Blog Aansprakelijkheid

19.06.2020 Roeland Lembrechts

De aansprakelijkheid van IT-dienstverleners

Door de digitale evolutie heeft zowat elke onderneming nood aan een kwalitatieve ICT-infrastructuur. Externe dienstverleners uit de IT-sector bieden daarbij graag verschillende diensten aan om ondernemingen op een geïntegreerde wijze hun economische activiteiten te verbeteren en te innoveren. Maar naast de zoektocht naar efficiëntie en verbetering dient ook steeds meer rekening gehouden te worden met de digitale veiligheid van deze ondernemingen. En ook daar speel je als externe IT-dienstverlener een belangrijke rol. 

 

Veroordeling in Nederland

De rol van de IT-dienstverlener werd door de rechtbank van Amsterdam nog eens op scherp gesteld met een vonnis van 14/11/2018 (gepubliceerd op 07/06/2020). Een Nederlands IT-bedrijf had een volledige IT-infrastructuur geplaatst bij een administratiekantoor en verzorgde vervolgens op afroep het onderhoud en beheer ervan. Deze dienstverlening kon beschouwd worden als een totaalpakket. Dit administratiekantoor werd echter het slachtoffer van een aanval met ransomware, waardoor alle data versleuteld werden, inclusief de back-ups.

Het bewuste administratiekantoor heeft uiteindelijk een vergoeding via bitcoins moeten betalen om haar data vrij te krijgen en heeft beroep moeten doen op een gespecialiseerd Cyber Security bedrijf om de oorzaak van de aanval te achterhalen. Op basis van die bevindingen besloot het administratiekantoor om het IT-bedrijf aansprakelijk te stellen en vorderde zij een schadevergoeding wegens o.a. omzetverlies, personeelskosten, betaling van de vergoeding in bitcoins voor vrijgave van de data en de kosten van het gespecialiseerd Cyber Security bedrijf om de technische oorzaak te achterhalen. De rechtbank kende die vergoeding grotendeels toe en het IT-bedrijf diende hiervan ⅔ te betalen. Dit kwam, naast de gerechtskosten, neer op een bedrag van +/- 10.000 Euro.

We zouden nog voorzichtig kunnen stellen dat deze cyberaanval een relatief beperkte impact heeft gehad, maar de overwegingen van de rechtbank zijn daarentegen wel van bijzonder belang voor elke onderneming die IT-diensten aanbiedt. Net daarom geven we hier een kort overzicht van de belangrijkste overwegingen:

  • Er was geen schriftelijke overeenkomst zodat de rechtbank heeft gekeken naar wat een klant mag verwachten bij de implementatie van een IT-infrastructuur, in dit geval wanneer het gaat over een totaalpakket. Ondanks de discussie tussen de partijen, heeft de rechtbank geoordeeld dat adequate beveiligingsmaatregelen daar ook effectief toebehoren. Het niet leveren van een firewall en externe back-ups in dit geval brengt de rechtbank tot het besluit dat de IT-dienstverlener in gebreke is gebleven.
  • Dat de IT-dienstverlener beveiligingsmaatregelen had voorgesteld, maar dat deze afgewezen werden door de klant, verandert niets aan de eigen verantwoordelijkheid van de IT-dienstverlener. Die had in dat geval de opdracht moeten weigeren wegens onuitvoerbaarheid, alternatieven moeten aanbieden of op zijn minst indringend en herhaaldelijk waarschuwen voor de risico’s die het achterwege laten van een firewall en externe back-upstructuur met zich meebrachten.
  • Dat het betrokken contact bij de klant zelf voldoende ICT-kennis zou hebben, doet evenmin afbreuk aan de eigen verantwoordelijk van de IT-dienstverlener.
  • Indien er gebruik was gemaakt van strengere technische beveiligingsmaatregelen samen met sterkere wachtwoorden, dan had de kans bestaan dat de ransomware-aanval geneutraliseerd kon worden. Nu dit niet het geval was, moet de fout en de oorzaak bij de IT-dienstverlener gezocht te worden. Enkel omdat de klant zelf zwakkere wachtwoorden prefereerde, is de klant gedeeltelijk medeverantwoordelijk gesteld.
  • De ICT-dienstverlener kan in dat geval de bijkomende herstelwerkzaamheden niet doorrekenen aan de klant.

 

En wat in België?

Dezelfde overwegingen zoals in het Nederlandse vonnis zijn terug te vinden in de Belgische rechtspraak. Zo werd reeds geoordeeld dat bij het ontbreken van een schriftelijke overeenkomst het vermoeden geldt dat IT geleverd wordt cfr. de concrete behoeften van de klant. Beveiligingsmaatregelen kunnen daar dus bij horen. 

Op de IT-dienstverlener rust ook een zware informatieverplichting, gelet op het gespecialiseerde karakter van zijn dienstverlening. Schending van die informatieverplichting zou zelfs kunnen leiden tot nietigheid van de overeenkomst door dwaling bij de klant. Informeren over de nodige beveiligingsmaatregelen en de eventuele risico’s is dus een absolute must.

Weigert de klant adequate beveiligingsmaatregelen te aanvaarden, dan heeft de IT-dienstverlener hetzij de verplichting om de opdracht te weigeren, hetzij de verplichting om de klant schriftelijk te informeren over de risico’s van het ontbreken van adequate veiligheidsmaatregelen. Het is aangeraden om in dit geval de klant te laten aftekenen dat de IT-dienstverlener niet aangesproken kan worden.

Tot slot zal bij de vaststelling dat de IT-dienstverlener aansprakelijk is, de schade ook begroot kunnen worden aan de gederfde winsten en alle opgelopen kosten, inclusief de kosten van een eenzijdig IT-forensisch onderzoek, voor zover dit als noodzakelijk kon beschouwd worden.

 

Even samengevat

Je kan besluiten dat de verantwoordelijkheid van de IT-dienstverlener bij een cyberaanval niet min is. Zeker indien de impact voor de klant nog groter is. Een bedrijf dat een aantal weken haar economische activiteiten niet kan uitoefenen, wordt al snel geconfronteerd met een enorm omzetverlies en personeelskost. Ook de ‘losgelden’ om snel data vrij te krijgen kunnen een pak hoger liggen. Hetzelfde geldt voor de herstelwerkzaamheden die nadien moeten gebeuren om het bedrijf digitaal weer up and running te krijgen.

Om die reden is het voor elke IT-dienstverlener van het grootste belang om bij elke opdracht een schriftelijke overeenkomst te voorzien, de klant zeer goed en aantoonbaar te informeren en zo mogelijk een verzekering beroepsaansprakelijkheid te sluiten.

Mocht je meer vragen hebben over je aansprakelijkheid als IT-dienstverlener en wat je kan doen om dit zo goed mogelijk in te dekken, contacteer dan gerust Roeland via roeland@siriuslegal.be.

20.04.2020 Valeska De Pauw

Aansprakelijkheid van online marktplaatsen voor merkinbreuken: het Hof van Justitie verduidelijkt (niet)

Je las wellicht al over de namaakgeneesmiddelen ter bestrijding van COVID-19. Dit toont nog maar eens aan dat namaakgoederen nog lang de wereld niet uit zijn. Als merkhouder is het behoorlijk lastig om tegen deze praktijken op te treden, zeker nu online marktplaatsen zoals Amazon en eBay de verkoop ervan erg eenvoudig maken. Kunnen merkhouders zich dan niet richten tegen de online marktplaats zelf? 

Wel, het recente Coty t. Amazon-arrest van het Hof van Justitie leert ons dat het niet gemakkelijk is om online marktplaatsen rechtstreeks aansprakelijk te stellen voor dergelijke merkinbreuken. Alles zal afhangen van de feiten en de rol die de online marktplaats precies speelt. 

 

Coty t. Amazon: wat is er precies gebeurd?

Amazon, wereldwijd de grootste online marktplaats waarop derde verkopers hun waren kunnen aanbieden, geeft verkopers ook de mogelijkheid om het voorraadbeheer en de ganse fulfillment uit te besteden aan Amazon via het “Verzending door Amazon”-programma.  De voorraden van de verkoper worden dan opgeslagen in de logistieke centra van Amazon en van daaruit verzonden door externe dienstverleners.

In 2014 kocht een testkoper van de Duitse licentiehouder van het merk DAVIDOFF -Coty Germany- via Amazon.de een flesje parfum “Davidoff Hot Water EdT 60 ml” van een verkoopster die gebruik maakt van “Verzenden door Amazon”. Bij ontvangst van de bestelling bleek het, zoals vermoed, om namaak te gaan.  

Coty maande de verkoopster in kwestie aan om de verkoop van het namaakparfum onmiddellijk te staken en keerde zich ook tegen Amazon zelf. Volgens Coty is Amazon zelf schuldig aan namaak omdat het de nagemaakte voorraden beheert en verzendt en dus in bezit heeft. 

Zowel in eerste als in tweede aanleg kreeg Coty ongelijk, omdat volgens de rechters Amazon de namaakgoederen alleen voor rekening van de verkoopster opgeslagen had en het Davidoff-merk dus niet zelf gebruikt -lees nagemaakt- had. Coty stelde vervolgens cassatie in bij het Duitse Bundesgerichtshof, dat besliste om de vraag voor te leggen aan het Europees Hof van Justitie. Het Bundesgerichtshof wilde meer bepaald weten of een onderneming die voor rekening van een derde verkoper waren opslaat die een inbreuk maken op het merkrecht, zonder zich van deze inbreuk bewust te zijn, dit merk zelf gebruikt (en daardoor medeplichtig zou zijn aan de namaak).

 

Voorlopig geen rechtstreekse aansprakelijkheid voor Amazon…

Uit de Gemeenschapsmerkverordening en de meer recente Uniemerkverordening volgt dat je als merkhouder maar kan optreden tegen een derde als die derde een teken gebruikt dat gelijk is of overeenstemt met jouw merk.

De term “gebruik” veronderstelt van de online marktplaats (en bij uitbreiding iedere derde) een actieve gedraging en directe of indirecte controle over de handeling waarin het gebruik bestaat (zie Daimler en Mitsubishi). De online marktplaats moet het teken minstens gebruiken in het kader van zijn eigen commerciële communicatie en dus niet alleen in die van de verkoper (zie Google France en Google). Meer specifiek betekent dit voor online marktplaatsen dat zij het litigieuze teken zélf niet gebruiken wanneer het teken in verkoopaanbiedingen op hun platform getoond worden (zie L’Oréal). Evenmin zal een online marktplaats het teken zelf “gebruiken”, wanneer het slechts zorgt voor de technische voorzieningen die nodig zijn voor het gebruik van het teken en daarvoor vergoed wordt (zie Frisdranken Industrie Winters).

Het Hof geeft nu in de zaak Coty t. Amazon, volledig in lijn met bovenstaande, een invulling aan het meer specifieke gebruik dat bestaat in “het aanbieden van waren, het in de handel brengen ervan, het daartoe in voorraad hebben of het verrichten van diensten onder dit teken”. Uit deze bewoording leidt het Hof af dat het opslaan van waren – zoals Amazon doet – slechts als “gebruik” gekwalificeerd kan worden als de online marktplaats zelf het voornemen heeft om de waren aan te bieden of in de handel te brengen. Aangezien Amazon, gebaseerd op de feiten, zelf niet het voornemen had om de parfumflesjes te koop aan te bieden of in de handel te brengen, maakt Amazon dus geen gebruik van het Davidoff-teken en kan Coty Amazon niet rechtstreeks aansprakelijk stellen voor een merkinbreuk.

Is dit nu een grote overwinning voor alle online marktplaatsen en andere tussenpersonen? Niet echt. De uitspraak beperkt zich namelijk tot het feitenrelaas zoals vervat in de verwijzingsbeslissing. De beslissing van het Hof was dus mogelijks anders geweest indien uit de feiten bleek dat Amazon actiever betrokken was bij het in de handel brengen van de waren. Te denken valt aan het inpakken van de waren, het aanprijzen van de waren in de resultaten op haar zoekpagina, het beheer van retourzendingen, enz. De Advocaat-Generaal lijkt alvast de mening toegedaan dat een online marktplaats in dat geval wel zélf het voornemen heeft om de litigieuze waren aan te bieden of in de handel te brengen en dus rechtstreeks aansprakelijk is.

 

… maar indirecte aansprakelijkheid blijft mogelijk

Als merkhouder kom je gelukkig niet helemaal zonder munitie te zitten, want naast de merkenverordeningen blijft ook andere wetgeving van belang. Met name de E-Commerce Richtlijn en de Handhavingsrichtlijn maken het mogelijk om een tussenpersoon aansprakelijk te stellen wanneer die een andere marktdeelnemer in staat stelt om een merk op onrechtmatige wijze te gebruiken.

Als aanbieder van diensten van de informatiemaatschappij kan een online marktplaats zich in bepaalde gevallen beroepen op de vrijstelling van aansprakelijkheid uit artikel 14, lid 1 van de E-Commerce Richtlijn. Wel is vereist dat de online marktplaats een louter passieve rol speelt en enkel zorgt voor het technische proces en de toegang tot het platform. Bovendien zal de uitzondering maar gelden als de online marktplaats (1) geen daadwerkelijke kennis heeft van de inbreuk én geen kennis heeft van feiten en omstandigheden waaruit de inbreuk duidelijk blijkt, of (2) prompt handelt om de litigieuze waren te verwijderen zodra ze wel kennis of besef krijgt van de inbreuk. Om te beoordelen of een online marktplaats kennis heeft of moet hebben, moet je je de vraag stellen of een zorgvuldige marktdeelnemer de inbreuk had moeten vaststellen of niet (zie L’Oréal). Als de online marktplaats dus wel kennis heeft of moet hebben, of de litigieuze waren niet prompt verwijdert nadat je hem hierover inlicht, dan kan je hem indirect aansprakelijk stellen voor de inbreuk. Dat doe je dan op grond van de toepasselijke wetgeving in de betrokken lidstaat. 

Speelt de online marktplaats daarentegen een actieve rol in het verkoopproces zodat hij kennis kan nemen van of controle kan uitoefenen op de door hem opgeslagen inhoud, dan kan hij geen aanspraak maken op de vrijstelling van aansprakelijkheid (zie L’Oréal). Als dus blijkt dat Amazon met het “Verzending door Amazon”-programma een actieve rol speelt bij het in handel brengen van de waren, dan zou Amazon geen beroep kunnen doen op de vrijstelling en kan ze wel rechtstreeks aansprakelijk gesteld worden.

Tot slot kan je als merkhouder op grond van artikel 11 van de Handhavingsrichtlijn verzoeken om een bevelschrift tegen tussenpersonen wier diensten door een derde gebruikt worden om inbreuk te plegen op je intellectuele eigendomsrechten. 

 

To be continued

Het Hof heeft zich voorlopig uitgesproken in het voordeel van online marktplaatsen, maar de draagwijdte van de uitspraak blijft beperkt. Het staat enkel vast dat je online marktplaatsen die louter waren stockeren voor rekening van een derde, zonder kennis van de inbreuk, niet rechtstreeks aansprakelijk kunt stellen. Ongetwijfeld volgen er in de toekomst nog uitspraken die de rechtstreekse aansprakelijkheid van meer actieve online marktplaatsen zullen behandelen. 

 

Vragen over namaak, merkenrecht of intellectuele eigendom?

Contacteer vrijblijvend Bart Van den Brande (bart@siriuslegal.be) of Valeska De Pauw (valeska@siriuslegal.be).

22.10.2019 Roeland Lembrechts

Shadow-IT en GDPR: neem tijdig de juiste technische en organisatorische maatregelen

Op 10 september 2019 heeft de Poolse Gegevensbeschermingsautoriteit een monsterboete van 645.000 Euro opgelegd aan morele.net ten gevolge van een cyberaanval. Deze aanval was oorzaak van een datalek van gegevens van 2.200.000 personen. De beschermingsautoriteit verweet morele.net dat zij geen aangepaste maatregelen had genomen met betrekking tot de authenticatie bij toegang tot de data. Evenmin was er sprake van een effectieve monitoring van mogelijke aanvallen gerelateerd aan ongewone online activiteiten.

Hieruit blijkt opnieuw dat technische en organisatorische maatregelen van essentieel belang zijn om datalekken te voorkomen. Deze maatregelen moeten steeds ‘state of the art’ zijn en vereisen dus een voortdurende opvolging. Voor veel ondernemingen is hierbij een belangrijk aandachtspunt het gegeven van ‘Shadow-IT’. Dit is alle IT die ingezet wordt voor de activiteiten van de onderneming, maar niet onder de controle vallen van de onderneming. We denken daarbij aan het gebruik van verschillende Saas-toepassingen, file-sharing applicaties, cloud & storagediensten, etc. die werknemers gebruiken om hun werk uit te oefenen. Denk maar aan Whatsapp, dropbox, Wetransfer, … om te communiceren, bestanden te delen, etc.

 

Dood aan Shadow-IT

Veel werknemers kiezen voor het gebruik van Shadow-IT van zodra de IT-infrastructuur van de onderneming minder efficiënt en comfortabel, complexer en niet compatibel met eigen devices is en/of wanneer die werknemers geen of weinig kennis hebben van de gevaren van het gebruik ervan.

Het gebruiksgemak van deze applicaties zorgt ervoor dat de drempel zeer laag is. Maar dit gebruik vormt een reëel risico voor de bescherming van je data. GARTNER stelt o.a. dat in 2020 één derde van de veiligheidslekken haar oorzaak zal vinden in het gebruik van Shadow-IT. 

Én omdat je als onderneming geen controle hebt op de toepassing ervan, stel je je bloot aan schendingen van o.a. je GDPR-verplichtingen. De voorbeelden zijn talrijk. Als verantwoordelijke van je gegevens weet je niet waar je gegevens worden opgeslagen en wie er toegang heeft tot deze gegevens. Evenmin weet je of deze gegevens worden geëxporteerd naar servers buiten de EU. De provider van de applicatie of de cloud heeft evenmin een verwerkersovereenkomst met je afgesloten, laat staan dat je controle hebt op eventuele subverwerkers. Je weet dus niet welke beveiligingsmaatregelen deze provider heeft genomen om je gegevens alsnog te beschermen. In je verwerkingsregister zal al evenmin deze datastroom in kaart gebracht zijn, zodat er onduidelijkheid bestaat over de classificatie en de rechtsgrond voor verwerking van deze gegevens. Wanneer één van je klanten zijn of haar rechten onder de GDPR wenst uit te oefenen, dan zal dit niet evident zijn. Zo zal het recht om vergeten te worden bijzonder moeilijk kunnen uitgeoefend worden indien je niet weet waar de betrokken gegevens zich bevinden.

Shadow-IT binnen je onderneming is dus zeker niet zonder risico’s.

 

Lang leve Shadow-IT!

Ondanks de gevaren van Shadow-IT, kan en moet dit niet volledig verbannen worden. Werknemers zullen steeds zoeken naar tools die hun werk efficiënter en eenvoudiger kunnen maken. Zo blijkt ook uit The Entrust Datacard Shadow IT Report 2019 dat 97% van de respondenten overtuigd is dat werknemers door het gebruik ervan productiever zijn, 96% overtuigd is dat werknemers meer geëngageerd zijn en 93% ervan overtuigd is dat dit leidt tot een hogere loyaliteit ten aanzien van de onderneming. Het gebruik van Shadow-IT zou dus een concurrentieel voordeel kunnen opleveren.

Maar hoe kan je dit concurrentieel voordeel uitspelen zonder je bloot te stellen aan de voornoemde risico’s? Er zijn hiervoor verschillende maatregelen die je kan nemen. Zo kan je o.a.:

  • een duidelijk IT-beleid voeren met betrekking tot je data, software, hardware, website, …
  • duidelijke policies opstellen op voor je werknemers met betrekking tot het gebruik van je data, het gebruik van applicaties, thuiswerken, BYOD, …
  • je werknemers sensibiliseren rond de gevaren en voor een regelmatige opfrissingscursus, seminarie, etc zorgen.
  • voor een gebruiksvriendelijke IT-infrastructuur zorgen waarbij werknemers zo min mogelijk weerstand ondervinden om het te gebruiken.
  • alle tools die werknemers gebruiken registreren en controleren zodat ook werknemers weten welke extra tools kunnen gebruikt worden. Neem vervolgens contact op met de bewuste providers en controleer deze op IT-veiligheid en compliancy.
  • je IT-infrastructuur monitoren met Shadow IT ontdekkingstools en toepassing maken  van vb. CASB-oplossingen (Cloud Access Security Broker), veiligheidstoepassingen op basis van identificatie en authenticatie, etc.

 

Conclusies

Shadow-IT kan heel wat risico’s met zich meebrengen als het gaat over de cyberveiligheid van je onderneming. Een datalek als gevolg daarvan, kan leiden tot stevige boetes, zodat het aangeraden is om je technische en organisatorische maatregelen steeds te finetunen. Een belangrijk aandachtspunt bij deze maatregelen is het risicovol gebruik van Shadow-IT door je werknemers. Neem steeds de correcte initiatieven om dit risico maximaal te beperken.

 

Meer vragen over de cyberveiligheid van je onderneming binnen GDPR?

Neem dan gerust even contact op met Roeland via roeland@siriuslegal.be

12.08.2019 Roeland Lembrechts

Ik ben GDPR compliant, maar wat met mijn aansprakelijkheid?

Met de invoering van de GDPR werd iedereen ervoor gewaarschuwd dat hij/zij ‘compliant’ moest zijn met de (ver)nieuw(d)e databescherming rond persoonsgegevens. Doet men dat niet, dan hangen er enorme boetes boven het hoofd. Dit was het uitgelezen verkoopargument van vele consultants, advocaten en andere avonturiers om je bedrijf aan te passen aan de vereisten van de GDPR. Na 1 jaar begint de toepassing van de sanctionering door de bevoegde databeschermingsautoriteiten meer vorm te krijgen en zien we dat het voorgespiegelde doemverhaal wel wat nuance kent. 

Wat in heel dit discours veel minder aan bod is gekomen, is de aansprakelijkheid waaraan je je blootstelt indien er zich problemen voordoen onder de GDPR. Het gaat dan niet zozeer over boetes, maar eerder over de mogelijke schadevergoedingen voor personen die via het aansprakelijkheidsregime van de GDPR behoorlijk wat beschermingsmechanismen genieten. Hou hierbij ook rekening met het feit dat de wetgever het systeem van de groepsvordering (alle personen die vb. schade lijden door eenzelfde datalek, stellen een collectieve vordering in) uitdrukkelijk heeft uitgebreid voor schade ontstaan onder de GDPR, wat een katalysator kan betekenen voor de totale uit te betalen schadevergoeding. Die schadevergoeding dekt zowel de materiële als de immateriële schade. 

Maar wat zijn de basisprincipes voor de aansprakelijkheid als verwerkingsverantwoordelijke of verwerker?

 

De verwerkingsverantwoordelijke

De verwerkingsverantwoordelijke is nog steeds de eerste verantwoordelijke onder de GDPR en is algemeen aansprakelijk voor alle onrechtmatige verwerkingen van de persoonsgegevens. Dit is niet verschillend met wat in het verleden reeds bestond.

De verplichtingen van de verwerkingsverantwoordelijke zijn in vele gevallen inspanningsverbintenissen, namelijk naar best vermogen de nodige technische en organisatorische maatregelen nemen. Het gaat immers in vele gevallen over het inschatten van een risico dat niet met zekerheid kan uitgesloten worden. Uw DPIA (data protection impact assessment of gegevensbeschermingseffectbeoordeling) zal bijvoorbeeld een belangrijk document zijn bij het aansprakelijkheidsvraagstuk.

Hou er anderzijds rekening mee dat bepaalde verplichtingen wel degelijk een resultaat vereisen, zoals het verplicht informatie verstrekken aan de persoon waarvan de gegevens verwerkt worden.

Een inbreuk op deze verplichtingen zorgt automatisch voor de aansprakelijkheid van de verwerkingsverantwoordelijke, zelfs wanneer de inbreuk heeft plaatsgevonden bij een verwerker. Er zijn maar 2 mogelijkheden om je alsnog van je aansprakelijkheid te bevrijden:

  1. Je kan bewijzen dat je op ‘geen enkele wijze’ verantwoordelijk bent voor de gebeurtenis die de schade veroorzaakt heeft. Dit gaat eigenlijk over een overmachtssituatie, zijnde een abnormale gebeurtenis die niet vermeden kon worden door het nemen van redelijke maatregelen.
  2. Je kan aantonen dat je onder de aansprakelijkheidsuitsluiting valt van de Intermediary Service Provider (ISP) (online tussenpersoon) onder de E-commerce Richtlijn. Dit zal geen evidentie zijn, aangezien het aansprakelijkheidsvraagstuk onder deze Richtlijn gaat over de begrippen ‘kennis’ en ‘controle’ en een verwerkingsverantwoordelijke per definitie geacht wordt kennis en controle te hebben over de persoonsgegevens die hij verwerkt.

 

De verwerker

Voor de verwerker zijn de aansprakelijkheden een stuk verscherpt onder de GDPR.

De verwerker zal bij de verwerking 3 soorten aansprakelijkheden hebben, namelijk de rechtstreekse aansprakelijkheid ten aanzien van de persoon waarvan de gegevens verwerkt worden, de wettelijke aansprakelijkheden ten aanzien van de verwerkingsverantwoordelijke en de contractuele aansprakelijkheden die bijkomend voorzien worden in de verplichte verwerkersovereenkomst.

De eigen verplichtingen van de verwerker zijn ook overwegend inspanningsverplichtingen, zoals de beveiliging van de gegevens. Maar ook hier bestaan er resultaatsverplichtingen, zoals het uitsluitend verwerken van persoonsgegevens onder instructie van de verwerkingsverantwoordelijke.

Als verwerker heb je anderzijds geen algemene aansprakelijkheid, maar een proportionele aansprakelijkheid: het gaat enkel over inbreuken in dat deel van het verwerkingsproces waar je als verwerker hebt opgetreden en als verwerker direct aansprakelijk voor bent. Of het gaat  over verwerkingen die buiten de instructie van de verwerkingsverantwoordelijke werden uitgevoerd.

Let als verwerker wel op wanneer je in strijd met de GDPR toch zelf doel en middelen bepaalt. Je kan dan als verwerkingsverantwoordelijke beschouwd worden met een algemene aansprakelijkheid.

De verwerker kan zich beroepen op dezelfde aansprakelijkheidsuitsluitingen als de verwerkingsverantwoordelijke (zie boven).

 

Gezamenlijke aansprakelijkheid

Ter bescherming van de personen die schade lijden, voorziet de GDPR een hoofdelijke aansprakelijkheid. Dit betekent dat de betrokken aansprakelijke partijen allen persoonlijk instaan voor de volledige schade. Een betrokkene kan zijn schadevergoeding bijgevolg volledig bij 1 aansprakelijke opvorderen. Deze hoofdelijkheid geldt zowel voor de verwerkingsverantwoordelijke als voor de verwerker die bij de inbreuk onder de GDPR betrokken is.

Als je de volledige schadevergoeding zou uitbetaald hebben dan heb je ten aanzien van de andere aansprakelijke verwerkers/verwerkingsverantwoordelijken nog een mogelijkheid. Je kan van hen het deel van de schadevergoeding dat onder hun aansprakelijkheid valt opvorderen. Het is perfect mogelijk om in het kader van de verwerkingsovereenkomst hierover afspraken te maken, zoals vb. een onderling percentage van verantwoordelijkheden, volledige vrijwaring onder bepaalde omstandigheden, etc.

 

Conclusies

Aansprakelijkheidsvorderingen onder de GDPR zouden hoog kunnen oplopen omdat een inbreuk al snel veel personen kan treffen en een groepsvordering tot de mogelijkheden behoort. De hoofdelijkheid van deze aansprakelijkheid kan als resultaat ook hebben dat je als kleine verwerker wordt aangesproken voor die gehele schade, zodat het aangeraden is voor elke betrokken partij om na te gaan wat haar aansprakelijkheden kunnen zijn.

De gevolgen van de aansprakelijkheid kunnen weliswaar ingedekt worden door enerzijds een goede verwerkersovereenkomst. Laat deze dus zeker nakijken, aangezien de verhoudingen tussen verwerkingsverantwoordelijken onderling en/of met verwerkers zeer complex kunnen zijn. Anderzijds kan een aangepaste aansprakelijkheidsverzekering aangeraden zijn. Laat ook hier nakijken of deze verzekering voldoende aangepast is aan de noden en risico’s die zich onder de GDPR kunnen voordoen.

 

Meer info over uw aansprakelijkheden onder de GDPR?

Neem dan gerust contact op met Roeland via roeland@siriuslegal.be 

01.08.2019 Bart Van den Brande

Tips voor online handelaars: aansprakelijkheid bij verloren pakjes?

Verloren pakjes zijn niet alleen erg vervelend voor je klant, als ondernemer stelt zich ook de financiële en commerciële vraag wie in dat geval aansprakelijk is voor het verlies van het pakje en het aangekochte verzonden product. In e-commerce worden de online gekochte producten vaak opgestuurd aan de consument. Soms worden deze geleverd door de eigen transportdienst van de (online) handelaar. Vaak worden deze pakjes echter verzonden of vervoerd door een derde partij transporteur of een pakjesdienst. 

In deze blogpost lichten we toe in welke gevallen de consument zal moeten instaan voor het verlies van het pakje en in welke gevallen de ondernemer.

 

Algemene regels bij het versturen van pakjes

Voor overeenkomsten waarbij een onderneming goederen opstuurt naar de consument is er een bijzondere regel die de consument beschermt en ervoor zorgt dat het risico van verlies of beschadiging van de verzonden producten pas overgaat op de consument op het moment dat hij de goederen fysiek in zijn bezit heeft gekregen. 

Tot op het moment waarop de consument het pakje en de goederen effectief ontvangt, blijft het risico van verloren of beschadigde pakjes meestal rusten bij de onderneming die de pakjes of goederen opstuurt naar de consument. 

 

Vanaf wanneer verschuift het risico naar de consument? 

Het risico van verlies of beschadiging van het product gaat over op de consument wanneer hij het goed effectief ontvangen heeft of de controle over de goederen verwerft. Men gaat daarbij uit van het standaard idee dat een consument het pakje aan de deur in ontvangst zou nemen. Gelet hierop vraagt men best om te tekenen voor ontvangst zodat men een bewijs heeft dat het goed geleverd is. Er zijn eveneens gevallen waarbij het risico toch overgaat op de consument voordat hij het zelf in ontvangst heeft genomen.

 

Wat met pakjes aangenomen door een aangewezen derde?

Het risico van verloren pakjes ligt eveneens bij de consument indien een door hem aangewezen derde partij (bv. een buurman) de goederen voor hem in ontvangst heeft genomen. Die derde kan niet de vervoerder, de post of de koerierdienst zijn. 

Het is hierbij wel van belang dat de derde partij (bv. een buurman) effectief door de consument is aangewezen (en dus niet zomaar door de webshop of koerier gekozen). Gelet hierop vragen bepaalde webshops om te specifiëren aan wie men het goed kan afleveren indien de consument zelf niet thuis is. De consument heeft dan zijn toestemming gegeven om de goederen op deze wijze te laten leveren bij de buurman.

Vanaf het moment dat je als online ondernemer de goederen aan de buurman hebt bezorgd, ligt het risico van verlies of beschadiging dan in principe bij de consument (en de door hem aangewezen buurman). 

 

Vervoerswijze gekozen door de consument zelf 

In het geval de consument zelf een vervoerswijze kiest die niet standaard door de webshop wordt aangeboden gaat het risico ook over op de consument op het moment dat het goed wordt afgegeven aan de door de consument gekozen vervoerder. (Vb. het geval waarbij de consument een bijzonder verzoek heeft voor de levering).

Van belang hierbij is dat het gaat om een vervoerswijze die niet door de webshop zelf wordt aangeboden. De basis redenering is dat de online ondernemer zelf instaat voor de vervoerswijzen die hij aanbiedt op zijn webshop, als de consument echter bewust voor een andere vervoerswijze kiest is dat risico voor hem. Uiteraard heeft de consument in dat geval wel rechten t.a.v. de door hem gekozen vervoerder, maar dit is dan niet meer het probleem van de webshop bij wie hij gekocht heeft.

 

Wat als de fout bij de koerierdienst ligt? 

Meestal is er juridisch gezien alleen maar een contractuele relatie tussen de webshop en de verkoper. Als een koerier een fout maakt of het pakje verliest, moet de webshop dat in principe met de koerier regelen. Zoals hierboven toegelicht is en blijft de verkoper meestal verantwoordelijk t.a.v. de consument tot de consument de bestelling in handen heeft.  Post of koerierdiensten hebben meestal wel een verzekering voor het verlies van pakjes. Je controleert als webshop dan ook best hun voorwaarden en bepalingen omtrent verloren pakjes. Indien je waardevolle goederen verzendt, controleer je best de plafonds die standaard bij verzending worden gedekt. Indien deze niet voldoende zijn, kan je overwegen om te opteren een bijkomende verzekering voor de verzending van die pakketjes af te sluiten.

 

Conclusie

In het geval pakjes worden opgestuurd naar de consument blijft het risico van verlies of beschadiging voor de levering meestal rusten bij de webshop of online ondernemer tot op het moment waarop de consument het pakje en de goederen effectief ontvangt. Je voorziet het best een duidelijk beleid omtrent het aanvaarden van pakjes door derden. Indien je waardevolle goederen verzendt, dien je hier extra aandacht aan te besteden en controleer je best of je een bijkomende verzekering moet afsluiten.

 

Vragen over prijsvermeldingen of e-commerce?

Ons team staat graag ter beschikking.  Neem gerust contact op met Bart Van den Brande via bart@siriuslegal.be of +32 486 901 931.

– Dit artikel werd geschreven door Laura Walgraeve die inmiddels Sirius Legal heeft verlaten –

29.07.2019 Roeland Lembrechts

Slachtoffer van een cyberaanval? Opgelet, misschien ben je zelf wel aansprakelijk!

Wanneer we denken aan een cyberaanval, dan wordt er in de eerste plaats gedacht aan cybercriminelen die zich toegang hebben kunnen verschaffen tot jouw systemen en vervolgens onrechtmatig gebruik hebben gemaakt van jouw data. Als organisatie ben je op dat moment ook in de eerste plaats slachtoffer van een strafrechtelijk misdrijf.

 

Maar betekent dit dat je dan zelf geen enkele verantwoordelijkheid draagt? Uiteraard niet. De implementatie van de regelgeving rond databescherming van persoonsgegevens maakte reeds duidelijk dat je als organisatie verantwoordelijk bent voor de data die je verwerkt. Deze evolutie wordt inmiddels bevestigd door de publicatie van de Cybersecuritywet (NIS-wet). Eens je als digitale dienstverlener (of aanbieder van essentiële diensten in de sectoren Energie, Transport, Financiering of Gezondheid) onder de toepassing van deze wet valt, dan moet je rekening houden met heel wat verplichtingen.

De bescherming, de beveiliging en de betrouwbaarheid van de netwerk- en informatie systemen van aanbieders van essentiële diensten en van sommige digitale dienstverleners zijn voortaan overwegingen van algemeen belang voor de bescherming van de bevolking en de ondernemingen. De beveiligingsvoorschriften voor hun netwerk- en informatiesystemen vallen bijgevolg onder de openbare orde en veiligheid in ruime zin. En wat in het kader van de openbare orde beschermd wordt, wordt strafrechtelijk beteugeld en gecontroleerd.

 

Ben ik een digitale dienstverlener?

De eerste categorie, nl. aanbieders van essentiële diensten worden in deze bijdrage buiten beschouwing gelaten. De tweede categorie treft veel meer organisaties en het is belangrijk om na te gaan of je al dan niet onder het toepassingsgebied van de wet valt.

Volgens de Cybersecuritywet is een digitale dienstverlener ‘een rechtspersoon die een digitale dienst verleent’. Een digitale dienst is ‘elke dienst van de informatiemaatschappij, dat wil zeggen elke dienst die gewoonlijk tegen vergoeding, langs elektronische weg, die op afstand en op individueel verzoek van een afnemer van diensten wordt verricht’. Indien we enkel deze definitie zouden hanteren, dan zouden heel wat organisaties onder de verplichtingen van de Cybersecuritywet vallen. Om die reden wordt een beperking voorzien met aangeduide categorieën die terug te vinden zijn in de bijlage van de wet.

Het gaat momenteel om:

  • onlinemarktplaats: een digitale dienst die het consumenten mogelijk maakt online verkoop- of dienstenovereenkomsten met ondernemingen te sluiten op haar website of op de website van een onderneming die gebruikmaakt van door de onlinemarktplaats aangeboden informaticadiensten;
  • onlinezoekmachine: een digitale dienst die het gebruikers mogelijk maakt zoekacties uit te voeren op in principe alle websites of websites in een bepaalde taal op basis van een zoekvraag over om het even welk onderwerp in de vorm van een trefwoord, een zin of andere input; het resultaat zijn hyperlinks naar informatie over de opgevraagde inhoud;
  • cloudcomputerdienst: een digitale dienst die toegang mogelijk maakt tot een schaalbare en elastische pool van deelbare computercapaciteit.

 

Wat zijn mijn verplichtingen?

Als digitale dienstverlener heb je volgende verplichtingen:

  • Beveiligingsplicht: het identificeren van de risico’s voor de beveiliging van je netwerk- en informatiesystemen én passende en evenredige technische en organisatorische maatregelen nemen om die risico’s te beheersen. Deze maatregelen zorgen, rekening houdend met de stand van de technische kennis, voor een niveau van beveiliging van netwerk- en informatiesystemen dat is afgestemd op de risico’s die zich voordoen, en houden rekening met de volgende aspecten:

          a) de beveiliging van systemen en voorzieningen;
          b) de behandeling van incidenten;
          c) het beheer van de bedrijfscontinuïteit
          d) toezicht, controle en testen;
          e) de inachtneming van de internationale normen.

Verder moet je ook maatregelen nemen om incidenten te voorkomen en te minimaliseren, teneinde de continuïteit van deze diensten te waarborgen.

  • Meldingsplicht: onverwijld ieder incident melden dat aanzienlijke gevolgen heeft voor de verlening van je aangeboden digitale diensten. Deze melding dient te gebeuren via het meldingsplatform dat de CCB (Centrum voor Cybersecurity België) zal organiseren en coördineren. Deze taak werd zeer recent aan het CCB toebedeeld door het gepubliceerde uitvoeringsKB, maar de verdere praktische werking hiervan dient nog uitgerold te worden.

Deze meldingsplicht geldt alleen wanneer je toegang hebt tot de informatie die nodig is om de gevolgen van een incident volledig of gedeeltelijk te beoordelen.

  • Informatieplicht: de inspectiedienst van de FOD Economie binnen de gestelde termijn de informatie verstrekken die nodig is om de beveiliging van jouw netwerk- en informatiesystemen te beoordelen, met inbegrip van gedocumenteerde beleidsmaatregelen op het gebied van beveiliging. Elke niet-inachtneming van de beveiligingseisen en de eisen inzake het melden van incidenten moet je rechtzetten binnen de gestelde termijn.

 

Wat zijn de mogelijke sancties als ik hier niet aan voldoe?

Indien je aan bovenstaande verplichtingen niet voldoet, dan kan je zowel administratief als strafrechtelijk gesanctioneerd worden:

  • Beveiligingsplicht
    – Strafrechtelijk: een gevangenisstraf van 8 dagen tot 1 jaar en/of een geldboete van 26,00 tot 30.000 Euro (te vermenigvuldigen met 8)
    – Administratief: een geldboete van 500,00 tot 100.000,00 Euro
  • Meldingsplicht:
    – Strafrechtelijk: een gevangenisstraf van 8 dagen tot 1 jaar en/of een geldboete van 26,00 tot 20.000 Euro (te vermenigvuldigen met 8)
    Administratief: een geldboete van 500,00 tot 75.000,00 Euro
  • Informatieplicht:
    – Strafrechtelijk: een gevangenisstraf van 8 dagen tot 1 jaar en/of een geldboete van 26,00 tot 50.000 Euro (te vermenigvuldigen met 8) – Administratief: een geldboete van 500,00 tot 75.000,00 Euro

Verhinder of belemmer je de controle of geef je opzettelijk foutieve of onvolledige informatie, dan kan je gesanctioneerd worden met een geldboete van 26,00 tot 75.000,00 Euro (x8).

 

Koppeling met de GDPR

Naast deze verplichtingen voorziet de Cybersecuritywet ook een bijzondere regeling in aansluiting met de GDPR. Zo zullen voor de doeleinden van de wetgeving bepaalde verwerkingen mogelijk gemaakt worden en kunnen de rechten van de betrokkenen geweigerd of beperkt worden.

Van belang is te melden dat eens je als digitale dienstverlener beschouwd wordt, je automatisch verplicht bent om een DPO (functionaris voor gegevensbescherming) aan te stellen. 

 

Conclusie

Door de recente aanstelling van het CCB en de toewijzing van de bevoegdheid aan de inspectiediensten van de FOD Economie voor de toezicht en controle, worden de cybersecurity-verplichtingen van digitale dienstverleners steeds concreter. Als organisatie is het van belang dat je op een transparante en gedocumenteerde wijze kan aantonen dat je de cyberrisico’s correct hebt ingeschat. Ook je technische en organisatorische maatregelen zullen steeds up-to-date moeten zijn. Je bent dus bij een cyberaanval niet langer alleen het slachtoffer, maar mogelijks ook strafrechtelijk verantwoordelijk.

 

Vragen over de recente juridische ontwikkelingen in Cybersecurity?

Neem dan gerust contact op met Roeland via roeland@siriuslegal.be.

02.04.2019 Roeland Lembrechts

Nieuwe vennootschapsrecht: beperkte bestuurders­aansprakelijkheid, waarop moet je letten?

In ons blogartikel van 4 maart 2019 kondigden we reeds de geboorte van het nieuwe vennootschapsrecht aan. De krachtlijnen van deze nieuwe vennootschapswetgeving hebben we toen al op een rijtje gezet: minder vennootschapsvormen, de BV als hoeksteen van het nieuwe stelsel, de NV enkel nog voor grote ondernemingen, wijzigingen voor vzw’s en verenigingen én de beperkte aansprakelijkheid voor de vennootschapsbestuurders. Het is deze laatste topic die vele bestuurders zal interesseren, aangezien er de laatste jaren een duidelijke trend bestaat om hen sneller aan te spreken op hun fouten. De wetgever heeft om die reden een aantal wijzigingen en verduidelijkingen doorgevoerd om enerzijds het ondernemersrisico terug aantrekkelijker te maken, maar anderzijds bezorgde aandeelhouders én derden gerust te stellen. Wat moet je voor de toekomst weten?

 

Algemene aansprakelijkheid voor alle soorten bestuurders

Er is nu sprake van een algemene aansprakelijkheidsregeling, geldig voor alle soorten rechtspersonen. Voordien werd deze aansprakelijkheid per vennootschapsvorm onderverdeeld. Ook feitelijke bestuurders, namelijk zij die t.a.v. de rechtspersoon werkelijke bestuursbevoegdheid hebben, zijn op dezelfde manier aansprakelijk als de formeel benoemde bestuurder.

 

Uitbreiding hoofdelijke aansprakelijkheid

Als het bestuursorgaan een college vormt, dan zijn de leden van dat orgaan hoofdelijk aansprakelijk. Dit betekent dat elk lid persoonlijk volledig moet instaan voor vergoeding van de schade aan de schadelijder. Vormen de verschillende leden geen college, dan nog zijn deze leden hoofdelijk gehouden voor fouten ten gevolge van overtredingen van de bepalingen van het wetboek van vennootschappen of overtredingen van de statuten van de vennootschap.

De hoofdelijkheid bestond reeds voor inbreuken op het wetboek van vennootschappen of de statuten, maar wordt zo uitgebreid naar de aansprakelijkheid wegens loutere bestuursfouten.

De nieuwe bepalingen voorzien wel in een ontsnappingsroute: Een lid kan, indien het geen aandeel heeft in de fout, zich ontheffen van deze hoofdelijke aansprakelijkheid indien hij/zij tijdig melding heeft gemaakt van de beweerde fout aan het collegiaal bestuursorgaan of raad van toezicht.

 

Beperkingen

Op basis van de wet:

De nieuwe regelgeving voorziet in een uitdrukkelijke beperking van de aansprakelijkheid. De maximale bedragen waartoe bestuurders veroordeeld kunnen worden, zijn afhankelijk van verschillende perimeters zoals de gemiddelde omzet op jaarbasis en het balanstotaal.

Het invoeren van deze beperkingen had voor de wetgever verschillende redenen. De maximale bedragen zorgen ervoor dat bestuurders redelijke aansprakelijkheidsverzekeringen kunnen afsluiten. Ook wil men de ongelijkheid wegwerken ten aanzien van (top)managers die als werknemers of via managementvennootschappen van een aansprakelijkheidsbeperking genieten. Tot slot wenst men een oplossing te vinden voor de bestaande ongelijkheden met het buitenland.

Deze aansprakelijkheidsbeperking geldt zowel tegenover derden als tegenover de vennootschap. De maximale bedragen gelden voor alle bedoelde personen samen. Zij gelden per feit of geheel van feiten dat aanleiding kan geven tot aansprakelijkheid, ongeacht het aantal eisers of vorderingen.

Let wel: een derde behoudt ten opzichte van de vennootschap zelf wel een vordering voor de volledige schade.

Ook contractueel?

De aansprakelijkheid van een bestuurder kan contractueel niet verder worden beperkt dan hetgeen er wettelijk bepaald is. De rechtspersoon, zijn dochtervennootschappen of de door hem gecontroleerde entiteiten mogen de bestuurder niet vooraf ontlasten of vrijwaren voor zijn aansprakelijkheid ten opzichte van de vennootschap of derden. Dit wil zeggen dat zij op voorhand geen afstand kunnen doen van een aansprakelijkheidsvordering ten opzichte van de bestuurder, maar ook dat deze entiteiten de financiële gevolgen van de aansprakelijkheid van de bestuurder niet op zich kunnen nemen. Op die manier zou de persoonlijke aansprakelijkheidsregeling van de bestuurder al te gemakkelijk omzeild kunnen worden. Elke bepaling in de statuten, in een overeenkomst of een eenzijdige wilsuiting die dat wel doet, wordt als nietig beschouwd. Derden zoals de moedervennootschappen/controlerende entiteiten of aandeelhouders mogen daarentegen bestuurders wel vrijwaren.

 

Uitsluitingen

Laat je echter niet al te hard verleiden door de maximale caps die de nieuwe wetgeving voorziet. De aansprakelijkheidsbeperking geldt immers niet voor:

  • Lichte fout die eerder gewoonlijk, dan toevallig voorkomt
  • Zware fout
  • Bedrieglijk opzet
  • Oogmerk om te schaden (opzettelijke fout)
  • Voor fouten tegen verplichtingen inzake o.a. het geldig inschrijven van aandelen, het volstorten van het kapitaal en de kapitaalsverhoging;
  • de hoofdelijke aansprakelijkheid voor fiscale schulden (onder bepaalde voorwaarden)
  • de hoofdelijke aansprakelijkheid voor sociale zekerheidsbijdragen (onder bepaalde voorwaarden)

Een aandachtig lezer merkt meteen dat eigenlijk enkel nog de toevallige lichte fout kan genieten van de beperking. Terecht wordt de vraag gesteld of deze beperking dus in de praktijk ooit effectief toepassing zal vinden en deze beperkingsregeling niet eerder een lege doos is.

 

Insolventie- en burgerlijk recht

Het nieuwe vennootschapsrecht beslaat niet de volledige aansprakelijkheidsregeling.

De bijzondere bestuurdersaansprakelijkheden na faillissement verhuisden reeds van het oude wetboek van vennootschappen naar het wetboek economisch recht. Het gaat daarbij voornamelijk over de aansprakelijkheid voor ‘wrongful trading’ (voortzetten van een reddeloze onderneming) en de faillissementsaansprakelijkheid wegens kennelijk grove fout. De specifieke aansprakelijkheidsregeling onder insolventie gaat voorbij de scope van deze bijdrage, maar er kan wel op gewezen worden dat ook hier belangrijke uitbreidingen zijn doorgevoerd.

Bijkomend moet er op gewezen worden dat er nog gewerkt wordt aan een belangrijke hervorming van het aansprakelijkheidsrecht in het Burgerlijk Wetboek. Het is op dit moment nog onduidelijk welke impact dit zal hebben op de bestuurdersaansprakelijkheid.

 

Wat kan je best doen als bestuurder of aandeelhouder?

Als bestuurder of aandeelhouder is het gelet op deze gewijzigde regeling nog meer aan te raden om op voorhand statuten en bestuurdersovereenkomsten te laten nakijken en aan een update te onderwerpen.

Daarbij kan het onder meer over volgende zaken gaan:

  • Zorg in statuten, bestuurdersovereenkomsten, managementovereenkomst, etc. altijd dat de opdracht van de bestuurder duidelijk omschreven is. De aansprakelijkheid van de (feitelijke en wettelijke) bestuurder is ten aanzien van de vennootschap van contractuele aard zodat voorafgaand zowel de omschrijving van de opdracht als de definitie van onderscheiden fouten en de daaraan gekoppelde gevolgen best zo duidelijk mogelijk uitgeschreven worden.
  • De wettelijke maxima van de aansprakelijkheidsbeperking kan niet verder beperkt worden, maar er kan wel verduidelijking gebracht worden op basis van bewijsclausules, overmachtsclausules, etc.
  • Bepaal in het geval van meerdere bestuurders hoe de hoofdelijke aansprakelijkheid zich tussen de verschillende bestuurders verhoudt.
  • Indien je statuten of een overeenkomst voorgeschoteld krijgt, laat dan steeds nakijken of eventuele voorgehouden beperkingen van aansprakelijkheden wel correct zijn. Men zou je een rad voor ogen kunnen draaien door je onwettige beperkingen of vrijwaringen in een overeenkomst voor te schotelen.
  • Wanneer je als bestuurder geconfronteerd wordt met een discussie over bepaalde beslissingen, laat dan steeds duidelijk schriftelijk noteren of geef per aangetekende zending de andere bestuurders duidelijk ter kennis, dat je een beslissing als foutief bestempelt. Zo kan je aan de hoofdelijke aansprakelijkheid ontsnappen.

Als je je toch door een derde wenst te laten vrijwaren, kijk dan zeker na of de betrokken (rechts-) persoon je wettelijk ook effectief kan vrijwaren.

Heb je meer vragen over je aansprakelijkheid onder het vernieuwde vennootschapsrecht, neem dan gerust contact op met Roeland via roeland@siriuslegal.be.

12.10.2018 Bart Van den Brande

Aansprakelijkheid van tour operators bij pakketreizen

Een volgeboekt of gesloten hotel, geplande excursies die niet doorgaan, de gereserveerde auto die niet beschikbaar is enzovoort.  Wat zijn de rechten en plichten van de reiziger en van de reisorganisator/ tour operator?

 

Algemeen uitgangspunt: aansprakelijkheid

Elke partij dient de verplichtingen na te komen die hij aanging. Dit is evident. De reisorganisator is aansprakelijk voor de uitvoering van de reisdiensten die in de pakketreis werden afgesproken. Dit geldt zowel voor de reisdiensten die de organisator zelf aanbiedt als voor de reisdiensten die door anderen worden aangeboden (bv. het hotel, excursie,…). Er dient dus alles in het werk gesteld te worden om de pakketreis na te leven en de reiziger te bieden waar hij recht op heeft.

 

Wat als de reiziger niet krijgt wat hij gereserveerd heeft?

De reiziger die geconfronteerd wordt met een tekortkoming tijdens de pakketreis heeft de verplichting de reisorganisator zonder nodige vertraging hiervan op de hoogte te stellen. Zonder kennis van het probleem kan er immers geen tussenkomst geboden worden.

De reisorganisator dient vervolgens een oplossing te zoeken voor elke tekortkoming. Hij zal bv. voor aan andere wagen / hotel dienen te zorgen, een vervangende binnenvlucht, een nieuwe excursie enz. Hij kan zich hiervan enkel onttrekken indien het gebrek van die aard is dat elke oplossing onmogelijk is of indien dit onevenredig hoge kosten met zich meebrengt (rekeninghoudende met enerzijds de mate van de tekortkoming en anderzijds de waarde van de reisdienst).

Indien de reisorganisator er niet in slaagt het probleem binnen een redelijke termijn op te lossen, dan is hij verplicht om de kosten van de tekortkoming aan de reiziger terug te betalen. De reiziger hoeft zelfs geen termijn voor te stellen in dringende situaties of wanneer de reisorganisator weigert het probleem op te lossen.

Het kan ook zijn dat het gebrek zo doorslaggevend is dat het aanzienlijke gevolgen heeft voor de verdere reis (bv. vervoersproblemen zodat de geboekte hotels niet kunnen worden bereikt). De reiziger kan dan de overeenkomst opzeggen indien de organisator niet binnen een vooropgestelde termijn het probleem oplost. De reiziger is hiervoor geen schadevergoeding verschuldigd en heeft eventueel zelfs recht op een prijsvermindering of schadevergoeding van de reisorganisator. Bovendien dient de organisator de reiziger in dit geval ook terug thuis te brengen (indien de overeenkomst dit voorzag) en dit zonder onnodige vertraging, zonder bijkomende kosten en middels gelijkwaardig vervoer.

 

Wat met compensaties van een lager kwaliteitsniveau?

Het kan gebeuren dat de organisator een aanzienlijk deel van de reisdiensten niet kan nakomen (bv. volgeboekt of gesloten hotel). Met het oog op de voortzetting van de reis is de organisator verplicht om andere arrangementen aan te bieden van dezelfde of zelfs een hoger kwaliteitsniveau. Hij kan de kosten hiervan niet op de reiziger verhalen. Als de organisator er niet in slaagt een oplossing aan te bieden van een vergelijkbaar kwaliteitsniveau, heeft de reiziger recht op een gepaste prijskorting.

De reiziger is overigens in principe verplicht het nieuw aangeboden arrangement (bv. ander hotel) te aanvaarden tenzij dit al te erg afwijkt van zijn initiële reservering (bv. een tussenvlucht wordt vervangen door een veel langere bootreis) of indien de prijsvermindering die de organisator voorstelt, ontoereikend is.

 

Wat zijn de sancties?

Kan de reisorganisator helemaal geen oplossing bieden voor het probleem van de reiziger?  Dan heeft de reiziger in elk geval recht op een gepaste prijsvermindering en eventueel een bijkomende schadevergoeding voor dat deel van zijn reis dat door het probleem in de war gestuurd werd.

De reisorganisator kan een schadevergoeding enkel vermijden indien hij aantoont dat het gebrek te wijten is 1) aan de reiziger of 2) aan aan een derde die niet bij de uitvoering van de reisdienst is betrokken en het gebrek niet kon worden voorzien of voorkomen of 3) aan onvermijdbare en buitengewone omstandigheden, overmacht dus.

 

Overmacht

In geval van overmacht zal de reisorganisator geen schadevergoeding verschuldigd zijn. Hij zal evenwel steeds instaan voor bijstand aan de reiziger die in moeilijkheden verkeert. Zo zal hij nuttige informatie dienen te verstrekken over medische diensten, plaatselijke autoriteiten, consulaire bijstand, enz.

Wanneer omwille van een overmachtssituatie de terugkeer van de reiziger niet kan worden geregeld, zal de reisorganisator instaan voor de kosten van de nodige accommodatie ter plaatse. Dit geldt voor accommodatie van een gelijkwaardige categorie en voor ten hoogste drie overnachtingen per reiziger. Deze beperking van de kosten geldt niet voor personen met een beperkte mobiliteit en hun begeleiders (bij luchtvervoer), voor zwangere vrouwen, alleenreizende minderjarigen en personen die specifieke medische bijstand behoeven.

 

Sirius Legal

Sirius Legal volgt de wetgeving en rechtspraak in de reissector nauw op en staat u bij met raad en daad.
U kan ons contacteren op info@siriuslegal.be