Cyber aansprakelijkheid bestuurders zijn grote financiële en imago risico’s voor die bestuurders. Bedrijven en overheden die persoonsgegevens verwerken zijn sinds 1 januari 2016 verplicht ernstige datalekken direct te melden aan de Autoriteit Persoonsgegevens.
Cyber aansprakelijkheid bestuurders
De datalekken en aansprakelijkheid bestuurders zijn onverbrekelijk met elkaar verbonden. We spreken van datalekken als persoonsgegevens in handen vallen van derden die geen toegang tot die gegevens mogen hebben. In de beleidsregels worden aan de hand van concrete voorbeelden duidelijk gemaakt wanneer een organisatie verplicht is datalekken te melden. Samen met een cyber- en aansprakelijkheidsverzekering kunnen de problemen gelukkig goed opgelost worden.
Voorbeeld; Persoonsgegevens 2000 kinderen
Vier laptops zijn gestolen bij een gezondheidscentrum voor kinderen. De laptops bevatten gevoelige gegevens over gezondheid en welzijn en andere persoonsgegevens van meer dan 2000 kinderen. Gelet op de mogelijke gevolgen van cyber aanval is kennisgeving aan de betrokkenen geboden. Daarbij is het wel belangrijk om rekening te houden met de leeftijd en de rijpheid van de betrokkenen. Naast de kennisgeving aan het kind zelf, voor zover deze passend is, kan het in dit geval juister zijn om een ouder of voogd, die al actief betrokken is bij de medische verzorging van het kind, op de hoogte te brengen. Door de kwijtgeraakte gegevens kan de integriteit van de medische dossiers worden aangetast, wat de behandeling van de kinderen kan verstoren. Als de ouders of verzorgers op de hoogte zijn van datalekken dan kunnen ze hier alert op zijn, en kunnen ze bij eventuele afwijkingen in de medische zorg voor hun kinderen contact opnemen met de betreffende zorgverlener.
Voorbeeld Creditcard betalingsgegevens
Een envelop met creditcardbetalingsgegevens van 800 personen is per ongeluk niet versnipperd, maar in een vuilnisbak gegooid. Een derde persoon haalde de gegevens uit de vuilniscontainer op straat en verstrekte ze aan andere personen. Datalekken kan financiële consequenties hebben voor de betrokkenen, als hun kaartgegevens nog geldig zijn en worden misbruikt. De betrokkenen moeten daarom van datalekken in kennis worden gesteld. Cyber aansprakelijkheid bestuurders ligt dan snel voor de hand.
Voorbeeld laptop financieel adviseur
De versleutelde laptop van een financieel adviseur is uit de auto gestolen. Financiële gegevens (hypotheken, salarissen, leningen) van 1000 personen zijn betrokken. Hoewel het wachtwoord van de laptop niet gecompromitteerd is, is er geen back-up voorhanden. Aangezien de verantwoordelijke niet meer beschikt over de persoonsgegevens die op de laptop stonden, zullen deze opnieuw door de betrokkenen moeten worden verstrekt. Op zich heeft dit slechts beperkte negatieve gevolgen voor de betrokkenen: er is hooguit sprake van frustratie en tijdverspilling omdat ze alle informatie nogmaals moeten verzamelen. In sommige gevallen kunnen ook deadlines voor de indiening van documenten of aanvragen worden overschreden, wat kan leiden tot financiële schade voor de betrokkenen. De betrokkenen moeten van datalekken in kennis worden gesteld. In de kennisgeving moet worden aangegeven dat de gegevens opnieuw aan de financieel adviseur moeten worden verstrekt, en moet uitleg worden gegeven. Ook hier kan cyber aansprakelijkheid bestuurders een belangrijk aspect zijn om rekening mee te houden.
Meer informatie cyber aansprakelijkheid bestuurders
- Uitgebreide documentatie en uitleg vindt u op onze Cyber en Data Risks pagina.
- De beleidsregels meldplicht datalekken kunt u raadplegen.
- Meer informatie over cyberrisico’s zoals cyber aansprakelijkheid bestuurders, bedrijfsschade en de boete op grond van de meldplicht Datalekken vindt u in deze mooie interactieve cyberbrochure.
- Cyber aansprakelijkheid bestuurders Offerteaanvraag voor bestuurdersaansprakelijkheid
Meer voorbeelden:
Moedwillig
Door een moedwillige aanval van buitenaf, bijvoorbeeld een virus, DDos-aanval of een hack. DDosaanvallen (distributed denial of service) hebben tot doel websites zodanig te belasten, dat ze door de bedoelde gebruikers niet langer te benaderen zijn. De cyber aansprakelijkheid bestuurders is een niet te onderschatten risico. Recent werden onder andere DigiD, Rijksoverheid.nl en diverse banken nog slachtoffer van dit soort aanvallen.
Menselijke fout
Door een menselijke fout, al dan niet opzettelijk, waaronder verlies of diefstal van (een onderdeel van) een computersysteem of data van de verzekerde die persoonsgegevens bevatten. Een boze oud-medewerker kan bijvoorbeeld moedwillig belangrijke gegevens verduisteren of een opening in het systeem publiceren.
Techniek
Door technisch falen van eigen of externe IT-systemen, servers, hard- en software. Bovengenoemde incidenten leiden tot een verlies van of beschadiging aan data, (on)toegankelijkheid van systemen, aansprakelijkheid, bedrijfsschade, afpersing en boetes. Dat zijn allemaal zaken die geld kosten: data moet worden hersteld of er moet onderzoek worden gedaan naar de herkomst van de bedreiging. De oorzaak is het cyberincident, het gevolg is de financiële schade en de cyber aansprakelijkheid bestuurders.
Schade kan op een aantal verschillende plaatsen aanwezig zijn.
Premie cyber aansprakelijkheid bestuurders
Offerteaanvraag voor bestuurdersaansprakelijkheid. Het verzekeren van het persoonlijke risico van een bestuurder. Zowel voor de fouten die gemaakt worden rondom cyberrisico’s maar ook alle andere bestuurlijke aansprakelijkheid waar een bestuurder mee te maken kan krijgen. Let op dat dit risico niet altijd verzekerd is op een Cyberverzekering.
1. Verkoopschade door cyber aansprakelijkheid bestuurders
De website van een webshop is zwaar beschadigd door een cyberaanval. Hierdoor kunnen er online geen artikelen meer verkocht worden, bij een cyberverzekering heet dit; online business interruption. Het omzetverlies kan berekend worden aan de hand van de gemiddelde omzet per uur van de webshop. Op deze manier kunt u eenvoudig in kaart brengen wat de totale omzetvermindering als gevolg van een incident is. Het aantal uur dat er geen verkoop kan plaatsvinden maal de gemiddelde omzet per uur. Op een goede cyberverzekering bestaat dekking voor dit omzetverlies, wel moet u hierbij rekening houden met een eigen risicotermijn van een enkele uren.
2. Bedrijfsschade (=omzetderving)
Voorbeeld. Een drukkerij is gehackt. Het computergestuurde productieproces is beschadigd en moet hersteld worden. De drukker kan hierdoor niet drukken, dit kan resulteren in een forse schadepost. In cyberterminologie hebben we het dan over offline business interruption. Voor organisaties die voor hun productieproces afhankelijk zijn van ICT of voor dienstverleners die hun werk niet kunnen uitoefenen wanneer zij niet bij de systemen kunnen, is een dergelijke cyberschade te vergelijken met een schade op de bedrijfsschadeverzekering. Let op dat dit risico ook verzekerd is op cyberverzekeringen.
De cyberschade kan begroot worden door te kijken naar de vermindering van de brutowinst (netto winst + vast lasten) per dag als gevolg van het incident. Naast de formele cyber aansprakelijkheid bestuurders is ook deze cyberbedrijfsschade is goed te verzekeren op Cyberverzekering.
3. Datalekschade cyber aansprakelijkheid bestuurders.
Hoeveel records heeft een organisatie tot haar beschikking? Hoeveel klanten of patiënten zijn er? Gemiddeld kost een datalek € 182 per record. Door € 182 te vermenigvuldigen met het aantal klanten krijg je een aardige indruk van de maximale schade. Deze kosten zijn opgebouwd uit: onderzoekskosten, herstelkosten, juridische kosten, claims van consumenten en communicatiekosten. Cyberaansprakelijkheid bestuurders geven veel zorgen zowel zakelijk als mogelijk privé gezien de mogelijke aansprakelijkheidsstelling bij bestuurders als een datalek leidt tot een faillissement van de onderneming.
4. Boete.
Uiteraard zijn er nog andere methodes om de gevolgen van cyberrisico’s in kaart te brengen. Denk bijvoorbeeld aan de mogelijke boetes op grond van de Meldplicht Datalekken of de kosten die gepaard gaan met de reconstructie van data na een cryptoware aanval.
5. Kosten responsplan
Minstens zo belangrijk is het hebben van een responseplan. Hier wordt ondermeer beschreven wie het bedrijf kan bijstaan bij een incident. Met andere woorden, wie is uw digitale brandweer en wie is uw Hans Brinker bij een datalek? Het opstellen vooraf en uitvoeren achteraf van een dergelijk pan brengt kosten met zich mee. Los van de toekomstige cyber aansprakelijkheid bestuurders zal ook gedacht moeten worden aan preventie.
6. Technisch falen
Door technisch falen van eigen of externe IT-systemen, servers, hard- en software. Bovengenoemde incidenten leiden tot een verlies van of beschadiging aan data, (on)toegankelijkheid van systemen.
7. Cyber aansprakelijkheid bestuurders
Vooral ook bestuurders kunnen ook flinke gevolgen ondervinden. Zij zullen zich de vraag moeten stellen of een datalek gemeld moet worden. Op basis van een aantal afwegingen kan een organisatie een beslissing maken of een datalek gemeld moet worden. Cyber aansprakelijkheid bestuurders is een groot risico voor elke bestuurder; zeker gezien de hoofdelijke aansprakelijkheid.
- Heeft zich een beveiligingsincident voorgedaan?
- Zijn bij het beveiligingsincident persoonsgegevens verloren gegaan, of is onrechtmatige verwerking redelijkerwijs niet uit te sluiten?
- Gaat het om persoonsgegevens van gevoelige aard, of is er om andere redenen sprake van (een aanzienlijke kans op) nadelige gevolgen voor de bescherming van de verwerkte persoonsgegevens?
- Waren niet alle gegevens (goed) versleuteld, of heeft het datalek om andere redenen waarschijnlijk ongunstige gevolgen voor de persoonlijke levenssfeer van de betrokkene(n)?
Offerteaanvraag voor bestuurdersaansprakelijkheid. Het verzekeren van het persoonlijke risico van cyber aansprakelijkheid bestuurders. Zowel voor de fouten die gemaakt worden rondom cyberrisico’s maar ook alle andere bestuurlijke aansprakelijkheid waar een bestuurder mee te maken kan krijgen.