Bedrijfsjuristen Monitor 2012

Bedrijfsjuristen Monitor® 2012

2


3


4


Inhoud 7

Voorwoord

11 Legal Outlook 2013 and Beyond - De top 6 juridische onderwerpen 12 Verslag van de rondetafelgesprekken 26 Er komt een enorme hausse aan weten regelgeving aan Angelique Keijsers, Ernst & Young 30 G ezonde bedrijven kunnen niet zonder gedegen record management Michiel van den Bosch, Anthos 34 D e stap om te gaan uitbesteden moet weloverwogen zijn Kay Behnke, NXP 38 IT-advocaten over privacy, dataopslag en retention: de praktijk is weerbarstig Wolter Wefers Bettink en Thomas de Weerd, Houthoff Buruma 42 B ij disclosure is het de vraag: hoe duur is onredelijk? John Payton 46 A nti-corruptie hoort in de cultuur van bedrijven verweven te zijn Philippe Creijghton, Houthoff Buruma 50 B edrijven moeten klokkenluiders niet als bedreiging, maar als kans zien Joost Wiebenga, Tyco International 54 H et begint ermee dat vertrouwelijke informatie ook als zodanig moet worden herkend Jean Schreurs, NXP 58 F air disclosure speelt grotere rol bij M&A Willem de Nijs Bik, Houthoff Buruma 62 C ommissarissen vervullen een steeds actievere rol Robert Roelofs, ASML 66 A utonome denkkracht van bestuurders moet heilig zijn Philippe König, Houthoff Buruma 70 H et belang van een goede lobby is groot Suzanne Drion, VNO NCW 77 Colofon

5


6


voorwoord Jaap Bosman, Houthoff Buruma In november 2007 presenteerde Houthoff Buruma in samenwerking met het Nederlands Genootschap van Bedrijfsjuristen (NGB) voor de eerste maal de Bedrijfsjuristen Monitor. Inmiddels is het november 2012 en presenteren we met trots Bedrijfsjuristen Monitor nummer vijf. De eerste Bedrijfsjuristen Monitor in 2007 was meteen een succes; naast de ruim 2500 hardcopies die zijn gedistribueerd werd het rapport in één middag ruim 5000 keer gedownload. Het was het eerste serieuze kwantitatieve onderzoek dat ooit onder bedrijfsjuristen in Nederland was gehouden en het begin van een trend. In de jaren die volgden kwamen tal van commerciële partijen met initiatieven om bij de bedrijfsjurist ‘in de gunst’ te komen. Bedrijfsjuristen werden in korte tijd van een relatief onbekende beroepsgroep een interessante doelgroep. De Houthoff Buruma Bedrijfsjuristen Monitor is initiërend, niet volgend. Om onze voorsprong te behouden en om relevant te blijven voor de bedrijfsjurist hebben wij de opzet bij iedere nieuwe editie volledig opnieuw moeten uitvinden. Deze vijfde editie is ook weer volledig anders dan ieder van de vier voorgaande. Waar we in 2011 nog een prachtig boek hadden met schitterende foto’s en interviews waarin bedrijfsjuristen werden geportretteerd, hebben we dit jaar een bescheiden A5 naslagwerkje, zonder foto’s. In deze turbulente en onzekere tijden focussen we op de inhoud en proberen we in kaart te brengen welke problemen en uitdagingen voor de bedrijfsjurist aan de horizon opdoemen. Het thema is dit jaar: ‘Legal Outlook 2013 and Beyond’ Samen met het NGB zijn we op zoek gegaan naar de thema’s die volgens bedrijfsjuristen in 2013 en de jaren daarna hoog op de agenda moeten staan. We hebben dat gedaan tijdens vier rondetafelgesprekken met zeer ervaren NGB leden die een juridisch-strategische verantwoordelijkheid hebben binnen de onderneming waarbij zij werkzaam zijn. Gediscussieerd werd aan de hand van een discussion paper op basis van volledige vertrouwelijkheid. In de pagina’s die volgen zijn de kernpunten van de discussie samengevat. Hoewel het verloop van de discussie vier keer volledig verschillend was, was de uitkomst verrassend eenduidig. De thema’s die het hoogst op de agenda zouden moeten staan zijn: • • • • • •

7

Risk Management IT-gerelateerde issues zoals datamanagement en privacy Whistleblowing Fair disclosure Corporate governance: de veranderende rol van de commissaris Populistische weten regelgeving


Tijdens de rondetafelgesprekken bleek ook dat de mogelijkheid om in besloten sfeer met directe peers kennis en ervaring uit te wisselen zeer werd gewaardeerd. Dat is bij uitstek de rol die het NGB voor zijn leden vervult. Geen andere organisatie in Nederland is in staat om zoveel nuttige kennis en ervaring van bedrijfsjuristen in besloten setting bijeen te brengen. De juridische thema’s zijn verder uitgewerkt in de diverse hoofdstukken van dit boekje. We hebben 13 experts gevraagd om hun kennis met ons te delen. Het resultaat is een praktisch, leesbaar boekje dat de bedrijfsjurist in staat stelt om snel en efficiënt de juridische horizon te verkennen. En zo hoort het ook, want als er één ding is dat wij als rode draad uit vijf jaar Bedrijfsjuristen Monitor hebben geleerd, dan is het dat de bedrijfsjurist geen tijd heeft voor juridisch/wetenschappelijk ‘geneuzel’ .

8


9


10


Legal Outlook 2013 and Beyond De top 6 juridische onderwerpen

11

Risk Management

Retention, Record Management, IT, Privacy en Discovery

Klokkenluiders

Fair Disclosure

Governance - De rol van de Raad van Commissarissen

Lobbyen en populistische wetgeving


Bedrijfsjuristen Monitor 2012 Het beroep van bedrijfsjurist is in de afgelopen decennia geëvolueerd van interne jurist met een eigen winkel, naar raadgever die midden in de business staat en naast juridische kennis ook dient te beschikken over kennis en ervaring in andere disciplines. De verder internationaliserende samenleving, waarin vele bedrijfsactiviteiten grensoverschrijdende aspecten hebben en de stormachtige technologische ontwikkelingen, onder meer in IT, nopen de bedrijfsjurist tot verbreden en verdiepen van kennis. Andere voor bedrijfsjuristen belangrijke thema’s, zoals Risk Management en Compliance, komen in toenemende mate op het bordje van de bedrijfsjurist zelf te liggen. Door al deze ontwikkelingen blijven de werkzaamheden van de bedrijfsjurist al lang niet meer beperkt tot de klassieke juridische werkzaamheden als het opstellen van contracten; er zijn tal van nieuwe thema’s en taken bijgekomen. De verwachting is dat dit takenpakket de komende jaren alleen nog uitgebreid gaan worden. Om erachter te komen welke thema’s op dit moment onder bedrijfsjuristen leven en welke onderwerpen zij de komende jaren een vlucht zien nemen, zijn voorafgaand aan deze publicatie vier rondetafelgesprekken georganiseerd waarbij in totaal meer dan 40 Nederlandse General Counsel en senior bedrijfsjuristen met elkaar in discussie zijn gegaan. Zij zijn werkzaam in uiteenlopende sectoren, bij grote, middelgrote en kleinere bedrijven; sommigen werken vooral nationaal, anderen zijn vooral internationaal actief. De input van deze vier rondetafelgesprekken is zeer waardevol en vormt de basis van de Bedrijfsjuristen Monitor 2012. Opvallend hierbij is dat in elk rondetafelgesprek een aantal kernthema’s naar voren kwam, maar dat de vier sessies verder zeer verschillend waren. Dat illustreert dat bedrijfsjuristen in hun dagelijkse werk steeds weer tegen verschillende uitdagingen en dilemma’s aanlopen. De moderne bedrijfsjurist is een duizendpoot. Dat bleek ook uit de enorme verscheidenheid aan onderwerpen die de deelnemers aan de rondetafels als belangrijk bestempelen. Die onderwerpen zijn gegroepeerd in zes thema’s, die in deze Bedrijfsjuristen Monitor zijn uitgediept door middel van interviews met experts. De thema’s weerspiegelen de uitdagingen van de bedrijfsjurist anno 2012, die naar verwachting de komende jaren alleen nog maar groter zullen worden. Deze Bedrijfsjuristen Monitor wil daarom een handvat bieden aan bedrijfsjuristen om die uitdagingen het hoofd te bieden: een goede voorbereiding is immers het halve werk.

12


De zes Thema’s van de Bedrijfsjuristen Monitor 2012 Thema 1. Risk Management Tijdens de vier rondetafelgesprekken bleek Risk Management en Compliance verreweg het belangrijkste thema. Door een steeds proactievere houding aan te nemen en te voorkomen in plaats van genezen, hebben veel Legal Counsel de laatste jaren ook een taak gekregen als Legal Risk Managers. Dat een belangrijke taak van bedrijfsjuristen bestaat uit Risk Management, zal geen verrassing meer zijn. Wat echter precies onder Risk Management wordt verstaan, en welke taken daarbij horen, is echter bijzonder breed en aan continue verandering onderhevig; veel te veel om alleen op het bordje van Legal te leggen. Welke aspecten van risicomanagement zijn de verantwoordelijkheid van de juridische afdeling? Hoeveel risico kun je indammen en dam je ook daadwerkelijk in en hoeveel risico is nog “gezond” te noemen? De deelnemers aan de verschillende rondetafelgesprekken zijn het er in meerderheid over eens dat, hoewel Legal een zeer belangrijke rol heeft bij risicomanagement, die rol in grote lijnen bestaat uit een meer adviserende en concipiërende rol; de “business” blijft verantwoordelijk voor het risicomanagement, en voert uit. Wie pakt de verantwoordelijkheid? “Het managen van risico’s leg ik heel bewust bij de betreffende managers neer”, aldus een General Counsel. “Wij opereren wereldwijd en de managers in alle verschillende landen hebben het beste zicht op de dagelijkse business en de risico’s die daarbij komen kijken. Het proces om tot een bepaald risicoprofiel te komen, dat ligt voor een deel bij de centrale juridische afdeling, maar je kunt van ons bedrijfsjuristen niet verwachten dat we op de hoogte zijn van lokale milieuwetgeving of specifieke regelgeving die vaak per land verschilt. De verantwoordelijkheid leg ik daarom voor een groot gedeelte ook bij de uitvoerders neer.” Een ander is het daar roerend mee eens. “De neiging bestaat om veel bij bedrijfsjuristen neer te leggen en het ligt in onze natuur om direct met een risico aan de slag te gaan, zodra je er aan gesnuffeld hebt. Met sommige risico’s heb je als bedrijfsjurist inderdaad zeer weinig te maken; leg die zaken dan ook neer bij mensen die er meer verstand van hebben. Binnen het bedrijf worden steeds meer zaken projectmatig aangepakt. Om te voorkomen dat je overal wordt uitgenodigd, dien je constant je rol duidelijk te maken. Betrek mij in belangrijke zaken en het liefst in een zo vroeg mogelijk stadium, zeg ik dan, maar betrek me niet bij alle zaken waar mogelijk een risico aan zou kunnen kleven. Iedereen in een organisatie dient vanuit zijn eigen rol bij te dragen aan een integraal risicomanagement.” Een goede manier om Risk Management binnen de organisatie uit te rollen is door de verantwoordelijkheden te spreiden over verschillende afdelingen en disciplines. Een

13


constructie van first, second & third line of defense is daarvoor een geijkt principe. De eerste lijn is daarbij het lijnmanagement, dat direct verantwoordelijk is voor risicomanagement en controle daarop. De tweede lijn betreft de verantwoordelijke personen in de verschillende business afdelingen en de derde lijn is de internal audit functie die onder meer de inrichting en werking van de eerste en tweede lijn controleert. Een Risk Management Board, met bestuurders, Legal Counsel en Managers vanuit de verschillende business units is hier een afgeleide van. Naast een inhoudelijke rol spelen bedrijfsjuristen vooral ook een rol bij het faciliteren van dit proces. Het ‘bordje van Legal’ “Wij hebben het vormgegeven in een Risk Management Board met een General Counsel, het bestuur, de verschillende Business Unit Managers en de verschillende fabrieksmanagers”, aldus een General Counsel. “De tien grootste risico’s zijn daarbij geïdentificeerd; bijvoorbeeld het gebrek aan geschikt personeel, de R&D die te weinig innoveert, het floppen van een bepaald product en het voorkomen van kartelvorming. De eindverantwoordelijkheid voor die tien hoofdrisico’s hebben we onderling verdeeld. Zo houdt er altijd iemand het overzicht.” Een andere General Counsel suggereert om nooit de volledige verantwoordelijkheid te nemen; dat zorgt voor te grote betrokkenheid en bovendien worden daarmee verwachtingen gewekt die niet waargemaakt kunnen worden. Bovendien: het ‘bordje van Legal’ is al vol genoeg. Maar belangrijker is misschien dat risico’s voor een groot deel samenhangen met de wijze waarop de business wordt gemanaged. “Je kunt toch nooit zeggen, ik ben als jurist eindverantwoordelijk voor het voorkomen van kartelvorming? Veel risico’s hebben weliswaar juridische raakvlakken, maar er spelen vaak ook andere (m.n. business) aspecten, zoals een financiële component, een rol. Als bedrijfsjurist ben je altijd ondersteunend. Natuurlijk, je neemt je verantwoordelijkheid, maar nooit dé eindverantwoordelijkheid voor het voorkomen of uitsluiten van risico’s.” Te veel zelf willen doen, omdat er altijd een juridische component aan een risico claimt. Eén bedrijfsjurist heeft er dagelijks mee te maken. “Ik ben tussen acht uur ’s ochtends en zes uur ’s avonds eerder een vraagbaak voor de onderneming: de hele dag ben je aan het praten met medewerkers uit alle lagen en alle disciplines binnen het bedrijf. Tussen zes en tien ’s avonds, wanneer de meesten weg zijn, kom ik in feite pas toe aan de klassieke bedrijfsjuridische werkzaamheden. Mijn rol is wezenlijk veranderd in de afgelopen tien jaar.” De bedrijfsjurist wordt van nature snel bij zaken rondom Risk Management betrokken, zo blijkt uit de vier rondetafelgesprekken. Er wordt ook ontzettend veel richting Legal geschoven onder de noemer risico; in feite hebben de meeste risico’s natuurlijk ook een juridische component. Het is daarom van belang om goed te definiëren welke verantwoordelijkheden bij welke afdeling liggen. Daartoe dienen eerst de grootste risico’s

14


van het bedrijf gedefinieerd te worden. Dat gebeurt vaak in samenspraak tussen Legal en de business. “In control zijn” is voor ieder bedrijf verschillend. Legal denkt mee over het beleid met betrekking tot een bepaald risico; de business voert dit uit maar heeft zeker ook advies nodig om dat te kunnen doen. Risico’s nemen is een wezenlijk onderdeel van ondernemen: Legal zal ook nooit alle risico’s kunnen uitsluiten, beperken, beheersen en controleren. Beheersbare – en betaalbare – risico’s passen prima in de bedrijfsvoering. Grote risico’s kunnen worden genomen, maar wanneer die risico’s niet als zodanig zijn geïdentificeerd dient de business daar wel verantwoordelijkheid voor te nemen. Anti-bribery Door de enorme schade die omkopingsschandalen kunnen hebben voor het imago van een bedrijf, krijgen juridische afdelingen hier steeds meer vragen over. Hardop wordt eraan getwijfeld of het klassieke ‘tick the box’ model wel voldoet om ervoor te zorgen dat Compliance regels in brede zin, daaronder begrepen anti-bribery wetgeving, worden nageleefd; je komt er niet met alleen maar procedures op te stellen en vinkjes te plaatsen. ‘Compliance’ moet worden uitgedragen vanuit de top van de onderneming en ingebed worden in alle lagen van de onderneming. Alleen maar gedragscodes opstellen biedt slechts een schijnzekerheid. Zelfs het aanstellen van een grote groep Compliance Officers zal niet altijd alle risico’s kunnen uitsluiten. Bovendien: “Waar ligt de grens?”, zo valt tijdens de rondetafelgesprekken meerdere malen te horen. Beter is het om de nadruk te leggen op de echt belangrijke, grote risico’s, daadwerkelijk controles uit te voeren en sancties in te stellen als niet aan de interne en externe regels wordt voldaan. Een handtekening onder een anti-bribery verklaring levert meer bewustwording op dan een interne cursus over risico’s van omkoping. Een veelgehoorde opmerking bij de rondetafelgesprekken is dat de bedrijfsjurist van nu zich geconfronteerd ziet met een enorme toename van regels; voor bedrijven die internationaal opereren is die toename – soms ook van tegenstrijdige regels – nog groter, al helemaal voor sterk gereguleerde sectoren zoals de financiële sector. Voordeel voor dergelijke organisaties is wel dat zij meestal beschikken over een separate (en soms zeer omvangrijke) Compliance afdeling, waarbinnen Compliance Officers ervoor zorgen dat de organisatie voldoet aan die weten regelgeving, door samen te schakelen met alle mogelijke disciplines waaronder Legal. “Toezichthouders zitten er bovenop. Onwetendheid is geen excuus meer”, zo verwoordt een General Counsel de aandacht voor anti-bribery in ondernemingen. “Een internationaal bedrijf als het onze ontkomt er daarom niet aan om anti-bribery verklaringen te laten tekenen. Riskant gedrag van collega’s, zoals kleine bedragen betalen om lokaal business te doen, kunnen leiden tot grote schade voor het bedrijf als geheel. Daarom wil ik handtekeningen onder de verklaringen en jaag ik die tot de laatste werknemer na. Niemand maakt bewust fouten, maar zodra managers zeer hoge eisen stellen kunnen

15


werknemers voor de kortste route kiezen. Dat is gedrag dat je niet moet willen. Zodra er een handtekening is gezet, zie je echt wat veranderen in die hoofden. Wees duidelijk: dit kan echt absoluut niet. Wanneer ze vervolgens moeten tekenen, lezen ze ineens wel die opgestelde risicoprofielen.” Desalniettemin is het lastig om anti-bribery wetgeving ook in de praktijk toe te passen, zo weten de deelnemers aan de rondetafelgesprekken. “Een delegatie uit China of Indonesië verwacht nu eenmaal een gepaste ontvangst. Maar waar eindigt een chique zakendiner en begint omkoping door buitenlandse partners zwaar te fêteren? Tegenwoordig is men ontzettend voorzichtig in het uitnodigen van partners en zakelijke contacten; te bang om als omkoper te boek te staan. Dat was deze zomer ook goed te zien aan de lege tribunes bij de Olympische Spelen.” Streven naar ‘Legal awareness’ Het kweken van bewustzijn over risico’s wordt door meerdere General Counsel naar voren geschoven als één van de kerntaken van de bedrijfsjurist. “De business beheerst zelf de risico’s, maar heeft wel advies nodig”, aldus één van hen. “Dat doe je bijvoorbeeld middels interne trainingen, waarin ethische kwesties worden voorgelegd. Welke dilemma’s komen we tegen in de dagelijkse werkzaamheden en hoe gaan we daarmee om? Managers spelen daarbij een cruciale rol: als het bij hen niet leeft, leeft het ook bij hun team niet. Niemand vindt het prettig om de hele dag met risico’s bezig te zijn. Aan mij de taak om dus constant op het belang ervan te hameren.” Een andere General Counsel vult aan: “Ik ben laatst betrokken geweest bij het internationaal uitrollen van een nieuw risk- en Compliance beleid. Dat kun je via e-mail, conference calls en telefoon doen, maar ik wilde echt ieder land zelf bezoeken en heb dat ook nadrukkelijk bij het bestuur aangekaart. Natuurlijk, zoiets kost ontzettend veel tijd, maar het persoonlijk contact met lokale Compliance Officers zorgt er wel voor dat ook zij het belang van risicobeheersing inzien. Legal awareness kweken vraagt veel tijd van onze afdeling.” Het vergt echter ook een andere opstelling bij de bedrijfsjuristen zelf: “De meeste mensen bij onze afdeling hebben niets met Compliance. Ambtelijk gedoe, daar ligt hun belangstelling toch niet”, aldus een General Counsel. “Bedrijfsjuristen zullen ook zelf moeten leren dat ‘Compliance’ iets anders is dan louter de naleving van regels najagen. Het gaat erom dat de hele organisatie, het bedrijf van boven tot onder, ervan bewust moet worden gemaakt dat het naleven van regels in het belang is van het bedrijf.” Voor de bedrijfsjurist betekent Risk Management en Compliance in de praktijk ontzettend veel schakelen en communiceren met alle lagen van het bedrijf. De normale werkuren zouden in theorie volledig besteed kunnen worden met het bezoeken van vestigingen en afdelingen binnen het bedrijf. Het kweken van Legal awareness is meer dan ooit één van de kerntaken van de bedrijfsjurist geworden. Daarbij is het belangrijk om niet als zwartkijker,

16


onwetende buitenstaander of inflexibele controleur te boek te staan, maar actief mee te denken met de business en beleid te ontwikkelen dat ook daadwerkelijk uit te voeren is. Uiteindelijk resteert toch de vraag: hoe goed is goed genoeg? Een General Counsel: “De vraag blijft inderdaad wanneer je in control bent, of dat denkt te zijn. Vergelijk het met de verkeerspolitie bij een snelheidscontrole. Wanneer zijn zij in control? Wanneer er geen ongelukken gebeuren, wanneer er 100 boetes worden uitgeschreven, wanneer niemand te hard rijdt? Het bepalen van een risicoprofiel is voor elk bedrijf anders. Het belangrijkste is om er in ieder geval gedegen beleid op te ontwikkelen; zodra er iets fout gaat, kun je in ieder geval aantonen dat je er alles aan hebt gedaan om dat te voorkomen.”

Thema 2. Retention, Record Management, IT, Privacy en Discovery De brede rol van de bedrijfsjurist is misschien wel het beste zichtbaar in de raakvlakken tussen Legal en IT. De stormachtige ontwikkeling die IT heeft doorgemaakt en de totale verwevenheid ervan met de bedrijfsprocessen, stelt de bedrijfsjuristen anno nu voor grote uitdagingen. Waar zij vroeger weg konden komen met een rol van Legal Counsel, is dat nu veel meer de rol van Legal Manager geworden. Kan Legal de enorme hoeveelheid gegevens, die door ontwikkelingen als cloud computing vaak op meerdere servers in verschillende landen worden opgeslagen, op een verantwoorde manier managen zonder dat dat een enorme wissel trekt op de bedrijfsjuridische afdeling? Hoe lang moeten gegevens en e-mails überhaupt bewaard worden? Wat is de invloed van hogere boetes en strengere regelgeving op het gebied van privacy? Het zijn zaken waar General Counsel en bedrijfsjuristen bovenop moeten zitten, maar waar zij vanuit hun achtergrond vaak minder gevoel bij hebben dan bij het traditionele, bedrijfsjuridische werk. Privacy De Europese sancties voor het niet goed naleven van privacy-wetgeving waren tot voor kort vrij gering, maar de boetes stijgen in rap tempo. In januari 2012 presenteerde de Europese Commissie nieuwe privacyregels, waarmee online privacyrechten verbeterd moeten worden. Dit gebeurde via een verordening, zodat bedrijven nu verplicht zijn om aan de nieuwe regels te voldoen. Het nieuwe juridische raamwerk zou moeten leiden tot meer vertrouwen bij burgers en een betere bescherming van persoonsgegevens in de Europese Unie, zo verwacht de Europese Commissie. Eén Europees systeem op het gebied van privacy is handig voor bedrijven die in veel verschillende landen actief zijn: met hetzelfde privacybeleid kan een bedrijf in heel Europa uit de voeten. “Vroeger kon je bij overtreding van privacyregels even met de Europese toezichthouder praten om te proberen één en ander op te lossen. De boetes gaan nu echter flink omhoog”,

17


aldus een General Counsel. “De functie van Chief Privacy Officer kennen we pas sinds het begin van deze eeuw. Dat geeft het belang al aan. Het geheel aan privacyregels is echter praktisch onuitvoerbaar en er komen alleen maar regels bij. Ik ken weinig bedrijven die volledig compliant zijn aan de privacywetgeving, laat staan aan de nieuwe cookiewetgeving. Vaak is het aan de bedrijfsjuristen om dan een risico-afweging te maken. Je kijkt naar naaste concurrenten, hoe ver zijn zij? Dat vind ik in zo’n geval belangrijker dan volledig voldoen aan alle wetten en regels van externe toezichthouders.” Retention & record management Een gedegen informatiehuishouding begint bij record management: weten welke gegevens er in huis zijn en waar die opgeslagen worden. De verantwoordelijkheid daarvoor ligt logischerwijs bij IT maar vaak is men daar niet volledig op de hoogte van risico’s en verplichtingen en komt het toch weer ook bij Legal terecht. Hoe lang bepaalde e-mails en andere gegevens bewaard worden, verschilt per bedrijf en ook per land waar dat bedrijf actief is. Bij e-mails met contracten, facturen en overeenkomsten is het handig om een langere bewaarperiode aan te houden; alledaags mailverkeer kan eerder verwijderd worden. E-mail is boven alles geen archiving tool: gegevens die echt bewaard moeten worden kunnen het beste op een andere manier opgeslagen worden. Bedrijfsjuristen kunnen helpen om overige werknemers bewuster te maken van de zware wissel die dataopslag op een bedrijf trekt; niet alleen op het gebied van kosten maar zeker ook met het oog op risico’s van datalekken. Vanuit Legal moet de beslissing genomen worden: hoe lang bewaren we e-mails, waar slaan we ze op en wie heeft er toegang toe? “Het is onontkoombaar dat aan de nieuwe generatie bedrijfsjuristen ook verstand van IT gevraagd wordt. Er zijn tegenwoordig zelfs specifieke Legal & IT-beurzen”, aldus één van de General Counsel. “Welke e-mails worden bewaard, hoe lang die worden bewaard en waar, is typisch zo’n vraagstuk op de scheidslijn van Legal en IT. De mogelijkheden van IT zijn enorm maar de vertaling naar de praktijk is vaak lastig. De ervaring leert dat data zelden echt helemaal gewist zijn. Dan moet je dus zorgen voor een gedegen retentionbeleid, een goed zoeksysteem en hele duidelijke richtlijnen over bewaarperiodes van data. Toezichthouders en rechters weten dit immers ook en gaan in toenemende mate eisen stellen over het aanleveren van data.” Dit vereist ook veel meer dan vroeger dat de juristen de bedrijfsprocessen vaak ook tot op detailniveau goed begrijpen. De digitale ontsluiting van data is lastig, omdat gegevens vaak op meerdere locaties zijn opgeslagen. Een andere General Counsel: “Iedereen bouwt bij ons zijn eigen dossiers, het is lastig om overzicht te houden. Toch zit het klassieke idee van één dossier nog in de hoofden van mensen genesteld. We hebben wel eens de politie over de vloer gehad die hét cliëntendossier wilde inkijken. Hét cliëntendossier bestaat echter niet meer: dat is verspreid over verschillende computers en locaties.”

18


Cloud computing De ontwikkeling waarbij documenten en e-mails op afstand in ‘de cloud’ worden opgeslagen, zorgt voor een verschuiving van verantwoordelijkheden van bedrijfsjurist naar externe partijen. Partijen als Google en Dropbox slaan gegevens verspreid over verschillende servers in de wereld op en voordat een e-mail de afzender bereikt, is deze vaak al meerdere keren ergens gekopieerd. Het devies voor bedrijfsjuristen is dan ook: wanneer je er geen invloed op kunt uitoefenen, manage je het ook niet. Om eventuele problemen te voorkomen is het wel aan te raden om een goed doorzoek-systeem te hebben dat in staat is om bepa alde informatie naar boven te brengen. Dataopslag kan dan heel goed bij externe aanbieders ondergebracht worden. Daar waar de expertise niet in huis is, ontkomen bedrijfsjuristen er niet aan om die kennis in te huren. Dat geldt in belangrijke mate voor internationale privacywetgeving: een vrij ondoorzichtig en abstract rechtsonderwerp.

Thema 3. Fair Disclosure Beursgevoelige en/of concurrentiegevoelige informatie wil Legal uiteraard zo goed mogelijk binnen de poorten houden. Het is belangrijk om intern te benadrukken dat geheimen ook geheimen moeten blijven. Met boetesystemen en geheimhoudingsverklaringen, maar ook door verantwoordelijke bestuurders als de CFO en de General Counsel er keer op keer op te laten hameren. Dat is zeker de moeite waard, want boetes van toezichthouders maar ook van bedrijven waar aan geleverd wordt kunnen bijzonder hoog zijn. Bovendien brengt het naar buiten brengen van informatie over een bedrijf waarmee zaken gedaan worden, ook de relatie met dat bedrijf in gevaar. Door de toegang tot klantgegevens te beperken, iedere werknemer een geheimhoudingsovereenkomst te laten tekenen en in codetaal te communiceren, kan een geheim ook daadwerkelijk een geheim blijven. “Wanneer er bij ons één medewerker z’n mond voorbijpraat over een nieuwe opdrachtgever, staan daar direct vanuit de opdrachtgever contractueel hoge boetes op en brengt het je nieuwe order in gevaar”, aldus een General Counsel. “Investeerders en aandeelhouders wil je graag op de hoogte brengen van nieuwe omzet, maar de kans om die orders te verliezen is te groot. Toch weet zo ongeveer het hele bedrijf ervan. Je houdt de toegang tot informatie beperkt, laat iedereen geheimhoudingsverklaringen tekenen en probeert zodoende een geheim in te kapselen. Kennis deel je op een ‘need to know-basis’ en veel kennis is er vaak niet nodig om de werkzaamheden naar behoren uit te voeren. In de praktijk is zoiets echter heel lastig vol te houden.” Het feit dat bedrijven transparanter zijn geworden, is een extra complicerende factor. “De afdeling communicatie probeert overzicht te houden over informatiestromen, maar het merendeel gaat via andere kanalen naar buiten. De snelheid is ook een issue: zodra informatie naar buiten gaat staat het al op alle nieuwssites en moet je al reageren. Mijn stelregel? Alles wat je in een e-mail schrijft, moet ook in de krant kunnen staan.”

19


Veranderende werknemer De roep om transparantie gooit dus vaak roet in het eten. Werknemers werken sneller, vaak ook minder zorgvuldig en houden dossiers slecht bij. Legal verliest daardoor het overzicht over de informatiestroom naar buiten toe. Mede door de roep om transparantie vanuit de buitenwereld en door outsourcing en insourcing verdwijnt de klassieke loyale werknemer. Werknemers die te snel en te gedetailleerd met wederpartijen praten zijn eerder regel dan uitzondering. Beleid op het gebied van social media is essentieel: wat wordt er naar buiten gebracht en via welke media? Veel juridische afdelingen weten niet wat de werknemers online over het bedrijf vertellen. Overzicht houden over wat er wordt gecommuniceerd kan bijvoorbeeld door middel van forensische software geregeld worden. Snelheid van handelen Met name de snelheid van informatiestromen is een issue waar veel bedrijfsjuristen tegenaan lopen. Zodra er gevoelige informatie naar buiten is gebracht, moet het noodplan klaarliggen. Bedrijfsjuristen zijn geneigd te denken dat ze met een juridisch probleem te maken hebben, terwijl het op dat moment eerder een reputatie-issue is. Om in de toenemende roep om transparantie mee te gaan, kan Legal het beste alle informatiestromen overzien. Een General Counsel: “Stel bindende bedrijfsregels voor het delen van informatie op, laat het personeel daar voor tekenen. En voer ook de sancties uit als er eenmaal een overtreding is geconstateerd.”

Thema 4. De rol van de Raad van Commissarissen Het verschil tussen one & two tier boards leek in Nederland altijd redelijk groot te zijn: in het two tier board bleven commissarissen bleven redelijk op de achtergrond en bemoeiden zich slechts sporadisch met de strategie en dagelijkse bedrijfsvoering. Daar komt langzaam verandering in. In Nederland, dat bekend staat om zijn two tier boards, claimen commissarissen vaker een sturende rol binnen een bedrijf. Zij eisen meer inzicht in de bedrijfsstukken, stellen steeds meer operationele vragen en staan in specifieke voorbeelden als Organon, waarbij de RvC een massaontslag wilde voorkomen, zelfs lijnrecht tegenover de aandeelhouders. Dat wordt voor een belangrijk deel gevoed door de juridische verplichtingen die commissarissen hebben; hun positie komt in gevaar als er problemen in het bedrijf ontstaan en zij verantwoordelijk gehouden kunnen worden. De meer inhoudelijke betrokkenheid van commissarissen kan de bedrijfsvoering uiteraard in positieve zin beïnvloeden; meer controle kan leiden tot minder missers op bestuursniveau. “Wij hadden eerst een two tier board en nu een one tier board, maar het verschil is zeer minimaal”, zo stelt een General Counsel bij een rondetafelgesprek. “Zeker bij bedrijven

20


met Angelsaksische moederconcerns, is de RvC traditiegetrouw al sterk betrokken bij het bedrijf. De mogelijkheid om per 1 januari 2013 een one tier board te kunnen hebben, zie ik dan ook meer als formaliteit.” Een concullega: “Ik denk dat we allemaal wel kunnen zien dat commissarissen in Nederland een steeds actievere rol zijn gaan spelen. Ze willen meer inzicht in de besluitvorming, stellen steeds gedetailleerdere vragen en bemoeien zich zelfs met de operationele kant van het bedrijf. De RvC komt steeds vaker tegenover het bestuur te staan en in sommige zaken ook lijnrecht tegenover de aandeelhouders. Ik ben benieuwd waar dit zal eindigen. Of dat nu komt door de toegenomen persoonlijke aansprakelijkheid voor commissarissen weet ik niet, maar zij voelen zich wel veel meer verantwoordelijk.” Dubbelrol De grotere bemoeienis van commissarissen zou kunnen leiden tot een beweging richting one tier boards. Bepaalde commissarissen vervullen immers gevaarlijke dubbelrollen, zoals een commissariaat bij een concurrent. Bij bedrijven die eigendom zijn van private equity lopen vaak commissarissen rond die in opdracht van het private equity fonds plaatsnemen in de RvC. Belangrijke bedrijfsinformatie kan dan vrij makkelijk een aantal jaren later bij een concurrent terechtkomen. Ook toezichthouders richten zich in toenemende mate op commissarissen als klankbord: dat kan bestuurders een ongemakkelijk gevoel geven. Raden van Commissarissen nemen in een aantal gevallen ook eigen externe adviseurs, zoals bij overnames of herstructureringen. Dat zal de komende jaren een trend kunnen worden. De rol van de bedrijfsjurist is in dit licht bezien een interessante. Staan zij dichter bij de raad van bestuur, de raad van commissarissen of het bedrijf zelf? De raad van commissarissen blijkt in de praktijk een goede sparringpartner voor bedrijfsjuristen die zowel met RvB als RvC schakelen. Bedrijfsjuristen komen dus steeds dichter bij de eindbeslissers te staan en kunnen als intermediair fungeren tussen bestuurder en commissaris. “De RvC schakelt in bepaalde gevallen al eigen externe adviseurs in. Misschien zullen zij op termijn ook een eigen inhouse lawyer hebben”, zo verwacht een General Counsel. “Voor een vergadering gaan commissarissen tegenwoordig ook met een externe accountant en de CFO zitten. Toezichthouders bellen niet alleen meer met de voorzitter van de RvC, maar gaan op de koffie met alle commissarissen. Dat is een nieuwe ontwikkeling. Van alle kanten worden commissarissen bij het bedrijf betrokken en die nieuwe rol zorgt voor aanzienlijke bedrijfsverbetering.”

21


Thema 5. Klokkenluiders Onlangs beloonde de Amerikaanse belastingdienst klokkenluider Bradley Birkenfeld, ex-werknemer bij de Zwitserse bank UBS, met 104 miljoen dollar omdat hij informatie verschafte over bankcliënten die fraude begingen. Het gaat om de grootste beloning voor een informant ooit in de VS en de eerste beloning uitgereikt in het kader van de wet op fiscale fraude. Hoewel de kans klein lijkt dat zulke beloningen ooit in Nederland uitgekeerd zullen worden, demonstreert deze zaak wel het toegenomen belang van klokkenluiders – en de noodzaak voor bedrijven om er specifiek beleid op in te richten. Goede procedures voor klokkenluiders kunnen waardevol zijn omdat verkeerd gedrag ermee aan het licht komt of kan komen. Daarbij komt dat interne afhandeling van mogelijk frauduleus gedrag altijd beter is dan inmenging van pers en overheidsinstanties. “In Nederland houden we niet van klikkers”, zo verwoordt een General Counsel een sentiment. “Toch zeg ik: wees blij met je klokkenluiders. Veel problemen wil je echt veel liever intern afhandelen en die kans geven zij je. Ik raad iedereen aan om problemen met zoveel mogelijk collega’s te bespreken zodat er een zelfreinigend effect ontstaat. Is dat niet mogelijk, kaart het dan aan bij je manager. Interne afhandeling is altijd gewenster dan externe aandacht. Klokkenluiders moet je dus faciliteren.” Toch is het lastig om te definiëren wanneer een klacht echt gegrond is. Eén van de General Counsel: “De term ‘whistleblowing’ probeer ik zoveel mogelijk te vermijden: liever praten wij van ‘speak up’. Het is ontzettend belangrijk om je klokkenluiders bescherming te garanderen. De problemen die aangekaart worden, zijn heel wezenlijk. Een klein jaar geleden hebben wij een interne klokkenluider gehad. De procedures die daarop volgden, hebben de fraude binnen het bedrijf enorm naar beneden gebracht.” “Er is veel wantrouwen tegenover het bestuur van bedrijven”, aldus een andere General Counsel. “De klokkenluiders worden gezien als mensen die daar tegenin gaan. Je hebt altijd zulke mensen nodig om ontevredenheid in de organisatie een uitgang te geven.” Bijna elk bedrijf heeft ze: whistleblowers of klokkenluiders die kleine of grotere misstanden aan het licht brengen. Waar klokkenluiders in landen als Amerika grote bescherming genieten, moeten wij in Nederland nog een beetje wennen aan klokkenluiders. Niet bij elk bedrijf weet men hoe het beste omgegaan kan worden met klokkenluiders. Klokkenluiders worden soms nog als gevaarlijk beschouwd, terwijl zij juist kunnen helpen om bedrijfsprocessen en mogelijke risico’s vroegtijdig te signaleren. De wijze waarop het werknemers mogelijk wordt gemaakt om misstanden aan de kaak te stellen, kan per bedrijf verschillen. Gemiddeld zal echter zo’n één tot twee procent van het totale personeelsbestand op jaarbasis een klacht indienen. Zitten bedrijven daar ver onder, dan is er waarschijnlijk iets mis met de klachtenprocedures.

22


Soorten klachten Veel van de klachten zijn HR-gerelateerd en ontstaan uit arbeidsconflicten: ontevreden personeel met verstoorde werkrelaties die dit via een klokkenluidersprocedure willen aankaarten, al was het alleen maar omdat ze in een klokkenluidersprocedure ontslagbescherming genieten. Dat is een potentieel schadelijke ontwikkeling. In zulke gevallen betreft het dan oude zaken die jaren na dato opeens boven komen drijven. “Foute intenties”, aldus een General Counsel “maar de onderliggende zaak kan desalniettemin wel serieus zijn. De meeste klokkenluidersmeldingen zijn foute meldingen en er zit veel moddergooien tussen, maar vaak is er toch meer aan de hand. Wanneer je normaal twee klachten krijgt en ineens stijgt dat, dan is er toch meer aan de hand. Of dat nu echte fraude is of een arbeidsconflict, je wilt het toch weten en een interne melding is altijd beter dan uitlichting van zo’n zaak in de pers.” Ook anderszins kunnen klachten HR-gerelateerd zijn: wanneer er op een bepaald moment veel verschillende klachten over een bepaalde manager binnenkomen, dan zou dat heel goed een signaal kunnen zijn dat die manager niet op de goede plek zit. Bescherming In mei 2012 stemde een meerderheid in de Tweede Kamer in met de oprichting van een organisatie, het ‘Huis voor Klokkenluiders’, die de groep de gewenste wettelijke bescherming moet geven. Klokkenluiders worden in de toekomst wettelijk beschermd. De mondigheid van werknemers is de afgelopen decennia fors toegenomen. Daar komt bij dat bedrijven en organisaties steeds transparanter te werk moeten gaan en de klassieke loyale werknemer die het bedrijfsbelang boven alles zet, niet meer lijkt te bestaan. Het valt daarom te verwachten dat bedrijven steeds vaker met klokkenluiders te maken zullen krijgen. Rol van de bedrijfsjurist Wat is de rol van een bedrijfsjurist met betrekking tot klokkenluidersprocedures? Allereerst dient er een gedegen systeem te zijn dat klokkenluiden mogelijk maakt. Interne bescherming van de klokkenluiders, juridische, is daarbij essentieel. Bedrijfsjuristen die als vertrouwenspersoon optreden krijgen vaak te maken met lokale managers die bijzonder graag willen weten welke werknemer aan de bel trekt en wat de klachten precies behelsen. Een goede uitgangspositie is alleen vertellen wat onvermijdelijk is: de need to know basis. Klachten onderzoeken gebeurt in de regel door internal audit. Bedrijfsjuristen moeten daar wel bovenop zitten: de audit-afdeling is gewend om zaken heel uitgebreid te behandelen en dat is niet altijd bevorderlijk voor de snelheid. Het is belangrijk om werknemers actief te stimuleren om van de procedures gebruik te maken. Dat voorkomt dat zij op een andere – lees externe - manier hun onvrede zullen uiten. Bedrijfsjuristen die steeds meer - ook - Legal Risk Manager zijn, kunnen er niet omheen grondig naar de bestaande

23


klokkenluidersregeling te kijken en na te gaan of het aantal klachten in lijn is met de logischerwijs te verwachten aantallen. “Mijn rol zie ik vooral als die van vertrouwenspersoon, min of meer ingegeven door onze juridische achtergrond en met een zekere distantie van de rest van het bedrijf”, aldus een General Counsel. “Klokkenluiders moeten zich beschermd voelen. Wij kunnen die bescherming tot op zekere hoogte bieden.”

Thema 6. Lobbyen en populistische wetgeving Nieuwe weten regelgeving wordt tegenwoordig voor een groot deel gedreven door incidenten en publieke opinie; de waan van de dag. Het belang van een goede lobby is echter onverminderd groot. Door de veel grotere werkdruk van bedrijfsjuristen hebben zij, zoals een General Counsel het uitdrukt “vaak geen tijd meer om een hele dag in Den Haag door te brengen om te lobbyen.” Timing is bij het lobbyen heel belangrijk: een te late lobby heeft geen of weinig effect. “Ik heb het idee dat we steeds minder aan lobbying zijn gaan doen”, aldus een General Counsel. “De waan van de dag maakt lobbyen steeds lastiger. Toch is het voorkomen of op zijn minst aanpassen van onwerkbare wetgeving altijd de moeite waard. Je kunt ontzettend veel bereiken door op gezette tijden met beslissers en wetgevers te sparren. Er zijn mensen die daadwerkelijk wetten schrijven, dat moet je niet vergeten. Zij hebben veel behoefte aan praktijkvoorbeelden, zijn vaak nog nooit bij een bedrijf op bezoek geweest dat veel last zal ondervinden van de wet die geschreven wordt.” Of zoals een andere General Counsel zegt “ambtenaren hebben ook echt wel achtergrondkennis nodig.” Naast bedrijfsjuristen die de politiek opzoeken, zijn er steeds meer politici die zelf achtergrondkennis bij bedrijven vergaren. Dat levert kansen op die bedrijfsjuristen met beide handen moeten aangrijpen om door het verstrekken van praktijkinformatie in een vroeg stadium misverstanden bij politici weg te nemen en aandacht te vragen voor problemen waar die praktijk tegenaan loopt. Diverse organisaties spelen een belangrijke rol in de lobby: VNO-NCW en MKB-Nederland, brancheorganisaties en het NGB bijvoorbeeld. Door zitting te nemen in een klankbordgroep van dergelijke organisaties kunnen bedrijfsjuristen heel gericht lobbyen. Lobbyisten moeten daar zitten waar hun invloed het grootst is. Een lastig aspect van lobbyen is de soms moeilijk te definiëren opbrengst. Lobbyen is als reclame maken: het kost bedrijven geld maar de effecten zijn vaak moeilijk meetbaar.

24


25


Er komt een enorme hausse aan weten regelgeving aan Angelique Keijsers, Ernst & Young

Bedrijven moeten bezuinigen en kijken daarbij allereerst naar support-functies, zoals de tweedelijns Compliance Officers, omdat zij geen direct aantoonbare effecten op de winst hebben. Ondertussen wordt de stapel weten regelgeving waar een bedrijf aan moet voldoen alleen maar groter. Hoe blijft dat werkbaar? “Met een halfbakken beleid op het gebied van Compliance kom je er niet.” Risk en Compliance zijn in de afgelopen decennia een steeds belangrijker deel van de business geworden. Specifieke incidenten leidden in het verleden vaak tot het optuigen van een goede risk- of Compliance functie, maar Angelique Keijsers, partner bij Ernst & Young Fraud Investigation & Disputes Services, ziet liever een proactieve dan een reactieve houding. “De enorme hausse aan weten regelgeving die de komende jaren op bedrijven afkomt, zie ik als één van de grootste uitdagingen voor ondernemers. Risk Management is de ruggengraat van elke onderneming.” Om maar meteen met de deur in huis te vallen: de huidige crisis verhoogt de kans op fraude en omkoping bij bedrijven aanzienlijk. Daar kan Keijsers, die na een lange carrière in Compliance en audit bij een financiële instelling sinds 2008 als partner bij Ernst & Young werkt, duidelijk in zijn. “Wij doen via de Ernst & Young Fraud Surveys geregeld onderzoek naar fraude onder een grote groep werknemers van middelgrote en grote bedrijven, op Europees niveau en wereldwijd. Daaruit komt heel duidelijk naar voren dat de perceptie van de ondervraagden is dat het risico op fraude aanzienlijk stijgt in tijden van crisis.” Toezichthouders komen met strengere regelgeving, zoals bijvoorbeeld de UK Bribery Act. Toch verdwijnt Compliance meer naar de achtergrond wanneer bedrijven echt in zwaar financieel weer verkeren. Keijsers: “Omdat Compliance als een support-functie wordt gezien en het niet direct aantoonbare winsten oplevert, wordt erin gesneden. Een gevaarlijke ontwikkeling.” Samenwerking Compliance en commercie De toename van weten regelgeving, in Nederland maar ook op Europees niveau, trekt een zware wissel op commerciële activiteiten van bedrijven. Hoe ziet Keijsers het spanningsveld tussen toegenomen weten regelgeving enerzijds, en het halen van sales targets anderzijds?

26


“Er wordt vaak gedacht dat Compliance en commercie slecht samengaan. Het is immers voor de verkoopafdelingen moeilijk om alle regels toe te passen en tegelijk ook aan de winstdoelstellingen te werken. Wanneer je de samenwerking tussen Compliance en commercie echter goed optuigt, gaan zij elkaar als business partner zien en worden mogelijke risico’s eerder geadresseerd. Dat is een lang proces dat de volledige steun moet krijgen van het management. Uiteindelijk willen alle werknemers het liefst voor een integer bedrijf werken. Dat kan dus in je voordeel werken. Bovendien zijn klanten en distributeurs meer tevreden als je ook vanuit het Compliance oogpunt naar je business hebt gekeken.” Bij de business moet men dus goed begrijpen wat eventuele risico’s zijn, gesteund door advies vanuit de Compliance afdeling. Tegelijkertijd moeten Compliance Officers, of werknemers verantwoordelijk voor Compliance, ook de commerciële kanten van het bedrijf begrijpen. Keijsers: “Zij moeten volop in gesprek met de business, vragen waar dilemma’s liggen, waar men tegenaan loopt in de dagelijkse werkzaamheden. Je kunt ontzettend goed voorschrijven wat er moet gebeuren om aan weten regelgeving te voldoen, maar het moet ook in de praktijk uitgevoerd kunnen worden.” Risk appetite Om tot een werkbare manier van Risk Management te komen, is het belangrijk om de te nemen risico’s inzichtelijk te maken en juist af te kaderen: de ‘risk appetite’ van de organisatie. Keijsers: “Risk Management heeft onder andere als doel gebeurtenissen die effect hebben op de organisatie te identificeren en de daaraan gerelateerde risico’s te managen binnen de risk appetite van de organisatie. Gebeurtenissen en risico’s kunnen invloed hebben op de waardecreatie voor de organisatie. De organisatie dient daarom zelf te bepalen hoe deze activiteiten gemanaged moeten worden om binnen de afgesproken risk appetite bandbreedte te blijven.” Bij het in kaart brengen van risico’s, is volgens Keijsers vaak sprake van een splitsing tussen financiële en niet-financiële risico’s. “Voor beide categorieën is de business zelf natuurlijk verantwoordelijk. Je ziet daarom ook steeds meer Risk Self Assessments uitgevoerd worden, ondersteund door een Risk Management afdeling met als doel alle bedrijfsrisico’s inzichtelijk te krijgen. De uitkomst van een dergelijk assessment kan worden gepresenteerd in een zogenoemde ‘heatmap’, waarbij rekening wordt gehouden met de omvang en waarschijnlijkheid dat een gebeurtenis zich voordoet. Deze aspecten bepalen dan de scoring van de risico’s en de mate van prioriteit en aandacht.” Met name bij financiële instellingen wordt voor het toezicht op dit soort zaken gebruikgemaakt van ‘Risk Committees’. Keijsers: “Bij corporates zie je ook vaker een combinatie met de Audit Committee waar Risk Management periodiek op de agenda staat. Het doel is ten eerste te zorgen dat binnen de organisatie een duidelijke verantwoordelijkheid wordt genomen voor

27


de beheersing van de risico’s: zowel de risico’s als de kansen voortkomend uit de risk appetite moeten goed worden gemanaged.” Gevraagd naar de beste manier om Compliance binnen een bedrijf in te passen, pleit Keijsers nadrukkelijk voor het ‘three lines of defence’-model. In dit model is de eerste lijn, het lijnmanagement, direct verantwoordelijk voor de beheersing van risico’s van de onder hen vallende processen. De tweede lijn, met functies als Compliance en Risk Management, ondersteunt de eerste lijn en formuleert mede het beleid. De derde lijn is de internal audit functie die de inrichting en werking van de eerste en tweede lijn toetst. Keijsers: “Op die manier beheers je risico’s over het algemeen het beste. De rol van bedrijfsjuristen zit vooral in de eerste lijn: zij zijn er om de business te helpen met bijvoorbeeld contractonderhandelingen. Samen met Compliance kijkt Legal naar het beleid. Bedrijfsjuristen kunnen specifieke weten regelgeving natuurlijk het beste beoordelen, terwijl de Compliance-functie een grote rol speelt bij de vertaling hiervan naar intern beleid en de monitoring van een juiste implementatie van de Compliance-aspecten in de bedrijfsprocessen.” Horses for courses In de praktijk zorgen eerste, tweede en derde lijn er samen voor dat een bedrijf compliant is. Keijsers: “Bij financiële instellingen zie je dat de Compliance-functie veel meer vanuit de toezichthouders wordt ingestoken. Welke regels zijn er en hoe passen we die toe op onze organisatie? Banken kijken of het cliëntenbestand integer is, of er geen geld wordt witgewassen. Trek je dat door naar bedrijven, dan gaat het bijvoorbeeld om de vraag of de leveranciers en andere partnerbedrijven integer zijn. Zulke vragen rusten onder andere bij Compliance Officers die het indien nodig checken bij bedrijfsjuristen. ‘Horses for courses’ helpt daarbij enorm: zoek voor elk specialisme de experts binnen de organisatie, of huur daar externe experts voor in. Voor mededingingsrecht, voor anti-corruptie, voor export controls.” Ondanks de verdeling van risk en Compliance issues over verschillende disciplines, ziet ook Keijsers dat er veel op het bordje van de bedrijfsjurist terechtkomt. “Strengere weten regelgeving hebben de aandacht voor risk en Compliance bij bedrijven echt aangewakkerd. Dat betekent echter niet dat de Compliance functie altijd op een professionele manier wordt vormgegeven: daar wordt vaak in eerste instantie geen geld voor vrijgemaakt. Hoe meer weten regelgeving er echter komt, des te lastiger het is om al die regels te vertalen naar een goed en werkbaar beleid en des te meer specifieke expertise gewenst is. Met een halfbakken beleid op het gebied van Compliance kom je er dus niet. Ik zie zelfs wel eens dat audit het beleid schrijft, terwijl zij echt voor de review zijn.“

28


Wet- en regelgeving In juli 2011 is in het Verenigd Koninkrijk de Bribery Act in werking getreden: een Britse wet die gericht is op het tegengaan van omkoping en enorme boetes in het vooruitzicht stelt. Naast lokale bedrijven moeten ook buitenlandse bedrijven, zoals uit Nederland, die zaken willen doen in het Verenigd Koninkrijk eraan voldoen. General Counsel van Nederlandse bedrijven worstelen met de vraag of dergelijk strenge wetgeving ook in ons land levensvatbaar zou zijn. Keijsers: “De UK Bribery Act is bijzonder streng, maar in Nederland hebben we ook al wetgeving die specifiek op omkoping is gericht en die op veel aspecten net zo streng is. De aandacht voor omkoping is vanuit de enforcement agencies in de Verenigde Staten en het Verenigd Koninkrijk een stuk groter dan in Nederland. Ik verwacht echter dat dit de komende tijd toch ook bij ons zal gaan veranderen.” Voor Nederlandse multinationals is het best lastig om zonder omkoping in landen als Rusland en Nigeria zaken te doen. “Dan gaat het niet altijd over grote bedragen, maar bijvoorbeeld ook om zogenaamde ‘facilitating payments’: vijftig dollar betalen of het land niet inkomen met je vrachtwagen vol bloemen. Dat zal altijd een dilemma blijven: draai je om of ga je mee in de gebruiken die er in zulke landen zijn. Uiteindelijk zullen bedrijven die er niet in mee gaan aan het langste eind trekken, simpelweg omdat dat je naar andere bedrijven toe tot meest betrouwbare business partner maakt. Mochten facilitation payments toch noodzakelijk worden geacht, dan raad ik altijd aan om een zo transparant mogelijke verantwoording na te streven. Wanneer je kunt uitleggen wat er gebeurt, voorkom je veel mogelijke risico’s wanneer je wordt doorgelicht.” Het geheel van weten regelgeving waaraan bedrijven moeten voldoen, ziet Keijsers als de grootste uitdaging voor de komende jaren. “Dat is nog sterker binnen de financiële sector. Er wordt onmetelijk veel van een bank gevraagd; hoe kun je ervoor zorgen dat dat werkbaar blijft? Tegelijkertijd heeft iedereen te maken met de roep om kostenreductie. Ik hoor geregeld van bedrijfsjuristen die de gevaren in het eigen bedrijf zo kunnen aanwijzen, dat ze het eigenlijk wel goed zouden vinden als er een keer een incident plaatsvindt: dat schudt immers het bestuur wakker en dan kunnen er grote stappen gezet worden. Mijn advies: gebruik je overtuigingskracht en blijf hameren op aandacht voor risk en Compliance. Zonder alles zelf te willen doen, want daar is het veel te complex voor.”

29


Gezonde bedrijven kunnen niet zonder gedegen record management Michiel van den Bosch, Anthos

Twintig mensen werken aan één Word document, dat na zes keer op en neer mailen en vele malen in- en extern verzenden op 25 verschillende computers en op verschillende servers wereldwijd is opgeslagen. Het document moet vervolgens vanwege vertrouwelijkheid vernietigd worden. Hoe pak je dat aan? “Record management wordt één van de belangrijkste thema’s binnen de bedrijfsjuridische functie” Met de enorme vlucht die IT in het bedrijfsleven heeft genomen, verdwenen ook de papieren archieven ten koste van digitale opslag. Elektronische data hebben echter één groot probleem: het managen ervan is veel complexer dan het beheren van een fysieke archiefruimte. Op het raakvlak van Legal, Finance en IT wordt record management één van de belangrijke thema’s binnen bedrijven de komende jaren. Michiel van den Bosch, Nederlands Genootschap voor Bedrijfsjuristen (NGB): “In de Verenigde Staten loopt het uit de hand, in Nederland wordt er door toezichthouders steeds meer geëist. Een gezond bedrijf kan niet meer zonder gedegen record management.” In een crisistijd waarin bedrijven vooral bezig zijn met cashposities, winstmarges en herstructureringen, lijkt record management niet de topprioriteit te krijgen die het zou moeten hebben. Volgens Michiel van den Bosch is daar echter geen sprake van. “Het onderwerp blijft wat op de achtergrond, maar elke bedrijfsjurist is hier mee bezig. Juist omdat het op een raakvlak van Legal, Finance en IT ligt, worstelen bedrijfsjuristen er mee. Nu het ook steeds belangrijker wordt bij litigation en in de contacten met de toezichthouders, wordt het voor bedrijven echt tijd om het structureel vorm te geven, voor zover dat nog niet gebeurd is.” Van den Bosch is General Counsel bij het familiebedrijf Anthos en bestuurslid van het NGB. Voor hij bij Anthos aan de slag ging, werkte hij ruim negen jaar bij Ahold. Record management, ofwel de manier waarop gegevens worden opgeslagen en bewaard, is de afgelopen jaren steeds meer op het bordje van de bedrijfsjurist beland, weet Van den Bosch. Terecht? “Waar je je gegevens bewaart, wat de wettelijke bewaartermijnen zijn en welke weten regelgeving erop van toepassing is, het zijn de factoren die ervoor zorgen dat Legal hier altijd bij betrokken wordt. In een bedrijf heerst er vaak angst voor rechtszaken en Compliance-issues. Het is daarom logisch dat bedrijfsjuristen hier een rol in spelen. Slim record management is één van de grootste uitdaging voor Legal de komende jaren.”

30


Volgens Van den Bosch zijn er binnen het thema record management twee belangrijke trends waar te nemen. De eerste is de situatie in de Verenigde Staten (VS), waar het aspect van elektronische data in rechtszaken een enorme vlucht genomen heeft. “In een rechtszaak wordt daar steeds vaker gebruikgemaakt van discovery: bedrijven worden geacht enorme hoeveelheden data te kunnen oplepelen, puur omdat dat op IT-gebied mogelijk is en dus bewijs kan opleveren. Wanneer je die stukken niet kunt produceren en ze zijn wel ergens in of buiten het bedrijf aanwezig, zit je met een enorm probleem: je negeert dan een gerechtelijk bevel. In commerciële geschillen is dat in mijn optiek enorm uit de hand gelopen. Rechters vragen daar zomaar om 100.000 pagina’s documenten en e-mails. Om dat te realiseren, investeren Amerikaanse bedrijven enorm in IT en gerelateerde disclosure software. In Nederland hebben we ook wettelijke bepalingen, onder meer de exhibitieplicht in art. 843a Rv, die wel de Nederlandse discovery regels genoemd worden maar vooralsnog veel minder ver gaan. Ook hier verschuift echter de grens richting meer verplichtingen om gegevens ter beschikking te stellen in rechtszaken. Bijkomend probleem is dat rechters in de VS zichzelf al snel een verregaande rechtsmacht toedelen. Rechters aldaar kunnen bijvoorbeeld al heel snel ook Nederlandse bedrijven om informatie vragen, wanneer dat bedrijf enig aanknopingspunt in de VS heeft zoals een verkooporganisatie. Er zijn maar weinig bedrijven die bij een dergelijk verzoek tot informatie door een Amerikaanse rechter durven te weigeren: vaak leidt dat tot meer juridische problemen voor de betreffende activiteiten in de VS .” De tweede trend die Van den Bosch ziet, ligt dichter bij huis. Toezichthouders in Nederland en Europa willen steeds meer inzicht in gegevens waaruit blijkt dat bedrijven compliant zijn. Proactiviteit van record management met het oog op mogelijke inmenging van toezichthouders is het gevolg: bedrijven willen niet overvallen worden door informatie die nog aanwezig is, terwijl die al lang vernietigd had moeten worden. “In de defensieve vorm van record management is document retention vaak een eufemisme voor document destruction”, weet Van den Bosch. “Alleen het strikt noodzakelijke bewaren is het devies. Wanneer je wilt vernietigen wat het bedrijf kan schaden en bewaren wat het bedrijf kan helpen, heb je echter te maken met een dilemma. Je weet immers niet altijd van tevoren welke informatie in de toekomst van pas kan komen.” Het formuleren van een best practice op het gebied van record management is volgens Van den Bosch niet onmogelijk. “Het begint allemaal bij een overkoepelend beleid, dat door het bestuur in samenspraak met afdelingen als risk, Compliance, Legal en IT moet worden bepaald. Het in de hand houden van informatiestromen is essentieel. Wanneer bedrijven erover denken om met e-mail of documentbeheer naar de cloud te gaan, dien je dat eerst goed geregeld te hebben: eenmaal in de cloud zijn gegevens immers niet makkelijk te managen, maar bevinden ze zich vaak op meerdere servers over de hele wereld verspreid. Nadat je de verschillende datastromen

31


hebt geïdentificeerd, stel je bewaartermijnen vast en zorg je voor hele strikte naleving van die bewaartermijnen binnen het bedrijf. In deze digitale tijden moeten alle gegevensstromen bekend zijn binnen een bedrijf. Ben je het overzicht kwijt, dan loop je grote risico’s. Dat kan ver gaan: zo is er software die ervoor zorgt dat alle e-mails op één server worden geplaatst en waarbij het fysieke e-mailtje in feite niets meer is dan een link naar de server. Zo zorg je ervoor dat als je de bron verwijderd, ook alle ontvangers niet meer bij de mail kunnen.” Het probleem met cloud computing is dat gegevens in een cloud vaak op meerdere servers wereldwijd worden opgeslagen. De gegevens zouden dan onderhevig kunnen zijn aan lokale jurisdictie, zodat bijvoorbeeld in de VS vergaande informatieplicht kan ontstaan ook al heeft het bedrijf verder geen aanknoping of banden met de VS. Van den Bosch: “Vandaar dat sommige bedrijven met cloud providers willen werken die kunnen garanderen dat de gegevens niet in de VS worden gestald. Staan ze daar wel, dan zouden de lokale autoriteiten die gegevens kunnen opeisen. Grote providers als Google zeggen dat ze de data verknippen en op verschillende servers wereldwijd plaatsen. Worden zij echter gedwongen om data aan te leveren, dan ga ik ervan uit dat zij ook weten hoe de verknipte data weer één geheel kunnen vormen.” Dichter bij huis is record management er voor bedrijven ook niet bepaald makkelijker op geworden. De recente oprichting van de Autoriteit Consument en Markt (ACM), de gefuseerde toezichthouder bestaande uit de Consumentenautoriteit, NMa en OPTA, zal in toenemende mate een beroep doen op bij bedrijven aanwezige gegevens. Van den Bosch: “Wie kan echter garanderen dat die gegevens ook daar blijven? Er werd onlangs door een aantal juristen de zorg geuit, dat de gegevens van de ACM ook doorgespeeld zouden kunnen worden naar bijvoorbeeld de Belastingdienst. Dat zou betekenen dat je niet alleen je eigen informatiestromen, maar ook de informatiestromen van toezichthouders moet gaan analyseren. Onbegonnen werk.” De rol van bedrijfsjuristen binnen dit hele verhaal is aanzienlijk. Van den Bosch: “Omdat wij weten hoe het met weten regelgeving is gesteld en het veelal om dreigingen van juridische procedures gaat, hebben we een belangrijke rol in het bepalen van de richtlijnen. Bedrijfsjuristen die niets van IT weten, lijken dan ook een uitstervend ras te gaan vormen. De vrees voor rechtszaken is de afgelopen jaren alleen maar toegenomen. Record management past in het bredere kader van informatiemanagement: essentieel voor een goede bedrijfsvoering. In deze economisch mindere tijden krijgt het wellicht niet de aandacht die het zou moeten krijgen. Toch zullen bedrijven enorme spijt krijgen als er eenmaal een groot incident plaatsvindt door slecht record management.”

32


33


De stap om te gaan uitbesteden moet weloverwogen zijn Kay Behnke, NXP

Bij het uitbesteden van het beheer van IT systemen en applicaties, worden in toenemende mate bedrijfsgegevens opgeslagen op locaties buiten de bedrijfsinterne IT-infrastructuur. Servers bevinden zich aan de andere kant van de wereld, en in sommige gevallen is het zelfs helemaal niet bekend wat de exacte locatie van de gegevens is. Bedrijven verliezen op deze manier de controle over hun gegevens en het risico dat deze hierdoor op straat komen te liggen wordt groter. De verantwoordelijkheid voor deze gegevens blijft echter bij het bedrijf en toezichthouders houden het bedrijf verantwoordelijk voor elk incident. “Uitbesteden? Eerst alle informatiestromen in beeld brengen en de risico’s afwegen.” Binnen een kantooromgeving kan er redelijk zicht worden gehouden op de verschillende informatiestromen, teneinde gevoelige informatie binnenshuis te houden. Zodra er echter plannen zijn om de gegevens elders op te slaan, is er een scala aan risico’s dat beoordeeld moet worden, voordat hierover een beslissing kan worden genomen. Kay Behnke, Information Security Officer bij NXP, houdt zich dagelijks bezig met dit soort issues, samen met IT, Legal en Compliance. “Bij uitbesteding verlies je een stuk controle. Een gedegen afweging van risico’s is daarom essentieel.” Kay Behnke is Director of Risk, Security, Compliance & Quality (RSCQ) en Information Security Officer bij chipfabrikant NXP Semiconductors (NXP). In de praktijk betekent dat opereren op het snijvlak van business, Legal, Compliance en IT en bij alle nieuwe IT-projecten nagaan op welke manier de risico’s het beste kunnen worden afgedekt kunnen worden onder de voorwaarden die door de business zijn gesteld. Behnke en zijn afdeling nemen IT-projecten onder de loep, kijken welke impact ze hebben op NXP en welke security en Compliance risico’s ermee gemoeid zijn. Naast het schakelen met de business om risico’s proactief en reactief af te dekken, is er veel samenwerking met Legal en Compliance. Hoe zorgt Behnke ervoor dat hun wensen ook in de IT tot uiting komen? Welke informatie blijft binnenshuis, en welke informatie kan buitenshuis opgeslagen worden? “Laat ik beginnen met de opmerking, dat

34


de samenwerking met Legal de afgelopen jaren zeker is toegenomen”, aldus Behnke. “Dat heeft alles te maken met de keuze bij NXP om een deel van de data en gegevens extern op te slaan. De informatiestromen binnen het bedrijf en naar buiten toe hebben een enorme vlucht genomen. Samen met onze bedrijfsjuristen en onze collega’s van IT architectuur hebben we richtlijnen opgesteld om de security en Compliance risico’s op een pragmatische en efficiënte wijze te beoordelen. Zodra je namelijk IT-diensten gaat uitbesteden, verlies je een stuk controle en dat kan weliswaar voor een gedeelte, maar zeker niet voor alle data. In de praktijk betekent dat een scheiding van de soorten informatie. Een aantal zeer belangrijke onderdelen, zoals ERP en R&D, willen wij op dit moment nog intern houden. Hetzelfde geldt ook voor de gegevens in het productieproces, maar voor een andere reden: technici moeten uit oogpunt van performance de systemen en de gegevens die de productie mogelijk maken ook fysiek in de buurt hebben. Anders ligt het bij zaken als document management systemen die door alle medewerkers worden gebruikt en waar vanuit de business grotere eisen aan de toegang vanuit verschillende omgevingen en (mobiele) systemen gesteld worden. Hier ligt het eerder voor de hand om deze buiten de eigen bedrijfsomgeving op te slaan. Op basis van de opgestelde richtlijnen kunnen wij nu snel een uitgebreide evaluatie maken van de verschillende beschikbare (cloud) oplossingen.” De samenwerking met Legal is en blijft belangrijk, voornamelijk in het beoordelen van de contracten met cloud suppliers. Behnke: “Legal heeft een aantal richtlijnen opgesteld ten aanzien van dataopslag en -verkeer. Voor kleinere bedrijven kan ik me voorstellen dat hun eigen data in bepaalde gevallen veiliger is bij een externe opslag. Voor NXP hebben we heel zorgvuldig de risico’s afgewogen: externe opslag betekent namelijk altijd het inleveren van controle over de toegang op je gegevens. Het feit dat de Amerikaanse overheid onder bepaalde omstandigheden kan beschikken over data die in data centers van een Amerikaanse supplier is opgeslagen, telde voor ons minder mee; veel van onze bestuurders zijn Amerikaans en we zijn ook aan de NYSE genoteerd. Uiteindelijk komt het neer op keuzes: hoe perk je je risico’s zoveel mogelijk in en zorg je toch voor aanzienlijke besparingen in de IT-infrastructuur.” Sociale controle Bij een chipfabrikant als NXP is er veel aan gelegen om bedrijfsgeheimen en intellectueel eigendom ook echt binnenshuis te houden. Dat kan middels slimme IT-oplossingen maar alleen voor een deel: het blijven mensen die vaak gegevens delen die niet gedeeld mogen worden. Behnke: “Veiligheid van informatie is voor 20 procent een technisch verhaal, voor 30 procent een organisatorisch verhaal en de andere helft is bewustwording en discipline van de medewerkers. Projectmanagers bij R&D vragen wij bijvoorbeeld hoe zij binnen hun project omgaan met IT-systemen en waar zij hun informatie allemaal opslaan. Het helpt enorm als er op bestuurdersniveau aandacht is voor de manier waarop medewerkers met informatie

35


omgaan en er op teamniveau een bepaalde sociale controle is en er een cultuur heerst waarop collega’s op hun gedrag kunnen worden aangesproken. Het nieuwe werken is een goede ontwikkeling en ook ik maak er regelmatig gebruik van. De uitdaging ligt hier in de balans zien te vinden in de flexibiliteit die medewerkers aan IT-systemen vragen, die buiten de kantooromgeving werken, en de mate van controle op dezelfde IT-systemen en de hierin opgeslagen informatie. ” Een bijkomende uitdaging in de beheersing van informatiestromen is volgens Behnke de vraag van klanten, die steeds sneller antwoord willen. “Een klant die over een paar maanden een bepaalde chip wil, eist soms binnen vier uur een antwoord op een e-mail. Doe je dat niet, dan kun je als leverancier buitenspel worden gezet. Medewerkers moeten dus zelfstandig kunnen handelen en dat kan alleen als er een grote mate van bewustwording heerst over de informatie die naar buiten kan.” Continuïteit productie Risicomanagement is in vele organisatieonderdelen van NXP verankerd. Een bijzonder voorbeeld is de risk assessment methodiek binnen de afdeling Purchasing. “Voor één chip wordt soms wel gebruikgemaakt van honderd verschillende elementen; goud, mineralen, kleefstof en plastic. Je dient er dus zorg voor te dragen dat het productieproces van onze chips niet in gevaar komt wanneer er een leverancier uitvalt. De verkoopafdeling heeft de leveranciers onderverdeeld in drie groepen: leveranciers die unieke producten leveren en waarbij NXP bijna de enige klant is, leveranciers die unieke producten leveren en die meer klanten dan alleen NXP heeft en leveranciers, die producten leveren die NXP ook van andere leveranciers kan verkrijgen. Op basis van een inventarisatie van alle leveranciers kom je tot een bepaald risicoprofiel van een product. Unieke leveranciers wil je zoveel mogelijk voorkomen. Andere factoren die de continuïteit van productie in gevaar brengen, zijn onvoorspelbare incidenten zoals bijvoorbeeld de kernramp in Japan of de overstromingen in Bangkok. Er moeten scenario’s uitgewerkt zijn voor het geval bepaalde leveranciers ineens niet meer kunnen leveren. Dat geldt uiteraard ook voor IT-systemen.” Terwijl IT steeds meer een ‘commodity’ wordt, ziet Behnke nog wel een toekomst van IT als een aparte afdeling binnen een bedrijf. Echter, de samenwerking met de business en de integratie met de bedrijfsprocessen zullen hierbij belangrijke factoren zijn.. “De uitdaging voor bedrijven de komende jaren, ligt daarbij in het begrip dat er van IT-systemen is bij de rest van de business. Op heel veel gebieden neemt IT nu beslissingen die eigenlijk niet bij IT zouden moeten liggen. Een voorbeeld? Hoe moeten wij de continuïteit van de datacenters waarborgen in het geval van een calamiteit? Hoe borgen wij de eigenaarschap van de bedrijfsgegevens in een cloud applicatie? Bij NXP wordt er bij outsourcing-contracten en privacy-issues goed geschakeld tussen Legal en IT. Zo hebben we bij alle nieuwe contracten die worden gesloten, een assessment voor leveranciers met hele duidelijke richtlijnen

36


waaraan zij moeten voldoen. Privacy gaat de komende jaren zeker een grotere rol spelen. Toezichthouders, maar ook media, stellen nu al hele gerichte vragen over zaken waar andere bedrijven wellicht nog niet over nagedacht hebben. Ik kan iedereen aanraden om dit soort zaken multidisciplinair aan te pakken.”

37


IT-advocaten over privacy, dataopslag en retention: de praktijk is weerbarstig Wolter Wefers Bettink en Thomas de Weerd, Houthoff Buruma

Steeds meer gegevens, bedrijfsinformatie maar ook informatie van klanten, worden in de cloud opgeslagen. Een bedrijf valt ten prooi aan een hacker, met hoge sancties en een niet te repareren reputatieschade tot gevolg. De besparingen die outsourcing oplevert, zijn echter ook niet te missen. Hoe vind je de balans tussen kostenbesparing en risicobeheersing? “Privacywetgeving zal een grote invloed op de wijze van dataopslag en ontsluiting krijgen.” Door de opkomst van dataopslag in de cloud en het digitaal bewaren van enorme hoeveelheden gegevens, groeit ook het gevaar op het schenden van privacywetgeving. Wolter Wefers Bettink en Thomas de Weerd, beiden advocaat en IT-specialisten bij Houthoff Buruma, zien een weerbarstige praktijk met moeilijk implementeerbare regels, terwijl de boetes op overtreding steeds hoger worden. “Privacywetgeving moet wel werkbaar blijven in deze digitale tijden. Opslag en bewaren van informatie komt steeds meer bij Legal te liggen.” Cloud-oplossingen betekenen voor veel bedrijven een enorme besparing op IT-kosten en een sterke verbetering van systemen. Wefers Bettink: “Gegevens staan niet langer in een kelder opgeslagen, maar worden efficiënt opgeslagen op servers die over de hele wereld kunnen staan. Veel bedrijven zijn al gedeeltelijk over op de cloud, anderen zullen volgen. Met name vanwege privacy- en Compliance-aspecten is het belangrijk te weten waar de gegevens belanden. Legal Counsel hebben met deze ontwikkeling te maken, omdat het directe invloed heeft op het risicomanagement binnen een bedrijf.” Wanneer data over de hele wereld kunnen worden opgeslagen roept dat fundamentele vragen op, vooral als daarbij persoonsgegevens zijn betrokken. Dat is al gauw het geval: iedere mailbox bevat een grote hoeveelheid persoonsgegevens, zoals namen, telefoonnummers en e-mailadressen. Voor Legal Counsel is het van groot belang om voldoende controle over de gegevens te houden, zodat aan alle wettelijke verplichtingen voldaan wordt. Vragen over welke privacyregels van toepassing zijn, welke eisen gelden als gegevens de Europese grenzen

38


overgaan en of een buitenlandse toezichthouder toegang kan krijgen tot de gegevens als deze op een server in zijn land staan, komen dan al snel op. Daarom dienen er volgens Wefers Bettink bij de beslissing over cloud computing een aantal fundamentele knopen te worden doorgehakt. “De keuze voor een provider die in Europa opslaat betekent misschien minder kostenbesparing, maar is uit privacy- en Compliance oogpunt eenvoudiger. Er kan onderscheid worden gemaakt in de soort informatie die extern wordt opgeslagen. Als er geen persoonsgegevens bij zitten zijn privacyregels niet van toepassing.” De Weerd vult aan: “Daarbij is het goed om te beseffen, dat in de afspraken die je met leveranciers van cloud-diensten maakt, veelal geen harde garanties voor beschikbaarheid en behoud van data zijn opgenomen Er is altijd een zeker risico verbonden aan het extern opslaan van data. Dat risico moet je afwegen tegen de kostenbesparing die er bij komt kijken. Outsourcing van zaken rondom IT levert vaak grote kostenvoordelen op, die een gedeeltelijk verlies van de controle goed kunnen maken. Het moment dat je besluit om gegevens buiten het bedrijf op te slaan, ben je de directe controle meestal kwijt. Het is vaak ook onduidelijk hoe eenvoudig het is om gegevens weer uit de cloud te halen, te ‘insourcen’ als het ware. Differentiatie van informatie is bijzonder belangrijk. Gevoelige informatie behandel je anders dan reguliere data en bepaalde gegevens wil je altijd in huis houden.” Retention Niet alleen de locatie van dataopslag is belangrijk; ook over de periode van opslaan dient goed nagedacht te worden. Thomas de Weerd: “Los van de discussie of data wel of niet in de cloud worden opgeslagen groeit de omvang van de gegevens exponentieel. Daarmee stijgen ook de kosten. Voor een deel is het bewaren een wettelijke verplichting; boekhouding en fiscale gegevens moeten 7 tot 10 jaar worden bewaard. Veel data kunnen echter al veel eerder worden vernietigd. De privacywetgeving verplicht zelfs om data niet langer te bewaren dan noodzakelijk is voor het doel waarvoor de gegevens werden verzameld. Het is een lastige klus om te bepalen welke data veilig kunnen worden weggegooid en onder druk van het dagelijkse werk wordt dat in veel gevallen niet gedaan. Wanneer vroeger een papieren dossier werd gearchiveerd werden de dubbele documenten eruit gehaald. Nu vind je in een elektronisch dossier vaak twee of drie keer dezelfde e-mail met bijlagen.” Er is dan ook veel te zeggen voor een bedrijfsbrede data retention policy, met richtlijnen voor het opschonen van mailboxen en elektronische dossiers. Dat heeft mogelijk nog een ander voordeel. Wefers Bettink: “Wij zien dat bedrijven in toenemende mate betrokken raken in civiele procedures in de Verenigde Staten en Engeland. Een onderneming kan dan op basis van een ‘discovery order’ verplicht worden alle relevante gegevens te overleggen aan de wederpartij en de rechter. Iets dergelijks gebeurt ook bij onderzoeken door buitenlandse toezichthouders

39


zoals de FTC in de VS en de SFO in Engeland. Als er documenten of mails zijn verdwenen, kan dat leiden tot hoge boetes en het verliezen van de zaak. Is dat gebeurd ter uitvoering van een logische en consequent toegepaste data retention policy dan is dat in veel gevallen een acceptabel verweer. Ook om die reden is het belangrijk om serieus werk te maken van intern beleid op het gebied van het bewaren en vernietigen van gegevens. Een discovery order van een Amerikaanse rechter is voor een onderneming al geen pretje. Bij gebrek aan goede richtlijnen voor het bewaren en vernietigen van gegevens kan het echter al snel een hoofdpijndossier worden.” De huidige regelgeving, die is gebaseerd op een Europese richtlijn, geldt voor zeer uiteenlopende gegevens. Iedere onderneming slaat gegevens van onder meer werknemers, klanten, en prospects op die verwerkt worden in het kader van de dagelijkse bedrijfsuitoefening. Uitgangspunt van de privacywetgeving is dat de betrokkenen goed moeten zijn geïnformeerd over wat er met hun gegevens gebeurt. Bovendien moet de onderneming een rechtmatig belang hebben bij de verwerking van de gegevens. Zodra het om gevoelige gegevens gaat, bijvoorbeeld medische gegevens, gelden bijzondere voorwaarden. Dat geldt bijvoorbeeld ook voor het invoeren van een klokkenluidersregeling, zegt Wefers Bettink. “Je hebt dan te maken met potentieel strafbare feiten die worden gemeld. Die moeten uiterst vertrouwelijk worden behandeld om de privacy van de werknemers te waarborgen. Ook notulen van bestuursvergaderingen en zelfs interne memo’s kunnen persoonsgegevens bevatten en daarmee onder de werking van de privacywetgeving vallen.” De Europese privacywetgeving maakt het relatief eenvoudig om binnen Europa persoonsgegevens uit te wisselen of binnen een onderneming centraal op te slaan. Zodra gegevens naar andere landen gaan moet aan extra voorwaarden worden voldaan. Het gaat erom dat de waarborgen die in Europa gelden niet worden omzeild. Ook hier gelden voor gevoelige gegevens strengere regels. De Weerd: “De aandacht ligt de laatste tijd vooral ook op de grote hoeveelheden gegevens die worden verzameld door middel van websites en online dienstverlening. Die ontwikkelingen zijn een belangrijke reden geweest dat de Europese Commissie begin 2012 een voorstel voor een nieuwe Europese privacyverordening heeft gelanceerd. Daardoor zullen in alle lidstaten dezelfde regels gaan gelden. Dat is nu niet altijd het geval. “ Sense of urgency Het privacy-aspect van dataopslag zal de komende jaren steeds meer aandacht krijgen, verwacht Wefers Bettink. “De komende Europese verordening leidt ook tot verdere aanscherping van privacy-regels, met serieuze boetes. Die sanctiebepalingen zorgen voor een grotere sense of urgency over privacy binnen veel ondernemingen, allereerst bij de bedrijfsjurist die Compliance-

40


risico’s moet inschatten. Onder de huidige privacywetgeving kunnen toezichthouders vrijwel geen boetes opleggen. Een bedrijf kan wel reputatieschade oplopen doordat er een onderzoek wordt gedaan naar de manieren waarop met privacy wordt omgegaan. Toezichthouders hebben echter slechts zeer beperkte middelen om alle taken uit te voeren en de aandacht gaat daarom uit naar bedrijven die veel persoonsgegevens verzamelen, zoals Google en Facebook. Onder de nieuwe Europese verordening kunnen ook voor relatief eenvoudige overtredingen van de regels forse boetes worden opgelegd, bijvoorbeeld bij datalekken.” De Weerd: “Beveiliging van gegevens wordt bij veel ondernemingen serieus genomen. Websites zijn echter vaak het zwakke punt. Hackers proberen websites binnen te dringen, maar ook cybercriminelen zijn steeds actiever. Datalekken komen snel in het nieuws, hetgeen flinke reputatieschade tot gevolg kan hebben. Recent was er bijvoorbeeld een ziekenhuis in Gouda waarvan de gegevens van 493.000 patiënten door een vrij eenvoudige hack via internet toegankelijk bleken te zijn. Ook zijn er de nodige voorbeelden van creditcardgegevens die uitlekken. Dat heeft vaak verder strekkende gevolgen voor de betrokken bedrijven dan voor de kaarthouders. Die worden meestal gecompenseerd, maar het bedrijf kan de reputatieschade nog jaren meedragen.” Wefers Bettink besluit: “Ook als ondernemingen een goed beveiligingsbeleid hebben blijkt de uitvoering niet altijd voldoende te zijn. Privacy en beveiliging moeten hand in hand gaan. Door de zware sancties in de nieuwe Europese verordening zal dit onderwerp bij veel bedrijven hoog op de bestuursagenda komen te staan.”

41


Bij disclosure is het de vraag: hoe duur is onredelijk? John Payton

Het naar boven halen van data uit het verleden wordt met de moderne softwaresystemen steeds makkelijker. Rechters weten dat ook en doen in toenemende mate een beroep op bedrijven om data in te brengen in een rechtszaak. Een bedrijf dat hierom gevraagd wordt en bepaalde gegevens niet meer heeft, moet ook kunnen aantonen dat het redelijk is dat die gegevens er daadwerkelijk niet meer zijn en dat zij niet zijn ‘kwijtgemaakt.’ Dat vereist volledige ontsluiting van alle data en zelfdiscipline waar het om bewaartermijnen en het vernietigen van gevoelige data gaat. “Goed informatiemanagement ofwel ‘Information Governance’ begint bij een volledig overzicht van aanwezige data in een bedrijf.” Het bewaren en ontsluiten van data is een groeiend probleem voor de BV Nederland. De term ‘Big Data’, ofwel enorme hoeveelheden data waar geen controle meer over is, valt daarbij vaak. Hoe kunnen de enorme hoeveelheden aan elektronische informatie hanteerbaar blijven? Disclosure, ofwel ontsluiting van data, wordt langzamerhand een belangrijke business driver. John Payton, specialist op het gebied van e-Discovery en al sinds 1985 werkzaam in dit vak, eerst bij Philips en sinds 1992 als consultant, denkt dat juristen zich meer met IT moeten gaan bezighouden. “Je moet het begrijpen om te kunnen beoordelen. De ontwikkelingen gaan ontzettend snel.” Payton, van huis uit Amerikaans jurist, werkt al bijna drie decennia met deze problematiek en heeft zich, naar eigen zeggen, ook al drie keer opnieuw moeten uitvinden. Binnen Philips adviseert hij binnen twee kaders: een strategisch kader waarin hij probeert ervoor te zorgen dat alle gegevens die in het bedrijf aanwezig zijn, op een zo goed mogelijke manier te ontsluiten zijn en een tactisch kader, waarin hij allerhande diensten verleent bij acute gevallen. Payton is nauw betrokken bij de aanschaf en implementatie van nieuwe IT-systemen, waarbij hij vooral kijkt naar de mogelijkheden om informatie te onttrekken en managen, ofwel de e-Discovery-readiness. De ontwikkelingen in IT volgen elkaar in hoog tempo op en trekken een zware wissel op de IT-afdeling, maar ook op bedrijfsjuristen. Meest recente, grote ontwikkeling is de integrale

42


overgang van papieren dossiers en archieven naar een volledig elektronische omgeving. Opslag vindt in de cloud of op servers in eigen beheer plaats en papieren archieven verdwijnen steeds vaker uit beeld. Payton: “Die ontwikkeling is sinds 2003 echt ontzettend snel gegaan. Bedrijven proberen bij te blijven door fors te investeren in infrastructuur, maar om gegevens ook te kunnen ontsluiten is naast verstand van de huidige technologie, ook ervaring met vroegere systemen nodig. Wanneer je immers toegang wilt tot elektronische data uit 1992, heb je te maken met ontsluitingsapparatuur uit die tijd, voor zover die nog bestaat. Bij Philips werd tot vier jaar geleden bijvoorbeeld nog Lotus Notes gebruikt voor e-mail, dat centraal opgeslagen werd via enorme tape-drives. Om aan toekomstige eisen van Amerikaanse rechters te kunnen voldoen, hebben we die op een bepaald moment gekopieerd en in dozen gezet, om te voorkomen dat data gewijzigd zouden kunnen worden. De machines die die tapes kunnen lezen, zijn er echter niet meer. Je hebt dan te maken met data die niet meer toegankelijk is. Inmiddels hebben we het overgezet op servers, maar het betreft wel zo’n 100 terrabyte. Het ontsluiten daarvan duurt lang en is duur. De vraag die bij disclosure naar voren komt is vaak: hoe duur is onredelijk?” Door rechters, toezichthouders en andere externe partijen wordt steeds meer informatie gevraagd, volgens Payton omdat de mogelijkheden om aan specifieke gegevens te komen sinds de digitalisering ook zijn toegenomen. “Zoek- en analyseprogramma’s voor data worden steeds krachtiger. De vraag hoeveel geld een bedrijf hieraan moet uitgeven, is dus steeds relevanter. Rechters volgen de ontwikkelingen ook en zien dat wat vijf jaar geleden een onredelijke eis was, inmiddels niet meer onredelijk is. Vandaar dat je de ontwikkelingen op de voet moet blijven volgen en constant de afweging moet maken: tot waar ga ik met het bewaren en ontsluiten van gegevens?” EDRM Idealiter streeft Payton naar een volledig EDRM-model (Electronic Discovery Reference Model – zie ook: www.edrm.net), waarbij alle mogelijke informatie is gedigitaliseerd en op de meest optimale manier wordt beheerd en ontsloten. IT is verantwoordelijk voor het verzamelen van data, daarbij geholpen door juristen en financiële specialisten binnen de organisatie. De eerste stap in een volledig EDRM-model is informatiemanagement maar dat wordt door organisaties meestal als laatste stap gedaan”, aldus Payton. “Zelfs bij Philips, dat op dit gebied zeer voorop loopt, zijn we nog niet volledig toe aan informatiemanagement. De business case is duidelijk, maar je dient alle systemen en software aan elkaar te koppelen en alle informatiestromen aan één systeem op te hangen. Dat betekent extra mensen, FTE’s, waarvan je de kosten-batenanalyse analyse niet direct kunt opstellen. Wanneer je e-Discovery gedegen wilt aanpakken, dien je er een volledige afdeling voor op te tuigen. Vroeger had elk bedrijf de archivarissen: die zijn inmiddels weg en vervangen door allemaal kleine privé-archivarissen in de vorm van individuele werknemers. Voor ons is het daarom vooral van belang om te weten

43


waar de informatie zit en om bij alle medewerkers te hameren op discipline ten aanzien van het bewaren van data. Vroeger zaten alle dossiers in de kast in dozen. Op een gegeven moment werd de kast te vol en gingen mensen denken, wat kan er weg. Die automatische opschoning is er niet meer.” Centraal beleid op dat punt is daarom noodzakelijk. Payton: “Hoe lang bewaar je een e-mail, welke e-mails bewaar je, dat zijn wezenlijke vragen. De twintig e-mails die nodig zijn om een groepsafspraak in te plannen, kunnen direct weg. Is er echter communicatie omtrent een specifieke order, dan heb je in feite een bindend contract. Het gaat dus niet om de e-mails, maar om de inhoud. Dat maakt informatiemanagement zo moeilijk en daar moet je hele duidelijke richtlijnen voor opstellen. Wanneer er een rechtszaak loopt, heb je te maken met Legal hold: er mag geen materiaal kwijtraken dat relevant is voor die specifieke rechtszaak. Allemaal zaken die e-Discovery tot een grote uitdaging maken.” Payton kiest er bewust voor de verantwoordelijkheid voor het bewaren en ontsluiten van e-mails niet bij één centrale afdeling, maar bij de afdelingen en werknemers zelf te leggen. “De productontwikkelaars weten zelf het beste welke e-mails en dossiers de moeite van het bewaren waard zijn. Financials en juristen ondersteunen, maar niet meer dan dat. De periode dat gegevens bewaard moeten worden verschilt ook per bedrijfsonderdeel: voor medische apparatuur is dat weer langer dan voor gloeilampen en verschillende landen vereisen ook een verschillende aanpak. Je kunt niet van Legal verwachten dat allemaal bij te houden. Die verantwoordelijkheid hebben mensen zelf, weliswaar met advies en ondersteuning van Legal.” Cloud computing De manier waarop data wordt bewaard, is wel een gecombineerde verantwoordelijkheid van IT en Legal. Payton: “Cloud computing heeft een enorme vlucht genomen en elk bedrijf maakt voor zichzelf uit in hoeverre de gegevens in de cloud opgeslagen worden. Philips besteedt het bewaren van elektronische data uit, maar wel op Philips dedicated serverparken van één derde partij, op elk continent een aantal. In eerste instantie is dat vanwege bescherming tegen hackers: een reëel gevaar. We kunnen daarnaast door het in eigen beheer te houden, optimaal garanderen dat onze data ook binnen het bedrijf blijft. Op dit moment zijn externe clouds nog veilig: bedrijven die clouds beheren weten zelf ook niet over welke informatie ze beschikken, hebben geen toegang tot ontsluiting. Ik kan echter niet voorspellen of dat ook zo blijft. De overheid in de Verenigde Staten zegt in bepaalde gevallen al: alles op ons grondgebied is ook deels ons eigendom. Het is maar de vraag hoe cloudeigenaren daar in de toekomst mee om gaan. Je kunt natuurlijk goede afspraken maken, maar bij een bedrijf als Philips dat de grootte heeft om alles in eigen beheer te houden, doen we dat dus ook liever zelf.”

44


De toegankelijkheid van informatiesystemen ziet Payton als één van de grootste uitdagingen voor de komende jaren. “SAP bijvoorbeeld is een goed systeem, maar het zit heel eigenaardig in elkaar. Om alle verschillende data te kunnen ontsluiten is ontzettend veel expertise en overzicht nodig. Bedrijven zullen de komende jaren veel te maken hebben met processen van herstructurering, herfinanciering, afstoten van onderdelen en overnemen van andere bedrijven en bedrijfsonderdelen. De uitdagingen die dat oplevert voor informatiemanagement, zijn enorm. Wij streven naar e-Discovery readiness. Om dat te bereiken is in eerste instantie veel geld nodig maar later is daardoor ontzettend veel te besparen. De groeiende aandacht die er voor e-Discovery is, onder meer gedreven door de dreiging van e-Discovery-verplichtingen in rechtszaken, helpt ons een handje mee in het op de agenda krijgen van deze materie binnen het bedrijf.” Omdat er altijd een juridische component is bij het bewaren en ontsluiten van data, dienen bedrijfsjuristen zich volgens Payton te scholen in de mogelijkheden van IT. “Het kan niet anders zijn dan dat een Nederlands jurist meer kennis moet gaan krijgen van IT. Bewijsmateriaal, contracten, het bevindt zich niet meer in bureaulades maar is enkel elektronisch te vinden. Ik begrijp dat er een hoop disciplines zijn waar bedrijfsjuristen van op de hoogte dienen te zijn, maar IT en vooral de kansen en bedreigingen die dat biedt, zal de komende decennia één van de grote onderwerpen zijn. Moet je daar nu nog aan beginnen, dan ben je eigenlijk al te laat.”

45


Anti-corruptie hoort in de cultuur van bedrijven verweven te zijn Philippe Creijghton, Houthoff Buruma

Een directielid van een Nederlandse onderneming die in Amerika een aantal verkoopkantoren heeft, wordt door een Amerikaanse toezichthouder gemaand zich te melden in verband met een mogelijke omkopingszaak. In de Verenigde Staten is dat ‘bloody serious business’. Er wordt een team van specialisten op gezet, het directielid moet zich verantwoorden tijdens meerdere verhoren en hij wordt persoonlijk aansprakelijk gehouden voor het incident in zijn onderneming. Na afloop is voor het betrokken directielid één ding duidelijk: ‘dit nooit meer’. “Anti-corruptie hoort the tone at the top te zijn: liever proactief dan reactief.” Waar bedrijven het economisch moeilijk hebben, neemt de kans op bedrijfsfraude en omkoping toe. Justitie en toezichthouders in de Verenigde Staten richten hun vizier in toenemende mate op buitenlandse bedrijven, het Verenigd Koninkrijk lanceerde haar UK Bribery Act en ook in Europa neemt de roep om een level playing field, ofwel een eerlijk speelveld voor alle ondernemingen toe. Philippe Creijghton heeft veel ervaring op het gebied van corporate investigations en wat er allemaal bij onderzoeken naar fraude en omkoping komt kijken. Vooral in de VS zitten justitie en toezichthouders er bovenop en worden de boetes steeds hoger. Het is complexe materie die bij internationaal opererende bedrijven steeds meer aandacht krijgt. De UK Bribery Act die in 2010 werd geïntroduceerd en die nog een stap verder gaat dan de intussen beruchte Amerikaanse Foreign Corrupt Practices Act (FCPA), zorgt al een tijdje voor heel wat ophef. Net als bij de Amerikanen gaan ook de Engelse toezichthouders zich bemoeien met buitenlandse bedrijven. Philippe Creijghton houdt zich als partner bij Houthoff Buruma al langer bezig met interne onderzoeken bij grote fraude- en omkopingszaken en de advisering over de aansprakelijkheid van bestuurders en commissarissen. Volgens Creijghton is de Engelse wet verstrekkend, maar lijkt er voorlopig niet veel aan de hand. “Men heeft nog geen enkele zaak gestart; voorlopig kunnen we spreken van een papieren tijger. Dat kan binnen nu en een aantal jaren echter anders zijn en daarom doen vooral internationaal opererende bedrijven er goed aan om nu heel goed te kijken naar hun beleid op het gebied van de bestrijding van

46


omkoping en fraude en hun klokkenluidersregelingen. De UK Bribery Act is op bepaalde punten strenger dan de FCPA. Zo stelt de UK Bribery Act ook omkoping van privépersonen strafbaar en kan deze wet ook van toepassing zijn op gedrag van werknemers van bedrijven onderling. Extraterritoriale wetgeving zoals de FCPA en de UK Bribery Act kun je geen uitzondering meer noemen; ik verwacht op termijn nog meer van dat soort wetgeving met een internationaal bereik. Nederlandse bedrijven zijn bij uitstek cross-border bedrijven en dat maakt dat zij er zeker rekening mee moeten houden op een gegeven moment ten prooi te zullen vallen aan een onderzoek door justitie of een toezichthouder in het buitenland.” Level playing field Creijghton merkt dat de behoefte aan advies en ondersteuning bij dit soort onderzoeken, corporate investigations, de laatste jaren toeneemt. “Dat zijn meestal multidisciplinaire zaken; je kunt bijvoorbeeld te maken krijgen met strafrecht, aanbestedingsrecht, mededingingsrecht, overtredingen van Europese weten regelgeving, handelsembargo’s en aansprakelijkheidsvraagstukken. In de Verenigde Staten is men met de FCPA de laatste jaren vrij agressief aan het vervolgen. Met name buitenlandse ondernemingen die een handelsrelatie met de VS hebben lijken daarbij het slachtoffer. De dieper liggende gedachte achter deze wetgeving is: “We moeten een internationaal level playing field hebben. Dus niet alleen streng voor de eigen bedrijven, maar voor alle bedrijven die op Amerikaans grondgebied zaken doen. Komt het op een zaak aan, dan worden die meestal geschikt, met enorme boetes. In die zin vormt de handhaving van de FCPA regels ook een bron van inkomsten voor de Amerikaanse overheid. Bedrijven doen er beter aan te voorkomen dat ze met de FCPA te maken krijgen of in een omkopingsonderzoek te belanden. In de huidige situatie zou ik ze adviseren liever proactief te investeren in het op orde hebben van zaken ten aanzien van fraude en omkoping.” De kans dat bedrijven tegen de lamp lopen als zij intern met frauduleuze praktijken geconfronteerd worden, is misschien niet heel groot. Toch is een goed anti-corruptie beleid essentieel, betoogt Creijghton, omdat je te laat bent als je dit soort zaken pas gaat regelen op het moment dat een onderzoek tegen de onderneming wordt gestart. “Je wilt kunnen aantonen dat je er alles aan gedaan hebt om corruptie door je bedrijf te voorkomen. Wereldwijd groeit de weten regelgeving op dit punt, kijk alleen al naar de grote klokkenluiderszaken in Amerika. Ik verwacht niet dat we in Nederland ook klokkenluiders zullen gaan belonen, maar er komen wel steeds meer gedragsverplichtingen voor beleid inzake anti-corruptie. Je kunt workshops voor mensen in de business regelen, maar dit dient zeker ook op de agenda van het bestuur te staan, the tone at the top is essentieel. Anti-corruptie hoort in de cultuur van bedrijven verweven te zijn.” Creijghton is verschillende keren als adviseur bij een bedrijf geroepen dat te maken kreeg met verdenkingen van corruptie of fraude. Wat is er in zo’n situatie van belang? “Gesteund

47


door moderne software wil je de onderste steen naar boven krijgen en worden dossiers en e-mailboxen uitgekamd. Het belangrijkste is snel het lek boven water krijgen en daar adequaat op te reageren. In toenemende mate worden wij door Raden van Commissarissen ingehuurd; je ziet hun inmenging echt groter worden. Van oudsher opereren commissarissen vaak wat op de achtergrond, maar gedreven door onder meer risico’s van aansprakelijkheid groeit de betrokkenheid bij dit soort onderwerpen. De toekomst van een onderneming kan ervan afhangen. Risk Management is allang geen hobby meer voor de specialisten van de Complianceafdeling: het is iets dat op het niveau van de Raad van Bestuur en Raad van Commissarissen serieuze aandacht geniet. Allemaal om te voorkomen dat er schade en vooral reputatieschade ontstaat.” Ethical hackers Creijghton praat in verband met corporate investigation over de onderste steen boven halen. Het feit dat er bij het nazoeken van dossiers en computers ook privacy-issues meespelen, kan een extra complicatie met zich meebrengen. Creijghton: “Dat zeker. Niet alleen toezichthouders en bestuurders houden zich in toenemende mate bezig met het privacy-beleid van een onderneming, ook leveranciers en consumentenorganisaties zitten er bovenop. Het komt bijvoorbeeld steeds meer voor dat bedrijven zogenaamde ‘ethical hackers’ inhuren: specialisten die op verzoek proberen in te breken in websites van bedrijven en zo testen of bepaalde gegevens snel op straat kunnen komen te liggen. Cyber crime en de invloed daarvan op de bedrijfsvoering is een groot issue aan het worden voor bedrijven. Dat zijn typisch zaken die aandacht vragen”. De rol van de bedrijfsjurist binnen het kader van anti-corruptie beleid ziet Creijghton vooral in het agenderen van het onderwerp en afkadering. “Bedrijfsjuristen spelen een belangrijke rol bij het bepalen van de juridische kaders waarin een bedrijf opereert, wat wel en niet kan, maar ook hoe interne onderzoeken kunnen worden uitgevoerd zonder bijvoorbeeld privacyregels te schenden. Toen een aantal jaren geleden bij Siemens een gigantische, wereldwijde fraudezaak aan het licht kwam, werden er veel bijeenkomsten georganiseerd om nieuwe regels te introduceren om alles weer op de rit te krijgen. Die zaak was een levensbedreigende affaire voor Siemens. Wanneer je van tevoren goed beleid maakt en dit stelselmatig binnen de onderneming aan de orde stelt, dan kom je vermoedelijk minder snel in dergelijke situaties terecht. Verdenkingen van strafbare feiten zijn, zelfs als het bij een intern onderzoek blijft, altijd zeer belastend voor de onderneming. Na onderzoeken door justitie of toezichthouders zeggen bestuurders steevast: ‘dit nooit meer.’”

48


49


Bedrijven moeten klokkenluiders niet als bedreiging, maar als kans zien Joost Wiebenga, Tyco International

Gevraagd naar de interne problemen en conflicten binnen zijn bedrijf, stelt een bedrijfsjurist weinig meldingen van problemen te hebben en daarmee dus weinig interne conflicten. Ondertussen groeit echter de ontevredenheid bij een bepaalde medewerker en omdat er geen goede interne klokkenluidersregeling is, meldt die het op een gegeven moment bij de toezichthouder en pers. De interne mogelijkheden tot het melden van misstanden waren beperkt en daarom was er weinig zicht op wat zich werkelijk in het bedrijf afspeelde. “Klokkenluiders hebben het niet makkelijk in Nederland.” Waar klokkenluiders in veel andere landen grote bescherming genieten en soms zelfs beloond worden, worden zij in Nederland van oudsher vooral als verklikker neergezet. Volgens Joost Wiebenga, bestuurslid van Transparency International, dient er in Nederland een cultuuromslag te komen, richting een maatschappelijk verantwoord beleid dat ook klokkenluiders faciliteert. “Met een goede klokkenluidersregeling komen misstanden ook daadwerkelijk aan het licht. Daar zijn alle stakeholders uiteindelijk mee gediend.” Joost Wiebenga is bedrijfsjurist en Compliance & Ethics Officer bij Tyco International en bestuurslid van Transparency International, een wereldwijde non-profit organisatie gericht op het verhogen van de integriteit en het bestrijden van de ambtelijke en private corruptie. Wiebenga heeft goed zicht op de internationale ontwikkelingen op het gebied van klokkenluiders. Gevraagd naar de situatie in de Verenigde Staten, waarbij een klokkenluider onlangs ruim 100 miljoen dollar ontving, spreekt hij over de VS als uitzondering. “Onder de na de crisis ingevoerde Dodd-Frank Act is een bepaling opgenomen die klokkenluiders tien tot dertig procent van het teruggewonnen geld in het vooruitzicht geeft. Dat kan inderdaad tot forse bedragen leiden. In Nederland past die vorm van bounty hunting niet in onze cultuur, daar wordt met enige terughoudendheid naar de zaken in Amerika gekeken. Klokkenluiders worden hier niet beloond, maar de manier waarop we op dit moment met klokkenluiders omspringen kan wel verbeterd worden. Wanneer je de verschillende grote klokkenluiderszaken uit het verleden bekijkt, komen klokkenluiders er in Nederland altijd slecht vanaf.”

50


De Nederlandse loyaliteit en de afkeer van wat mensen betitelen als ‘klikken’, is daar volgens Wiebenga voor een groot deel debet aan. “Je wordt toch gezien als verklikker, of je iets nu alleen intern of later ook extern aan de kaak brengt. Een bedrijf is een omgeving die veelal gebaseerd is op cohesie, vertrouwen en een gezamenlijk doel. Wanneer iemand dat pact breekt, ook al is het doel uiteindelijk een beter bedrijf, accepteren wij dat niet. Uit meerdere onderzoeken blijkt dat Nederlanders het lastig vinden om in hun eigen homogene groep elkaar aan te spreken op negatieve zaken. Dan krijg je dus een zwijgcultuur. Voorbeelden waarbij klokkenluiders uiteindelijk naar buiten treden, zoals in bekende zaken bij academische ziekenhuizen of de bouwsector, leiden vrijwel altijd tot ontslag en wanneer via de rechter dat ontslag dan wordt teruggedraaid, is het nog maar de vraag hoe de klokkenluider vervolgens op de werkvloer wordt ontvangen.” Het bedrijfsleven is volgens Wiebenga ook lange tijd terughoudend geweest. “In de Code Tabaksblat uit 2003 voor beursgenoteerde instellingen is een bepaling opgenomen die klokkenluiders de vrijheid moet geven om misstanden aan de kaak te stellen, door hen goede bescherming te bieden. Die bescherming is erg belangrijk maar laat in de praktijk veel te wensen over. Met klokkenluiders dien je heel voorzichtig om te gaan: wanneer bekend wordt dat iemand aan de bel getrokken heeft, wordt diegene namelijk snel van alle kanten beschuldigd de reputatie van het bedrijf te bezoedelen en de werkgelegenheid van collega’s in gevaar te brengen. Een lastig dilemma, dat veel bedrijven oplossen door anonieme meldingen mogelijk te maken. Via een website bijvoorbeeld, waarna een onafhankelijke medewerker – een soort ombudsman- of vrouw – de klacht onderzoekt en rapporteert aan de audit committee van de Raad van Commissarissen. Toch loop je ook bij anonieme meldingen tegen een grens aan, omdat mensen die tijdens het onderzoek worden verhoord, vrij makkelijk kunnen herleiden waar een klacht precies vandaan komt, vooral in kleinere organisaties. Met als gevolg meestal een verstoorde werkrelatie of vertrouwensbreuk. Bedrijven die het klokkenluiden echt op een goede manier willen faciliteren, moeten streven naar een cultuuromslag. Wanneer het de cultuur is dat iedereen zijn mond houdt en er niets gemeld wordt, kom je ook met een goede regeling nergens.” Om die cultuuromslag te kunnen maken, dienen bestuurders het voortouw te nemen. Klokkenluiders zijn geen bedreiging, maar een inherent onderdeel van behoorlijk bestuur (good corporate governance) en maatschappelijk verantwoord ondernemen, vindt Wiebenga. “Met een goede klokkenluidersregeling komen misstanden ook daadwerkelijk aan het licht. Daar zijn alle stakeholders uiteindelijk mee gediend. Faciliteer je dat goed, dan worden zaken ook altijd eerst intern gemeld en verklein je de kans op premature inmenging van buitenaf. Ondernemers zijn nu vooral gericht op de hard controls: ERP-systemen, checks & balances, financieel management. De soft controls, de sociale aspecten van het werk, komen weinig aan de

51


orde maar ze kunnen ontzettend belangrijk zijn. Door intern de mogelijkheden tot het melden van misstanden te promoten voorkom je veel latere ellende. Bij bedrijven die beginnen met het faciliteren van anoniem klokkenluiden, schrikt het bestuur vaak van het aantal klachten dat ineens binnenkomt. Het is dan echter niet zo dat er ineens veel klachten zijn, maar dat die klachten eindelijk hun weg vinden naar mensen die ze op kunnen lossen. Liever dat, dan broeiende ontevredenheid bij werknemers of een tikkende criminele tijdbom. Bovendien kun je met een goede klokkenluidersregeling ook voorkomen dat je bedrijf in een rechtszaak beschuldigd wordt van nalatigheid. De Engelsen noemen dat adequate procedures. Gaat er iets mis, maar heb je er wel alles aan gedaan om zulke fouten zichtbaar te maken, dan wordt je minder snel op de vingers getikt. Tijdige self-disclosure bij de autoriteiten en een voorspoedig aanpak van het zelfreinigende vermogen van de onderneming kunnen mogelijk als juridisch verzachtende omstandigheden worden aangevoerd.” Wiebenga ziet een nadrukkelijk verschil tussen klokkenluiders die uit ethische overwegingen en te goeder trouw een misstand aan de kaak stellen en klokkenluiders die dat vanuit ontevredenheid of frustratie in het werk doen. “Klokkenluiders uit die tweede groep voelen zich bijvoorbeeld niet prettig op de werkvloer of zijn ontslagen en gaan vervolgens uit revanche te kwader trouw zaken aankaarten. Het is aan de mensen die de klachten behandelen, om daar doorheen te prikken, maar aan een klacht die pas na een ontslag wordt ingediend, kan zeker ook een daadwerkelijk misstand ten grondslag liggen. Hoe legitiem is een klacht en hoe zit het met de proportionaliteit van het middel ten opzichte van de aangevoerde klacht, in aanmerking nemende dat de aangeklaagde zich vaak moeilijk, althans initieel, kan verweren tegen een Compliance misstand? Hoe verhoudt zich dat tegen het principe dat men onschuldig is tot het tegendeel bewezen is?” In Nederland is sinds 1 oktober het Advies- en Verwijspunt Klokkenluiders geopend. Daar worden klachten van klokkenluiders bekeken en zo goed mogelijk doorverwezen naar de juiste instanties. Wiebenga: “Het is het begin van een onafhankelijk nationaal systeem voor klokkenluiders, maar juist in het verwijzen vind ik een tekortkoming doorklinken. Het doet zelf geen onderzoek. Er zijn op het moment meerdere instanties die zich op klokkenluiders richten. De Onderzoeksraad Integriteit Overheid is een onafhankelijk onderzoeksorgaan dat meldingen van integriteitsschendingen bij de overheid, waaronder defensie en politie, nader onderzoekt. Deze onderzoeksraad heeft tot doel bij te dragen aan een integere overheid en de bescherming van melders van integriteitsschendingen. Tevens zijn ambtenaren die een ernstig vermoeden van een misdrijf hebben, zelfs verplicht om aangifte te doen. ” Wanneer het initiatief wetsvoorstel Huis voor Klokkenluiders inderdaad in werking treedt komt er een Huis voor Klokkenluiders dat wordt ondergebracht bij de Nationale Ombudsman. Wiebenga:

52


“Het Huis voor Klokkenluiders is vooral handig voor MKB-bedrijven, waar klokkenluiders zich vaak geen raad weten met een klacht omdat er bijvoorbeeld maar 20 mensen in zo’n bedrijf werken. Nadeel is dat de anonimiteit van de klokkenluiders niet is gewaarborgd en de relatie met het Adviespunt aan duidelijkheid te wensen overlaat. Grotere bedrijven hebben vaak wel interne regelingen met een duidelijk escalatietraject en voldoende waarborgen voor klokkenluiders. Uiteindelijk zou ik het liefste zien dat de grote multinationals de kleinere bedrijven trainen in het beleid ten aanzien van Compliance in het algemeen en van klokkenluiders in het bijzonder. Dat gebeurt nu eigenlijk alleen via de supply chain: daarin wordt van leveranciers bijvoorbeeld naleving geëist op het gebied van mensenrechten, milieu, arbeidsomstandigheden en anti-corruptie. Meer samenwerking tussen grote en kleine bedrijven zou voor iedereen beter zijn. Grote fraudezaken als bij Ahold, Siemens, Enron en Parmalat hebben geleid tot meer voorzichtigheid. Zulke schandalen kosten alleen al aan adviseurskosten miljoenen euro’s, maar maken een bedrijf dat beseft niet nogmaals dezelfde fout te willen en kunnen maken uiteindelijk wel sterker. Een kleine jachtbouwer die voor het eerst een opdracht uit het Midden Oosten krijgt, weet echter niet of hij misschien in zeven sloten tegelijk loopt. Daar kunnen de grotere bedrijven een helpende hand bieden.” Hoe ziet Wiebenga de rol van bedrijfsjuristen in het faciliteren en beschermen van klokkenluiders? “Bedrijfsjuristen nemen bij voorkeur een proactieve rol aan. Zij maken duidelijk wat de rechten van klokkenluiders zijn, welke bescherming zij genieten en wat de zorgvuldigheidseisen van een klokkenluidersproces zijn. Daarnaast zie je toe op de naleving van procedures en neem je uiteindelijk mede de beslissing om een misstand ook naar buiten te brengen. De bedrijfsjurist waakt er ook voor dat reputaties van de diverse betrokkenen niet onnodig of onterecht beschadigd worden en dat de klokkenluider handelt vanuit zuivere motieven.” Op termijn zullen klokkenluiders ook in Nederland gezien worden als waardevolle verbeteraars van bedrijven, verwacht Wiebenga. “Bestuurders hebben er steeds grotere belangen bij dat misstanden ook echt aan het licht worden gebracht. Omvangrijke zaken als de bouwfraude-zaak hebben dat wel bewezen. De eerste klokkenluider die op handen gedragen wordt, moet echter nog komen. We zijn er nog niet in Nederland, maar het gaat wel de goede kant op.”

53


Het begint ermee dat vertrouwelijke informatie ook als zodanig moet worden herkend Jean Schreurs, NXP

Een commercieel medewerker van een bedrijf heeft op vrijdagmiddag een grote order binnengehaald, die de omzet van zijn afdeling in één keer verdubbelt. ’s Avonds bij een verjaardagsfeest, wanneer er over werk gepraat wordt, is hij enorm trots en vertelt over de banen en winsten die zijn succes zal opleveren. Wat de medewerker echter niet beseft, is dat deze vertrouwelijke informatie het bedrijf zelf en ook de order met de nieuwe klant, mogelijk in gevaar kan brengen. “Zonder te weten welke informatie er is, kun je onmogelijk controle houden op het binnenhouden van gevoelige informatie”. Bedrijfsgeheimen en overige vertrouwelijke informatie moet geheim blijven, maar hoe zorg je daarvoor in een steeds transparanter wordende bedrijfsomgeving en met een enorme stroom aan inkomende en uitgaande communicatie? Volgens Jean Schreurs, bedrijfsjurist bij NXP Semiconductors en voorzitter van het Nederlandse Genootschap van Bedrijfsjuristen (NGB), begint dat bij een identificatie van vertrouwelijke en, in sommige gevallen, koersgevoelige, informatie. “Voor bedrijfsjuristen is daarin een belangrijke taak weggelegd. Het vergroten van bewustzijn bij werknemers gaat hand in hand met het in het oog krijgen van vertrouwelijke informatie binnen het bedrijf.” Dat vertrouwelijke informatie niet naar buiten moet lekken, is evident. Het - ongecontroleerd lekken van informatie kan tot enorme problemen leiden, zoals reputatieschade en hoge boetes. Werknemers, aldus Schreurs, realiseren zich niet altijd dat de informatie waar zij mee werken, vertrouwelijk of zelfs beursgevoelig is. “Er zijn medewerkers die altijd met vertrouwelijke cijfers werken, of techneuten die beschikken over geheime procedés, of medewerkers die toegang hebben tot strategische plannen”, aldus Schreurs. “Die mensen zijn natuurlijk gewend om er met hun collega’s over te praten. Maar het kan zijn dat ze er zo aan zijn gewend dat ze wellicht - onbedoeld - ook wel wat laten vallen in hun privé-omgeving. Zij hoeven niet eens altijd in de gaten te hebben dat de buitenwereld die informatie waarover zij beschikken verdomd interessant vindt. Mede daarom heeft een goed bedrijf doorlopende trainingsprogramma’s

54


waar duidelijk gemaakt wordt wat er vertrouwelijk is, met wie je bepaalde informatie kunt delen en vooral met wie niet. Bij voorkeur hamert het management van een onderneming ook geregeld op dit soort zaken; dat helpt echt om het bewustzijn te vergroten.” Werknemers die bewust vertrouwelijke informatie naar buiten brengen zijn een zeldzaamheid. Het ‘onbewust lekken’ komt vaker voor. Toch moeten de gevolgen van ‘onbewust lekken’ niet worden onderschat; ook aan “onbewust lekken” wordt door de buitenwereld een etiket van onzorgvuldigheid gehangen. De gevolgen kunnen buitengewoon negatief zijn. “De noodzaak om bewuster met informatie om te gaan is in dat licht bezien groot”, aldus Schreurs. “Bedrijfsjuristen vormen daarbij een belangrijke schakel. Bij NXP schakelt de juridische afdeling veelvuldig met communicatie en wordt in de interne nieuwsbrieven veel aandacht besteed aan voorlichting en training. Waar dien je je aan te houden, welke nieuwe richtlijnen zijn er? De aloude regel dat alles dat je aan iemand schrijft in een e-mail of tegen iemand zegt, ook in de krant moet kunnen staan, is voor werknemers vaak tastbaar. Daarmee wakker je het bewustzijn aan, onder meer over het wel of niet in e-mails verwerken van vertrouwelijke informatie.” Informatievergaring door bedrijfsjurist Naast het creëren van bewustzijn en benadrukken van voorzichtigheid, ligt er voor bedrijfsjuristen een belangrijke taak weggelegd bij het verzamelen van informatie om een zo correct mogelijke weergave van de feiten te bewerkstelligen. Schreurs: “Wanneer een onderneming informatie naar buiten brengt, moet die correct en niet misleidend zijn. Daarom moet je voortdurend op zoek gaan naar informatie die eventueel naar buiten gebracht zou moeten worden. Neem bijvoorbeeld het extreme voorbeeld van een winstwaarschuwing door beursgenoteerde bedrijven. Je ziet nergens een memo liggen waarop staat: dit is een winstwaarschuwing. Je moet dus processen inrichten die ervoor zorgen dat waardevolle informatie ook zichtbaar wordt. Dat kun je bereiken door een disclosure committee op te tuigen: een combinatie van juristen, medewerkers van de financiële afdeling en communicatiemedewerkers die informatie verzamelen en beoordelen die je naar buiten zou moeten brengen. Zij kunnen ook de informatie die een onderneming naar buiten brengt van te voren beoordelen. Veel beursgenoteerde ondernemingen hebben zo’n commissie die regelmatig, soms zelfs twee keer per maand, bij elkaar komt om na te gaan of er nieuwe ontwikkelingen zijn en welke scenario’s er de komende tijd kunnen ontstaan. De bedrijfsjurist heeft daar in mijn optiek een zeer belangrijke rol. Hebben we hier eerder iets over gezegd? Mogen we deze informatie wel melden? Wat willen we met de huidige gegevens doen? NXP maakt bijvoorbeeld chips voor de automotive industrie. Als wij een overeenkomst met een autofabrikant sluiten voor het leveren van een chip in een bepaald model auto, hoe breng je dat dan naar buiten? Een winstvoorspelling is dan lastig te geven, omdat je nog niet weet hoeveel auto’s er van dat type verkocht gaan worden, en of het überhaupt wel een succes gaat worden.”

55


Welke informatie is koersgevoelig? Bij beursgenoteerde bedrijven als NXP kan er onderscheid worden gemaakt tussen vertrouwelijke en koersgevoelige informatie. Niet alle vertrouwelijke informatie zal van invloed zijn op de beurskoers van het aandeel. Beide informatiestromen vallen onder dezelfde controle en voor beide geldt een strikte vertrouwelijkheid. Het zal echter duidelijk zijn dat de normen rond koersgevoelige informatie strikter zijn en de gevolgen van ‘lekken’ ook veel groter. Daarnaast zullen medewerkers die met koersgevoelige informatie in contact komen ook veel eerder met vragen naar de bedrijfsjurist toekomen. Schreurs: “Beursgenoteerde ondernemingen hebben veelal aandelen- en optieplannen voor het personeel, dat daardoor ook in staat is om in aandelen te handelen. Werknemers hebben behoefte aan duidelijkheid, die willen weten wanneer ze in die aandelen kunnen handelen. Zou er in de buitenwereld al het idee bestaan dat werknemers met aandelen- en optiepakketten graag zouden handelen met voorkennis, dan wil ik dat misverstand graag uit de wereld helpen. Ik weet uit eigen ervaring dat het juist het tegenovergestelde is; werknemers willen absoluut voorkomen dat ze zelfs maar per ongeluk handelen met voorkennis. Ook daarom is het voor ons bedrijfsjuristen zo belangrijk om continu te monitoren welke informatie er voorhanden is. Wanneer mensen op mij afstappen en vragen of ze kunnen handelen in aandelen, kun je meestal niet direct ja of nee zeggen. Natuurlijk is het makkelijk om nee te zeggen, dan sluit je elk risico uit. Maar binnen een onderneming circuleert niet constant koersgevoelige informatie. Wij bedrijfsjuristen hebben daarin een sterk adviserende taak, maar medewerkers zelf nemen uiteindelijk de beslissing: handelen of niet. Het is ontegenzeggelijk waar dat medewerkers graag een zo concreet mogelijk advies van de bedrijfsjurist verlangen; zij willen vooral duidelijkheid.” Dat die beslissing lastig is, illustreert Schreurs aan de hand van een onderneming die in een overnametraject zit. “Wanneer is in het overnametraject het punt aangebroken dat de deal vrijwel zeker doorgaat? Een dag voor aankondiging, een paar weken voor aankondiging, of ten tijde van de eerste kennismakingsgesprekken? Theoretisch kun je natuurlijk zeggen, zodra er ergens onderhandeld gaat worden, is er sprake van koersgevoeligheid. Maar bedenk wel dat dit voor werknemers die met M&A te maken hebben zou betekenen dat zij nooit in aandelen mogen handelen en nooit hun personeelopties zouden kunnen uitoefenen. Met name grote beursgenoteerde ondernemingen hebben namelijk altijd wel een aantal overnametrajecten lopen en die onderhandelingen kunnen heel lang lopen. Soms duurt het wel een jaar, voordat overeenstemming is bereikt. Daarnaast heeft koersgevoeligheid ook te maken met de grootte van een onderneming. Voor de ene onderneming zal een overname van 100 miljoen euro niet koersgevoelig zijn, maar voor een andere betekent zo’n bedrag al een vertienvoudiging van de onderneming!”

56


Differentiatie tussen verschillende werknemers is bij het wel of niet toestaan van aandelenhandel van belang. De ene werknemer binnen een bepaalde afdeling heeft immers de beschikking over hele andere gegevens dan zijn collega. Schreurs: “Het is gebruikelijk om binnen een onderneming een groep insiders te benoemen, mensen die met enige regelmaat beschikken over vertrouwelijke en koersgevoelige informatie, en die aan bepaalde zogenaamde “geblokkeerde periodes” gebonden worden. Zo hebben wij van de 27.000 werknemers binnen NXP, er 350 aangewezen als insiders. Standaard mag er bij ons in de maand rondom de publicatie van cijfers, helemaal niet gehandeld worden. Buiten die periodes bekijk je het per persoon.” Volgens Schreurs is deze materie ook te complex en te individueel bepaald om er een eenduidig, eenvoudig protocol voor te ontwerpen. “Om dat te ondervangen, kom ik toch weer terug bij het geven van voorlichting”, zegt Schreurs. “Je kunt niet van iedereen verwachten dat ze weten wanneer er sprake is van koersgevoelige informatie of voorkennis. Wanneer er sprake is van handel met voorkennis zorgt dat zeer zeker voor enorme reputatieschade voor je bedrijf. Laat het duidelijk zijn: ‘onbewuste handel met voorkennis’ is net zo erg, of misschien zelfs nog erger, dan bewuste handel met voorkennis. Immers, iemand die bewust de regels aan zijn laars lapt kan op weinig sympathie rekenen en door de buitenwereld zal dit worden gezien als die ene rotte appel. Onbewust handelen met voorkennis betekent echter dat een collega tegen de lamp loopt zonder zich van enig kwaad bewust te zijn. Dat kan ernstige gevolgen hebben voor die collega, voor het bedrijf, maar ook voor de bedrijfsjurist. Er zal dan namelijk toch snel geconcludeerd worden dat wij als bedrijfsjuristen ons werk niet goed hebben gedaan.” De vraag rijst of bedrijfsjuristen met aandelen- en optiepakketten zelf eigenlijk nog wel in staat zijn om op enig moment te kunnen kopen of verkopen. Zij hebben immers de toegang tot alle informatie en weten vanuit hun functie exact waar informatiestromen vandaan komen. Schreurs: “Dat geldt voor sommige bedrijfsjuristen, maar natuurlijk ook voor het bestuur en andere managers. Aandelen en stock opties in je eigen bedrijf zijn natuurlijk een mooie en overigens ook volledig geaccepteerde beloning, maar voor sommigen zijn er inderdaad bar weinig momenten waarop je er iets mee kunt. Daarom kiezen bepaalde insiders er voor om maar helemaal niets te doen. Het enige veilige moment, zo wordt dan gedacht, is het moment van aftreden. Ik geloof echter dat er zelfs voor de grootste insiders veilige handelsmomenten zijn aan te geven.”

57


Fair disclosure speelt grotere rol bij M&A Willem de Nijs Bik, Houthoff Buruma

Een beursgenoteerde onderneming bevindt zich in het beginstadium van een overname, die bij doorgang kan leiden tot een verdubbeling van omzet, winst en werknemers. Bij het naar buiten brengen van informatie zullen de aandelenkoersen enorm stijgen, hetgeen niet alleen de waarderingen in de war brengt en de onderhandelingspositie van beide bedrijven beïnvloedt, maar indien de deal geen doorgang vindt tot enorme teleurstelling bij beleggers leidt. Het bestuur wil de deal zo lang mogelijk binnen de poorten houden. De bedrijfsjurist hamert op de regels rondom het naar buiten brengen van informatie, ofwel fair disclosure. Op welk moment wordt welke informatie naar buiten gebracht bij een overname? “Timing is essentieel bij fair disclosure.” Rond fusie- en overnameprocessen zijn de gevolgen van het uitlekken van vertrouwelijke informatie groot. Een deal kan niet doorgaan of de bedrijven die betrokken zijn kunnen op een later tijdstip door toezichthouders op de vingers getikt worden. Willem de Nijs Bik, advocaat en partner bij Houthoff Buruma, ziet daarnaast steeds vaker dat ondernemingen, bestuurders en andere betrokkenen aansprakelijk gesteld worden voor te vroeg, te laat of foutief verstrekken van informatie. “Binnen de dynamiek van een overnameproces is steeds meer aandacht voor fair disclosure. Timing blijft het essentiële onderdeel.” Begin 2012 zijn twee oud-functionarissen van Fortis, Jean-Paul Votron en Gilbert Mittler, door een rechtbank in Utrecht persoonlijk aansprakelijk gesteld voor de schade die beleggers hebben geleden door de teloorgang van de Nederlands-Belgische bank-verzekeraar. In de zaak die door zeven beleggers was aangespannen, oordeelde de rechter dat de twee oud-topmannen onjuiste informatie verstrekt hebben over hoe de onderneming er voor stond. Het was voor het eerst in Nederland dat er op deze gronden tot persoonlijke aansprakelijkheid werd geconcludeerd. Volgens Willem de Nijs Bik (die bij de zaak betrokken is) geeft de zaak, die nu in hoger beroep is, aan dat bestuurders van ondernemingen steeds grotere risico’s lopen bij het verkeerd naar buiten brengen van informatie. “Men wordt privé verantwoordelijk gehouden

58


voor zaken in de werksfeer. Enerzijds oordeelde de rechter dat koersgevoelige informatie rond ABN AMRO te lang werd vastgehouden, anderzijds werd, aldus de rechtbank, misleidende informatie rond de solvabiliteit van Fortis naar buiten gebracht. Er is duidelijk meer aandacht voor fair disclosure, ook bij rechters en toezichthouders. Ik ben benieuwd of er in de nasleep van de Fortis-zaak ook aandacht besteed gaat worden aan het risico op een bankrun. De ellende die een bestuurder op zijn hals haalt door (te) vroeg met informatie naar buiten te treden, is namelijk ook enorm.” Duivels dilemma Daarmee doelt De Nijs Bik op het massaal opnemen van spaartegoeden na negatieve berichtgeving, waardoor een bank kan omvallen. Bij bedrijven is een soortgelijk scenario denkbaar wanneer aandelen massaal worden verkocht en koersen kelderen. De Nijs Bik: “De roep om transparantie vanuit de samenleving is de laatste jaren gegroeid en transparantie is in veel gevallen een gegronde eis. Toch stelt dat bestuurders voor enorme uitdagingen. Om bij het voorbeeld van de bank te blijven: wanneer je spaarders te snel onrustig maakt, gaan zij hun geld massaal opnemen met een mogelijk omvallen van de bank tot gevolg. Dat stelt bestuurders voor een duivels dilemma. De afweging of informatie ook inderdaad naar buiten gebracht moet worden en welke informatie dat betreft, dient constant gemaakt te worden. Beleggers zitten er tegenwoordig bovenop en spannen bij de minste koersschommelingen al rechtszaken aan. In de Fortis-zaak kwam het e-mailverkeer tussen de Fortis-bestuurders, de afdelingen Legal en Compliance en de ondernemingskamer op straat te liggen. Daar heeft de rechter veel aan gehad. Het toont aan dat een heel gedegen informatiemanagement key is.” Volgens De Nijs Bik is het de vraag of beleggers gebaat zijn bij hele snelle disclosure. “Bij een bedrijf wordt door Legal, bestuur en communicatie een persbericht opgesteld met allerlei nuances: we zijn in onderhandeling met een bedrijf over een overname maar of het ook tot een deal leidt is niet bekend. Vervolgens staat in de krant dat het ene bedrijf het andere overneemt. Journalisten verkopen krantenkoppen, dat is hun professie. Van nuances blijft niets meer over en beleggers lezen de krantenkop, niet het persbericht. Dat probleem speelde ook bij de verkoop van Hollandsche Bank-Unie aan Deutsche Bank; al tijdens de onderhandelingen moest men naar buiten treden terwijl de deal nog helemaal niet zeker was. Dat maakt je onderhandelingspositie een stuk lastiger en daarbij haken andere potentiële kopers af.” Wanneer is een deal een deal? De vraag of informatie over een overname, volgens de wet naar buiten gebracht moet worden en wanneer, blijkt in de praktijk te verschillen per individuele zaak. De Nijs Bik: “Er is beperkte jurisprudentie over: de verantwoordelijkheid ligt altijd bij de onderneming zelf. In sommige andere landen kun je een verzoek tot uitstel van publicatie eerst laten testen bij de relevante

59


toezichthouders, in Nederland formeel niet. Wanneer is een deal echt een deal? Niemand kent alle feiten en op een zeer korte termijn moet er dan een beslissing komen. Bestuurders zijn meestal geneigd om een overname zo lang mogelijk geheim te houden. Voor bedrijfsjuristen, Compliance Officers en hun adviseurs is er dus een belangrijke rol weggelegd. Zij moeten met legitieme adviezen komen zodra het echt tijd is om naar buiten te treden. De afweging over welke informatie naar buiten gaat en welke informatie vooral niet, dient dan al gemaakt te worden. Communicatie tussen advocaten en cliënten wordt in beginsel beschermd. Interne mails, waarin koersgevoelige informatie wordt gedeeld, zijn echter een potentiële nachtmerrie. Je kunt werken met elektronische dossiers die beperkt toegankelijk zijn, maar een e-mail die per ongeluk bij de verkeerde persoon terechtkomt is bijna niet te voorkomen. Constant hameren op het belang hiervan, dat is het enige dat helpt. Geheimhoudingsplichten met bijbehorende boetesystemen worden de komende jaren nog belangrijker.” De eerder aangekaarte persoonlijke aansprakelijkheid bij overnames ziet De Nijs Bik als een groot aandachtspunt voor bedrijven de komende jaren. “Zowel in Nederland als daarbuiten wordt dit heel nauwlettend gevolgd. Ik vrees dat we hiermee hele bange en voorzichtige bestuurders creëren, waarbij het belang van de aandeelhouders zeker niet voorop komt te staan. Het is de vraag of bestuurders niet te snel persoonlijk aansprakelijk gesteld zullen worden: in mijn optiek moet er dan toch echt sprake zijn van persoonlijke ernstige verwijtbaarheid. Op dit moment blijven non-executives, zoals de Raad van Commissarissen, nog buiten schot. Leden van de RvC hebben echter ook een verantwoordelijkheid, waaronder het toezien op fair disclosure. Waar er twijfel bestaat, dienen zij in te grijpen en daarmee is het thema van fair disclosure ook actueler geworden. Eén van de verwijten die in disclosure-zaken gemaakt worden, is dat bestuurders en commissarissen eigenlijk te weinig weten van regels rondom fair disclosure. Wat is koersgevoelig? Wanneer mag ik publicatie uitstellen? Rechters besteden ook meer aandacht aan het kennisniveau van bestuur en RvC, dat wordt wel duidelijk uit de genoemde recente zaken. Een bepaalde basiskennis wordt kennelijk verwacht en die lat lijkt steeds hoger te liggen. General Counsel, Compliance Officers en externe adviseurs geven voorlichting waar nodig.”

60


61


Commissarissen vervullen een steeds actievere rol Robert Roelofs, ASML

De Raad van Commissarissen (RvC) heeft bestuurdersaansprakelijkheid en claimt de laatste jaren een steeds actievere rol. Bij de overname van Organon door het Amerikaanse MSD-Organon ging de RvC zelfs lijnrecht tegen de aandeelhouders in door het massaontslag dat was aangekondigd, te blokkeren. Wat is de rol van de RvC en waar ligt de grens van hun interventie? “Commissarissen zijn van nature niet-uitvoerende bestuurders, die de laatste jaren steeds intensiever betrokken raken bij de dagelijkse bedrijfsvoering. Er is echter een grens tot waar commissarissen zich nog kunnen bemoeien met het bedrijf.” Van een toezichthoudend orgaan met een handvol tamelijk standaard vergaderingen per jaar, is de Raad van Commissarissen bij ASML gegroeid naar een actief onderdeel van de bedrijfstop, dat bij zeer veel bedrijfsbesluiten betrokken is. Volgens Robert Roelofs, General Counsel en secretaris bij ASML, is die actievere rol typerend voor ontwikkelingen bij veel bedrijven. “Commissarissen zijn een wezenlijk onderdeel van de dagelijkse besluitvorming geworden. Hun kritische houding zorgt voor continue verbetering.” Robert Roelofs is General Counsel en Secretary of the Company bij hightechbedrijf ASML en vervult die rol al sinds 1997. In de vijftien jaar dat Roelofs bij ASML werkt, is de chipmachinefabrikant uitgegroeid tot één van de belangrijkste leveranciers voor de semiconductor industrie wereldwijd. Recente investeringen van ruim vijf miljard euro door Intel, TSMC en Samsung met verregaande R&D-samenwerking zijn met recht een groot succes te noemen. De overname van het Amerikaanse laserbedrijf Cymer voor bijna 2 miljard euro die daarop volgde, was de grootste ooit in de geschiedenis van ASML. De rol van de Raad van Commissarissen (RvC) heeft Roelofs sinds zijn aantreden in 1997 sterk zien veranderen, van een op de achtergrond adviserende rol naar een meer bepalende rol. Als bestuurssecretaris en secretaris RvC heeft hij altijd een rol van intermediair tussen RvC en de Raad van Bestuur (RvB) vervuld, naast een raadgevende rol die hij als General Counsel voor beide organen vervult. Roelofs: “Ik denk dat het voorbeeld van ASML heel goed past in de tendens die je de laatste tijd ziet: commissarissen tillen veel zwaarder aan hun rol binnen

62


het bedrijf, worden kritischer naar de RvB toe, willen meer informatie en willen die informatie ook eerder. Toen ik net begon bij ASML, bestonden de contactmomenten met de RvC uit zo’n zes vergaderingen per jaar waarvan de agenda min of meer vaststond. Dat beeld is compleet veranderd. Inmiddels hebben we ca. 30 geplande meetings per jaar: meetings met de voltallige RvB en RvC samen, meetings van de 4 RvC subcommittees, conference calls en daarnaast ook nog ad hoc meetings indien nodig. Het is bij ASML vaste prik om na een voltallige RvC – RvB vergadering aansluitend met de RvC alleen na te praten en te evalueren. Als Company Secretary heb ik in de loop der jaren dus ook die veelvoud aan contactmomenten met de RvC erbij gekregen. Mijn rol is eigenlijk een dubbelrol: ik sta zowel RvB als RvC bij, hetgeen soms wat complex is. Van beide kanten wordt die rol echter zeer goed gerespecteerd, hetgeen niet vanzelf is gegaan maar in verloop van tijd zo is gegroeid. Vanuit deze rol heb ik dus de RvC steeds meer in het bedrijf zien integreren waarbij toch nog steeds de benodigde afstand tot de dagelijkse operatie wordt bewaard. Daar ligt wat mij betreft heel duidelijk de grens.” Die ontwikkeling schrijft Roelofs enerzijds toe aan de commissarissen zelf, die een veel actievere rol zijn gaan vervullen. “Commissarissen spreken elkaar ook bij andere bedrijven, voelen een zwaardere verantwoordelijkheid en nemen hun toezichthoudende rol steeds serieuzer. Zij zien waar ze hun toegevoegde waarde kunnen leveren en dragen zeer actief bij aan het succes van een bedrijf. Anderzijds is de roep in de samenleving om actief toezicht door de RvC ook groter geworden. Door alle governance codes is het aantal verplichte rapportages bijvoorbeeld sterk gestegen. Om compliant te kunnen zijn aan al die regelgeving, zijn er in de loop van de tijd steeds meer vergaderingen bijgekomen. Vanuit de maatschappij wordt ook steeds vaker verantwoording van commissarissen gevraagd, waarom ze bepaalde besluiten hebben goedgekeurd. Het komt dus zowel van de commissarissen zelf als vanuit de samenleving.” Beloningsbeleid Als voorbeeld noemt Roelofs het beleid rondom remuneratie: het beloningsbeleid dat de afgelopen jaren een ‘hot issue’ is geworden. “Commissarissen werd gevraagd: kun je de hoogte van salarissen en bonussen verantwoorden? Dat vereist diepgaand inzicht in de branche en wat daar gebruikelijk is. Uiteindelijk is dat een intensieve discussie tussen RvB, RvC en de verschillende RvC commitees geworden over welke beloning de ideale balans oplevert en welke invalshoeken je allemaal dient te belichten. RvB remuneratie is traditiegetrouw ook een onderwerp dat commissarissen erg bezighoudt; er worden daar veel vragen over gesteld. Onder meer doordat de leden van de RvC van ASML ook schakelen met hun collega’s bij andere bedrijven, kom je tot een goede benchmark. Daarnaast laat de RvC zich adviseren door externe adviseurs op het gebied van beloningsbeleid. Dit zijn andere adviseurs dan degenen

63


die worden gebruikt door de rest van het bedrijf. Dat geeft hun onafhankelijke rol ook goed aan.” Ook bij de recente overname van Cymer speelde de RvC een belangrijke rol. Roelofs: “Cymer is een supplier waar we al langer heel intensief mee samenwerken. De technische uitdagingen die we samen met Cymer moeten oplossen zijn geleidelijk aan zodanig complex geworden dat het besluit tot overname eigenlijk de volgende logische stap is. De RvC is van al die ontwikkelingen nauwgezet op de hoogte gehouden. Toen de RvB op een gegeven moment met het concrete voorstel kwam om Cymer over te nemen, was de RvC eigenlijk al goed voorbereid.” De actievere rol die commissarissen bij ASML zijn gaan vervullen, vereist natuurlijk ook een aanpassing van het functieprofiel. Waar wordt de keuze voor een bepaalde commissaris tegenwoordig op gebaseerd? Roelofs: “De keuze voor commissarissen is in feite een doorlopend proces. Is er iemand aan het einde van zijn of haar termijn beland, dan wordt er gezocht naar een persoon met precies de expertise en ervaring die de RvC op de beste manier aanvult. In het bijzonder wordt gekeken of zo iemand de functie op de meer proactieve manier zal kunnen gaan vervullen, zoals dat vandaag de dag wordt verwacht. De vereisten zijn in de loop der jaren wel veranderd.” One tier board Het One tier board bestuursmodel, waarbij er één bestuur is met executive en non-executive board members en dus geen aparte RvC meer, is vanaf 1 januari 2013 ook in Nederland wettelijk mogelijk. Bij bedrijven uit bijvoorbeeld de Verenigde Staten is zo’n bestuursvorm standaard; die kennen überhaupt geen RvC. Wat vindt Roelofs van zo’n one tier board? “Eerlijk gezegd zie ik niet direct de voordelen boven een traditionele Nederlandse vorm met een RvC en RvB. Zoals het zich nu bij ASML ontwikkeld heeft, hebben we al bijna een one tier board. Ik denk dat ons model ook wel zijn voordelen heeft. Een RvC die toch een zekere distantie heeft betekent dat RvB en RvC toch geen onderdeel zijn van een en hetzelfde gremium. Wil je naar de beurs in Amerika, dan kan het handig zijn om een bestuursvorm te kiezen die voor hen daar ook direct herkenbaar is. Mijn ervaring leert overigens dat het aan Amerikaanse bedrijven niet echt lastig is om uit te leggen wat een supervisory board doet.” Al met al is Roelofs zeer tevreden over de input die de RvC binnen het bedrijf levert. “Van een toezichthouder die 6 keer per jaar langskwam, is de RvC gegroeid tot zeer actief betrokken klankbord dat veel toegevoegde waarde biedt. Wat dat betreft is er in Nederland een hele goede tendens gaande en hebben de ontwikkelingen op het gebied van Corporate Governance hun nut wel bewezen. Ik heb het altijd erg interessant gevonden om vanuit mijn

64


rol die veranderingen die in gang gezet zijn door wet en codes, daadwerkelijk in de dagelijkse praktijk gestalte te zien krijgen. Of we overigens veel opschieten met nog meer regelgeving op ditzelfde terrein vanuit externe toezichthouders, vraag ik me serieus af. Bedrijven zijn zich inmiddels zelf heel goed bewust van de positie die zij in de maatschappij innemen en de verantwoording die ze aan al hun stakeholders dienen af te leggen.”

65


Autonome denkkracht van bestuurders moet heilig zijn Philippe König, Houthoff Buruma

Bij een onderneming die binnen een Amerikaans moederconcern in Nederland opereert en hier aan de Amsterdamse beurs genoteerd is, dient voortdurend aan de Amerikanen uitgelegd te worden waarom een RvC relatief veel te zeggen heeft. Is de overgang van two tier naar one tier board in zo’n geval niet beter of is er in de dagelijkse praktijk eigenlijk weinig verschil tussen beide bestuursvormen? “Bedrijven die beschikken over een zeer actieve RvC hebben niets aan een one tier board. Dat is in feite al verweven in hun huidige manier van werken.” De tijd dat een willekeurige Raad van Commissarissen vooral uit golfvrienden bestond, die en passant bij een vergadering aanschoven, ligt definitief achter ons. Het takenpakket van commissarissen is niet wezenlijk veranderd, maar werd volgens Philippe König, notaris /partner bij Houthoff Buruma, in het verleden te luchtig ingevuld. “Het aantal commissariaten dat wordt ingevuld door één persoon, neemt af. Door de veranderingen die de afgelopen jaren steeds zichtbaarder zijn geworden, zie ik de one tier board, die met ingang van 1 januari 2013 wettelijk geregeld is, niet snel gemeengoed worden. Het argument dat niet-uitvoerende bestuurders zich binnen een one tier board actiever zouden opstellen vind ik niet sterk. Commissarissen claimen die actieve rol nu zelf al.” In Nederland zijn grote bedrijven sinds 1972 onderhevig aan het structuurregime, waarbij een RvC verplicht is. Deze is tot op zekere hoogte onafhankelijk en houdt toezicht op het bestuur van de onderneming. Het idee hierachter is dat de RvC de belangen van alle stakeholders in een onderneming afweegt en vervolgens, via de jaarrekening en het jaarverslag, verantwoording aflegt aan de aandeelhoudersvergadering. De actievere rol die commissarissen binnen een onderneming vervullen, is volgens König deels te wijden aan de eisen die toezichthouders aan de invulling van een RvC stellen. “In de financiële wereld bijvoorbeeld gelden benoemingscriteria waaraan een commissaris moet voldoen; zaken als expertise en ervaring worden daarin meegenomen. Buiten dat heeft een ondernemingsraad bijvoorbeeld een versterkt aanbevelingsrecht bij de benoeming van commissarissen. Dan zit er vaak iemand van de vakbond in een orgaan, dat over wezenlijke besluiten gaat. In het verleden hebben we

66


voorbeelden gezien waarbij zo’n RvC tegen de aandeelhouders inging. Dat zijn meestal zaken waarbij een buitenlands moederbedrijf vooral naar het aandeelhoudersbelang kijkt, maar een RvC alle belangen afweegt. De RvC vervult in Nederland een belangrijke taak.” Binnen een onderneming met een RvB en RvC is voor bedrijfsjuristen een bijzondere rol weggelegd. Zij adviseren beide organen over juridische zaken en zijn in feite intermediair. König: “Je zorgt ervoor dat iedere bestuurder en commissaris gehoord wordt en neemt de gedachtes van beide organen mee in de afweging van bepaalde zaken. In sommige gevallen wordt een General Counsel ook in het bestuur opgenomen, bijvoorbeeld in de rol van company secretary. Zo’n General Counsel zal dan in de praktijk problemen ervaren om de RvC advies te geven over bepaalde beslissingen. Toch is het voor zo’n General Counsel ook prettig om de RvC te hebben. Zodra er besluiten genomen moeten worden die negatieve gevolgen voor het bedrijf kunnen hebben, is het een verademing om een neutrale RvC te hebben die een autonoom standpunt inneemt. De RvC kan er dan negatief over oordelen zonder dat de General Counsel tegen zijn medebestuursleden hoeft in te gaan.” Maximum aan commissariaten De discussie over de begrenzing van het aantal commissariaten en bestuursfuncties dat een persoon kan vervullen is al jaren een ‘hot topic’. Volgens König, die ruime ervaring heeft in het bijstaan van zowel RvB’s als RvC’s van grote bedrijven, was dat een aantal jaren terug vooral een roep uit de samenleving. Inmiddels zien commissarissen door de toegenomen aandacht voor de inhoud van hun taak nu ook zelf in dat er een maximum aan verbonden moet zijn. “Natuurlijk, er zijn nog steeds commissarissen die het mogelijk achten om meer dan 10 commissarisfuncties te bekleden. Een aantal commissariaten bekleden ze dan vaak via buitenlandse zustervennootschappen van een Nederlands bedrijf, om niet onder de regelgeving te vallen. Toch is de algemene tendens dat de aantallen steeds lager worden. Dat heeft alles te maken met de inhoud en input die van ze verwacht wordt. Het wettelijk takenpakket van een Raad van Commissarissen is in de loop der jaren niet wezenlijk veranderd, maar hun rol werd in het verleden vaak te luchtig ingevuld. Mensen die geen ervaring in een bepaalde branche hadden, hielden wel de commissariszetel warm.” One tier board De one tier board met uitvoerende en niet-uitvoerende bestuurders, een structuur die voor bedrijven in Nederland met ingang van 1 januari 2013 Nederland wettelijk geregeld wordt, biedt bedrijven volgens König een aantal voordelen. “Waar er vroeger twee organen waren die individueel vergaderden en op gezette tijden samen, vormen zij bij een one tier board één orgaan met een specifieke taakverdeling. Voor bedrijven met Angelsaksische aandeelhouders zal de overstap naar een one tier board een logische zijn. Bij zulke bedrijven is de one tier board

67


immers vertrouwd. In hun structuur was altijd al sprake van maar één board waarin juist de uitvoerende taken aan enkelen van hen werden toebedeeld. De meer Europese bedrijven zullen zich vasthouden aan de scheiding van RvC en RvB, denk ik, omdat de controlerende rol van een losstaande RvC ook voordelen biedt.” König schetst dat aan de hand van de situatie bij een one tier board: daar zou in de besluitvormingsprocessen eerder sprake kunnen zijn van het in Nederland tot kunst verheven poldermodel. “Heb je één bestuur met uitvoerende en niet-uitvoerende bestuurders, dan kan het besluitvormingsproces verschillen ten opzichte van een traditionele structuur met RvB en RvC. Een RvC kan tegen het bestuur zeggen: ‘dit moet je anders doen’. Die ‘wij-tegen-jullie’houding heb je niet meer als het één bestuur is geworden. Je kunt je voorstellen dat uitvoerende en niet-uitvoerende bestuurders dan naar elkaar toe gaan groeien. De zware stem die een RvC heeft, kan bij een gecombineerde vergadering verstommen en het feit dat je continu met elkaar zit, kan zorgen voor een blinde vlek. Dat moeten bestuurders wel beseffen: de autonome denkkracht van bestuurders - uitvoerend of niet uitvoerend - moet heilig zijn.” Ook op het gebied van bestuurdersaansprakelijkheid zal de overgang naar een one tier board gevolgen hebben, met name voor de niet-uitvoerende bestuurders (de vroegere RvC). “Aansprakelijkheid van de RvC speelde pas, als er mismanagement bij het bestuur was geconstateerd. Met twee organen komt de aansprakelijkheid van de RvC pas na het falen van het bestuur naar voren. Binnen een one tier board geldt als hoofdregel collectieve verantwoordelijkheid en raakt het disfunctioneren van een deel van de bestuurders ook de rest. Dat moet een commissaris wel willen.”

68


69


Het belang van een goede lobby is groot Suzanne Drion, VNO-NCW

Een ambtenaar bereidt een nieuwe wet voor, op een specialistisch terrein. Hij houdt rekening met regelgeving vanuit de EU, en de wensen vanuit de Tweede Kamer. De ambtenaar heeft zelf geen contacten bij de branche die door het wetsvoorstel worden geraakt en omdat er ook geen vertegenwoordigers vanuit die branche zelf naar de ambtenaar komen, blijven de belangen van de branch onderbelicht. Gevolg: een voor de praktijk slecht hanteerbare wet. “Input van het bedrijfsleven is van groot belang voor een evenwichtige wetgeving.” Bedrijfsjuristen weten als geen ander hoe de ondernemingspraktijk in elkaar zit en hoe specifieke weten regelgeving daarop van invloed is. De manieren waarop de politiek op de hoogte blijft van het bedrijfsleven is de afgelopen decennia veranderd. De meeste bedrijfsjuristen hebben geen tijd meer om uitgebreid bij te dragen aan lobbyactiviteiten, zelf of via lobbyorganisaties. Die lobbyorganisaties hebben de inbreng van Legal Counsel echter hard nodig, betoogt Suzanne Drion (VNO-NCW en NGB). Bedrijven en organisaties kunnen worden gehinderd door bestaande wetgeving of doordat wetgeving dreigt te wijzigen met voor hen nadelige effecten. Het gaat vaak ook om het vinden van evenwicht tussen het belang van ondernemingen en het politiek belang. Bestuurders, parlementariërs en ambtenaren zijn ermee gediend op de hoogte te zijn van de diverse standpunten. De lobbyist zet informatie om in strategische argumentatie die aansluit bij politieke standpunten. Suzanne Drion is senior adviseur bij VNO-NCW, de grootste werkgeversorganisatie in Nederland en vervult daarnaast een rol als bestuurslid van het Nederlands Genootschap voor Bedrijfsjuristen (NGB). Ze werkte ruim twintig jaar als bedrijfsjurist bij onder andere Shell en Vendex KBB. Zonder politieke achtergrond, maar met kennis van en informatie over het reilen en zeilen van de bedrijfsjuridische afdelingen begon ze in 2006 bij VNO-NCW als secretaris ondernemingsrecht en corporate governance. Drion kent de verschillende stadia die een wetsvoorstel moet doorlopen (zie kader): er zijn veel momenten waarop invloed kan worden uitgeoefend op de inhoud en uitwerking van een wet. Timing is daarbij van groot belang. “De kunst is om op het juiste moment bij de juiste persoon aandacht te genereren”, aldus Drion.

70


“Een goed lobbyist werkt in stilte en kent de juiste mensen: Kamerleden en ambtenaren, die op een bepaald moment behoefte hebben aan informatie en kennis uit het veld. Lobbying gaat niet alleen om het overreden van politici maar vaak ook om het informeren van politici over de situatie in de praktijk, over de te verwachten effecten van een voorgestelde wet of maatregel of over de noodzaak een wet of maatregel in te voeren. Het gaat dus vaak om het verschaffen van kennis en informatie en om het genereren van aandacht door op het juiste moment gedoseerd informatie te verstrekken.” Lobbying geschiedt bij voorkeur in een zo vroeg mogelijk stadium van de beleidsvorming. Er zijn veel momenten in de totstandkoming van een wet waarop je commentaar kunt insturen en inspraak kunt hebben. In de onderzoeks- en ontwikkelingsfase zijn de beïnvloedingsmogelijkheden ruimer dan wanneer de meningsvorming over een voorstel al bijna is afgerond en er een plan op de politieke agenda staat. Lobbyisten richten zich daarom niet alleen op Kamerleden, maar ook op ambtenaren en Ministers die verantwoordelijk zijn voor het ontwerpen en indienen van beleidsvoorstellen, regels en wetten. Drion: “VNO-NCW heeft, net als veel brancheorganisaties, commissies waar praktijkspecialisten zitting in hebben. Zij bereiden de commentaren voor waarin de zorgen en de wensen van de praktijk worden verwoord en die aan de Kamerleden, de ambtenaren of de Minister worden gestuurd.” Uitwisseling van informatie Als voorbeeld noemt Drion de totstandkoming van het nieuwe BV-recht, ofwel de Flex-BV. “Dat was een heel lang proces, van 2005 tot 2012, dat begon met de consultatie van een conceptwetsvoorstel in drie gedeelten. Daarna volgde een jarenlange behandeling van het wetsvoorstel dat was aangepast naar aanleiding van de opmerkingen in de consultatiefase. Een lobby voor zo’n wetsvoorstel bestaat uit het informeren van Kamerleden en ambtenaren over praktijksituaties, het aandringen op het aanpassen van het wetsvoorstel om het beter te laten aansluiten op die praktijk en het meewerken aan het opstellen van amendementen. Soms organiseren Kamerleden rondetafelgesprekken over een bepaald onderwerp om op de hoogte te blijven. Vroeger zaten er naar mijn idee meer vakgenoten in de verschillende Kamercommissies. Dat die er nu veel minder zijn is wel een gemis. Wat altijd van belang is en blijft, is het verstrekken van down to earth informatie over de praktijk. Dat kunnen uitgebreide uitwisselingen zijn, maar het kan ook eenvoudig. Zo kan het nuttig zijn voor een ambtenaar die zich bezighoudt met wetgeving rond aandeelhoudersvergaderingen te regelen dat hij als toehoorder bij een aandeelhoudersvergadering aanwezig kan zijn, zodat hij een beter gevoel krijgt van wat er in de praktijk speelt, wat het wetgevingsproces ten goede komt.”

71


Populistische wetgeving De laatste jaren lijkt populistische wetgeving meer in zwang te raken. Meer dan vroeger wordt een deel van nieuwe weten regelgeving tegenwoordig gedreven door incidenten en publieke opinie. Het betreft dan onderwerpen waar individuele politici zich sterk aan verbonden hebben en die zij niet snel geneigd zijn weer te laten vallen. “Dat neemt niet weg dat ook daar het nodige lobbywerk te doen is”, aldus Drion. “Al was het alleen al om scherpe kantjes eraf te halen of fouten te herstellen. Lastig is daarbij dat vaak in een heel laat stadium van de behandeling ingrijpende amendementen worden ingediend. Vaak zelfs nog vlak voor de plenaire behandeling in de Tweede Kamer, zodat er geen fatsoenlijke gedachtewisseling over kan plaatsvinden en ook de Raad van State niet is geraadpleegd. Dat is zorgelijk en komt de kwaliteit van wetgeving niet ten goede. Het ontraden van een amendement door de minister heeft in die gevallen vaak ook geen enkel effect meer.” Grote ondernemingen oefenen, behalve via de diverse commissies waar zij in zijn vertegenwoordigd, vaak ook met hun eigen lobbyisten buiten die commissies via hun eigen netwerk invloed uit op de politieke besluitvorming. Drion vertelt dat in het verleden door het NGB vaker dan nu commentaren op wetsvoorstellen werden geleverd of gesprekken op Ministeries werden gevoerd. “In de parlementaire geschiedenis is dat ook terug te vinden. De laatste jaren is dat helaas beduidend minder geworden door de gestegen werkdruk. Wel verklaarbaar dus, maar ook erg jammer. Het NGB heeft ruim 1400 leden, dat zijn allemaal potentiële deskundigen met veel praktijkervaring, die daarmee over veel nuttige informatie beschikken voor ambtenaren en Kamerleden. Zij kunnen, bij dossiers die zich op hun praktijkgebied afspelen, veel aan de discussie over een wetsontwerp bijdragen. Juist zo’n geluid uit de praktijk kan voor zowel wetgever als politici heel waardevol zijn. Het NGB heeft daarvoor de input van de leden nodig. Eén ding is zeker: als je je niet laat horen, wordt er ook geen rekening met je gehouden. Het omgekeerde, als je je wel laat horen wordt er ook rekening met je gehouden, is helaas niet altijd het geval. Soms kan echter op kleine onderdelen al een belangrijke verbetering worden bereikt die voor de praktijk een in feite ongewenste wet in ieder geval beter hanteerbaar maakt.” Nieuwe verdeling kamerzetels Met de recente verkiezingen en nieuwe zetelverdeling achter de rug, breekt er voor Drion een periode aan van herijking van de positie van het VNO-NCW in de contacten met Kamerleden. “ Je moet weer kennis gaan maken met nieuwe Kamerleden en Kamerleden die wel aanblijven, krijgen vaak een andere portefeuille. Bij de lobby moet natuurlijk ook gekeken worden naar de zetelverdeling in de Kamer: welke partijen zijn er nodig om een bepaald amendement of een bepaald wetsvoorstel aangenomen of juist verworpen te krijgen. Bij een nieuw kabinet is dat allemaal altijd weer even spannend.”

72


Lobbyen is volgens Drion zowel overtuigen van het gelijk van het eigen standpunt, als het samen schakelen met de politiek om uiteindelijk tot de voor de praktijk best hanteerbare wetten te komen. “De winst die door ons behaald wordt is achteraf soms moeilijk te meten, ook omdat wij in de luwte opereren. Het belang van een goede lobby is echter groot. Die kan het verschil maken tussen een goede of een rampzalige wet.” Hoe komt een wet normaliter tot stand? De stappen die een wetsvoorstel doorloopt zijn talrijk. Hieronder een overzicht van de hoofdlijnen. 1. H et wetsvoorstel door Ministerie (of een initiatiefwetsvoorstel door Kamerleden) gaat via de Ministerraad naar de Raad van State.

e Raad van State controleert of de wet niet in strijd is met andere wetten/verdragen en of D er geen ongewenste effecten zijn. Eventueel wordt het wetsvoorstel aangepast op basis van de adviezen van de Raad van State.

2. D e Raad van State stuurt het wetsvoorstel naar de Koningin. Zij tekent het en met een aanbiedingsbrief (Koninklijke boodschap) gaat het naar de Tweede Kamer. Vervolgens wordt het wetsvoorstel behandeld in een beleidscommissie van de Tweede Kamer, met daarin deskundigen van de meeste fracties (van voorbereidende aard, zodat details niet meer plenair hoeven te worden besproken). Er is een mogelijkheid tot vragen/opmerkingen van alle fracties en commentaar van derden. De Kamercommissie neemt die vaak mee in de vragen die worden neergelegd in een Verslag, waarop door de Minister wordt gereageerd in een Nota naar aanleiding van het Verslag. Dat kan weer worden gevolgd door een Nader Verslag en een Nota naar aanleiding van het Nader Verslag. 3. T ijdens de behandeling van door de Kamercommissie kunnen amendementen worden ingediend. In bepaalde gevallen zijn onderwerpen dermate specialistisch, dat er een expert wordt bijgeroepen. - Het recht van amendement zorgt dat de Tweede Kamer de tekst van een wetsvoorstel kan wijzigen. Op die manier bepaalt de Tweede Kamer wat de wetstekst zal zijn.

73

- Een amendement kan door elk Kamerlid worden ingediend vanaf het moment dat een wetsvoorstel in handen van een commissie is gesteld.

- Een amendement is ontoelaatbaar, indien het een strekking heeft, tegengesteld aan die van het voorstel van wet, of indien er tussen de materie van het amendement en die van het voorstel geen rechtstreeks verband bestaat.


- Een amendement wordt geacht toelaatbaar te zijn zolang de Kamer het niet ontoelaatbaar heeft verklaard. Een daartoe strekkend voorstel kan, zo nodig met onderbreking van de orde, worden gedaan hetzij door de Voorzitter, hetzij door een van de leden.

4. In de meeste gevallen volgt er een openbare commissievergadering. Soorten commissievergaderingen: - AO – gedachtewisseling over beleid, bijvoorbeeld naar aanleiding van een brief van het kabinet (hiervan wordt een beknopt verslag opgesteld) - WGO - overleg van één of meer Kamercommissies over een wetsvoorstel: behandeling van artikelen van het wetsvoorstel en beweegredenen van het wetsvoorstel. Daardoor kunnen Kamerleden zich in de plenaire vergadering beperken tot hoofdzaken. WGO-vergaderingen worden gehouden als het wetsvoorstel een nogal technisch karakter heeft met veel artikelen en amendementen (hiervan wordt een woordelijk verslag opgesteld). 5. W anneer het werk van de Kamercommissie erop zit, volgt de plenaire behandeling (verdediging door indieners – Minister en evt. Kamerleden). Ook dan is er de mogelijkheid voor amendementen. Plenaire behandeling is mogelijk als er 76 Kamerleden in het gebouw zijn. De stemming volgt meestal een week na het plenaire debat. 6. V ervolgens komt de Eerste Kamer in beeld; ook daar wordt het wetsvoorstel net als in de Tweede Kamer eerst schriftelijk voorbereid door een Kamercommissie. De Eerste Kamer heeft geen mogelijkheden tot amendement. Die schriftelijke voorbereiding kent verschillende varianten:

- Er is geen behoefte aan uitgebreide schriftelijke behandeling: dan volgt een blanco eindverslag en komt het op de agenda voor stemming.

- Is er wel behoefte aan schriftelijke behandeling, dan komt net als in de Tweede Kamer een commissie bijeen. Voorafgaande aan (of tijdens) de schriftelijke voorbereiding komen vaak reacties van derden binnen die samen met de vragen van de Kamercommissie zelf worden verwerkt tot een Verslag waarop in een Nota naar aanleiding van het Verslag wordt gereageerd.

- Soms is sprake van twee schriftelijke rondes: eerst een voorlopig verslag met een reactie in een memorie van antwoord, gevolgd door een nader voorlopig verslag met een antwoord in een nadere memorie van antwoord.

Uiteindelijk volgt een plenaire behandeling in de Eerste Kamer, meestal in twee termijnen,

74


waarbij telkens eerst de Kamerleden aan het woord zijn en dan de Minister antwoordt. De Eerste Kamer kan vervolgens alleen goed- of afkeuren. De regering kan beslissen een zogenaamde ‘novelle’ in te dienen. Een novelle is een wetsvoorstel dat dient ter verbetering of aanvulling van een wetsvoorstel dat al bij de Eerste Kamer aanhangig is of al wel is aangenomen, maar nog niet van kracht is geworden. Het is vooral bedoeld om technische gebreken in een wetsvoorstel na de behandeling in de Tweede Kamer te herstellen. De Eerste Kamer stelt de plenaire behandeling uit of schorst die tot de novelle door de Tweede Kamer is aanvaard. Als de Eerste Kamer de wet heeft aangenomen, ondertekent de Koningin, de verantwoordelijke Minister (contraseign) en de Minister van Justitie waarna publicatie in het staatsblad volgt. De inwerkingtreding is of in de wet zelf geregeld of bij Koninklijk Besluit of in een aparte wet die de inwerkingtreding vaststelt.

75


76


COLOFON Concept:

Jaap Bosman (Houthoff Buruma)

Namens NGB:

Suzanne Drion Michiel van den Bosch Jean Schreurs

Projectcoördinator:

Lisa Hakanson (Houthoff Buruma)

Opmaak- & drukwerkbegeleiding: Sarah Fredriks (Houthoff Buruma) Interviews:

Michiel Rohlof

Round Table Moderators:

Michiel van den Bosch Jean Schreurs Michiel van Straaten

Een bijzondere woord van dank aan Suzanne Drion, Michiel van den Bosch and Jean Schreurs, die namens het NGB bestuur nauw betrokken zijn geweest bij de totstandkoming van deze Bedrijfsjuristen Monitor 2012. Zonder hun enorme persoonlijke inzet was dit project niet mogelijk geweest.

Geïnterviewde experts: - Kay Behnke, Manager IT Risk, Security, Compliance and Quality Office NXP Semiconductors - Michiel van den Bosch, bestuurslid NGB en Directeur Juridische Zaken Anthos - Philippe Creijghton, Partner Houthoff Buruma - Suzanne Drion, bestuurslid en secretaris NGB, en Senior Adviser VNO-NCW - Angelique Keijsers, Partner Ernst & Young, Fraud Investigation & Dispute Services - Philippe König, Partner Houthoff Buruma - Willem de Nijs Bik, Partner Houthoff Buruma - John Payton, Independent Consultant and Specialist on e-Discovery - Robert Roelofs, Vice President Legal & General Counsel/ Secretary of the Company ASML - Jean Schreurs, bestuurslid NGB en Senior Corporate Counsel NXP Semiconductors - Wolter Wefers Bettink, Partner Houthoff Buruma - Joost Wiebenga, Deputy General Counsel & Chief Compliance Counsel EMEA Tyco International

77


78


Houthoff Buruma VESTIGINGEN Amsterdam P.O. Box 75505 1070 AM Amsterdam Gustav Mahlerplein 50 1082 MA Amsterdam The Netherlands T +31 (0)20 605 60 00

Rotterdam P.O. Box 1507 3000 BM Rotterdam Weena 355 3013 AL Rotterdam The Netherlands T +31 (0)10 217 20 00

London 33 Sun Street London EC2M 2PY United Kingdom T +44 (0)20 7422 5050

New York 120 West 45th Street, 19th floor New York, NY 10036 USA T +1 212 403 6701

Brussels Keizerslaan 5 1000 Brussels Belgium T +32 (0)2 507 98 00

www.houthoff.com

Voorbehoud: Het is toegestaan om korte passages uit de Bedrijfsjuristen Monitor 2012 te citeren in andere publicaties, op voorwaarde dat duidelijk aan bronvermelding wordt gedaan. Aanbevolen citeerwijze: “Uit Houthoff Buruma Bedrijfsjuristen Monitor 2012”. Voor het overige mag niets uit de Bedrijfsjuristen Monitor 2012 worden verveelvoudigd, opgeslagen in een geautomatiseerd gegevensbestand, of openbaar gemaakt, in enige vorm of op enige wijze, hetzij elektronisch, mechanisch, door fotokopieën, opnamen of enige andere manier, zonder de voorafgaande schriftelijke toestemming van Houthoff Buruma. De Bedrijfsjuristen Monitor 2012 is bedoeld ter informatie en niet als juridisch advies. Hoewel aan de totstandkoming van de Bedrijfsjuristen Monitor 2012 de uiterste zorg is besteed, aanvaardt Houthoff Buruma geen aansprakelijkheid voor eventuele fouten en onvolkomenheden, noch voor de gevolgen daarvan. Bijdragen zijn geleverd op persoonlijke titel en geven niet noodzakelijkerwijs het standpunt van de achterliggende onderneming of organisatie weer. Voor meer informatie over Houthoff Buruma download onze Apps.

IPhone App Store.

79

Blackberr y App World.


80


81


82


Bedrijfsjuristen Monitor 2012

Recommend Documents