Een (onverwacht) onderzoek door de autoriteiten

Toezichthoudende autoriteiten spelen een cruciale rol in het waarborgen van de naleving van wet- en regelgeving door bedrijven. In België hebben autoriteiten, zoals de Belgische Mededingingsautoriteit (BMA) of de Autoriteit voor Financiële Diensten en Markten (FSMA), diverse instrumenten tot hun beschikking om onderzoek te doen naar mogelijke overtredingen. Daarnaast gebruikt de Federale Overheidsdienst Financiën (FOD) en haar Bijzonder Belasting Inspectiedienst (BBI) haar bevoegdheden om organisaties te controleren op de fiscale naleving. Bovendien kunnen in België multidisciplinaire teams worden opgericht (MOTEMs) om gezamenlijk onderzoek te doen. Ook belangrijk om op te merken dat er gelijkwaardige autoriteiten bestaan op Europees niveau, die de onderzoeksbevoegdheden van Belgische autoriteiten zoals de BMA en FSMA weerspiegelen.

Twee veelgebruikte methoden zijn dawn raids en informatieverzoeken, die een aanzienlijke impact op een bedrijf kunnen hebben. De gevolgen van een onderzoek zijn groot en kunnen langdurig doorwerken. Denk aan reputatieschade, operationele verstoringen en mogelijke boetes of sancties bij overtredingen. Voor bedrijfsjuristen is het daarom essentieel om voorbereid te zijn op deze scenario’s, ook al verwacht je deze niet. Door effectief en efficiënt op deze situaties te reageren kunnen de langdurige gevolgen voor de organisatie zo veel mogelijk worden beperkt. In dit artikel bespreken we hoe je vanuit een dataperspectief het beste  met dergelijke situaties kunt omgaan.

Dawn raid

Een dawn raid, een onverwachte bedrijfsdoorzoeking, is een krachtig middel waarmee de autoriteiten ter plaatse bewijs kunnen verzamelen. Tijdens een inval kunnen zij documenten inzien, kopieën maken van digitale gegevens en zelfs medewerkers ondervragen. Dit soort onderzoeken kunnen onverwacht komen en vereisen onmiddellijke medewerking van het bedrijf. Dit brengt voor een organisatie zowel operationele als juridische uitdagingen met zich mee.

Een goede voorbereiding is essentieel om effectief op een dawn raid te reageren en de impact te beperken. Daarnaast zorgt een goede voorbereiding ook voor betere medewerking. Onvoorbereid zijn kan leiden tot fouten, zoals het weigeren van medewerking of het verwijderen van data, wat de situatie kan verergeren. Beide partijen zijn gebaat bij een organisatie die voorbereid is op een dawn raid.

1. Interne afspraken en communicatie

Het is cruciaal om binnen de organisatie duidelijke afspraken te maken over wie geïnformeerd moet worden indien een autoriteit (onverwacht) aan de receptie staat.

• De receptionisten zijn vaak het eerste aanspreekpunt. Zorg dat zij op de hoogte zijn van een protocol waarin staat hoe te handelen en wie er direct op de hoogte gesteld moet worden. Bij voorkeur een protocol per autoriteit.
• Stel een crisismanagementteam samen dat direct in actie komt bij een dawn raid. In veel gevallen zullen dit onder andere een bedijfsjurist, chief data officer of data protection officer, compliance officer en externe advocaat zijn.
• Stel een communicatiestrategie vast over hoe je het nieuws binnen de organisatie, maar ook extern, gaat delen. Probeer zoveel mogelijk paniek te voorkomen, waardoor de situatie kan verergeren.

2. IT-afdeling

De rol van de IT-afdeling bij een dawn raid is cruciaal. De hoeveelheid data die wordt opgeslagen groeit exponentieel. Autoriteiten komen met moderne technieken om data in beslag te nemen. De tools en software helpen bij het zoeken, identificeren en kopiëren van grote hoeveelheden data. Zij zullen niet meer met dozen vol papier naar buiten lopen. Hieronder een aantal aandachtspunten om rekening mee te houden:

• Zorg dat de IT-afdeling een goed overzicht heeft van het IT-landschap: waar data wordt opgeslagen, hoe lang deze wordt bewaard en wie toegang heeft tot welke gegevens.
• Train het IT-team in hoe zij de autoriteiten moeten ondersteunen. Zij moeten op de hoogte zijn van welke medewerking verplicht is, welke rechten zij hebben, en hoe te reageren als bevoegdheden worden overschreden of data buiten proportie in beslag wordt genomen.
• Tijdens een onverwacht bedrijfsbezoek zullen de autoriteiten data in beslag nemen. Het is van belang om zelf ook een kopie te maken van deze data, of deze te laten maken door externe forensische experts. Op basis van de informatie die de autoriteiten wel of niet beschikken, kan een intern onderzoek worden gestart. Daarnaast kan er op deze manier een controle komen op zeer vertrouwelijke informatie. Ook kan het zijn dat betrokkenen uit de organisatie ingelicht moeten worden van het feit dat bijvoorbeeld een kopie van hun mailboxen is gemaakt. Het brengt een organisatie veel onzekerheid om niet te weten over welke data de autoriteit beschikt.

Het meest tijdrovende deel van een onderzoek zal na de inval zijn. Er moet een intern onderzoek gestart worden naar de mogelijke misstand in uw organisatie. Naast dat de autoriteiten eDiscovery zullen gebruiken om de relevante stukken naar boven te krijgen, zal ook de organisatie dat moeten doen. Het zal het verschil maken tussen chaos en controle. Met gebruik van eDiscovery vind je op een efficiënte manier de relevante data en kan er een strategie worden opgezet richting de autoriteiten. Ook kan eDiscovery ingezet worden om bedrijfsgevoelige of geprivilegieerde informatie binnen de in beslaggenomen dataset te identificeren. Constructieve gesprekken met de autoriteiten kunnen vervolgens uitgevoerd worden waarbij overwogen kan worden om nieuwe informatie te delen met elkaar alsook verzocht kan worden om bedrijfsgevoelige of geprivilegieerde informatie binnen de in beslaggenomen dataset te verwijderen.

Informatieverzoeken

Naast een inval kunnen autoriteiten gebruik maken van informatieverzoeken. Bedrijven zijn hierbij verplicht om binnen een gestelde termijn specifieke vragen te beantwoorden en informatie aan te leveren. Hoewel minder disruptief dan een dawn raid, kunnen deze informatieverzoeken bijzonder complex en tijdrovend zijn. Bovendien zijn de deadlines vaak krap. Door adequaat te handelen kunnen langdurige processen, die aanzienlijke schade aan het bedrijf meebrengen, worden voorkomen.

Bij het beantwoorden van dergelijke verzoeken is een gestructureerde aanpak nodig. Dit begint bij het grondig analyseren van beschikbare data en op basis daarvan antwoorden te formuleren. Hoewel het verleidelijk is om te beginnen met wat je al weet, kan dit leiden tot een beperkt perspectief en het over het hoofd zien van cruciale informatie.

De eerste stap is het identificeren waar relevante data zich bevindt en het verzamelen van deze gegevens. Pas daarna kan er op basis van de gevonden data antwoorden worden geformuleerd. Deze aanpak zorgt er niet alleen voor dat de juiste informatie wordt gebruikt, maar ook dat er met zekerheid aangegeven kan worden wanneer bepaalde informatie niet beschikbaar is.

Het gebruik van eDiscovery kan dit proces ondersteunen. Met eDiscovery kan de data worden verwerkt, geanalyseerd en vanuit verschillende invalshoeken worden beoordeeld. Dit helpt om de situatie volledig te doorgronden en geen belangrijke details over het hoofd te zien. Bovendien stelt eDiscovery je in staat om met geavanceerde zoek- en filtertechnieken snel de meest relevante stukken te identificeren. Dit is essentieel gezien de vaak beperkte tijd die beschikbaar is om op een informatieverzoek te reageren. Ten slotte is het wenselijk om de gevraagde documentatie in een uniform formaat aan te leveren. Vaak stellen autoriteiten zelf hun regels op over het formaat van de aan te leveren documenten. Het niet opvolgen van deze regels kan consequenties hebben.

Conclusie

Een onderzoek door autoriteiten kan een grote impact hebben op een bedrijf. Het is daarom essentieel om goed voorbereid te zijn en direct op de juiste manier te handelen. Dit geldt zowel voor situaties waarin een dawn raid plaatsvindt als voor gevallen met een informatieverzoek. In beide scenario’s speelt het inzetten van eDiscovery een cruciale rol. Het stelt bedrijven in staat om efficiënt de relevante data te verzamelen en een sterke zaak op te bouwen.

In dergelijke situaties is kennis en expertise op het gebied van forensisch onderzoek en eDiscovery cruciaal. Dit ondersteunt het waarborgen van de integriteit van de data en het uitvoeren van gedegen intern onderzoek. Een gestructureerde aanpak zorgt er niet alleen voor dat een bedrijf voldoet aan de eisen van autoriteiten, maar ook de juridische risico’s effectief worden beheerst en de langetermijngevolgen van een onderzoek voor de organisatie worden beperkt.

Auteurs:

Dhr. Mathieu van Ravenstein, partner FORCYD, Dhr. Damien van Outryve d’Ydewalle, Director en Head of Brussels Office, en Mevr. Michelle Hagoort, Cyber en eDiscovery Analyst.