Bureau DFO geeft met het oog op de komst van de Algemene Verordening Gegevensbescherming (AVG) financieel advieskantoren dringend in overweging na te denken over een cyberrisicoverzekering. Dat stelt de intermediare adviesorganisatie in een recente nieuwsbrief aan het intermediair. “Cyberrisicoverzekeringen zijn in Nederland nog relatief jong. Aanvankelijk waren aanbieders niet bereid financieel advieskantoren te accepteren. Turien & Co, de Nationale Hypotheekbond en SUREbusiness zijn partijen die zich nadrukkelijk hebben geprofileerd met een cyberrisicoverzekering voor financieel advieskantoren.
In de nieuwsbrief somt Bureau DFO een aantal argumenten op voor cyberrisicoverzekeringen in het kader van de AVG
- Controle basis veiligheid
Op grond van de AVG dient elk kantoor een minimale basis van cyberveiligheid te hebben. In het aanvraagproces voor een cyberrisicoverzekering wordt deze basis via de acceptatievragen doorgenomen.
- Onderzoek wel of geen toegang door onbevoegden
Bij een beveiligingsincident volgt een meldplicht indien niet uitgesloten kan worden dat persoonsgegevens door onbevoegden zijn ingezien. Denk aan een situatie van tijdelijk verlies van een laptop. Via een cyberrisicoverzekering krijgt u direct toegang tot deskundigen die vaak kunnen vaststellen of er wel of geen onbevoegden kennis hebben genomen van uw data. Het niet hoeven melden is uiteraard een te verkiezen situatie. Door gegevens versleuteld op te slaan, kan ook een situatie worden voorkomen dat bij verlies een meldingsplicht ontstaat.
- Ondersteuning bij melding aan AP
Indien een datalek wel aan de Autoriteit Persoonsgegevens moet worden gemeld, leidt dit tot de nodige correspondentie. Via een cyberrisicoverzekering krijgt u hierbij in veel gevallen ondersteuning door een gespecialiseerd advocatenkantoor.
- Ondersteuning bij melding aan klanten
Bij een datalek waarbij persoonsgegevens verloren zijn gegaan die een grote impact kunnen hebben voor de privacy van betrokkenen, dienen deze betrokkenen individueel te worden gewaarschuwd. Zijn er heel veel betrokkenen dan dient dit te worden vervangen door het plaatsen van advertenties. Beiden leveren veel werk en kosten op. Ook hierin voorziet de cyberrisicoverzekering De dekking kan zelfs voorzien in adequate begeleiding door een (crisis) communicatiebureau.
- Herstel beschadigde data
Hebben onbevoegden zich toegang tot de data verschaft dan zal gecontroleerd moeten worden of zij data hebben aangepast. De gemanipuleerde data zal moeten worden hersteld. Controle en herstel brengen kosten met zich mee. De praktijk rondom ransomeware laat zien dat het hier om aanzienlijke kosten kan gaan.
- Verweer claims
De AVG geeft eenieder (dus niet alleen klanten!) het recht om in verband met materiele en immateriële schade als gevolg van het niet voldoen aan de eisen van de AVG deze op de aansprakelijke partij te verhalen. Naast de vergoeding van deze schade kan de verzekering ook belangrijk zijn in verband met het verweer van (soms volstrekt) onterechte claims.
- Boetes AP
Zoals bekend kan de Autoriteit Persoonsgegevens boetes opleggen. De Vereende (BAVAM) heeft vorige week laten weten dat deze boetes niet onder BAV vallen. Boetes vallen ook niet onder AVB. In de reguliere cyberrisicoverzekeringen zijn boetes gedekt. Wel staat hierbij dat de boetes conform wet- en regelgeving verzekerbaar moeten zijn.
Hiermee is de organisatie en /of de bestuurder echter niet gevrijwaard voor alle mogelijke boetes en aansprakelijkheden op grond of als gevolg van de AVG. Naast een datalek kan op basis van de AVG ook op andere gronden een boete worden opgelegd; bijvoorbeeld rondom dataportabiliteit, weigering tot inzage geven in het dossier, het verzamelen van gevoelige informatie zonder noodzaak etc. Deze boetes zijn over het algemeen niet verzekerd.
