Datalekken aansprakelijkheid bestuurders en 2019 premies

Datalekken aansprakelijkheid bestuurders zijn grote financiële en imago risico’s voor die bestuurders. Bedrijven en overheden die persoonsgegevens verwerken zijn sinds 1 januari 2016 verplicht ernstige datalekken direct te melden aan de Autoriteit Persoonsgegevens.

Datalekken aansprakelijkheid bestuurders

De datalekken en aansprakelijkheid bestuurders zijn onverbrekelijk met elkaar verbonden. We spreken van datalekken als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. In de beleidsregels worden aan de hand van concrete voorbeelden duidelijk gemaakt wanneer een organisatie verplicht is datalekken te melden. Samen met een verzekering kunnen de problemen gelukkig goed opgelost worden.

Cyber en DataRisk premieberekening

Voorbeeld I

Datalekken aansprakelijkheid bestuurders

Vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kinderen. Gelet op de mogelijke gevolgen van datalekken is kennisgeving aan de betrokkenen geboden. Daarbij is het wel belangrijk om rekening te houden met de leeftijd en de rijpheid van de betrokkenen. Naast de kennisgeving aan het kind zelf, voor zover deze passend is, kan het in dit geval juister zijn om een ouder of voogd, die al actief betrokken is bij de medische verzorging van het kind, op de hoogte te brengen. Door de kwijtgeraakte gegevens kan de integriteit van de medische dossiers worden aangetast, wat de behandeling van de kinderen kan verstoren. Als de ouders of verzorgers op de hoogte zijn van datalekken dan kunnen ze hier alert op zijn, en kunnen ze bij eventuele afwijkingen in de medische zorg voor hun kinderen contact opnemen met de betreffende zorgverlener.

Voorbeeld II

Een envelop met creditcardbetalingsgegevens van 800 personen is per ongeluk niet versnipperd, maar in een vuilnisbak gegooid. Een derde persoon haalde de gegevens uit de vuilniscontainer op straat en verstrekte ze aan andere personen. Datalekken kan financiële consequenties hebben voor de betrokkenen, als hun kaartgegevens nog geldig zijn en worden misbruikt. De betrokkenen moeten daarom van datalekken in kennis worden gesteld.

Voorbeeld III

De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen zijn betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, is er geen back-up voorhanden. Aangezien de verantwoordelijke niet meer beschikt over de persoonsgegevens die op de laptop stonden, zullen deze opnieuw door de betrokkenen moeten worden verstrekt. Op zich heeft dit slechts beperkte negatieve gevolgen voor de betrokkenen: er is hooguit sprake van frustratie en tijdverspilling omdat ze alle informatie nogmaals moeten verzamelen. In sommige gevallen kunnen ook deadlines voor de indiening van documenten of aanvragen worden overschreden, wat kan leiden tot financiële schade voor de betrokkenen. De betrokkenen moeten van datalekken in kennis worden gesteld. In de kennisgeving moet worden aangegeven dat de gegevens opnieuw aan de financieel adviseur moeten worden verstrekt, en moet uitleg worden gegeven.

Meer informatie datalekken aansprakelijkheid bestuurders

IT Professionals

Niet alleen de normale MKB bedrijven en groot-zakelijke relaties kunnen dit probleem in hun portemonnee voelen. Ook de IT professionals kan extra gevoelig zijn voor inbreuk op hun IT integriteit. Ook voor hen kunnen wij helpen met een Cyberverzekering  offerte op maat. Wij bieden deze offerte aanvragen aan bij diverse aanbieders van cyberzekeringen waaronder Hiscox.

Cyber & Beroepsaansprakelijk IT-professional

 

Meer voorbeelden:

Moedwillig

Door een moedwillige aanval van buitenaf, bijvoorbeeld een virus, DDos-aanval of een hack. DDosaanvallen (distributed denial of service) hebben tot doel websites zodanig te belasten, dat ze door de bedoelde gebruikers niet langer te benaderen zijn. Recent werden onder andere DigiD, Rijksoverheid.nl en diverse banken nog slachtoffer van dit soort aanvallen.

Menselijke fout

Door een menselijke fout, al dan niet opzettelijk, waaronder verlies of diefstal van (een onderdeel van) een computersysteem of data van de verzekerde die persoonsgegevens bevatten. Een boze oud-medewerker kan bijvoorbeeld moedwillig belangrijke gegevens verduisteren of een opening in het systeem publiceren.

Techniek

Door technisch falen van eigen of externe IT-systemen, servers, hard- en software. Bovengenoemde incidenten leiden tot een verlies van of beschadiging aan data, (on)toegankelijkheid van systemen, aansprakelijkheid, bedrijfsschade, afpersing en boetes. Dat zijn allemaal zaken die geld kosten: data moet worden hersteld of er moet onderzoek worden gedaan naar de herkomst van de bedreiging. De oorzaak is het cyberincident, het gevolg is de financiële schade en de datalekken aansprakelijkheid bestuurders.

Schade kan op een aantal verschillende plaatsen aanwezig zijn.

Cyber en DataRisk premieberekening

1. Verkoopschade

De website van een webshop is zwaar beschadigd door een cyberaanval. Hierdoor kunnen er online geen artikelen meer verkocht worden, bij een cyberverzekering heet dit; online business interruption. Het omzetverlies kan berekend worden aan de hand van de gemiddelde omzet per uur van de webshop. Op deze manier kunt u eenvoudig in kaart brengen wat de totale omzetvermindering als gevolg van een incident is. Het aantal uur dat er geen verkoop kan plaatsvinden maal de gemiddelde omzet per uur. Op een goede cyberverzekering bestaat dekking voor dit omzetverlies, wel moet u hierbij rekening houden met een eigen risicotermijn van een enkele uren.

2. Bedrijfsschade (=omzetderving)

Voorbeeld. Een drukkerij is gehackt. Het computergestuurde productieproces is beschadigd en moet hersteld worden. De drukker kan hierdoor niet drukken, dit kan resulteren in een forse schadepost. In cyberterminologie hebben we het dan over offline business interruption. Voor organisaties die voor hun productieproces afhankelijk zijn van ICT of voor dienstverleners die hun werk niet kunnen uitoefenen wanneer zij niet bij de systemen kunnen, is een dergelijke cyberschade te vergelijken met een schade op de bedrijfsschadeverzekering. Let op dat dit risico ook verzekerd is op cyberverzekeringen.

De cyberschade kan begroot worden door te kijken naar de vermindering van de brutowinst (netto winst + vast lasten) per dag als gevolg van het incident. Ook deze cyberbedrijfsschade is goed te verzekeren op Cyberverzekeringen.

3. Datalekschade.

Hoeveel records heeft een organisatie tot haar beschikking? Hoeveel klanten of patiënten zijn er? Gemiddeld kost een datalek € 182 per record. Door € 182 te vermenigvuldigen met het aantal klanten krijg je een aardige indruk van de maximale schade. Deze kosten zijn opgebouwd uit: onderzoekskosten, herstelkosten, juridische kosten, claims van consumenten en communicatiekosten. Datalekken aansprakelijkheid bestuurders geven veel zorgen zowel zakelijk als mogelijk privé gezien de mogelijke aansprakelijkheidsstelling bij bestuurders als een datalek leidt tot een faillissement van de onderneming.

4. Boete.

Uiteraard zijn er nog andere methodes om de gevolgen van cyberrisico’s in kaart te brengen. Denk bijvoorbeeld aan de mogelijke boetes op grond van de Meldplicht Datalekken of de kosten die gepaard gaan met de reconstructie van data na een cryptoware aanval.

5. Kosten responsplan

Minstens zo belangrijk is het hebben van een responseplan. Hier wordt ondermeer beschreven wie het bedrijf kan bijstaan bij een incident. Met andere woorden, wie is uw digitale brandweer en wie is uw Hans Brinker bij een datalek? Het opstellen vooraf en uitvoeren achteraf van een dergelijk pan brengt kosten met zich mee.

Cyber en DataRisk premieberekening

6. Technisch falen

Door technisch falen van eigen of externe IT-systemen, servers, hard- en software. Bovengenoemde incidenten leiden tot een verlies van of beschadiging aan data, (on)toegankelijkheid van systemen.

7. Bestuurdersaansprakelijkheid

Vooral ook bestuurders kunnen ook flinke gevolgen ondervinden. Zij zullen zich de vraag moeten stellen of een datalek gemeld moet worden
Op basis van een aantal afwegingen kan een organisatie een beslissing maken of een datalek gemeld moet worden. Datalekken aansprakelijkheid bestuurders is een groot risico voor elke bestuurder; zeker gezien de hoofdelijke aansprakelijkheid.

  1. Heeft zich een beveiligingsincident voorgedaan?
  2. Zijn bij het beveiligingsincident persoonsgegevens verloren gegaan, of is onrechtmatige verwerking redelijkerwijs niet uit te sluiten?
  3. Gaat het om persoonsgegevens van gevoelige aard, of is er om andere redenen sprake van (een aanzienlijke kans op) nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens?
  4. Waren niet alle gegevens (goed) versleuteld, of heeft het datalek om andere redenen waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene(n)?

Offerteaanvraag voor bestuurdersaansprakelijkheid. Het verzekeren van het persoonlijke risico van datalekken aansprakelijkheid bestuurders. Zowel voor de fouten die gemaakt worden rondom cyberrisico’s maar ook alle andere bestuurlijke aansprakelijkheid waar een bestuurder mee te maken kan krijgen.

Overzicht alle bedrijven verzekeringen

 

 

Aansprakelijkheid, cybercriminaliteit en datarisks

Laat uw reactie achter