Is het verzekeren van wettelijke boetes moreel wel te verdedigen? Druist dit niet in tegen de maatschappelijke verantwoordelijkheid van verzekeraars? Dat preventiemaatregelen worden vertaald naar betere verzekeringsvoorwaarden en gunstiger premies is al jaren gemeengoed. Maar het vergoeden van een boete als je de wet overtreedt? Traditionele verzekeringspolissen dekken meestal geen wettelijke boetes, maar er zijn cyberverzekeringen die dat wel doen.
Een genoemde rechtvaardiging hiervoor is dat het om een bestuursrechtelijke en geen strafrechtelijke boete gaat. Maar fout is toch fout en het blijft bovendien een wetsovertreding. Een andere motivering is dat wanneer je alle redelijke beveiligingsmaatregelen hebt genomen, je toch geconfronteerd kunt worden met een dotale en een mogelijke sanctie. Los van de vraag of in dat geval de Autoriteit Persoonsgegevens een boete zal opleggen, kom je daarmee wel op een hellend vlak.
Autoriteit Persoonsgegevens
De Autoriteit Persoonsgegevens (AP) is sinds 1 januari 2016 geen tandeloze tijger meer. Voor overtreding van vrijwel alle verplichtingen uit de Wet bescherming persoonsgegevens kunnen flinke boetes worden uitgedeeld. Als een overtreding niet opzettelijk of door ernstig verwijtbare nalatigheid is begaan, legt de AP eerst een ‘bindende aanwijzing’ op voordat een boete wordt opgelegd. Het niet-naleven van een bindende aanwijzing kan worden bestraft met een boete die kan oplopen tot wel € 820.000 of 10% van de jaaromzet. Bij een opzettelijk overtreden kan dit direct tot een boete leiden.
In de eerste 5 maanden van dit jaar zijn er nog geen boetes opgelegd. Wel zijn er inmiddels ruim 1.600 meldingen binnengekomen bij de privacywaakhond. Vice-voorzitter Wilbert Tomesen van de AP tegen de NOS: “Als je bedenkt dat er 130.000 organisaties in Nederland zijn die persoonsgegevens verwerken, kan het bijna niet anders dan dat er meer datalekken zijn.” Dus een aantal ondernemingen is waarschijnlijk nu al in overtreding. Het verzekeren van boetes moedigt dit foute gedrag aan en zendt bovendien een verkeerde prikkel uit naar organisaties om niet de optimale beveiliging van persoonsgegevens na te streven.
Toegevoegde waarde cyberpolis
In de nieuwe digitale wereld zijn cyberrisico’s een toenemend probleem en vormen een substantiële bedreiging voor de bedrijfscontinuïteit. De cyberschade alleen al in Nederland bedraagt jaarlijks circa € 10 mld. Bestaande verzekeringsproducten dekken veel van deze cyberrisico’s niet of slechts zeer beperkt. Alle reden om naast preventiemaatregelen een cyberverzekering serieus te overwegen.
Een cyberverzekering biedt onder andere dekking voor forensisch onderzoek, digitale aansprakelijkheid, bedrijfsstilstand en dus ook boetes van toezichthouders. Bovendien geeft een cyberverzekering toegang tot crisis response ondersteuning, die vaak onontbeerlijk is bij een cyberincident. Kortom, deze cyberpolis is zeker een nuttige aanvulling op de verzekeringsportefeuille. Zelfs voor organisaties die in de ogen van de Autoriteit Persoonsgegevens de wet overtreden.
Door Peter Hartman ( riskfitinnovation.nl)
