Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/II.3.2
II.3.2 Financiële instellingen
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278941:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
15 U.S.C. §§ 6801-6827 (ook wel ‘Financial Services Modernization Act’), in werking getreden op 11 november 1999. Het verhaal gaat dat de catalogus van Victoria’s Secret een cruciale rol heeft gespeeld in het opnemen van de privacy restricties in deze wet: een van de Afgevaardigden meende dat zijn creditcardmaatschappij zijn gegevens aan Victoria’s Secret had verkocht, waarop hij ongewild de catalogus ontving, met allerlei huwelijkse problemen tot gevolg (zie het bericht van het Electronic Privacy Information Centre op https://epic.org/privacy/glba/victoriassecret.html, laatst bezocht op 20 oktober 2017).
Nonpublic: “personally identifiable financial information—(i) provided by a consumer to a financial institution; (ii) resulting from any transaction with the consumer or any service performed for the consumer; or (iii) otherwise obtained by the financial institution.” 15 U.S.C. § 6809 (4).
De GLBA maakt een onderscheid tussen consumers en customers. Met ‘klant’ wordt in dit artikel customer bedoeld: een consument die een duurzame relatie heeft met de financiële instelling.
15 U.S.C. § 6803.
15 U.S.C. § 6802. Van deze mogelijkheid zou overigens slechts 5-7% gebruik maken, zie J. Winn 2008 p. 5.
16 CFR Part 134, 36484 Federal Register, vol. 67, no 100, May 23, 2002.
16 CFR Part 134, § 314.3 (a).
15 U.S.C. §§ 6804 en 6805 (section 504 GLBA).
17 CFR § 248, subpart A – Regulation S-P.
‘SEC Charges Investment Adviser With Failing to Adopt Proper Cybersecurity Policies and Procedures Prior To Breach’, press release 22 september 2015 (https://www.sec.gov/news/pressrelease/2015-202.html); ‘SEC: Morgan Stanley Failed to Safeguard Customer Data’, press release 8 juni 2016 (https://www.sec.gov/news/pressrelease/2016-112.html).
De FTC is eveneens de handhavende instantie voor de Gramm Leach Bliley Act (‘GLBA’).1 Deze federale wet heeft betrekking op financiële gegevens en is van toepassing op financiële instellingen, banken, verzekeraars en andere financiële dienstverleners. De GLBA bevat regels over het verzamelen, gebruiken, delen en openbaar maken van niet-openbare2 financiële gegevens. Daarnaast is in de GLBA het transparantiebeginsel terug te zien in de verplichting voor financiële instellingen om hun klanten3 minstens één keer per jaar te informeren over de gegevens die worden gedeeld, met welke partijen wordt gedeeld en op welke wijze de gegevens worden beschermd.4 Bovendien moeten financiële instellingen hun klanten een (begrijpelijke en uitvoerbare) opt-out mogelijkheid bieden voor het geval zij het niet eens zijn met het delen van informatie.5
In de Safeguards Rule, onderdeel van de GLBA, is nader uitgewerkt welke beveiligingsmaatregelen financiële instellingen moeten treffen.6 Zij moeten onder andere een informatiebeveiligingsprogramma ontwikkelen, implementeren en bijhouden. Daarin moeten administratieve, technische en fysieke waarborgen zijn opgenomen. Deze waarborgen dienen passend te zijn voor de aard en omvang van de financiële instelling en haar activiteiten, en recht te doen aan de aard van de verwerkte gegevens.7
Naast de FTC speelt ook de Security Exchange Commission (‘SEC’) een actieve rol in de handhaving van de privacyregelgeving. De SEC ontleent haar bevoegdheid aan de GLBA. Haar taak is om privacyregelgeving te ontwikkelen voor een specifieke groep bedrijfstakken en deze regelgeving te handhaven.8
De SEC heeft deze regels – die grotendeels gelijk zijn aan de voornoemde Safeguards Rule – opgenomen in de Regulation S-P.9 Zij heeft deze al meermaals strikt gehandhaafd. Zo betaalde R.T. Jones in 2015 na een datalek waarbij de persoonsgegevens van circa 100.000 betrokkenen werden buitgemaakt een forse afkoopsom aan de SEC. Ook Morgan Stanley koos in 2016 voor betaling van een bedrag van één miljoen dollar nadat een werknemer gegevens van duizenden personen had gestolen.10 Zeker dit laatste geval, waarin Morgan Stanley in feite slachtoffer werd van haar eigen personeel, illustreert de strenge lijn die de SEC hanteert.
De GLBA en de Regulation S-P kennen beide geen meldplicht bij datalekken.