Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.11
III.3.11 PCI-DSS
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278854:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
A. Calder & G. Williams, PCI DSS. A pocket guide (6th edition), Ely (Cambridgeshire): IT Governance Publishing Ltd 2019, p. 10.
Zie hiervoor bijvoorbeeld Calder & Williams 2019; F. Drevers, I. Meinema & J. Bikker, ‘Stringentere richtlijnen voor het beveiligen van creditcardgegevens’, TvCo 2009/1-2, p. 32-34; E.A. Morse & V. Raval, ‘PCI DSS: Payment card industry data security standards in context’, Computer Law & Cybersecurity Report 2008/24, p. 540-555.
Hoewel er discussie denkbaar is over de vraag in hoeverre deze schade first-party of third-party is, heb ik dit dekkingselement onder first-partyschade gebracht. Dit vanwege het feit dat geen sprake is van een buitencontractuele aanspraak van een derde, zoals bij third-partyschade wel het geval is. Bij PCI-DSS gaat het om een aanspraak op verzekerde uit hoofde van een contract.
Vgl. Drevers e.a. 2009.
E.A. Morse & V. Raval 2008.
Zie uitgebreid over het Amerikaanse privacyrecht hoofdstuk II.
Calder & Williams 2019, p. 33.
Zie voor een uitgebreide beschrijving van de classificering van merchants en de vereiste beveiligingsmaatregelen Morse & Raval 2008 en Calder & Williams 2019, p. 33 e.v.
Morse & Raval 2008, p. 551. Zie ook Calder & Williams 2019, p. 20.
De Avezedo 2019, p. 95.
In een aantal gevallen is deze dekking optioneel, bijvoorbeeld bij Avéro en Chubb. Liberty dekt de PCI-DSS boete niet, maar wel de overige daaruit voortvloeiende boete.
Allianz.
AIG.
XL Catlin.
HDI.
De Achmea-labels Avéro, Centraal Beheer en Interpolis bieden allen voor deze kosten expliciet dekking: “Welke cyberschade en kosten zijn verzekerd? […] Kosten om creditcards, betaalkaarten of prepaidkaarten opnieuw uit te geven.”
Hiscox.
PCI-DSS staat voor Payment Card Industry Data Security Standard. Deze beveiligingstandaard is rond 2004 ontwikkeld door een aantal toonaangevende financiële dienstverleners: American Express, Discover Financial Services, JCB International, Mastercard en Visa.1 Om de PCI-DSS goed te kunnen begrijpen is een gegronde kennis van de betaalkaartindustrie een vereiste. Een uitgebreide weergave van deze complexe industrie valt buiten het bereik van dit onderzoek.2 Ik volsta dan ook met een beknopte bespreking daarvan teneinde de verzekeringsdekking voor PCI-DSS te kunnen duiden.3
Betaalkaarten worden gebruikt door consumenten en door partijen die deze betaalmiddelen accepteren: winkeliers en handelaren (in de terminologie van de PCI-DSS: ‘merchants’). Daarnaast zijn de actoren in dit betalingslandschap de acquiring organisaties (bijvoorbeeld banken, die creditcardbetalingen verwerken), issuing organisaties (wederom bijvoorbeeld banken, die creditcards uitgeven) en service providers (bijvoorbeeld bedrijven die merchants ondersteunen bij de verwerking van de transacties).4
De bedoeling van de PCI-DSS is om de uiteindelijke eindgebruiker van betaalkaarten, de consumenten, te beschermen tegen privacy-incidenten en creditcard- en identiteitsfraude. Financiële gegevens zijn bijzonder gevoelige persoonsgegevens en misbruik daarvan kan snel grote schade aanrichten bij de consument. Mede om het vertrouwen van de consument in de betaalindustrie te waarborgen, heeft de betaalindustrie zelf een beveiligingsstandaard ontwikkeld.5 Deze standaard is een private aanvulling op het versnipperde Amerikaanse privacyrecht en de bijbehorende beveiligingsvoorschriften.6 De standaard wordt periodiek geüpdatet.7
De PCI-DSS legt beveiligingsvereisten op aan alle organisaties die creditcardtransacties verwerken, verzenden, opslaan of inzien.8 De handhaving van de naleving van deze vereisten is gelegen in de contracten, bijvoorbeeld de overeenkomsten die de merchants sluiten met de banken (Merchant Service Agreement). Daarin wordt compliance met de PCI-DSS overeengekomen op straffe van (contractuele) boetes of verhoogde transactiekosten. De bank garandeert veelal op haar beurt aan de betaalkaartindustrie dat de gecontracteerde merchant compliant is met de PCI-DSS, eveneens op straffe van boetes en (kosten voor) andere maatregelen, bijvoorbeeld de kosten van het opnieuw uitgeven van betaalkaarten.9 Om die reden is in de overeenkomst tussen de banken en de merchants veelal een vrijwaringsbepaling opgenomen ten gunste van de bank voor deze boetes en kosten.10
Een voorbeeld van een Amerikaanse zaak maakt deze verhoudingen duidelijk.11 P.F. Chang’s China Bistro, een restaurantketen, had een Merchant Service Agreement met Bank America Merchant Services (BAMS), om de betaalkaarttransacties van de consumenten te verzorgen. BAMS had op haar beurt een overeenkomst met MasterCard. In deze laatste overeenkomst was opgenomen dat BAMS aan MasterCard verschillende fees and assessments zou vergoeden in het geval van een privacy- of securityincident. In het contract tussen BAMS en Chang’s China was derhalve voor deze fees and assessments een vrijwaringsbeding ten gunste van BAMS opgenomen.
Chang’s China werd getroffen door een grootschalig datalek waarmee 60.000 creditcardnummers van de klanten van Chang’s China op internet werden gepubliceerd. Op grond van de overeenkomst met BAMS diende Chang’s China vervolgens verschillende kosten aan BAMS te vergoeden, waaronder assessments costs, notificatiekosten en, de grootste kostenpost, de kosten van het opnieuw uitgeven van de creditcards.
Voor de gebruikelijke kosten die Chang’s China had moeten maken als gevolg van het privacy-incident, zoals incident-responsekosten, keerde haar cyberverzekeraar meer dan 1,7 miljoen dollar uit. Voor deze PCI-DSS kosten, die ongeveer 2 miljoen dollar zouden bedragen, kwam het echter aan op een rechtszaak. De rechter stelde Chang’s China in het ongelijk. Eén van de overwegingen van de rechtbank was dat deze kosten onder de uitsluiting voor contractuele aansprakelijkheid vielen.
In Nederland bieden vrijwel alle onderzochte cyberverzekeringen dekking voor kosten en boetes als gevolg van PCI-DSS aanspraken.12 De PCI-DSS boete is een contractuele boete. Contractuele boetes zijn standaard van dekking uitgesloten. Anders dan in het geval van Chang’s China maakt iedere cyberverzekeraar in Nederland daarop echter een uitzondering voor PCI-DSS boetes.
De plaats van deze dekkingsomschrijving in de cyberverzekering verschilt per verzekeraar. Er is discussie denkbaar over de vraag of dit dekkingselement moet worden gezien als first-party- of third-partyschade. Nu het hier gaat om een derde partij die aanspraak maakt op betaling van kosten door onzorgvuldig handelen, heb ik deze bepaling onder third-partyschade gebracht.
Ook voor deze dekkingsomschrijving geldt dat de polisbepalingen uiteenlopen. Een aantal verzekeraars hanteert een ruime dekkingsomschrijving:
“De Verzekeraar vergoedt aan of namens een Verzekerde alle Schadevergoeding, Kosten van Verweer en alle bedragen welke door de Verzekerde zijn gemaakt of haar zijn opgelegd als boete uit hoofde van een schriftelijk contract met een Aanbieder van Elektronische Betaaldiensten, die voortvloeien uit een Aanspraak die voor het eerst gedurende de Verzekeringstermijn of de Nameldingsperiode jegens een Verzekerde is ingesteld vanwege een inbreuk op een PCIDSS.”13
⁜
“De verzekeraar zal aan of namens het bedrijf het volgende betalen: […]
elke schade die voortvloeit uit een PCI-DSS assessment.”14
⁜
“Onder betaalkaartboete wordt verstaan iedere geldsom, onderzoekskosten en recuperatie van oneigenlijke betaalkaartbetalingen, die de verzekerde contractueel is verplicht te betalen als gevolg van het niet nakomen van de gegevensbeveiligingsnormen van de betaalkaartenbranche (de Payment Card Industry Data Security Standards (PCI DSS)), resulterend in de ongeoorloofde verwerving van kaarthoudergegevens zoals gedefinieerd in de PCI DSS. Onder betaalkaartboete wordt niet verstaan interbancaire vergoedingen, toegezegde kortingen of toekomstige servicekosten.”15
(onderstrepingen telkens NMB)
Behoudens mogelijke beperkingen door bijvoorbeeld sublimieten, zijn deze dekkingsomschrijvingen ruim. De dekking omvat bijvoorbeeld PCI-DSS boetes, onderzoekskosten en kosten voor vervanging van betaalkaarten. Andere verzekeraars bakenen de dekking echter scherper af en bieden enkel dekking voor de mogelijke boete en de kosten van verweer:
“2.4.1 Verzekerde gebeurtenis
Een overtreding van de PCI Data Security Standards, doch uitsluitend voor zover deze overtreding voortvloeit uit een cyberincident en plaatsvindt binnen de bedrijfsactiviteiten van verzekerde.
2.4.2 Vergoeding van schade en kosten
Verzekerd zijn:
(contractuele) boetes opgelegd door E-Payment Providers
de kosten van verweer […]”16
Zoals uit de zaak Chang’s China volgt, kunnen de kosten die voortvloeien uit een overtreding van de PCI-DSS en de in dat kader gesloten overeenkomsten, veel hoger zijn. In de zaak Chang’s China was de grootste kostenpost bijvoorbeeld de kosten voor het opnieuw uitgeven van de betaalkaarten.17 Deze kosten zijn onder de hierboven geciteerde verzekering mijns inziens niet gedekt.
Wel biedt deze verzekeraar dekking voor de kosten van verweer. Voor een verzekerde kan dekking voor deze kosten waardevol zijn. Of de kosten van verweer bij PCI-DSS aanspraken zijn verzekerd, komt echter niet in iedere polis duidelijk naar voren:
“Een boete die het gevolg is van instemming van verzekerde om zich te houden aan de PCI Standaard of Payment Card Company Rules (bedrijfsregels voor betaalkaarten) en veiligheidsmaatregelen te implementeren, te handhaven of na te leven met betrekking tot betaalgegevens.”18
Over de kosten van verweer bij aanspraken uit hoofde van de PCI-DSS bepalen deze polisvoorwaarden niets specifieks. Of die kosten zijn gedekt, is daardoor niet duidelijk.