Compliance: nu nog belangrijker geworden om aansprakelijkheidsrisico’s voor de onderneming én haar bestuurders te beperken 

Bij Larcier-Intersentia verschijnt begin 2025 het boek Taken en aansprakelijkheden van de bestuurder. 

Dit boek behandelt in de eerste plaats uitvoerig de verplichtingen die voortvloeien uit het naleven van de (administratieve) vennootschapsrechtelijke en andere juridische voorschriften die inherent zijn aan het runnen van een onderneming, van het Wetboek van vennootschappen en verenigingen (WVV) tot statutaire bepalingen en interne overeenkomsten.
Verder komen de concepten van bestuurdersaansprakelijkheid binnen het insolventierecht uitgebreid aan bod en biedt het boek inzicht in de specifieke handelingen en nalatigheden die tot deze aansprakelijkheid kunnen leiden.
Tot slot legt het boek de nadruk op de cruciale rol van bestuurders in het begrijpen en aanpakken van aansprakelijkheidsgronden, van het opzetten van een effectieve ondernemingsstructuur tot het zorgvuldig voorbereiden van notulen en verslaggeving. Tevens wordt specifiek aandacht besteed aan enkele rechtsdomeinen waarbinnen compliance een actuele en belangrijke rol speelt om de aansprakelijkheidsrisico’s voor de onderneming en haar bestuurders te beperken. Met praktische adviezen en inzichten in aansprakelijkheid biedt dit boek een onmisbare bron voor bestuurders die willen navigeren door het complexe landschap van corporate governance, corporate housekeeping en compliance.

Larcier-Intersentia interviewde twee auteurs, mr. Stijn De Meulenaer en mr. Fien Schreurs, naar aanleiding van hun bijdrage over het item ‘compliance’.

Kunt u eerst het begrip ‘compliance’ nader toelichten? 

Compliance betekent letterlijk ‘naleving’ of ‘nakoming’. Aldus spreekt het begrip enigszins voor zich: de naleving of nakoming van de toepasselijke wet- en regelgeving. In de ondernemingscontext wil dit zeggen dat een persoon of organisatie werkt in overeenstemming met de geldende wet- en regelgeving. 

Tevens duidt compliance op het voldoen aan de interne gedragsregels van de organisatie. Bijgevolg is het begrip ruimer dan het enkel voldoen aan de geldende wet- en regelgeving; het duidt ook op de naleving van de eisen van stakeholders en van de eigen bedrijfsregels en gedragscodes.

Hoewel compliance zijn oorsprong vindt in het Angelsaksische recht, is het de laatste decennia niet weg te denken uit het Belgische recht. In navolging van het Verenigd Koninkrijk en de Verenigde Staten won het vakgebied ‘compliance’ in de jaren ’80 heel wat aan belang in België. Compliance dook voornamelijk op in de strijd tegen het witwassen en de financiering van terrorisme: zo werd in 1989 de Financial Action Task Force (FATF) opgericht met als taak het promoten van de effectieve implementatie van maatregelen in de strijd tegen het witwassen en de financiering van terrorisme. Men wilde vermijden dat het financiële systeem misbruikt zou worden om illegale gelden te versluizen; daarom werden er onder meer aan financiële instellingen verschillende verplichtingen opgelegd. Bijgevolg deed het concept compliance in eerste instantie voornamelijk zijn intrede binnen de bank- en financiële wereld. De wet van 11 januari 1993 tot voorkoming van het gebruik van financiële stelsels voor het witwassen van geld introduceerde voor het eerst het idee van een compliancefunctie: zo dienden kredietinstellingen en verzekeringsondernemingen een persoon binnen hun organisatie aan te duiden die verantwoordelijk zou zijn voor de toepassing van deze wet. In 1997 dook de compliancefunctie opnieuw op in circulaire DI 97/10 van de Commissie voor het Bank- en Financiewezen (CBFA).

Het is evenwel pas in 2001 dat er een echte definitie van het begrip compliance wordt gegeven door de CBFA: “Compliance is een onafhankelijke functie binnen de organisatie, gericht op het onderzoek naar en het bevorderen van de naleving door de instellingen van de regels die verband houden met de integriteit van het bankieren. Deze regels betreffen zowel deze die voortvloeien uit het beleid van de instelling ter zake, als deze die vervat zijn in het bankstatuut (zijnde de bankwet en de besluiten en reglementen in uitvoering hiervan) alsmede andere wettelijke en reglementaire bepalingen die op de banksector van toepassing zijn.”

Op heden valt het begrip compliance evenwel niet meer weg te denken uit het financiële én het ondernemerslandschap. Zo zijn niet enkel de financiële instellingen bezig met compliance, maar ook andere ondernemingen, zowel publieke als private, zetten in op compliance. Dit is ook een van de redenen waarom het begrip compliance steeds ruimer geïnterpreteerd wordt: compliance wijst op het in overeenstemming zijn met geldende wet- en regelgeving, maar ook met interne gedragslijnen, waardoor het begrip compliance doorwerkt binnen de wijdere bedrijfscultuur. Het hoeft niet te verbazen dat compliance binnen de onderneming een zeer belangrijke rol inneemt, want de niet- (of niet juiste) naleving van wet- en regelgeving brengt verscheidene risico’s met zich mee. Compliance, en een gedegen beleid inzake compliance, zorgt ervoor dat dergelijke risico’s (en de mogelijk daaruit voortvloeiende schade) voorkomen of beperkt worden. Vele ondernemingen richten dan ook vaak een specifieke afdeling op die louter en alleen gericht is op compliance. Deze afdeling staat het bestuur bij wat betreft het houden van voldoende overzicht, toezicht en controle om te verzekeren dat er in overeenstemming met de geldende wet- en regelgeving wordt gewerkt.

In jullie bijdrage focussen jullie op drie specifieke domeinen: de preventieve witwaswetgeving, de GDPR-regelgeving en de klokkenluiderwetgeving. Waarom deze selectie?

Onze bijdrage beperkt zich tot deze drie actuele thema’s omdat zo goed als iedere onderneming, ongeacht de sector waarin ze opereert, geconfronteerd wordt met deze regelgeving. Daarnaast brengt een slechte compliance binnen een van deze drie domeinen verschillende risico’s met zich mee voor de aansprakelijkheid van de onderneming zelf en voor die van haar bestuurders, waarbij we vooral gefocust hebben op de aansprakelijkheid van bestuurders.

Kunt u even toelichten wat de verschillende risico’s zijn binnen deze drie domeinen, want velen zullen ervan uitgaan dat er geen verschil is.

Wat vooreerst de Antiwitwaswet betreft: deze legt een breed scala aan verplichtingen op, niet enkel aan de onderworpen entiteit zelf. Eveneens wordt de persoonlijke verantwoordelijkheid van bestuurders voor het garanderen van de naleving van de wetgeving benadrukt. Bij gebrek aan toezicht en naleving van deze verplichtingen door de bestuurders komt tevens hun persoonlijke aansprakelijkheid in het gedrang. Naast administratieve en strafrechtelijke sancties lopen de onderneming en haar bestuurders bij niet-naleving van de wetgeving het risico vervolgd te worden als (mede)dader of medeplichtige aan een witwasmisdrijf (cf. art. 505 Sw.).

De onderneming of haar bestuurders kunnen in dat opzicht ook strafrechtelijk vervolgd worden wegens omissie. Tevens riskeren bestuurders strafrechtelijk verantwoordelijk gesteld te worden indien zij bijvoorbeeld cash gelden in ontvangst nemen waarvan zij weten dat deze van illegale oorsprong zijn.
De bestuurders van de onderneming kunnen daarnaast eveneens aansprakelijk gesteld worden op basis van artikel 1382 (oud) BW / artikel 6.5 BW voor fouten begaan in het bestuur. Dit wordt nog versterkt doordat het nieuwe Boek 6 van het Burgerlijk Wetboek, dat op 1 januari 2025 in werking treedt, de quasi-immuniteit van hulppersonen, waaronder dus de bestuurders, principieel afschaft. En om de aansprakelijkheid van de bestuurders in kwestie te beheren, is het ook aan te raden om duidelijk de verantwoordelijkheden van iedere bestuurder vast te stellen. 
Tevens kunnen bestuurders hun taak van toezichthouder delegeren en hun persoonlijke aansprakelijkheid, in de mate dat het wordt toegelaten, beperken. ‘In de mate dat het wordt toegelaten‘ duidt op het feit dat de bestuurder enerzijds de voorwaarden voor de delegatie dient na te leven (verbod op algemene delegatie; delegatie moet reëel, duidelijk en expliciet zijn; de gedelegeerde moet de delegatie aanvaard hebben en op de hoogte zijn van de grenzen en omvang van zijn opdracht; de gedelegeerde beschikt over de nodige bekwaamheid, gezag en de middelen om zijn opdracht uit te kunnen voeren; en er moet regelmatig toezicht worden gehouden), en anderzijds dat men de eigen aansprakelijkheid niet ongebreideld kan beperken, bijvoorbeeld voor de eigen opzettelijke fout of voor het persoonlijk plegen van een misdrijf.

Wat de GDPR-regelgeving betreft: het bestuursorgaan draagt de eindverantwoordelijkheid voor het ontwikkelen, implementeren en handhaven van een beleid en procedure met betrekking tot gegevensbescherming binnen de onderneming. In die zin dient het bestuursorgaan een cultuur van gegevensbescherming te bevorderen en de onderneming op zodanige manier te besturen dat zij voldoet aan alle wettelijke vereisten van de GDPR-regelgeving. Niet-naleving kan concreet leiden tot strafrechtelijke, administratieve en burgerrechtelijke aansprakelijkheid van de onderneming en haar bestuurders. 
Een betrokkene kan bijvoorbeeld een burgerrechtelijke vordering instellen tegen de onderneming en haar bestuurders wegens de door hem of haar geleden materiële of immateriële schade. Maar het is daarbij wel van belang dat de betrokkene moet bewijzen dat hij of zij effectief schade geleden heeft; een loutere inbreuk op de GDPR-regelgeving is onvoldoende om de onderneming aansprakelijk te stellen.  
Wel kunnen de onderneming en haar bestuurders zich bevrijden van deze aansprakelijkheid door aan te tonen dat zij op geen enkele wijze verantwoordelijk zijn voor het schadeveroorzakende feit. Hier spelen opnieuw de verantwoordingsplicht en een efficiënt beleid inzake gegevensbescherming een belangrijke rol. Ook hier heeft het wegvallen van de quasi-immuniteit van hulppersonen in de nabije toekomst – we spreken van 1 januari 2025 – een belangrijke impact.

Wat ten derde de klokkenluidersregeling betreft: het bestuursorgaan is vooreerst verantwoordelijk voor het opstellen en implementeren van effectieve interne meldingsprocedures; deze dienen aan bepaalde voorwaarden te voldoen om melders op een veilige en toegankelijke manier de mogelijkheid te geven om mistoestanden binnen de onderneming te rapporteren. In dat opzicht moet het bestuursorgaan erop toezien dat er duidelijke richtlijnen en efficiënte kanalen worden gecreëerd binnen de onderneming. Tevens dient het bestuursorgaan te waarborgen dat de meldingen op een tijdige en gepaste wijze, krachtens de Klokkenluiderswet, worden afgehandeld. 
Het is dan ook de verantwoordelijkheid van het bestuursorgaan en de bestuurders om erop toe te zien dat de onderneming volledig voldoet aan alle (minimum)verplichtingen die de Klokkenluiderswet stelt. Dit houdt ook in dat zij de interne procedures en kanalen regelmatig evalueren en updaten om hun overeenstemming met de wet (en eventuele toekomstige wijzigingen of aanvullingen van de wet) te garanderen. Het bestuursorgaan heeft ook de taak om ervoor te zorgen dat de werknemers zich bewust zijn van hun rechten en verplichtingen onder de Klokkenluiderswet. 
Het niet naleven van de klokkenluidersregelgeving brengt diverse risico’s met zich mee zowel voor de onderneming en haar bestuurders als voor de melders van mistoestanden.
Ten eerste, wanneer een onderneming de verplichtingen voortvloeiend uit de Klokkenluiderswet negeert, kan zij verplicht worden een vergoeding te betalen aan de klokkenluider. Zo kan de klokkenluider bijvoorbeeld een schadevergoeding vorderen indien de onderneming, in strijd met artikel 23 van de Klokkenluiderswet, represailles onderneemt tegen hem. Dit kan zowel op basis van het contractuele aansprakelijkheidsrecht als via het buitencontractuele aansprakelijkheidsrecht. In dat opzicht lopen dus ook de bestuurders van de onderneming in kwestie een risico en dit geldt opnieuw des te meer gelet op de aankomende afschaffing op 1 januari 2025 van de quasi-immuniteit voor hulppersonen. Het Sociaal Strafwetboek bevat bepalingen waarmee de niet-nakoming van de verplichtingen van de Klokkenluiderswet wordt gesanctioneerd met strafrechtelijke sancties. Deze niet-nakoming kan bijvoorbeeld bestaan in het niet opzetten van interne meldingskanalen, het niet ontwikkelen van procedures voor interne meldingen en het niet registreren van de meldingen. Dit betekent dat zowel de onderneming als haar bestuurders beboet kunnen worden indien de wettelijke verplichtingen niet worden nageleefd.

Taken en aansprakelijkheden van de bestuurder

Noëmi Callaert, Berk Cimen, Jan Delanote, Frédéric Delbar, Stijn De Meulenaer, Michiel Meskens, Fien Schreurs, Thomas Vandenberghe en Federico Wuyts

Januari 2025
ISBN 9789400017931