Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.4
III.3.4 Incident-responsediensten
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278864:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Zie bijvoorbeeld polisvoorwaarden Amlin, p. 7.
AIG.
CB, HDI.
Vgl. Th. H. Bentz, ‘Is your cyber liability insurance any good: A guide for banks to evaluate their cyber liability insurance coverage’, North Carolina Banking Institute 2017, vol. 21, p. 48.
Zie bijv. HDI artikel 3.2.4. Bij grote bedrijven is de polis sowieso veel meer maatwerk dan bij bijvoorbeeld het MKB+.
HDI resp. Allianz.
Uitzonderingen zijn XL Catlin en AIG. XL Catlin noemt slechts ‘kosten’. Opmerkelijk is dat AIG een onderscheid maakt tussen first response en incident management, en dat bij first response enkel de redelijke en noodzakelijke kosten zijn gedekt, terwijl bij incident management, dat vrijwel uit dezelfde elementen bestaat, alle schade wordt betaald. Beide rubrieken kunnen niet tegelijk van toepassing zijn.
Allianz, CNA, Liberty en XL Catlin.
WP29, Richtsnoeren voor de melding van inbreuken in verband met persoonsgegevens krachtens Verordening 2016/679, 18/NL WP250rev.01, p. 30.
HDI, Allianz, Amlin.
Brand moet zo snel mogelijk worden geblust. Daarvoor wordt een dienst ingeschakeld, namelijk – uiteraard – de brandweer. Bij cyberincidenten geldt in feite hetzelfde: een (vermoedelijk) cyberincident dient zo snel mogelijk te worden verholpen. Daarvoor is vaak de hulp van experts benodigd, zoals IT-deskundigen. De cyberverzekering voorziet in deze diensten door middel van (dekking voor) incident response.
Voor incident response wordt in de regel een driehoek van experts ingeschakeld: forensisch/IT-technisch, juridisch en PR. De forensisch expert richt zich op de getroffen systemen van de verzekerde en tracht te achterhalen wat de oorzaak van het incident is. Deze deskundige verricht in het algemeen geen daadwerkelijke herstelwerkzaamheden, anders dan het verwijderen van bijvoorbeeld virussen.1 Tevens brengt de forensisch expert in kaart of er persoonsgegevens in het geding zijn. Op basis van deze bevindingen kan de verzekerde, al dan niet met hulp van een advocaat of juridisch expert, bepalen of er een melding aan de AP en de betrokkenen is vereist. In dat laatste geval kan de inschakeling van een PR-/communicatie adviseur waardevol zijn.
Om de incident response goed te laten verlopen, is een heldere coördinatie binnen het incident-responseteam zeer belangrijk. De verzekerden moeten in het geval van cyberincidenten vaak een speciaal noodnummer bellen. Welke partij zij dan aan de lijn krijgen en welke partij vervolgens de leiding neemt in het crisismanagement, verschilt per verzekeraar. Bij de ene verzekeraar is dat een advocatenkantoor,2 terwijl dit bij een andere maatschappij juist een forensisch bureau of een IT-specialist is.3
In de meeste gevallen is het de verzekeraar die de partijen aanwijst die de gedekte diensten zullen verrichten. Dit is een vast panel van dienstverleners, die vaak op het polisblad staan aangetekend. Met name voor grote bedrijven is dit niet altijd gewenst. Deze partijen werken met hun eigen dienstverleners en stellen het niet altijd op prijs dat een voor hen onbekende IT-expert of advocaat in de systemen komt kijken en advies uitbrengt.4 De meeste verzekeraars houden de optie open om – onder voorwaarde van voorafgaande goedkeuring van de verzekeraar – de eigen experts te kiezen.5
Voor veel kleinere verzekerde partijen kan een systeem van incident response met vooraf aangewezen partijen veel voordelen opleveren. Alleen al gelet op de meldingstermijn van 72 uur in artikel 33 AVG is het van belang dat processen snel en routematig worden opgestart en uitgevoerd. Dit geldt ook voor het zo snel mogelijk achterhalen van de oorzaak van het (privacy- en/of netwerk)incident. Een vooraf door de verzekeraar aangewezen partij kan in die vereiste snelheid voorzien. Een aantal verzekeraars brengt bovendien geen eigen risico in rekening voor een eerste periode van 48 of 72 uur na de melding.6
Vrijwel alle cyberverzekeraars vereisen dat de kosten van incident response redelijk en noodzakelijk zijn.7 Soms is daarbij voorafgaande schriftelijke goedkeuring door de verzekeraar vereist.8 Dit vereiste is begrijpelijk. Met betrekking tot de kosten die gepaard gaan met het al dan niet melden van een inbreuk aan de Autoriteit Persoonsgegevens en/of betrokkenen kan dat evenwel een discussie opleveren. De AVG bestaat grotendeels uit open normen. Aan de hand van een risicoanalyse moet worden bepaald of al dan niet dient te worden gemeld en of dit ook aan de betrokkenen moet gebeuren of enkel aan de AP. Als de verwerkingsverantwoordelijke twijfels heeft, moet hij het zekere voor het onzekere nemen en de inbreuk melden.9 Zeker waar het gaat om melding aan alle betrokkenen, wat behoorlijke kosten kan meebrengen, zijn meningsverschillen tussen verzekeraar en verzekerde over de redelijkheid dan wel noodzakelijkheid van het melden niet ondenkbaar.
Er zijn situaties denkbaar dat melding strikt genomen niet nodig is, bijvoorbeeld indien kan worden verdedigd dat de inbreuk geen hoog risico vormt voor de rechten en vrijheden van natuurlijke personen. In dat geval hoeven de betrokkenen op grond van artikel 34 AVG niet op de hoogte worden gesteld. Het kan evenwel voorkomen dat de verzekerde deze melding toch wenst te maken. In een aantal polissen is daarin voorzien door ook de kosten van een vrijwillige, wettelijk niet verplichte melding te dekken, mits de verzekeraar daarvoor toestemming geeft.10 Mede met het oog op het voorkomen of beperken van eventuele reputatieschade kan dit een waardevolle aanvulling op de dekking zijn.