekent Risk Management en Compliance in de praktijk ontzettend veel schakelen en communiceren met alle lagen van het bedrijf. De normale werkuren zouden in theorie volledig besteed kunnen worden met het bezoeken van vestigingen en afdelingen binnen het bedrijf. Het kweken van Legal awareness is meer dan ooit één van de kerntaken van de bedrijfsjurist geworden. Daarbij is het belangrijk om niet als zwartkijker, 16 Bedrijfsjuristen Monitor 2012

17 onwetende buitenstaander of inflexibele controleur te boek te staan, maar actief mee te denken met de business en beleid te ontwikkelen dat ook daadwerkelijk uit te voeren is. Uiteindelijk resteert toch de vraag: hoe goed is goed genoeg? Een General Counsel: De vraag blijft inderdaad wanneer je in control bent, of dat denkt te zijn. Vergelijk het met de verkeerspolitie bij een snelheidscontrole. Wanneer zijn zij in control? Wanneer er geen ongelukken gebeuren, wanneer er 100 boetes worden uitgeschreven, wanneer niemand te hard rijdt? Het bepalen van een risicoprofiel is voor elk bedrijf anders. Het belangrijkste is om er in ieder geval gedegen beleid op te ontwikkelen; zodra er iets fout gaat, kun je in ieder geval aantonen dat je er alles aan hebt gedaan om dat te voorkomen. Thema 2. Retention, Record Management, IT, Privacy en Discovery De brede rol van de bedrijfsjurist is misschien wel het beste zichtbaar in de raakvlakken tussen Legal en IT. De stormachtige ontwikkeling die IT heeft doorgemaakt en de totale verwevenheid ervan met de bedrijfsprocessen, stelt de bedrijfsjuristen anno nu voor grote uitdagingen. Waar zij vroeger weg konden komen met een rol van Legal Counsel, is dat nu veel meer de rol van Legal Manager geworden. Kan Legal de enorme hoeveelheid gegevens, die door ontwikkelingen als cloud computing vaak op meerdere servers in verschillende landen worden opgeslagen, op een verantwoorde manier managen zonder dat dat een enorme wissel trekt op de bedrijfsjuridische afdeling? Hoe lang moeten gegevens en s überhaupt bewaard worden? Wat is de invloed van hogere boetes en strengere regelgeving op het gebied van privacy? Het zijn zaken waar General Counsel en bedrijfsjuristen bovenop moeten zitten, maar waar zij vanuit hun achtergrond vaak minder gevoel bij hebben dan bij het traditionele, bedrijfsjuridische werk. Privacy De Europese sancties voor het niet goed naleven van privacy-wetgeving waren tot voor kort vrij gering, maar de boetes stijgen in rap tempo. In januari 2012 presenteerde de Europese Commissie nieuwe privacyregels, waarmee online privacyrechten verbeterd moeten worden. Dit gebeurde via een verordening, zodat bedrijven nu verplicht zijn om aan de nieuwe regels te voldoen. Het nieuwe juridische raamwerk zou moeten leiden tot meer vertrouwen bij burgers en een betere bescherming van persoonsgegevens in de Europese Unie, zo verwacht de Europese Commissie. Eén Europees systeem op het gebied van privacy is handig voor bedrijven die in veel verschillende landen actief zijn: met hetzelfde privacybeleid kan een bedrijf in heel Europa uit de voeten. Vroeger kon je bij overtreding van privacyregels even met de Europese toezichthouder praten om te proberen één en ander op te lossen. De boetes gaan nu echter flink omhoog, 17 Bedrijfsjuristen Monitor 2012

18 aldus een General Counsel. De functie van Chief Privacy Officer kennen we pas sinds het begin van deze eeuw. Dat geeft het belang al aan. Het geheel aan privacyregels is echter praktisch onuitvoerbaar en er komen alleen maar regels bij. Ik ken weinig bedrijven die volledig compliant zijn aan de privacywetgeving, laat staan aan de nieuwe cookiewetgeving. Vaak is het aan de bedrijfsjuristen om dan een risico-afweging te maken. Je kijkt naar naaste concurrenten, hoe ver zijn zij? Dat vind ik in zo n geval belangrijker dan volledig voldoen aan alle wetten en regels van externe toezichthouders. Retention & record management Een gedegen informatiehuishouding begint bij record management: weten welke gegevens er in huis zijn en waar die opgeslagen worden. De verantwoordelijkheid daarvoor ligt logischerwijs bij IT maar vaak is men daar niet volledig op de hoogte van risico s en verplichtingen en komt het toch weer ook bij Legal terecht. Hoe lang bepaalde s en andere gegevens bewaard worden, verschilt per bedrijf en ook per land waar dat bedrijf actief is. Bij s met contracten, facturen en overeenkomsten is het handig om een langere bewaarperiode aan te houden; alledaags mailverkeer kan eerder verwijderd worden. is boven alles geen archiving tool: gegevens die echt bewaard moeten worden kunnen het beste op een andere manier opgeslagen worden. Bedrijfsjuristen kunnen helpen om overige werknemers bewuster te maken van de zware wissel die dataopslag op een bedrijf trekt; niet alleen op het gebied van kosten maar zeker ook met het oog op risico s van datalekken. Vanuit Legal moet de beslissing genomen worden: hoe lang bewaren we s, waar slaan we ze op en wie heeft er toegang toe? Het is onontkoombaar dat aan de nieuwe generatie bedrijfsjuristen ook verstand van IT gevraagd wordt. Er zijn tegenwoordig zelfs specifieke Legal & IT-beurzen, aldus één van de General Counsel. Welke s worden bewaard, hoe lang die worden bewaard en waar, is typisch zo n vraagstuk op de scheidslijn van Legal en IT. De mogelijkheden van IT zijn enorm maar de vertaling naar de praktijk is vaak lastig. De ervaring leert dat data zelden echt helemaal gewist zijn. Dan moet je dus zorgen voor een gedegen retentionbeleid, een goed zoeksysteem en hele duidelijke richtlijnen over bewaarperiodes van data. Toezichthouders en rechters weten dit immers ook en gaan in toenemende mate eisen stellen over het aanleveren van data. Dit vereist ook veel meer dan vroeger dat de juristen de bedrijfsprocessen vaak ook tot op detailniveau goed begrijpen. De digitale ontsluiting van data is lastig, omdat gegevens vaak op meerdere locaties zijn opgeslagen. Een andere General Counsel: Iedereen bouwt bij ons zijn eigen dossiers, het is lastig om overzicht te houden. Toch zit het klassieke idee van één dossier nog in de hoofden van mensen genesteld. We hebben wel eens de politie over de vloer gehad die hét cliëntendossier wilde inkijken. Hét cliëntendossier bestaat echter niet meer: dat is verspreid over verschillende computers en locaties. 18 Bedrijfsjuristen Monitor 2012

19 Cloud computing De ontwikkeling waarbij documenten en s op afstand in de cloud worden opgeslagen, zorgt voor een verschuiving van verantwoordelijkheden van bedrijfsjurist naar externe partijen. Partijen als Google en Dropbox slaan gegevens verspreid over verschillende servers in de wereld op en voordat een de afzender bereikt, is deze vaak al meerdere keren ergens gekopieerd. Het devies voor bedrijfsjuristen is dan ook: wanneer je er geen invloed op kunt uitoefenen, manage je het ook niet. Om eventuele problemen te voorkomen is het wel aan te raden om een goed doorzoek-systeem te hebben dat in staat is om bepa alde informatie naar boven te brengen. Dataopslag kan dan heel goed bij externe aanbieders ondergebracht worden. Daar waar de expertise niet in huis is, ontkomen bedrijfsjuristen er niet aan om die kennis in te huren. Dat geldt in belangrijke mate voor internationale privacywetgeving: een vrij ondoorzichtig en abstract rechtsonderwerp. Thema 3. Fair Disclosure Beursgevoelige en/of concurrentiegevoelige informatie wil Legal uiteraard zo goed mogelijk binnen de poorten houden. Het is belangrijk om intern te benadrukken dat geheimen ook geheimen moeten blijven. Met boetesystemen en geheimhoudingsverklaringen, maar ook door verantwoordelijke bestuurders als de CFO en de General Counsel er keer op keer op te laten hameren. Dat is zeker de moeite waard, want boetes van toezichthouders maar ook van bedrijven waar aan geleverd wordt kunnen bijzonder hoog zijn. Bovendien brengt het naar buiten brengen van informatie over een bedrijf waarmee zaken gedaan worden, ook de relatie met dat bedrijf in gevaar. Door de toegang tot klantgegevens te beperken, iedere werknemer een geheimhoudingsovereenkomst te laten tekenen en in codetaal te communiceren, kan een geheim ook daadwerkelijk een geheim blijven. Wanneer er bij ons één medewerker z n mond voorbijpraat over een nieuwe opdrachtgever, staan daar direct vanuit de opdrachtgever contractueel hoge boetes op en brengt het je nieuwe order in gevaar, aldus een General Counsel. Investeerders en aandeelhouders wil je graag op de hoogte brengen van nieuwe omzet, maar de kans om die orders te verliezen is te groot. Toch weet zo ongeveer het hele bedrijf ervan. Je houdt de toegang tot informatie beperkt, laat iedereen geheimhoudingsverklaringen tekenen en probeert zodoende een geheim in te kapselen. Kennis deel je op een need to know-basis en veel kennis is er vaak niet nodig om de werkzaamheden naar behoren uit te voeren. In de praktijk is zoiets echter heel lastig vol te houden. Het feit dat bedrijven transparanter zijn geworden, is een extra complicerende factor. De afdeling communicatie probeert overzicht te houden over informatiestromen, maar het merendeel gaat via andere kanalen naar buiten. De snelheid is ook een issue: zodra informatie naar buiten gaat staat het al op alle nieuwssites en moet je al reageren. Mijn stelregel? Alles wat je in een schrijft, moet ook in de krant kunnen staan. 19 Bedrijfsjuristen Monitor 2012

20 Veranderende werknemer De roep om transparantie gooit dus vaak roet in het eten. Werknemers werken sneller, vaak ook minder zorgvuldig en houden dossiers slecht bij. Legal verliest daardoor het overzicht over de informatiestroom naar buiten toe. Mede door de roep om transparantie vanuit de buitenwereld en door outsourcing en insourcing verdwijnt de klassieke loyale werknemer. Werknemers die te snel en te gedetailleerd met wederpartijen praten zijn eerder regel dan uitzondering. Beleid op het gebied van social media is essentieel: wat wordt er naar buiten gebracht en via welke media? Veel juridische afdelingen weten niet wat de werknemers online over het bedrijf vertellen. Overzicht houden over wat er wordt gecommuniceerd kan bijvoorbeeld door middel van forensische software geregeld worden. Snelheid van handelen Met name de snelheid van informatiestromen is een issue waar veel bedrijfsjuristen tegenaan lopen. Zodra er gevoelige informatie naar buiten is gebracht, moet het noodplan klaarliggen. Bedrijfsjuristen zijn geneigd te denken dat ze met een juridisch probleem te maken hebben, terwijl het op dat moment eerder een reputatie-issue is. Om in de toenemende roep om transparantie mee te gaan, kan Legal het beste alle informatiestromen overzien. Een General Counsel: Stel bindende bedrijfsregels voor het delen van informatie op, laat het personeel daar voor tekenen. En voer ook de sancties uit als er eenmaal een overtreding is geconstateerd. Thema 4. De rol van de Raad van Commissarissen Het verschil tussen one & two tier boards leek in Nederland altijd redelijk groot te zijn: in het two tier board bleven commissarissen bleven redelijk op de achtergrond en bemoeiden zich slechts sporadisch met de strategie en dagelijkse bedrijfsvoering. Daar komt langzaam verandering in. In Nederland, dat bekend staat om zijn two tier boards, claimen commissarissen vaker een sturende rol binnen een bedrijf. Zij eisen meer inzicht in de bedrijfsstukken, stellen steeds meer operationele vragen en staan in specifieke voorbeelden als Organon, waarbij de RvC een massaontslag wilde voorkomen, zelfs lijnrecht tegenover de aandeelhouders. Dat wordt voor een belangrijk deel gevoed door de juridische verplichtingen die commissarissen hebben; hun positie komt in gevaar als er problemen in het bedrijf ontstaan en zij verantwoordelijk gehouden kunnen worden. De meer inhoudelijke betrokkenheid van commissarissen kan de bedrijfsvoering uiteraard in positieve zin beïnvloeden; meer controle kan leiden tot minder missers op bestuursniveau. Wij hadden eerst een two tier board en nu een one tier board, maar het verschil is zeer minimaal, zo stelt een General Counsel bij een rondetafelgesprek. Zeker bij bedrijven 20 Bedrijfsjuristen Monitor 2012