Compliance is het begrip waarmee wordt aangeduid dat een persoon of organisatie werkt in overeenstemming met de geldende wet- en regelgeving. Het al dan niet voldoen aan deze juridische normen behoort niet tot de vrije beslissingsruimte waarin bedrijven zelf mogen bepalen welke bedrijfseconomische risico’s ze nemen en welke maatregelen ze nemen om deze risico’s te beperken. Als een bedrijf niet voldoet aan deze juridische normen dan loopt het een risico op juridische schade door vorderingen en bevelen tot nakoming en schadevergoeding of zelfs boetes en andere sancties wegens niet nakoming en in het uiterste geval juridische vernietiging (faillissement, ontbinding, liquidatie). Het is zelfs denkbaar dat een praktisch risico volledig kan worden weggenomen door een bepaalde organisatorische of technische maatregel te treffen, maar dat er toch juridische schade ontstaat. Zo moeten bedrijven zich houden aan alle brandvoorschriften voor een bepaald bedrijfstype, bedrijfsonderdeel of bedrijfsproces ook als ze dat op een andere wijze volledig brandvrij zouden hebben gemaakt.
Bedrijven moeten ook op straffe van klachten en boetes voldoen aan alle regels van het privacyrecht, ook al hebben ze een feitelijke inbreuk technisch uitgesloten, bijvoorbeeld door het coderen van de persoonsgegevens en afdoende beveiliging van de sleutel(s). Een ruimer begrip van compliance houdt niet alleen rekening met juridische normen, maar ook met bedrijfsnormen (zoals de gedragscodes binnen een branche) en technische normen (zoals NEN en ISO normen). Deze bedrijfsnormen en technische normen worden overigens vanzelf juridische normen als de brancheorganisatie de gedragscode voorschrijft en als een bedrijf bekend maakt dat het zich aan bepaalde bedrijfsnormen en technische normen houdt.
Compliance werkt ten slotte proactief en voorkomt daarmee praktische en juridische risico’s, terwijl het recht via zijn handhavingsmechanismen bij non-compliance reactief werkt en dan in ieder geval juridische risico’s oplevert. Naast juridische risico’s brengt non-compliance meestal ook praktische risico’s met zich mee. Hoewel er regels zonder (actuele) ratio bestaan, zullen de meeste regels deze wel hebben, dat wil zeggen dat hun naleving bepaalde praktische risico’s uitsluit of vermindert. Bedrijven moeten compliant zijn, maar beschikken in veel gevallen niet over voldoende juridische kennis om zelf te zorgen dat zij in alle opzichten feitelijk compliant zijn. In een aantal gevallen is er een overheidsinstelling die het bedrijf dwingt of helpt compliant te zijn, bijvoorbeeld de overheid in het geval van vergunningplichten (milieuvergunningen, vergunningen voor banken en verzekeraars, etc.) en in het geval van werknemersverzekeringen.
In andere gevallen neemt het bedrijf zelf maatregelen om praktische risico’s te verminderen en stuit het bij het nemen van deze maatregelen ook op juridische risico’s, waarbij alleen handhaving achteraf bestaat, bijvoorbeeld door inspectie of door vorderingen van partijen bij gesloten overeenkomsten. Goede voorbeelden hiervan zijn het niet alleen technisch beveiligen van de informatiesystemen van een bedrijf, maar ook zelf preventief toepassen van de verplichtingen uit de AVG. Of de zorg voor de gezondheid van werknemers die kan bestaan uit praktische maatregelen ten aanzien van de werkomgeving, maar ook uit het aanvullend verzekeren van bepaalde risico’s, waarvoor het bedrijf wel aansprakelijk kan worden gesteld. Voorbeelden uit mijn eigen bedrijfspraktijk zijn het privacyrechtelijk (AVG) compliant maken van data escrow en het auteursrechtelijk compliant maken van software escrow.
Een Compliance check heeft in beginsel betrekking op alle wet- en regelgeving en ook ruimer bedrijfs- en technische normen die van toepassing zijn op een bedrijf of bedrijfstype. Voor verschillende bedrijfstypen zal een groot aantal te checken normen hetzelfde zijn (bedrijfsrecht, arbeidsrecht, fiscaal recht, etc.). Voor bepaalde bedrijfstypen zal de Compliance check echter een aantal specifieke wetten omvatten die samenhangen met het specifieke bedrijfsproces. Het gaat hierbij bijvoorbeeld om bedrijven die persoonsgegevens verwerken (AVG), intellectuele eigendom produceren (Auteurswet, Octrooiwet, etc.), invloed hebben op het milieu (Milieurecht) of op de veiligheid van personen en zaken (Warenwet, Algemene Levensmiddelenverordening, Bouwrecht, etc.).
Het opstellen van een compliance checklist vergt daarom beschrijvingen van twee soorten kennis:
De eerste beschrijving maakt een volledige inventarisatie van alle praktische risico’s mogelijk. De tweede een inventarisatie van verplichte maatregelen voor het voorkomen van deze praktische risico’s en een inventarisatie van de juridische risico’s. De combinatie van deze beschrijvingen vormt de basis van het beslissingsproces waarbij de risico’s (kosten) van het niet nemen van praktische maatregelen worden afgewogen tegen de kosten van het wel nemen van deze praktische maatregelen. Te kostbaar bevonden praktische maatregelen kunnen vervolgens door verzekering worden afgedekt. Juridische risico’s moeten in ieder geval worden afgedekt door het compliant maken van het bedrijf. Om opnieuw de voorbeelden uit mijn eigen praktijk te gebruiken: de verplichtingen uit de AVG voor het bewaren van data moeten worden nagekomen (per definitie, maar ook om de zeer hoge boetes die mogelijk zijn (tot 20 miljoen euro of 4% van de jaaromzet) te voorkomen); en de door bedrijven gedeponeerde software moet ook werkelijk hun eigendom zijn om grote claims van de makers en gebruikers en andere afnemers of rechtsopvolgers te voorkomen.
Veel bedrijven zullen al over de eerste beschrijving beschikken omdat het bedrijfsproces al volledig is beschreven voor het ontwerpen van het bedrijfsinformatiesysteem (waarvan de workflow processen en de informatiestromen vast onderdeel uitmaken). De goederen en diensten worden daarnaast veelal al gedetailleerd beschreven bij de verwerving van vergunningen, de implementatie van bedrijfsprocessen, de levering (informatie voor de afnemers) en inspectie door de overheid.
Bij het ontwerp van nieuwe technische processen is het gebruikelijk om ook de juridische risico’s te inventariseren, maar het volledige bedrijfsproces komt vaak incrementeel tot stand waardoor een dergelijke inventarisatie voor de overige onderdelen van het bedrijfsproces ontbreekt. Zoals hiervoor aangegeven zullen bedrijven vooraf met een aantal juridische risico’s worden geconfronteerd door overheidsinstellingen die vergunningen verlenen en met andere risico’s door overheidsinspecties achteraf. Als deze inspecties geregeld plaatsvinden is dit veelal afdoende, maar een groot aantal inspecties vindt pas plaats nadat het risico zich heeft gerealiseerd. Veel van de hierbij gemiste risico’s kunnen worden geïnventariseerd door gebruik te maken van de expertise van de leveranciers van voor het bedrijf essentiële goederen en diensten. De accountant kent de fiscale risico’s, de notaris de risico’s bij overdracht en overgang van rechten en rond verschillende vormen van rechtspersoonlijkheid, de aannemer de risico’s rond bouwvoorschriften, de escrow-leverancier de risico’s in verband met de rechten en verplichtingen rond data en software.
Voor het bedrijfstype softwareleverancier omvatten het bedrijfsproces en de geproduceerde goederen en diensten onder andere:
Voor dit bedrijfstype is een groot aantal wetten in algemene zin van toepassing die ook voor andere bedrijfstypen gelden: het betreft onder andere het arbeidsrecht, het sociaal-zekerheidsrecht, het verbintenissenrecht, het mededingingsrecht, het aanbestedingsrecht, het ondernemingsrecht (bij de oprichting, bij fusies en overnames, in geval van bestuurdersaansprakelijkheid), het belastingrecht, het omgevingsrecht, etc. Met al deze algemene wet- en regelgeving moet bij de compliance check rekening worden gehouden om grote financiële risico’s te vermijden.
Voor elk bedrijfstype geldt echter ook een beperkt aantal specifieke wetten die direct betrekking hebben op het specifieke bedrijfsproces en de specifieke leveringen van goederen en diensten. In het geval van softwareleveranciers betreft het de opdracht- of arbeidsrelatie met programmeurs, het ontwikkelen van software op het gebied van o.a. het sociaal zekerheidsrecht, het recht op data en software in eigen of gehuurde racks in datacenters, de bescherming van de consumenten van data- en softwarediensten, het intellectuele eigendomsrecht op data en software, het telecommunicatierecht (onder andere mededingingsrecht op de markt voor informatiediensten), IT-aanbestedingen, de waardering van software op de balans van de leverancier en het belastingrecht in verband met IT-diensten. En dit is nog maar het topje van de ijsberg van reguliere juridische risico’s voor een enkel bedrijfstype.
Compliance lijkt een buzz word. Er zal ook zeker veel humbug worden verkocht op de markt voor compliance. De duidelijke definitie en uitwerking van het begrip voor een enkel bedrijfstype hierboven laat echter zien dat bedrijven compliance serieus moeten nemen en op een professionele manier moeten aanpakken om grote financiële risico’s te vermijden. In mijn eigen bedrijfspraktijk, waarin de primaire diensten data-escrow en software escrow zijn, zullen bijvoorbeeld altijd additionele checks op AVG-compliance en IE-compliance worden uitgevoerd.
Dr. mr. C.N.J. de Vey Mestdagh, dir. R&D Software Borg Instituut