Het Amerikaanse ministerie van Justitie benadrukt AI-risico's en klokkenluidersbescherming in herziene richtlijnen voor naleving door bedrijven

Op maandag 23 september heeft de Criminal Division van het Amerikaanse ministerie van Justitie (DOJ) updates bekendgemaakt voor haar richtlijnen voor de evaluatie van complianceprogramma's voor bedrijven (ECCP). Nicole Argentieri, adjunct-procureur-generaal, heeft tijdens een toespraak voor de Society of Corporate Compliance and Ethics ook opmerkingen gemaakt over de wijzigingen. De herzieningen van de ECCP benadrukken dat een effectief complianceprogramma moet:

• Voer na een fusie of overname passende risicobeoordelingen uit en implementeer nalevingsprogramma's.
• Houd rekening met risico's die gepaard gaan met opkomende technologieën zoals kunstmatige intelligentie (AI), zowel in commerciële activiteiten als in het nalevingsprogramma zelf.
• Zorg voor robuuste bescherming van klokkenluiders; en
• Wees toegankelijk en beschik over voldoende financiële middelen en gegevensbronnen.

We hebben hier een redline toegevoegd waarin de vorige versie van het ECCP (bijgewerkt in maart 2023) wordt vergeleken met de nieuwe versie, zodat alle wijzigingen zichtbaar zijn. Hieronder geven we achtergrondinformatie over het ECCP, vatten we de wijzigingen samen en leggen we uit wat de gevolgen ervan zijn.

Het ECCP begeleidt het ministerie van Justitie bij het nemen van beslissingen over vervolging en schikkingen en stimuleert robuuste nalevingsprogramma's.

Het Amerikaanse ministerie van Justitie (DOJ) maakt steeds vaker gebruik van het ECCP als belangrijk instrument om veranderingen in complianceprogramma's van bedrijven te stimuleren. Het ECCP geeft aanklagers instructies over hoe zij complianceprogramma's van bedrijven moeten beoordelen bij het nemen van beslissingen over het al dan niet instellen van vervolging tegen een bedrijf en hoe zij zaken moeten oplossen, met inbegrip van de mogelijkheid van strafvermindering en zelfs het afzien van vervolging. Het ECCP helpt bedrijven dus te begrijpen wat het DOJ verwacht van een "effectief" complianceprogramma.

Het bijgewerkte ECCP van het Amerikaanse ministerie van Justitie moet worden gezien tegen de achtergrond van het streven van het ministerie om de handhaving tegen "witteboordencriminaliteit" te verscherpen. Het ministerie heeft bedrijven er voortdurend aan herinnerd dat het "alle middelen" zal inzetten om bedrijfsmisdaad te vervolgen, zowel door middel van uitgebreide stimulansen als door hogere verwachtingen van bedrijven. In maart 2024 bespraken we de mogelijke gevolgen voor bedrijven naar aanleiding van de opmerkingen van adjunct-procureur-generaal Lisa Monaco over de integratie door het DOJ van disruptieve technologieën, zoals AI en kortstondige berichten, in zijn evaluatie van de nalevingsinspanningen van bedrijven. Deze nadruk komt ook tot uiting in de wijzigingen die het DOJ in 2023 heeft aangebracht in zijn Criminal Division Corporate Enforcement and Voluntary Self-Disclosure Policy, waarin de verantwoordelijkheid van bedrijven om materiaal op samenwerkingstools en kortstondige berichtenplatforms te bewaren aan de orde kwam. En vorige maand bespraken we de implicaties van het proefprogramma van het DOJ voor beloningen voor klokkenluiders op interne onderzoeken van bedrijven en overwegingen met betrekking tot zelfmelding. Het DOJ heeft tegelijkertijd een proefprogramma voor individuele zelfmelding gelanceerd.

Wijzigingen in het ECCP benadrukken vooruitstrevend denken en proactieve naleving

De updates van het ECCP van deze week tonen aan dat het Amerikaanse ministerie van Justitie progressieve, dynamische complianceprogramma's wil stimuleren die onethisch gedrag ontmoedigen. Argentieri benadrukte in zijn toespraak dat bedrijven met goed uitgeruste complianceafdelingen "beter in staat zijn om wangedrag te voorkomen, op te sporen en voor te blijven wanneer het zich voordoet".[1] Hieronder lichten we de belangrijkste wijzigingen in het ECCP toe.

1. Risicobeoordelingen en integratie van compliance na fusies en overnames

Het herziene ECCP benadrukt het belang van een effectieve integratie van een nalevingsprogramma wanneer bedrijven fuseren, overnames doen of andere transacties uitvoeren. Hoewel het vorige ECCP dit onderwerp kort behandelde, vraagt het DOJ in zijn laatste herzieningen om meer aandacht voor nalevingsinspanningen na transacties. Bedrijven moeten overwegen om risicobeoordelingen uit te voeren voor nieuw overgenomen divisies en moeten hun beleid en procedures aanpassen om rekening te houden met nieuwe risico's.

2. De impact van nieuwe technologieën op commerciële en compliance-activiteiten

Een belangrijke wijziging in het herziene ECCP is de richtlijn om na te gaan of bedrijven de risico's van nieuwe technologieën, waaronder AI, aanpakken. Deze overweging is tweeledig: bedrijven moeten de risico's van het gebruik van nieuwe technologieën zowel in hun commerciële activiteiten als in het nalevingsprogramma zelf adequaat aanpakken. Bedrijven moeten bijvoorbeeld controles invoeren om misbruik van commerciële technologieën door insiders te voorkomen, evenals controles om de betrouwbaarheid en geloofwaardigheid van de technologie die wordt gebruikt voor het toezicht op de naleving te waarborgen. Bedrijven moeten risicobeoordelingen uitvoeren met betrekking tot het gebruik van nieuwe technologieën in hun dagelijkse activiteiten en bij het toezicht op de naleving. Adequate training in het gebruik van kunstmatige intelligentie en andere nieuwe technologieën is het absolute minimum voor een effectief nalevingsprogramma.

In dit verband moeten bedrijven processen hebben om hun technologiebeleid en -procedures bij te werken wanneer nieuwe technologieën opkomen en transformaties plaatsvinden. Complianceprogramma's moeten dus zodanig in het bedrijf worden geïntegreerd dat ze zich naadloos kunnen aanpassen aan nieuwe technologieën of commerciële transacties. Een dergelijke integratie vereist frequente risicobeoordelingen en monitoring om ervoor te zorgen dat wat op papier goed klinkt, ook in de praktijk werkt.

3. Klokkenluidersbeleid 

Het herziene ECCP versterkt de richtlijnen met betrekking tot de bescherming van klokkenluiders en het beleid en de praktijken ter voorkoming van represailles. Bedrijven moeten minimaal beschikken over een beleid ter voorkoming van represailles en hun werknemers opleiden met betrekking tot interne en externe meldingsmechanismen en wetgeving inzake de bescherming van klokkenluiders. Klokkenluiders moeten worden beschermd en de reactie van bedrijven op meldingen van wangedrag moet aantonen "dat represailles niet worden getolereerd".[2]

Bedrijven moeten ook tijdig onderzoek doen naar en reageren op meldingen van klokkenluiders, en meldingskanalen moeten zo worden ingericht dat alle mogelijke klachten over naleving bij de compliance-afdeling terechtkomen voor een passend onderzoek. In dit verband moeten bedrijven rekening houden met het proefprogramma van het Amerikaanse ministerie van Justitie voor beloningen aan klokkenluiders en de prikkels die dit programma biedt voor werknemers en bedrijven om zelf misstanden te melden.

4. Informatiebronnen over naleving

Ten slotte werd in het herziene ECCP meer nadruk gelegd op de toewijzing van middelen aan nalevingsprogramma's. Aanklagers worden opgedragen rekening te houden met de budgetten die aan nalevingsprogramma's worden toegewezen, en bedrijven moeten overwegen een commerciële waarde toe te kennen aan hun investeringen in naleving. De middelen die worden toegewezen aan het binnenhalen van opdrachten mogen niet onevenredig groter zijn dan die welke aan naleving worden toegewezen. Nalevingsprogramma's moeten voldoende worden gefinancierd en bemand, en nalevingsmedewerkers moeten toegang hebben tot de gegevens en hulpmiddelen die nodig zijn om de naleving door het bedrijf op zinvolle wijze te evalueren. Er moet ook gebruik worden gemaakt van data-analysetools om de effectiviteit van het nalevingsprogramma van het bedrijf te evalueren.

In wezen benadrukken de updates van het DOJ aan het ECCP wat al jarenlang de boodschap van het DOJ is: als het gaat om compliance, moeten bedrijven hun woorden omzetten in daden. Lipservice alleen wordt niet beschouwd als een 'effectief' complianceprogramma voor bedrijven.

Als u vragen heeft over complianceprogramma's voor bedrijven, neem dan contact op met de auteurs van dit artikel of uw advocaat bij Foley & Lardner.

[1] Nicole Argentieri, Toespraak tijdens het 23e jaarlijkse Compliance & Ethics Institute van de Society of Corporate Compliance and Ethics (23 september 2024).

[2] Id.