Checklist risicobeoordeling: in slechts 3 stappen naar een risicobeoordeling

Het opmaken van een risicobeoordeling op welk bestuursniveau dan ook, is één van de moeilijkste aspecten van ondernemen. We zien dat de risicobeoordeling vaak als een obstakel wordt ervaren in ondernemingen: sommige ondernemingen hebben zelfs departementen om aan risicomanagement te doen. Als legal architects kunnen we een juridisch risico niet in uw plaats gaan nemen. We kunnen wel praktische richtlijnen uittekenen en een juridisch advies op maat geven, dit teneinde een pragmatische oplossing te vinden voor u.

Voorbeeld.
In een overeenkomst staat de volgende clausule: ‘indien een partij de bepalingen inzake GDPR zou schenden, geeft dit aanleiding tot onmiddellijke ontbinding’. U wenst die clausule uit de overeenkomst te halen. U vreest immers dat de klant de overeenkomst zou beëindigen bij elke schending van GDPR. We overlopen de checklist aan de hand van dit voorbeeld.

Checklist:

✔  Stap 1. Is er EFFECTIEF sprake van een (juridisch) risico? Ja / neen

Wat is het (juridisch) risico?
In de eerste plaats dient u na te gaan of er sprake is van een juridisch risico. Hierbij kunnen de eventuele sancties in de relevante wetgeving belangrijk zijn. Bij een schending van GDPR kunnen de sancties oplopen tot vier procent van de wereldwijde jaaromzet of 20 miljoen euro (hoogste van de twee). Daarnaast zou een inbreuk op GDPR ook aanleiding kunnen geven tot de ontbinding van de overeenkomst, dit op grond van een zwaarwichtige contractbreuk. Er is ook een commercieel risico en een risico inzake reputatieverlies: een inbreuk op GDPR is geen goede publiciteit voor een onderneming. De legal architects kunnen u helpen bij het in kaart brengen van de risico’s.

Het verwijderen van de bovenvermelde clausule uit een overeenkomst, zou het volgende (juridische) risico kunnen hebben: de klant schendt de bepalingen inzake GDPR de hele lijn van haar operationeel proces. Het voortzetten van uw activiteiten binnen dit proces, zou tot gevolg kunnen hebben dat er op het niveau van uw dienstverlening, ook sprake is van een schending van GDPR.

Wat is de context? En wat zijn de feiten? 
Ook de context en de feiten zijn essentieel in deze fase. Omdat het hier om persoonsgegevens gaat, dient o.m. de vraag te worden gesteld welke persoonsgegevens er worden verwerkt. Indien het enkel gaat om een beperkt aantal professionele contactgegevens m.b.t. personen (i.e. professioneel adres e.a.), is het risico in principe minimaal.

✔  Stap 2. Is de kans groot dat een risico zich voordoet? Ja / neen 

In de tweede plaats dient de vraag te worden gesteld naar de kans dat het risico zich effectief voordoet. Om op die vraag te antwoorden, is er onder meer informatie nodig met betrekking tot het beleid inzake gegevensbescherming van de opdrachtgever, het aantal gegevenslekken in het verleden e.a.

Belangrijk om op te merken: het is niet omdat een klant weinig gegevenslekken heeft geregistreerd in het verleden dat het beleid inzake gegevensbescherming ook waterdicht is. Het kan ook wijzen op een gebrek aan rapportering van gegevenslekken en, in het slechtste geval, de afwezigheid van een beleid inzake gegevensbescherming.

✔  Stap 3. Indien het risico zich voordoet, wat zijn de gevolgen? 

Hiermee worden vooral financiële gevolgen (i.e. een boete en/of een schadevergoeding) en, eventueel, reputatieverlies van een onderneming bedoeld. Op de financiële gevolgen zou kunnen worden ingespeeld door een verzekering af te sluiten, alsook een goed controleproces op te zetten (voor evaluatie en monitoring van de processen).

Wij hopen dat wij u voldoende hebben kunnen op weg helpen met het maken van de risico-afweging. Indien wij u toch ergens mee zouden kunnen helpen, aarzel dan niet om ons te contacteren. Wij denken met u mee.

Auteurs
Marc D'hoore
Marc D'hoore
Liesbet Demasure
Liesbet Demasure