ISAE 3402 risicoverhogend voor aansprakelijkheid management

 in IT-recht, Ondernemingsrecht

Aansprakelijkheid management

Bij het afgeven van ISAE 3402 verklaring legt het management zelf expliciet verantwoording af door het uitbrengen van een management verklaring. In deze verklaring laat het management zich uit over de opzet en het bestaan van het beschreven beheersingsraamwerk. Bij een type II rapportage wordt ook met betrekking tot de werking van de beheersmaatregelen een verklaring van het management verplicht gesteld.

Het management is verantwoordelijk voor het afgeven van de verklaring, maar maakt die verantwoordelijkheid ook dat het management aansprakelijk is voor de inhoud van de verklaring? Verantwoordelijkheid is niet gelijk aan aansprakelijkheid. Als de verklaring onjuist of onvolledig is en het management wist dan wel behoorde te weten dat de verklaring niet of niet geheel juist was kan dat leiden tot aansprakelijkheid van het management.  Indien het management afgaat op informatie die zij van anderen uit de organisatie verkrijgt (hetgeen doorgaans het geval zal zijn), en deze informatie blijkt niet juist of niet volledig te zijn, dan kan het management hiervoor aansprakelijk zijn jegens de derden die afgaan op de verklaring.

Het is dus van groot belang dat het management op juiste gronden afgaat op informatie die zij intern verkrijgt. Waar moet dan  onder meer op gelet worden?

Formulering management verklaring

In het algemeen doet het management er goed aan niet meer te verklaren dan nodig is en de bewoordingen van de verklaring hierop aan te passen, als gezegd intern zorgvuldig na te gaan of de informatie juist en volledig is op basis waarvan de verklaring wordt opgesteld.
In de verklaring zelf kunnen passages worden opgenomen die aansprakelijkheid zoveel mogelijk beperken. Te denken valt aan de volgende clausules:

  • Op basis van welke informatie de verklaring is opgesteld;
  • Dat de verklaring is opgesteld op basis van informatie van een bepaalde datum en dat feiten en omstandigheden na deze datum niet in de verklaring zijn verwerkt;
  • De verklaring wordt afgegeven naar beste wetenschap van het management;
  • Het management aanvaardt geen aansprakelijkheid indien op onderdelen de verklaring niet volledig mocht zijn, onverminderd eventuele aansprakelijkheid van de vennootschap waarvan het management onderdeel uitmaakt.

Verzekering

Mogelijk is er dekking onder de afgesloten bestuurdersaansprakelijkheidsverzekering, check echter goed de uitsluitinggronden in de verzekering.

Vrijwaring

Het management kan een vrijwaring vragen van de vennootschap waar het management onderdeel van uitmaakt. Met een vrijwaring kan het management een eventuele schadeclaim verhalen op de vennootschap. De vrijwaring dient schriftelijk te worden afgegeven door de vennootschap en qua inhoud te passen bij het risico.

Nieuwe informatie: mededelingsplicht?

Indien na het afgeven van de verklaring nieuwe informatie kenbaar wordt aan het management waarbij de inhoud van de afgegeven verklaring bij nader inzien onjuist of onvolledig blijkt te zijn, dan moet overwogen worden deze informatie kenbaar te maken aan derden die af zijn gegaan op de eerdere verklaring.

Juridische monitoring SLA’s

Het is verstandig om ook de SLA’s zodanig in te richten dat deze contractuele afsprakenset aansluit op de af te geven ISAE verklaringen en te werken met uniforme prestatie-indicatoren en afspraken. Denk verder aan adequate rapportages, goede wijzigingsprocedures voor projectaanpak, niveau van dienstverlening en dergelijke.  Certificeren van software kan ook verstandig zijn om de duurzaamheid en onderhoudbaarheid van software in beeld te brengen.

Wij zullen u graag adviseren om het één en ander juridisch goed in te richten rekening houdende met  uw eigen specifieke omstandigheden. U kunt daartoe contact opnemen met Hanneke Slager of Bob Cordemeyer.

 

Recent Posts
  • 13 december 2017

    e-Privacy Verordening: wat verandert er?

    Bob Cordemeyer
    10 januari 2017 publiceerde de Europese Commissie het voorstel voor een herziening van de bestaande e-Privacyrichtlijn (Richtlijn 2002/58/EG). Met de invoering van de Algemene Verordening Persoonsgegevens (Verordening (EU) 2016/679), die 25 mei 2018 in werking treedt, wordt hiermee een belangrijke stap gezet voor de hervorming en uniformiteit van de regelgeving voor gegevensbescherming. Het streven van
    Lees verder
  • 14 december 2017

    Wijzigingen 2018 & het regeerakkoord voor HR

    Marion Hagenaars
    Nieuwe uitdagingen voor HR in 2018. Ook in 2018 krijgt HR weer te maken met nieuwe wet-en regelgeving. Via deze blog informeren we je over de belangrijkste wijzigingen. 2018 De volgende wijzigingen voor 2018 zijn voor HR van belang: Transitievergoeding De transitievergoeding bedraagt in 2018 maximaal € 79.000,- bruto of – indien hoger – een
    Lees verder
  • 29 november 2017

    Ondernemingsraden let op met privacy!

    Marion Hagenaars
    Ondernemingsraden vervullen een belangrijke rol met betrekking tot privacy. Elk besluit tot het vaststellen, wijzigen of intrekken van een regeling omtrent het verwerken en/of beschermen van persoonsgegevens is namelijk instemmingsplichtig. Dit betekent dat de ondernemer om een dergelijk besluit te kunnen nemen óf instemming nodig heeft van de ondernemingsraad óf vervangende instemming van de kantonrechter.
    Lees verder

Plaats een reactie