Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/II.5.1
II.5.1 Compliance en kosten rondom de meldplicht datalekken
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278906:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Hiscox artikel 2.1.2 sub 4, Chubb/Ace artikel 2.5(D)(6), AIG artikel 1.2.1(iii). CNA noemt dit niet in de polis.
“Juridische kosten voor het melden van een inbreuk, nodig om toepasselijke meldingsverplichtingen vast te stellen […]” (Hiscox, artikel 2.1.2 sub 2); zie in algemenere zin AIG, artikel 1.2.2. “[…] Response Adviseur voor het verlenen van juridisch advies”.
Chubb/Ace artikel 2.5(C): “[…] een juridisch adviseur […] die de communicatie met een overheidsorgaan ter hand kan nemen teneinde de noodzakelijke maatregelen te bepalen […] zodat voldaan wordt aan de toepasselijke Privacyregelgeving.”
Hiscox artikel 2.1.2, Chubb/Ace artikel 2.5(A) en in algemene zin AIG artikel 1.2.3.
CNA rubriek 1 sub 1: “[…] kosten forensisch onderzoek opgelopen door de verzekerde bij het herstel […]”.
Hiscox artikel 2.1.2 (toestemming vereist), AIG artikel 1.2.6, Chubb/Ace artikel 2.5(D)(2) (toestemming vereist), CNA rubriek 1 sub 7.
Hiscox artikel 2.1.2 sub 3, Chubb/Ace artikel 2.5(D)(4), AIG artikel 1.2.7, CNA rubriek 1 sub 7(a).
AIG: “De verzekeraar dekt de redelijke en noodzakelijke vergoedingen, kosten en uitgaven voor monitoringsdiensten […].”
Dit kan wellicht worden ingelezen in artikel 33 lid 2 sub d AVG als schadebeperkende maatregel.
Zie in dit kader Betterley 2017, p. 9. Over de zin en onzin van kredietmonitoring wordt nog gediscussieerd: P. Kemp, ‘Credit monitoring services can mitigate effect of data breach, says expert’, Out-Law.com, 17 februari 2017, te raadplegen op https://www.out-law.com/en/articles/2017/february/credit-monitoring-services-can-mitigate-effect-of-data-breach-says-expert/. Dit bericht wordt tegengesproken door K. Kulp, ‘Credit monitoring services may not be worth the costs’, CNBC 30 november 2017, te raadplegen op https://www.cnbc.com/2017/11/29/credit-monitoring-services-may-not-be-worth-the-cost.html. Beide websites laatst bezocht op 9 maart 2018.
Kosten die gepaard gaan met het maken van de melding van het datalek.
Dat de notificatiekosten in de VS verreweg het hoogst zijn, blijkt ook uit de jaarlijkse bevindingen van het Ponemon Institute. Zie Ponemon Research Report, ‘2017 Cost of Data Breach Study: global overview’, The Ponemon Institute 2017.
Compliance en verantwoording zijn belangrijke thema’s in de AVG. Vertaald naar verzekeringsdekking is dit element met name te zien rondom de meldplicht datalekken. Een voorbeeld daarvan is het feit dat alle getoetste polissen voorzien in incident response services. Daarmee kan de aangeboden dekking voor de verwerkingsverantwoordelijke een middel vormen om in geval van een datalek aan de AVG te voldoen.
Verzekerden kunnen aanspraak maken op crisismanagement,1 juridische ondersteuning bij de beoordeling of de inbreuk meldingplichtig is,2 of juist voor de communicatie met de overheid.3 De technische ondersteuning kan bestaan uit forensische of IT-diensten die de oorzaak van de inbreuk vaststellen4 of herstelwerkzaamheden uitvoeren.5 Verder bieden alle getoetste polissen dekking voor het opzetten van een callcenter om betrokkenen van informatie te voorzien, al is daar in een enkele polis voorafgaande toestemming van de verzekeraar voor nodig.6
Dekking voor deze diensten is met het oog op de 72-uurstermijn uit de AVG in Europa wellicht nog wenselijker dan in de VS. De verzekerde kan gebruik maken van het netwerk van specialisten van de verzekeraar, wat een grote tijdbesparing kan opleveren. Het wordt daarmee voor hem een stuk beheersbaarder om te voldoen aan de eisen van de AVG rondom het melden van datalekken.
Het merendeel van de onderzochte polissen noemt bij incident response services ook diensten zoals (krediet)monitoring.7 De polissen definiëren dit begrip niet. De AVG kent geen wettelijke verplichting voor verwerkingsverantwoordelijken om deze dienst aan de betrokkenen aan te bieden. De vraag is dan ook hoe dergelijke clausules in het licht van de Europese regelgeving dienen te worden uitgelegd; wanneer is kredietmonitoring bijvoorbeeld ‘noodzakelijk’, zoals in een aantal polissen als voorwaarde is opgenomen?8 Is dit in Europa bovendien wel een uitvoerbare en effectieve dienst, waar kredietbureaus veel minder gebruikelijk zijn dan in de VS? Bij gebrek aan een wettelijke verplichting die een dergelijke dienst voorschrijft,9 ligt de noodzaak (dan wel het effect) van het verlenen van een dergelijke dienst eerder in de beperking van de eigen (reputatie)schade van de verzekerde, dan in compliance. Overigens lijkt kredietmonitoring ook als beperking van reputatieschade eerder een Amerikaans dan een Europees fenomeen.10 Vooralsnog zie ik in dit aspect van de dekking geen directe aansluiting op een uit de AVG voortvloeiende behoefte.
De in Nederland aangeboden polissen bieden net als de polissen in de VS dekking voor notificatiekosten.11 De waarde die aan deze dekking in Europa zal worden gehecht – en daarmee de vraag of dit voor Europese bedrijven een reden vormt om een cyberverzekering af te sluiten – kan echter van de VS verschillen door het one-stop-shop beginsel uit de AVG: er dient te worden gemeld aan één instantie, de toezichthouder. De drempel om ook aan de betrokkenen te melden, ligt hoger en kent verschillende uitzonderingen (bijvoorbeeld als individuele notificatie onevenredige inspanningen zou vergen).12 In de VS is dit juist andersom: het uitgangspunt is dat melding altijd aan alle betrokkenen wordt gedaan, niet zozeer aan de toezichthoudende autoriteit. Daar komt bij dat er in de Amerikaanse regelgeving, anders dan onder de AVG, geen verdere toetsingsdrempel voor de meldingsplichtigheid van de inbreuk bestaat. Er zal dus sneller moeten worden gemeld aan (veel) meer geadresseerden dan in Europa. De daaraan verbonden kosten zullen in de VS dus hoger zijn dan in Europa.13 Dat notificatiekosten in de VS een grotere drijfveer vormen voor het afsluiten van verzekeringsdekking dan in Europa is derhalve aannemelijk.
Andere aspecten van compliance, bijvoorbeeld preventieve maatregelen zoals beveiliging, vergen op de eerste plaats een investering van verzekeringnemers zelf. Toch lijkt er net als in de VS ook in Europa een groeimogelijkheid te bestaan in dekking voor zogenoemde pre-breach services. Verzekeraars kunnen verzekerden helpen om reeds in de acceptatiefase de beveiliging tegen datalekken op een hoger niveau te brengen, adequate response plannen op te stellen en organisatorische maatregelen te treffen, zoals training van het personeel. Indien (een deel van) deze kosten door de verzekeraar wordt vergoed of anderszins in de premie wordt verdisconteerd, dan lijkt dat een aantrekkelijke reden voor organisaties om zich te verzekeren.