Compliance wordt vanaf 1 januari 2025 nog belangrijker om aansprakelijkheidsrisico’s voor de onderneming én haar bestuurders te beperken.

De voorgeschiedenis

Compliance betekent letterlijk ‘naleving’ of ‘nakoming’. Aldus spreekt het begrip enigszins voor zich: de naleving of nakoming van de toepasselijke wet- en regelgeving. In een ondernemingscontext wil dat dus zeggen dat een persoon of organisatie werkt in overeenstemming met de geldende wet- en regelgeving. 
Tevens duidt compliance ook op het voldoen aan de interne gedragsregels van de organisatie. Bijgevolg is het begrip dus ruimer dan enkel voldoen aan de geldende wet- en regelgeving, maar duidt het ook op de naleving van de eisen van stakeholders en van de eigen bedrijfsregels en gedragscodes.
Hoewel compliance zijn oorsprong vindt in het Angelsaksische recht, is het de laatste decennia niet weg te denken uit het Belgische recht. In navolging van het Verenigd Koninkrijk en de Verenigde Staten won het vakgebied ‘compliance’ in de jaren ’80 heel wat aan belang in België. Compliance dook voornamelijk op in de strijd tegen witwassen en financiering van terrorisme: zo werd in 1989 de Financial Action Task Force (FATF) opgericht met als taak het promoten van de effectieve implementatie van maatregelen in de strijd tegen witwassen en de financiering van terrorisme. Men wilde vermijden dat het financiële systeem misbruikt zou worden om illegale gelden te versluizen waardoor, onder meer, financiële instellingen verschillende verplichtingen werden opgelegd. Bijgevolg deed het concept compliance in eerste instantie voornamelijk intrede binnen de bank- en financiële wereld. De wet van 11 januari 1993 tot voorkoming van het gebruik van financiële stelsels voor het witwassen van geld introduceerde voor het eerst het idee van een compliancefunctie: zo dienden kredietinstellingen en verzekeringsondernemingen een persoon binnen hun organisatie aan te duiden die verantwoordelijk zou zijn voor de toepassing van deze wet. In 1997 duikt de compliancefunctie opnieuw op in circulaire DI 97/10 van de Commissie voor het Bank- en Financiewezen (CBFA).  
Het is evenwel pas in 2001 dat een echte definitie van het begrip compliance wordt gegeven door de CBFA: “Compliance is een onafhankelijke functie binnen de organisatie, gericht op het onderzoek naar en het bevorderen van de naleving door de instellingen van de regels die verband houden met de integriteit van het bankieren. Deze regels betreffen zowel deze die voortvloeien uit het beleid van de instelling ter zake, als deze die vervat zijn in het bankstatuut (zijnde de bankwet en de besluiten en reglementen in uitvoering hiervan) alsmede andere wettelijke en reglementaire bepalingen die op de banksector van toepassing zijn.”
Op heden valt het begrip compliance evenwel niet meer weg te denken uit het financieel én het ondernemerslandschap. Zo zijn niet enkel financiële instellingen bezig met compliance, maar zetten ook andere ondernemingen (zowel publieke als private) in op compliance. Dat is ook een van de redenen waarom het begrip compliance steeds ruimer geïnterpreteerd wordt: compliance wijst niet enkel op het in overeenstemming zijn met geldende wet- en regelgeving, maar ook met interne gedragslijnen waardoor het begrip compliance veeleer doorwerkt binnen de wijdere bedrijfscultuur. Het hoeft niet te verbazen dat compliance binnen de onderneming een zeer belangrijke rol inneemt, want de niet (of niet juiste) naleving van wet- en regelgeving brengt namelijk verscheidene risico’s met zich mee. Compliance, en een gedegen beleid inzake compliance, zorgt ervoor dat dergelijke risico’s (en de mogelijks daaruit voortvloeiende schade) wordt voorkomen of beperkt. Vele ondernemingen richten dan ook vaak een specifieke afdeling op, louter en alleen gericht op compliance. Deze afdeling staat het bestuur bij wat betreft het houden van voldoende overzicht, toezicht en controle om te verzekeren dat er in overeenstemming met de geldende wet- en regelgeving wordt gewerkt.

Zo goed als iedere onderneming, ongeacht de sector waarin deze opereert, wordt geconfronteerd met compliance in drie specifieke domeinen: de preventieve witwaswetgeving, de GDPR-regelgeving en de klokkenluiderwetgeving.

Het overgrote deel van de ondernemingen wordt geconfronteerd met regelgeving in deze drie hogergenoemde specifieke domeinen. Daarnaast brengt een slechte compliance binnen een van deze drie domeinen verschillende risico’s met zich mee voor de aansprakelijkheid van zowel de onderneming zelf als die van haar bestuurders. De risico’s die de onderneming en haar bestuurders lopen zullen verschillen van domein tot domein.

Vooreerst legt de Antiwitwaswet een breed scala aan verplichtingen op, niet enkel aan de onderworpen entiteit zelf, maar eveneens wordt de persoonlijke verantwoordelijkheid van bestuurders in het garanderen van de naleving van de wetgeving benadrukt. Bij gebrek aan toezicht en naleving van deze verplichtingen door de bestuurders, komt tevens hun persoonlijke aansprakelijkheid in het gedrang. Naast administratieve en strafrechtelijke sancties lopen de onderneming en haar bestuurders bij niet-naleving van de wetgeving het risico vervolgd te worden als (mede)dader of medeplichtige aan een witwasmisdrijf cf. artikel 505 Sw. Tevens riskeren bestuurders strafrechtelijk verantwoordelijk gesteld te worden indien zij bijvoorbeeld cashgelden in ontvangst nemen waarvan zij weten dat deze van illegale oorsprong zijn. Naast de strafrechtelijke aansprakelijkheid kunnen bestuurders aansprakelijk gesteld worden op basis van artikel 1382 (oud) BW/artikel 6.5 (nieuw) BW voor fouten begaan in het bestuur. Deze aansprakelijkheid wordt des te belangrijker doordat het nieuwe Boek 6 van het Burgerlijk Wetboek, dat op 1 januari 2025 in werking treedt, de quasi-immuniteit van hulppersonen, waaronder dus de bestuurders, principieel afschaft. 

Om deze aansprakelijkheid te beheren, is het aangeraden om de verantwoordelijkheden van iedere bestuurder duidelijk vast te stellen. Bovendien kunnen bestuurders hun taak van toezichthouder delegeren en hun persoonlijke aansprakelijkheid, in de mate dat het wordt toegelaten, beperken. “In de mate dat het wordt toegelaten”, duidt op het feit dat de bestuurder enerzijds de voorwaarden voor de delegatie dient na te leven (verbod op algemene delegatie; delegatie moet reëel, duidelijk en expliciet zijn; gedelegeerde moet de delegatie aanvaard hebben en op de hoogte zijn van de grenzen en omvang zijn opdracht; de gedelegeerde beschikt over de nodige bekwaamheid, gezag en de middelen om zijn opdracht uit te kunnen voeren en er moet regelmatig toezicht worden gehouden), en anderzijds dat men de eigen aansprakelijkheid niet ongebreideld kan beperken, bijvoorbeeld voor de eigen opzettelijke fout of voor het persoonlijk plegen van een misdrijf. 

Optimaliseer het beheer van uw witwasrisico's met GoComply Anti-Money Laundering.

Inzake de GDPR-regelgeving draagt het bestuursorgaan de eindverantwoordelijkheid voor het ontwikkelen, implementeren en handhaven van een beleid en procedure met betrekking tot gegevensbescherming binnen de onderneming. In die zin dient het bestuursorgaan een cultuur van gegevensbescherming te bevorderen en de onderneming op zodanige manier te besturen dat zij voldoet aan alle wettelijke vereisten onder de GDPR-regelgeving. Niet-naleving kan concreet leiden tot strafrechtelijke, administratieve en burgerrechtelijke aansprakelijkheid van de onderneming en haar bestuurders. 
Een betrokkene kan bijvoorbeeld een burgerrechtelijke vordering instellen tegen de onderneming en haar bestuurders wegens de door hem of haar geleden materiële of immateriële schade. Maar het is daarbij wel van belang dat de betrokkene moet bewijzen dat hij of zij effectief schade leed, een loutere inbreuk op de GDPR-regelgeving is dus onvoldoende om de onderneming aansprakelijk te stellen.  
Wel kunnen de onderneming en haar bestuurders zich bevrijden van deze aansprakelijkheid door aan te tonen dat zij op geen enkele wijze verantwoordelijk zijn voor het schadeveroorzakende feit. Hier speelt opnieuw de hierboven reeds besproken verantwoordingsplicht en een efficiënt beleid inzake gegevensbescherming een belangrijke rol. Wederom zal ook hier het wegvallen van de quasi-immuniteit van hulppersonen in de nabije toekomst een belangrijke impact hebben. 

De klokkenluidersregeling ten slotte stelt het bestuursorgaan vooreerst verantwoordelijk voor het opstellen en implementeren van effectieve interne meldingsprocedures. Deze moeten voldoen aan bepaalde voorwaarden om melders op een veilige en toegankelijke manier de mogelijkheid te geven om mistoestanden binnen de onderneming, buiten het hiërarchische niveau om, te rapporteren. In dat opzicht moet het bestuursorgaan erop toezien dat er duidelijke richtlijnen en efficiënte kanalen worden gecreëerd binnen de onderneming. Ook dient het bestuursorgaan te waarborgen dat de meldingen op een tijdige en gepaste wijze, volgens de bepalingen van de Klokkenluiderswet, worden afgehandeld. 
Het is dan ook de verantwoordelijkheid van het bestuursorgaan en de bestuurders om erop toe te zien dat de onderneming volledig voldoet aan alle (minimum)verplichtingen die de Klokkenluiderswet stelt. Dit houdt ook in dat zij de interne procedures en kanalen regelmatig evalueren en updaten om hun overeenstemming met de wet (en eventuele toekomstige wijzigingen of aanvullingen van de wet) te garanderen. 
Het bestuursorgaan heeft bovendien de taak om ervoor te zorgen dat haar werknemers zich bewust zijn van hun rechten en verplichtingen onder de Klokkenluiderswet. Niet-naleving van de klokkenluidersregelgeving brengt diverse risico’s met zich mee voor zowel de onderneming en haar bestuurders zelf, als voor de melders van mistoestanden.

Zo kan de onderneming verplicht worden een vergoeding te betalen aan de klokkenluider wanneer zij de verplichtingen voortvloeiend uit de Klokkenluiderswet zou negeren. Zo kan de klokkenluider bijvoorbeeld een schadevergoeding vorderen indien de onderneming, in strijd met artikel 23 van de Klokkenluiderswet, represailles onderneemt tegen de klokkenluider. Dit kan zowel op basis van het contractuele aansprakelijkheidsrecht, als via het buitencontractuele aansprakelijkheidsrecht. In dat opzicht lopen dus ook de bestuurders van de onderneming in kwestie een risico. Opnieuw zal de afschaffing van de quasi-immuniteit voor hulppersonen hierop een grote impact hebben.  
Het Sociaal Strafwetboek bevat bepalingen waarmee de niet-nakoming van de verplichtingen van de klokkenluiderswet worden gesanctioneerd met strafrechtelijke sancties. Deze niet-nakomingen kunnen bijvoorbeeld bestaan uit het niet-opzetten van interne meldingskanalen, geen procedures ontwikkelen voor interne meldingen en de meldingen niet registreren. Dit betekent dat zowel de onderneming als haar bestuurders beboet kunnen worden indien wettelijke verplichtingen niet worden nageleefd.

Laat onregelmatigheden uw reputatie niet schaden! Beheer de detectie van onethisch gedrag proactief en voldoe tegelijkertijd aan de wetgeving dankzij GoComply Whistleblowing.

Mr. Stijn De Meulenaer, advocaat-vennoot Everest Fraud en mr. Fien Schreurs, advocaat Everest Fraud hebben over het item ‘compliance’ geschreven in het boek Taken en aansprakelijkheden van de bestuurder.

Taken en aansprakelijkheden van de bestuurder

Noëmi Callaert, Jan Delanote en Stijn De Meulenaer (eds.)

Januari 2025
ISBN 9789400017931