De Bedrijfsjurist. Privacy moet top of mind zijn. NGB Seminar 19 april 2016 Actualiteiten Privacy. Beroepsopleiding Bedrijfsjuristen

Transcriptie

1 De Bedrijfsjurist Privacy moet top of mind zijn Drie aspecten van digitalisering vanuit juridisch perspectief Beroepsopleiding Bedrijfsjuristen NGB Seminar 19 april 2016 Actualiteiten Privacy Privacy moet top of mind zijn Rence Damming, privacy officer, en Zakaria Abassi, privacy jurist, beiden bij KPN, gaan onder meer in op de meldplicht datalekken, Safe Harbor, EU-VS Privacy Shield en compliance. Zij geven praktische voorbeelden en handige tips. Never waste a good crisis. Als econoom ben ik in de telecom terecht gekomen via justitieel aftappen, introduceert Rence Damming, sinds april 2011 privacy officer bij KPN, zichzelf. Later ben ik van justitie naar het bedrijfsleven overgestapt als privacy officer. Pro-actief en ook geholpen door incidenten worden we steeds beter in het vak. Damming zal onder meer ingaan op best practices, incidenten en de lessen die daaruit zijn getrokken. Zakaria Abassi geeft een overzicht in vogelvlucht van de mogelijkheden en onmogelijkheden van dataexport de afgelopen vijftien jaar. Datalekken Op 1 januari van dit jaar is de Meldplicht datalekken in werking getreden. Globaal kent de meldplicht vier stappen: 1. Zijn de regels omtrent de meldplicht van toepassing? 2. Is er sprake van een datalek? 3. Moet het datalek worden gemeld aan de Autoriteit Persoonsgegevens (AP)? 4. Moet het datalek worden gemeld aan de betrokkene? > De Bedrijfsjurist uitgave van het Nederlands Genootschap van Bedrijfsjuristen mei 2016 nummer 2 1

2 Damming heeft het stappenplan van de AP vereenvoudigd om een quick reference card te creëren. Dit stappenplan bevindt zich in de presentatie van de bijeenkomst, die voor leden die zijn ingelogd op te vinden is onder Opleidingen en bijeenkomsten en vervolgens NGB Seminars. Een datalek is ieder incident waarbij persoonlijke gegevens lekken. Voorbeelden: verlies van een usb-stick, diefstal van een laptop, het wijzigen van persoonsgegevens op verzoek van een familielid of ex-echtgenoot, het versturen van brieven naar anderen dan degenen voor wie ze bestemd zijn, misbruik van persoonsgegevens voor doelen waarvoor ze niet verstrekt zijn, onveilige overdracht van consumentengegevens. Zelfs als de informatie versleuteld is moet je melden, waarschuwt Damming. Want versleuteling kan achterhaald zijn. Wat vandaag als veilig wordt ervaren kan dat morgen al niet meer zijn. Als een mobile device is verloren en het bedrijf wist binnen een half uur alle gegevens moet je strikt genomen toch melden. KPN doet een paar honderd meldingen per jaar, terwijl maar in een enkel geval de persoonlijke levenssfeer werkelijk is geschonden. Wees er transparant over, meld maar gewoon, adviseert Damming. Wat gemeld moet worden is onder meer: oorzaak van het lek, soort informatie, gevolgen van het lek, genomen maatregelen, waar meer informatie verkregen kan worden. Hack Damming vertelt over een hack door een 17-jarige jongen in Hij had via een klein raampje toegang gekregen tot een back-up-systeem, een zgn. stepping stone, waardoor hij steeds dieper in het systeem kon dringen en zich bepaalde beheersrechten kon toekennen. Dat heeft hij gelukkig niet gedaan, zegt Damming, want hij had half Nederland uit de lucht kunnen halen. De meldplicht datalekken was nog niet van kracht, maar we hebben pagina s in kranten afgenomen om uitleg te geven en klanten te informeren wat te doen, en vele, vele s verstuurd. Bij een ander datalek heeft KPN zonder discussie aangeboden de schade van een paar ton te betalen. Soms moet je een grote jongen zijn, aldus Damming. Hij adviseert bij grote datalekken een crisisteam op te zetten bestaande uit een security manager, een compliance officer of jurist die contact met de toezichthouder kan houden, en een customer communications expert die verstand heeft van klantencommunicatie. De security officer heeft daarbij de leiding, want allereerst moet het lek worden gedicht. Dat klinkt als een open deur, maar is vaak een probleem, weet Damming. Om mensen bewust te maken van de risico s van datalekken kan een mix van communicatiemiddelen worden ingezet. KPN maakte een filmpje van drie minuten, dat aansprekend laat zien in welke 2 mei 2016 nummer 2

3 kleine hoeken gevaar zit. Hoe vaak wordt niet een usb-stick vergeten op het blad in het bedrijfsrestaurant? Leer van je fouten, zegt Damming. Never waste a good crisis. KPN beschikt over een team van 12 man dat niets anders doet dan hacken. Dat is de nieuwe manier van informatie beveiligen; zo zie je de kwetsbaarheden, zegt Damming. We doen elk jaar mee aan de Global CyberLympics en komen zo aan de beste hackers. Safe Harbor Zakaria Abassi, privacy jurist, laat zien wat er op het gebied van dataexport is gebeurd de afgelopen vijftien jaar en waar we nu staan. Alle landen binnen de EU worden geacht hun privacywetgeving te hebben geënt op de EU Privacyrichtlijn uit Buiten de EU, meer specifiek buiten de Europese Economische Ruimte, kan de Europese Commissie met een Adequacy Decision bepalen dat een land privacywetgeving op Europees niveau heeft. Zo n beslissing is er inmiddels voor ongeveer twaalf landen. Omdat de privacywetgeving in de Verenigde Staten geen passend beschermingsniveau biedt, zo kent men bijvoorbeeld het proportionaliteitsbeginsel niet, was een aparte beschikking nodig: Safe Harbor, uit Die heeft het mogelijk gemaakt data te exporteren naar bedrijven in de VS als zij zich na afgifte van een verklaring bij het US Department of Commerce hebben gecertificeerd. Deze zelfcertificering zou passende bescherming moeten waarborgen. Controle vindt plaats door de Federal Trade Commission, de FTC. Maar al snel ontstonden de eerste barsten in Safe Harbor, zegt Abassi. Uit een aantal onderzoeken en evaluaties kwam kritiek. Zo staan 1597 organisaties op de Safe Harbor lijst, terwijl maar 1109 organisaties daadwerkelijk lid zijn van Safe Harbor. En slechts 348 van de 1597 organisaties voldoen aan de basisvereisten van Safe Harbor. Facebook In 2013 kreeg Edward Snowden, oud-medewerker van de National Security Agency (NSA) en de CIA, gewetenswroeging. Hij maakte wereldkundig dat de NSA zo n beetje alle informatie kan onderscheppen: s, wachtwoorden, belgegevens etc. De gevolgen zijn bekend. In datzelfde jaar besloot de Oostenrijkse rechtenstudent Max Schrems naar aanleiding van gebruikmaking van zijn inzagerecht bij Facebook om een klacht in te dienen bij de Ierse toezichthouder. Tegen diens besluit zich onbevoegd te verklaren ging Schrems in beroep bij de rechter. Uiteindelijk kwam het tot een prejudiciële vraag bij het Hof van Justitie. Advocaat-generaal Bot concludeerde dat nationale toezichthouders de bevoegdheid hebben een onderzoek in te stellen naar het beschermingsniveau van derde landen en de doorgifte van gegevens op te schorten. Hij concludeerde verder dat Safe Harbor ongeldig moest worden verklaard. In oktober 2015 deed het Hof uitspraak, daarbij in grote lijnen de conclusie van de Advocaat-generaal volgend. Safe Harbor gold niet meer. You ve changed the world for the better. tweette Edward Snowden. De EU en de VS kregen tot en met januari 2016 de tijd om te onderhandelen over een nieuw besluit. Wij hebben na de uitspraak van het Hof een Safe Harbor Guidance Paper opgesteld en verspreid binnen het bedrijf, vertelt Abassi. We waren altijd al terughoudend en voorzichtig met Safe Harbor vanwege de kritische noten op de beschikking. Nu hebben we in kaart gebracht welke contracten zijn gesloten op basis van Safe Harbor en contact gezocht met alle contractspartners. Privacy Shield Begin februari 2016, net na de deadline, kwamen de EU en de VS tot een akkoord. Het nieuwe Privacy Shield gaat uit van de volgende principes: Notice, Choice, Accountability for Onward Transfer, Security, Data integrity and Purpose Limitation, Access, en Recourse, Enforcement en Liability. Abassi: Vergeleken met Safe Harbor heeft de betrokkene meer bevoegdheden gekregen. Er zijn meer mogelijkheden klachten in te dienen en de controle wordt beter. Op 13 april, zes dagen voor het NGB-Seminar, hebben de Europese privacyautoriteiten een oordeel geveld. Drie punten van kritiek, aldus Abassi: organisaties zijn niet verplicht data te wissen als die niet meer nodig zijn; de Amerikaanse overheid ziet nog steeds niet volledig af van massasurveillance, hetgeen tevoren wel als eis was gesteld; en de bevoegdheden van de ombudsman zijn onvoldoende. De tekst wordt ook nog beoordeeld door het Europees Parlement en de Europese Raad. Abassi verwacht dat eind juni een aangepaste tekst wordt gepubliceerd. Microsoft heeft al laten weten het nieuwe Privacy Shield adequaat te vinden, en er graag mee te willen werken. We moeten afwachten hoe we er in juni voor staan, zegt Abassi. > De Bedrijfsjurist uitgave van het Nederlands Genootschap van Bedrijfsjuristen mei 2016 nummer 2 3

4 Framework Tot slot gaat Damming in op de bewustwording binnen de organisatie. Als best practice houdt hij een Data Privacy Framework voor dat ontwikkeld is door het Information Security Forum, ISF. Dit gaat uit van de stappen: Start met awareness (twee kanten op: operatie en beleid); Inventariseer je risico s; Bepaal je risk appetite op basis van de gestelde risico s ; Bedenk mitigerende maatregelen; Borging van de maatregelen in processen; Vorm je beleid gebaseerd op de afspraken met je klant (Privacy Statement); Governance. Damming vertelt dat de risk appetite bij KPN laag is en dat het privacy-beleid zo eenvoudig mogelijk is ingericht. Heb je nog te weinig awareness in je organisatie, start er dan mee die te krijgen, adviseert hij. Privacy moet top of mind zijn. De terminologie kan voor verwarring zorgen. In de technologie staat processing of verwerken voor veranderen. Als niet voor iedereen in de organisatie duidelijk is dat het enkele kunnen lezen, zonder verder iets met de data te doen, ook onder processing / verwerken valt, liggen de risico s op de loer. DPI In 2011 ontstond wereldwijd opschudding toen een lid van de Raad van Bestuur op een live opgenomen en gestreamde aandeelhoudersvergadering vertelde dat KPN gebruik maakte van Deep Packet Inspection, DPI. Het was onhandig uitgelegd, zegt Damming. Wij gebruiken wel DPI, net als iedereen die virusscanners of firewalls gebruikt, maar we kijken nooit mee in de inhoud van de communicatie en hebben dat ook nooit gedaan. Maar de schade was geleden, en de les hieruit was dat duidelijke communicatie van cruciaal belang is. Duidelijk is niet hetzelfde als transparant : een privacy statement van twintig bladzijden is wel transparant, maar niet duidelijk voor de klant. Damming besluit met het KPN Big Data Mission Statement, bekend als de Golden Rules. Het statement is zo kort dat iedereen het kan bevatten: Alles wat je doet met klantgegevens kan de privacy van de klant aantasten. Data die vergaard zijn voor het werk kunnen alleen worden gebruikt voor andere doelen met uitdrukkelijke en duidelijke toestemming van het subject. Toestemming is alleen geldig als het subject deze (1) uitdrukkelijk heeft gegeven, (2) tevoren, (3) gebaseerd op een duidelijk uitleg door het bedrijf over het (4) specifieke doel waarvoor de data worden gebruikt. De toestemming van het subject kan te allen tijde worden ingetrokken. Update In het volgende nummer van De Bedrijfsjurist, dat in september verschijnt, zal Zakaria Abassi een update geven over de stand van zaken rond het nieuwe Privacy Shield. Foto s: Regula Lüchinger 4 mei 2016 nummer 2

5 column IN DE SCHIJNWERPER Naam: Monique Vercammen Leeftijd: 30 Bedrijf: NXP Semiconductors Functie: Legal counsel/advocaat Wanneer en hoe ben je bij het bedrijf waar je werkt gekomen, en wat waren je vorige functies? Ik werk sinds april 2013 als legal counsel/advocaat bij NXP in Eindhoven. Daarvoor werkte ik als advocaat bij Deterink Advocaten en Pellicaan Advocaten. Toen je van advocaat bedrijfsjurist werd, waar moest je het meest aan wennen? Een advocatenkantoor heeft een duidelijke structuur: je hebt kort door de bocht partners, advocaten en ondersteuning. Cliënten adviseer je via de betreffende contactpersoon. De organisatiestructuur van een groot bedrijf als NXP is van totaal andere orde. Om goed te kunnen adviseren moet je weten aan wie je moet adviseren en wanneer je moet escaleren, maar ook wie jou de juiste informatie voor het advies kan leveren. Van product manager tot chief technology officer, van export control officer tot treasurer, plus de diversiteit van alle business lines, product lines en corporate afdelingen. Het heeft me ongeveer een jaar gekost om de structuur en alle rollen goed te leren kennen. Maar juist die diversiteit maakt dit werk leuk. Heb je een specifiek aandachtsgebied en wat vind het leukste aspect van je werk? Ik werk in het commercial legal team en adviseer voornamelijk omtrent inkoop- en verkoopcontracten en alles wat daar bij komt kijken. Verder word ik regelmatig betrokken in M&A-projecten. Het leukste aspect vind ik de contractsonderhandelingen, vooral wanneer we als team goed zijn voorbereid. Het doel is dan om tegenstellingen te vermijden en juist de samenwerking te benadrukken om zo de koek voor beide partijen te vergroten. Wat is typerend voor het bedrijf waar je werkt? NXP produceert halfgeleiders, ook wel chips genoemd, onder andere voor paspoorten, mobiele telefoons en de auto-industrie. In december vorig jaar hebben we Freescale overgenomen, een branchegenoot van vergelijkbare grootte. We zijn daarmee een nog grotere speler op de markt geworden. Dit succes komt vooral door de visie van het bedrijf: veruit de beste zijn in wat we doen. Van iedereen in het bedrijf wordt een zelfde geestdrift verwacht: wees de beste in wat je doet! Waarin onderscheidt de juridische afdeling van jouw bedrijf zich van juridische afdelingen van andere ondernemingen (bijvoorbeeld best practices)? Het legal team van NXP is relatief klein. Om een indruk te geven: NXP telt wereldwijd ongeveer werknemers en daarvan zijn er 23 bedrijfsjurist. Dit maakt dat wij erg efficiënt moeten werken. Daarom handelen we naar de value based approach. Dit betekent onder andere dat we meer verwachten van de accountmanagers. Zij nemen een actieve rol in het beoordelen van minder zwaarwegende contracten en het vergaren van informatie. Uiteraard trainen we de accountmanagers hiervoor. Zo kunnen de juristen zich richten op de grote risico s en belangrijke contracten. Kun je een leuke anekdote vertellen van iets dat je meegemaakt hebt tijdens je loopbaan als bedrijfsjurist? Een tijdje geleden zaten we in pittige onderhandelingen met een grote klant uit Azië. De onderhandelingen liepen stroef en op de een of andere manier lukte het niet om nader tot elkaar te komen. Dit was totdat we een pak stroopwafels op tafel zetten. Ik heb nog nooit iemand zo veel stroopwafels zien eten in zo n kort tijdsbestek, maar de onderhandelingen liepen ineens als een zonnetje. We hebben die dag nog twee extra pakken gekocht. Sindsdien heb ik tijdens onderhandelingen vaak een pak stroopwafels achter de hand. Welke gebeurtenis uit de afgelopen tijd (binnen of buiten je werk) heeft indruk op je gemaakt en waarom? De overname van Freescale en het hele proces daar omheen was indrukwekkend. Onderdeel van dit proces was dat NXP vóór realisatie van de overname eerst een bepaald bedrijfsonderdeel moest afstoten. Er was namelijk een dermate grote overlap met een Freescale-onderdeel, dat NXP bij de overname een enorme machtspositie in dat segment zou verwerven. Dit zou goedkeuring van de Freescale-overname door de verschillende mededingingsautoriteiten in de weg kunnen staan. Binnen een schrikbarend kort tijdsbestek moest de verkoop van het NXP-onderdeel worden gerealiseerd. En dit is gelukt! We hebben nachtenlang doorgewerkt en de zon zien opkomen op het kantoor van De Brauw, maar binnen acht weken was de verkoop een feit. Als je iets in het Nederlandse recht zou mogen veranderen, wat zou dat dan zijn? NXP ontwikkelt sensoren voor de zelfrijdende auto, maar de wet is niet ingericht op het toestaan van zelfrijdende auto s op de weg. Denk aan de verkeersregels en het aansprakelijkheidsrecht. Recent hebben de Europese ministers echter aangekondigd om uiterlijk in 2019 de wetgeving hiervoor klaar te hebben. Wie staat de volgende keer in de Schijnwerper? Roos van Schooneveld-Brouwer van Vlisco te Helmond. De Bedrijfsjurist uitgave van het Nederlands Genootschap van Bedrijfsjuristen mei 2016 nummer 2 5

6 Drie aspecten van digitalisering vanuit juridisch perspectief Ondernemingen streven er in toenemende mate naar hun interne bedrijfsvoering te digitaliseren. In deze bijdrage belichten wij drie aspecten van die digitalisering vanuit juridisch perspectief. We gaan hieronder in op het digitaal voeren van administratie, digitale publicatie van de jaarrekening en het gebruik van een elektronische handtekening. Melanie Alzafari, Professional Support Lawyer Notariaat Corporate M&A en Wijnand Bossenbroek, partner algemeen en notarieel ondernemingsrecht 1. Digitale administratie Uit de wet volgt dat alle documenten betreffende de werkzaamheden van een onderneming voor de duur van zeven jaar moeten worden bewaard. 1 Hieronder vallen de boekhouding, contracten en facturen, maar ook relevante ( ) correspondentie. Bij het digitaal bewaren van documenten dient rekening te worden gehouden met twee belangrijke aandachtspunten. Ten eerste kan de bewijskracht van digitale gegevens anders zijn dan die van papieren documenten. In de wet is neergelegd dat in het geval van onderhandse akten, alleen het oorspronkelijke stuk tussen partijen dwingend bewijs oplevert, behoudens tegenbewijs. 2 Een gescand document levert dan slechts vrije bewijskracht op; de rechter is vrij het bewijs naar eigen inzicht te waarderen. Dit kan een reden zijn om bijvoorbeeld belangrijke contracten ook nog in schriftelijke vorm te bewaren. Voor andere documenten zonder handtekening, zoals bonnetjes of aantekeningen geldt dat zowel originele als gedigitaliseerde stukken vrije bewijskracht opleveren. De rechter zal hierbij de betrouwbaarheid van documenten toetsen, bijvoorbeeld op basis van datum en de vraag of eventuele wijzigingen achteraf zichtbaar zouden zijn. Ten tweede zullen er passende maatregelen moeten worden genomen om aan de privacywetgeving te voldoen. Computersystemen dienen bijvoorbeeld 1 Zie artikel 2:10 lid 3 Burgerlijk Wetboek. 2 Zie artikel 160 lid 1 Wetboek van Burgerlijke Rechtsvordering (Rv). Sinds 2010 volgt uit het nieuw toegevoegde artikel 156a Rv de mogelijkheid om onderhandse akten elektronisch vorm te geven. De aard is in dat geval wel verschillend; het gaat hierbij om een digitaal vormgegeven stuk die onder voorwaarden als oorspronkelijk volgens artikel 160 lid 1 Rv kan worden gezien. voldoende te worden beveiligd. Indien persoonsgegevens digitaal worden verwerkt dient dit gemeld te worden bij de Autoriteit Persoonsgegevens. 3 Ook geldt vanaf 1 januari van dit jaar de verplichte melding van een datalek van persoonsgegevens aan deze instantie De jaarrekening Op grond van de wet dienen de jaarlijkse balans en staat van baten en lasten, veelal opgenomen in de jaarrekening, nog altijd op papier gesteld en bewaard te worden. 5 De jaarrekening dient bovendien door de bestuurders en eventuele commissarissen te worden ondertekend. Er kan dus niet volstaan worden met het opmaken van slechts een digitale jaarrekening. Het niet voldoen aan deze wettelijke verplichting kan bij faillissement leiden tot bestuurdersaansprakelijkheid. 6 Op 21 januari 2016 is een memo gepubliceerd van het Ministerie van Economische Zaken waarin gesteld wordt dat de mogelijkheid tot digitaal deponeren van de jaarrekening er de facto toe leidt dat de jaarrekening niet langer op schrift gesteld hoeft te worden. Met een interpretatie van de wet betoogt het ministerie dat het achterwege laten van de papieren jaarrekening ook geen aansprakelijkheidsrisico in faillissement met zich brengt, mits publicatie van de 3 Behoudens uitzonderingen. Zie hiervoor de handreiking vrijstellingsbesluit Wbp van de Autoriteit Persoonsgegevens op 4 Dit is bepaald met invoering van de Wet meldplicht datalekken in de Wet Bescherming Persoonsgegevens, Staatsblad 2015, 230. Een voorbeeld van een datalek is een hack in de computersystemen of het verlies van een laptop of telefoon. 5 Zie artikel 2:10 lid 2 Burgerlijk Wetboek. 6 Zie artikel 2:248 lid 2 jo. artikel 2:10 lid 2 Burgerlijk Wetboek. 6 mei 2016 nummer 2

7 met het oog op... (digitale) jaarrekening tijdig gebeurt. 7 Het is de vraag of deze zienswijze in rechte stand zal houden; de wet is op dit punt immers volstrekt duidelijk. Wij zouden een aanpassing van de wet op dit punt toejuichen. Tot die tijd doen bestuurders er goed aan niet zonder meer op de visie van het ministerie te vertrouwen. Een andere ontwikkeling ten aanzien van de jaarrekening is de wijziging van de Handelsregisterwet per 1 juli Vanaf dat tijdstip geldt voor micro- en kleine ondernemingen dat zij vanaf boekjaar 2016 de jaarrekening alleen nog digitaal kunnen deponeren bij het Handelsregister. Dit dient plaats te vinden via een gestandaardiseerd kanaal ( Standard Business Reporting ) 9. Voor middelgrote en grote ondernemingen geldt deze verplichting vanaf boekjaar 2017 respectievelijk boekjaar Beursgenoteerde ondernemingen zijn niet aan deze regeling gehouden; hiervoor geldt vanaf 2020 een Europese 7 Zie artikel 2:138/2:248 en artikel 2:394 Burgerlijk Wetboek. 8 Wet wijziging Handelsregisterwet 2007, Staatsblad 2015, Voor micro- en kleine ondernemingen in de zin van artikel 2:395a en artikel 2:396 Burgerlijk Wetboek geldt dat de jaarrekening ook gedeponeerd mag worden via de website van de Kamer van Koophandel: kvk.nl/inschrijven-en-wijzigen/deponeren/deponerenjaarrekening/hoe-kunt-u-uw-jaarrekening-deponeren/ online-service-zelf-deponeren-jaarrekening/ richtlijn tot opstellen van de jaarlijkse financiële verslaggeving. 3. De elektronische handtekening Het elektronisch ondertekenen van stukken is een belangrijke schakel in een efficiënt digitaal handelsverkeer. De wet onderscheidt drie soorten elektronische handtekeningen, met ieder een eigen rechtskracht: gewone elektronische handtekeningen, geavanceerde elektronische handtekeningen, en gekwalificeerde elektronische handtekeningen. 10 Hierbij geldt dat de betrouwbaarheid van de elektronische handtekening toeneemt naarmate aan meer van de hieronder genoemde kenmerken wordt voldaan, waarmee ook de bewijskracht toeneemt: 1. de handtekening is uniek verbonden aan de ondertekenaar; 2. de ondertekenaar is gemakkelijk te identificeren; 3. de handtekening is gezet onder de enkele controle van de ondertekenaar; 4. de handtekening is zodanig gelinkt aan een elektronisch bestand, dat elke wijziging achteraf zichtbaar is; 5. de handtekening is gebaseerd op een wettelijk gekwalificeerd certificaat; 6. de handtekening komt tot stand door een veilig middel voor het aanmaken van een dergelijke handtekening. 10 Zie artikel 3:15a Burgerlijk Wetboek. Zolang de authenticiteit van een elektronische handtekening niet wordt betwist, heeft een elektronisch ondertekend document, ongeacht de soort ondertekening, dwingende bewijskracht. In onderstaand schema is aangegeven in welke mate een elektronische handtekening bij betwisting bewijskracht heeft, gerelateerd aan de hierboven onder 1 tot en met 6 genoemde kenmerken. In beginsel heeft alleen de digitale versie van een elektronische handtekening die bewijskracht. Met een uitgeprinte versie kan immers niet steeds gecontroleerd worden of aan de wettelijke vereisten voor een elektronische handtekening is voldaan. In het schema is tevens een gangbaar voorbeeld bij iedere soort elektronische handtekening gegeven. Conclusie Het is toegestaan de administratie digitaal te voeren. Aandachtspunt is daarbij de minder sterke bewijskracht van digitaal bewaarde onderhandse akten en de grotere privacy gevoeligheid van een digitale administratie. Vooralsnog is het verstandig de jaarrekening in papieren vorm op te stellen en te bewaren. Verder heeft de wetgever de weg vrijgemaakt voor het gebruik van elektronische handtekeningen in het handelsverkeer. Het soort elektronische handtekening dient daarbij afgestemd te zijn op de aard en het belang van het te ondertekenen stuk. Soort Voorbeeld Voldoet aan kenmerk Bewijskracht Gewone elektronische handtekening Getypte naam onder of ingescande handtekening. 1 en 2. Bij betwisting van de authenticiteit dient de ondertekenaar tegendeel te bewijzen. Geavanceerde elektronische handtekening Inloggen met internetbankieren. 1 tot en met 4. Bewijskracht ligt tussen een gewone en gekwalificeerde elektronische handtekening. De rechter accepteert deze handtekening als authentiek tenzij de wederpartij concrete tegenargumenten aandraagt. Dan komt bewijslast bij de ondertekenaar te liggen. Gekwalificeerde elektronische handtekening Inloggen met een token die aan één persoon is gekoppeld waarvan de identiteit al eerder is vastgesteld. 1 tot en met 6. Gelijk aan een originele (natte) handtekening. De rechter zal de authenticiteit van de handtekening accepteren, tenzij de tegenpartij anders bewijst. De Bedrijfsjurist uitgave van het Nederlands Genootschap van Bedrijfsjuristen mei 2016 nummer 2 7

8 AGENDA NGB Workshop Legal Risk Management en Compliance II: verdieping en dilemmatraining 30 mei uur, Amsterdam NGB Zomerbijeenkomst Mw. mr. J. Bles, Mw. mr. C.M.J.M. van Bracht, Mr. B.C.W. Clercx, M.Z. Ghafoor LL.M., Mw. mr. M.C.E.G. Goris, Mr. T.D. van Hoolwerff, Mw. mr. N.E.L. Malchus, Mr. D. Molenaar, Mw. mr. J.S.E ene, Mr. D. Noordhoek, Mr. E. Oey, Mw. mr. W.G.J.M. Pepers, A.U.M. Termote LL.M., Mr. R. Verplanke, Mr. M.A.W. Wijnen, Mw. mr. M.M.W. Wings, Mw. mr. M. van Zwam 3 juni uur, met lunch en diner, Deltares, Delft NGB Workshop Legal Risk Management en Compliance I: Implementatie, naleving en incidenten 16 juni uur, Amsterdam NGB Ronde Tafel Diners Dit jaar zijn er in zes plaatsen regionale Ronde Tafel Diners. Daarnaast is er een Ronde Tafel Diner voor Legal managers en een Ronde Tafel Diner voor Solo bedrijfsjuristen: bedrijfsjuristen die alleen of met één collega werken. Meer informatie vindt u op de website. Beroepsopleiding Bedrijfsjuristen: Versterk de juridische expertise van uw organisatie Vanaf september 2016 biedt de Stichting Beroepsopleiding Bedrijfsjuristen de volgende editie van de Beroepsopleiding Bedrijfsjuristen aan. Hiervoor zijn nog enkele plaatsen beschikbaar. De Beroepsopleiding Bedrijfsjuristen is dé opleiding voor bedrijfsjuristen aan het begin van hun loopbaan. De Beroepsopleiding Bedrijfsjuristen leidt de beginnend bedrijfsjurist op tot een zelfstandig opererend bedrijfsjurist. Enerzijds door het verbreden en verdiepen van kennis op een breed scala van voor de bedrijfsjurist relevante rechtsgebieden, anderzijds door het aanleren van vaardigheden. De Beroepsopleiding Bedrijfsjuristen is uitsluitend toegankelijk voor bedrijfsjuristen; het onderwijs wordt toegespitst op de praktijk van de bedrijfsjurist. Tevens is er ruimte voor het uitwisselen van ervaringen met andere bedrijfsjuristen. Leden van het NGB krijgen voorrang bij toelating tot de Beroepsopleiding Bedrijfsjuristen. Voor meer informatie kunt u de website van de SBB raadplegen: of contact opnemen met mr. Franca Brugman, opleidingsmanager SBB ( ). Aanmelden is mogelijk via de website. COLOFON De Bedrijfsjurist is een uitgave van het Nederlands Genootschap van Bedrijfsjuristen, no.2 mei 2016, 32 e jaargang. De bijdragen in De Bedrijfsjurist weerspiegelen niet noodzakelijk de mening van het NGB. Voor het overnemen van artikelen en foto s is schriftelijke toestemming van het NGB secretariaat nodig. De redactie betracht altijd de grootst mogelijke zorgvuldigheid bij het overnemen van rechten op teksten en foto s. Degene die meent toch aanspraken te kunnen doen gelden wordt verzocht contact op te nemen met het NGB secretariaat. Het lidmaatschap kan worden opgezegd met inachtneming van een opzegtermijn van vier weken. De contributie blijft voor het gehele boekjaar verschuldigd. NGB Postbus AA s-gravenhage T F E info@ngb.nl Redactie mr. Suzanne Drion mr. Henriette van Wermeskerken mr. Betty Weijenborg-Meiss Vormgeving A10plus Beeld Vrouwe Justitia 2000 Elselien van der Graaf Drukwerk Drukkerij Van Werkhoven Adreswijzigingen via de website 8 mei 2016 nummer 2