Het verzekerd cyberrisico en de GDPR (LegalNews.be)

Auteur: LegalNews.be

Publicatiedatum: 21/05/2018

De Belgische wetgeving kent voorlopig nog geen specifieke regelgeving omtrent het verzekeren van cyberrisico’s. De Wet betreffende de verzekeringen (Wet van 4 april 2014 betreffende de verzekeringen) geldt dus onverkort als grondslag voor deze nieuwe risico’s.

Mr. Ignace Laplaese licht toe.

De ‘Cyberpolissen’ van de verzekeringssector

25 mei wordt de laatste maanden als D-day aangekondigd voor de inwerkingtreding van de nieuwe Europese privacywetgeving en menige inkt vloeide reeds over de talloze problemen die zich in de praktijk hieromtrent zouden kunnen stellen. Daarbij viel meermaals de term ‘schending van (persoons)gegevens’.

Deze omschrijving kan meerdere ladingen dekken: hetzij een derde die doelbewust poogt gegevens te ontfutselen van een gegevensdrager, hetzij een nalatigheid (lees vanaf 25 mei: fout) in het beschermen van de gegevens die men onder zich houdt.

In de praktijk diende men vast te stellen dat de schadegevallen die hieruit voortkwamen, vaak de dekking van enige schade uitsloten. De verzekeringssector is zich daar recent bijzonder bewust van geworden en heeft de zogenaamde ‘cyberpolissen’ uitgewerkt, gebaseerd op de Wet van 4 april 2014.

Zowel de eigen schade (bv. verlies van gegevens en de kosten van herstel), als schade aan derden (bv. imagoschade of kosten achternageloop voor de wedersamenstelling van een database) komen in deze polissen wel degelijk voor uitbetaling in aanmerking.

Ook de kosten die men betaalt aan een ‘expert’ in geval van encryptie van bestanden, waarbij men ‘losgeld’ (vaak in Bitcoins) eist om terug toegang te krijgen tot de eigen -inmiddels versleutelde- bestanden, zijn kosten die onder dit soort polissen gerecupereerd kunnen worden.

Het penale luik

De Wet Informaticacriminaliteit (Wet van 28 november 200) heeft benevens de artikelen uit het Strafwetboek die valsheid in informatica enerzijds en informaticabedrog anderzijds strafbaar stellen, een aantal misdrijven ingevoegd specifiek omtrent informaticagegevens, doch dit laat onverlet dat zowel de huidige Privacywet als de toekomstige AVG (AVG General Data Protection Regulation) voorzien in boetes.

Wie vandaag de privacywet aan zijn laars lapt of overtreedt, riskeert een strafrechtelijke boete van 800 tot 800.000 euro. Vanaf 25 mei 2018 kan de Privacycommissie veel zwaardere sancties en administratieve boetes opleggen. Geen paniek. Onze Belgische Privacycommissie mag dan wel strenger controleren, niet elke overtreding wordt onmiddellijk beboet. Wanneer de processor of de controller de verzamelde data niet correct beheren, een ernstig datalek niet melden of het bedrijf geen risico-assessment houdt, … kan de Privacycommissie naargelang de ernst van de zaak kiezen uit een lange lijst sancties : een waarschuwing of berisping. Eisen dat u de verwerking op punt stelt of de fouten rechtzet, of dat u de betrokken persoon op de hoogte brengt.

De commissie kan ook gegevens laten wissen of zelfs een verwerkingsverbod opleggen. Als de processor of de controller hun ‘job’ niet volgens de regels van de kunst uitvoeren of een datalek niet goed beheren, riskeren ze een boete tot 10 miljoen euro of twee procent van de jaarlijkse wereldwijde omzet indien hoger. Voor ernstige misstappen (geen respect voor de algemene beginselen of de rechten van de betrokkene) kan dat bedrag stijgen tot 20 miljoen euro of vier procent van de jaarlijkse wereldwijde omzet indien hoger.

Zijn boetes verzekerbaar?

De vraag kan worden gesteld naar de verzekerbaarheid van de hogergenoemde administratieve boetes. Artikel 155 van de Wet Verzekeringswezen bepaalt immers duidelijk dat boetes die een strafrechterlijk karakter vertonen niet verzekerbaar zijn.

Op heden bestaat geen duidelijkheid over de verzekerbaarheid van deze boetes, opgelegd aan de houders van gegevens, nu niet vaststaat of de boetes, voorzien in de AVG al dan niet een strafrechterlijk karakter vertonen. Is dit wel het geval, dan is de clausule strijdig met de Wet Verzekeringswezen en aldus nietig.

Vast staat in elk geval het gegeven dat de clausules die verzekerbaarheid van de administratieve geldboetes vooropstellen, hoe dan ook zullen moeten worden aangepast.