De cyberverzekering vanuit civielrechtelijk perspectief
Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.2.2:III.3.2.2 Privacy-incidenten: definities
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.2.2
III.3.2.2 Privacy-incidenten: definities
Documentgegevens:
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278868:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Toon alle voetnoten
Voetnoten
Voetnoten
Bijvoorbeeld Allianz, Amlin, CB, Chubb.
Allianz, Centraal Beheer, Chubb, HDI.
Hiscox, definitie ‘data inbreuk’.
HDI artikel 1.28, definitie van privacy-incident.
Bijv. Chubb en HDI. Zie hierover ook De Azevedo 2019, p. 99.
Vgl. Wansink 2006, p. 153 e.v. Dit geldt m.i. ook voor dwangsommen die door de AP zijn opgelegd. De cyberverzekering heeft dwangsommen niet als gedekt risico opgenomen.
Deze functie is alleen te gebruiken als je bent ingelogd.
Wat in de verzekeringsvoorwaarden precies onder een privacy-incident wordt verstaan, verschilt per verzekeraar. In de meeste gevallen is bij een privacy-incident vereist dat er sprake is van daadwerkelijke openbaarmaking van of ongeoorloofde toegang tot persoonsgegevens, dan wel dat persoonsgegevens weg of beschadigd zijn.1 Een aantal verzekeraars biedt tevens dekking indien sprake is van een vermoeden van ongeoorloofde toegang tot persoonsgegevens, al dan niet specifiek ten aanzien van incident-responsekosten.2 Een enkele maal stelt de verzekeraar een extra eis die de definitie versmalt:
“Het onbevoegd verkrijgen, toegang geven, gebruiken of openbaar maken van persoonsgegevens:
waardoor de veiligheid of bescherming van die gegevens zodanig wordt aangetast dat dit een aanmerkelijk risico op financiële schade voor de betrokkene oplevert
waardoor die voor verzekerde de wettelijke verplichting met zich meebrengt om het onbevoegd verkrijgen, toegang geven, gebruiken of openbaar maken ervan te melden.”3
Dit is een specifieke definitie, waarbij sprake moet zijn van ‘een aanmerkelijk risico op financiële schade voor de betrokkene’. Wat precies onder ‘financiële schade’ moet worden verstaan, maakt deze verzekeraar niet duidelijk.
Het andere uiterste is juist een zeer ruime dekking voor algemene overtredingen van de AVG:
“a. de onbevoegde openbaarmaking, verlies van en/of (vermoedelijke) onbevoegde toegang tot persoonsgegevens welke verwerkt worden door verzekerde en/of waarvoor verzekerde verantwoordelijk is;
b. het verzamelen, verwerken, gebruiken van persoonsgegevens door verzekerde welke in strijd is met de Algemene Verordening Gegevensbescherming (AVG) of andere van toepassing zijnde binnen of buitenlandse wettelijke regelingen inzake gegevensbescherming en/of –verwerking;
c. het niet voldoen aan een wettelijke meldplicht ten aanzien van datalekken.”4
De bepaling onder (b) maakt de dekking zeer ruim, zeker door het gebruik van het begrip ‘verwerken’. In de context van de AVG vertaalt dit begrip zich immers in feite naar ieder werkwoord.
De relevantie van de definitie van een privacy-incident wordt extra zichtbaar op het moment dat de Autoriteit Persoonsgegevens een onderzoek zou verrichten bij een verzekerde partij. De kosten van verweer, dan wel andere kosten die gepaard gaan met een dergelijk onderzoek, worden in de regel door de cyberverzekering gedekt. Dit wordt echter bijna altijd gekoppeld aan een ‘privacy-incident’ zoals bedoeld in de polis. Dit begrenst derhalve tevens de omvang van de kosten van verweer die voor vergoeding in aanmerking komen (zie hierover ook §4.2). Algemene overtredingen van de AVG waartegen de AP eventueel zou optreden, vallen derhalve slechts bij een enkele cyberverzekering onder de dekking.5 Op zichzelf is dat niet onbegrijpelijk. Dergelijke risico’s vallen onder het ondernemersrisico.6