blog

Komst AVG versterkt de behoefte aan een cyberverzekering

Branche 2339

De kans dat een ondernemer slachtoffer wordt van diefstal of verlies van persoonsgegevens is groot. Als het systeem van een ondernemer wordt gehackt en klantgegevens worden buitgemaakt, kunnen de klanten van de ondernemer hier veel hinder van ondervinden. Zij kunnen bijvoorbeeld de dupe worden van identiteitsfraude, afpersing of een systeeminbraak. Wat nu als de klant hiervoor de ondernemer aansprakelijk stelt?

Komst AVG versterkt de behoefte aan een cyberverzekering

De nieuwe privacywet, de AVG (Algemene Verordening Gegevensbescherming), gaat in per 25 mei 2018. De komst van deze Europese wet versterkt onze privacyrechten. In de verzekeringsbranche krijgt de AVG veel aandacht; we weten dat de AVG persoonsgegevens van EU-ingezetenen beschermt en realiseren ons dat wij hiervoor veel zaken aantoonbaar moeten organiseren.

Boetes tot wel € 20 mln

Op dit moment gelden nog de regels van de Wbp (Wet bescherming persoonsgegevens). Over de verschillen tussen de oude en de nieuwe wetgeving is al veel geschreven: zo hebben mensen het recht om ‘vergeten’ te worden en is het toestemmingsvereiste aangescherpt. De meldplicht van een datalek onder de AVG lijkt op de meldplicht die we sinds 1 januari 2016 onder de Wbp kennen: de regel is dat iedere inbreuk in verband met persoonsgegevens moet worden gemeld bij de Autoriteit Persoonsgegevens “tenzij het niet waarschijnlijk is dat deze een risico inhoudt”. Dit is bijvoorbeeld het geval als de gegevens op de juiste manier zijn versleuteld. Veel aandacht gaat uit naar het feit dat de AVG het voor de Autoriteit Persoonsgegevens mogelijk maakt om hogere boetes op te leggen dan onder de Wbp het geval is. Dit kunnen boetes zijn tot wel € 20 miljoen of 4% van de omzet!

Het nieuwe goud

We leven in een tijd waarin data veel geld waard is; sommige experts noemen data ‘het nieuwe goud’. Bedrijven verzamelen massaal onze persoonlijke gegevens en verkopen deze voor veel geld door. De Kamer van Koophandel verkoopt bijvoorbeeld gegevens van ingeschreven bedrijven aan partijen die de bedrijven vervolgens reclame sturen of aanbiedingen doen. Facebook verzamelt onze gegevens en ‘lekt’ deze aan een buitenlandse partij om de Amerikaanse verkiezingen te beïnvloeden. Zorgverzekeraars zetten trackers in op webpagina’s waarop medische informatie wordt getoond. Geen voorbeelden waar je vrolijk van wordt.

Een duister stukje internet

Daar waar geld een rol speelt, komt criminaliteit om de hoek kijken. Cybercriminelen gaan steeds geavanceerder te werk. Zij steken veel effort in het verkrijgen van persoonsgegevens. Wereldwijd is digitale criminaliteit zelfs winstgevender dan drugshandel. Illegaal verkregen persoonsgegevens (zoals namen, adressen, inloggegevens, creditcardnummers, BSN-nummers, maar ook hele medische dossiers) worden in grote getale te koop aangeboden op het darkweb, een duister stukje internet.

En wat als het dan toch gebeurt?

De kans dat een ondernemer slachtoffer wordt van diefstal of verlies van persoonsgegevens is groot. Hierdoor bestaat het risico dat klanten van de ondernemer de dupe worden van bijvoorbeeld identiteitsfraude, afpersing of een systeeminbraak. Gedupeerde klanten zullen door hen geleden schade willen verhalen op de ondernemer bij wie de gegevens zijn buitgemaakt. Zij zullen hem hiervoor aansprakelijk stellen. Deze aansprakelijkheid is niet gedekt op een AVB (er is immers geen sprake van zaak- of letselschade) of een beroepsaansprakelijkheidsverzekering (direct verband met de overeengekomen opdracht ontbreekt).

‘Aantoonbaar in control’

Een cyberverzekering dekt deze privacyaansprakelijkheid doorgaans wel. Bovendien zijn vaak ook boetes die door toezichthouders worden opgelegd als gevolg van het niet (tijdig) melden van een datalek verzekerd. Een cyberverzekering draagt op die manier bij aan het aantoonbaar ‘in control’ zijn als het gaat om het verwerken van persoonsgegevens. En dat is nu net een belangrijke vereiste binnen de AVG.

Reageer op dit artikel