Skip Navigation

Cyber- of bestuurdersaansprakelijkheid – Welk effect heeft GDPR op jouw risico’s?

30.04.2018
Topic Knowledge and Insights

Cyber- of bestuurdersaansprakelijkheid – Welk effect heeft GDPR op jouw risico’s?

Op 25 mei van dit jaar gaat de GDPR van kracht die gegevensbescherming centraal stelt. De uitwerkingen van deze nieuwe regelgeving en de veranderingen die daarmee gepaard gaan, zijn een lastige zaak voor bedrijven en vereisen een striktere handhaving van kennisgeving bij datalekken. Dit artikel bekijkt de GDPR, geeft een overzicht van de veranderingen aan de huidige situatie rondom gegevensbescherming en legt uit hoe een verzekering een kritische rol kan spelen in de planning en bescherming van een bedrijf bij GDPR.

Dit artikel bestaat uit drie delen. Klik op een link hieronder om direct naar dat deel te gaan.

Deel 1: Wat doet de GDPR met mijn cyberrisico’s?

Deel 2: GDPR en de cyberverzekering

Deel 3: GDPR in de directiekamer

Wat doet de GDPR met mijn cyberrisico’s?

GDPR creëert een uniform wettelijk kader over heel de EU en geeft mensen controle over hun eigen persoonsgegevens terwijl er strikte regels worden opgelegd aan degenen die deze gegevens bezitten

Jij inzicht en controle, zij strengere regels

GDPR creëert een uniform wettelijk kader binnen de EU en geeft mensen controle over hun eigen persoonsgegevens terwijl er strikte regels worden opgelegd aan degenen die deze gegevens bezitten. Via een Europese verordening zal GDPR van toepassing zijn op alle bedrijven die gegevens verzamelen van Europeanen of die goederen of diensten leveren aan personen binnen de EU. Het maakt hierbij niet uit als bedrijfsprocessen of de dataopslag buiten de EU plaatsvinden.

Het recht om vergeten te worden

De nieuwe verordening geeft mensen het recht op inzage van hun gegevens, het recht geïnformeerd te worden, het recht op rectificatie en vergeten te worden en het recht om de verwerking te beperken. Het verplicht bedrijven om hun perceptie van gegevensbescherming te veranderen en hun verantwoordelijkheid te nemen om persoonsgegevens te beveiligen en ervoor te zorgen dat de rechten van natuurlijke personen worden nageleefd.

GDPR geeft mensen het recht op inzage van hun gegevens en het recht om vergeten te worden

Hogere boetes

De GDPR verhoogt ook aanzienlijk het bereik en de hoogte van boetes als de wet niet wordt nageleefd. Voor een datalek kan een bedrijf mogelijk boetes krijgen tot 20 miljoen euro of 4% van de totale wereldwijde jaaromzet (als deze hoger is). Bestuurders lopen ook een hoger risico op gerechtelijke stappen van bijvoorbeeld particulieren wegens datalekken, of van aandeelhouders voor slecht beheer van privacyrisico's.

GDPR en de cyberverzekering

Een cyberverzekering biedt verschillende dekkingsaspecten als antwoord op GDPR. Het is hierbij goed om te bekijken of de cyberververzekering verder gaat dan alleen een dekking bij datalekken. De GDPR verwacht nu eenmaal meer dan alleen een reactie bij een datalek.

Onderzoek door een toezichthouder

Een toezichthouder kan door de GDPR niet alleen als gevolg van een datalek een onderzoek instellen, maar ook bij vermoedelijk misbruik van persoonsgegevens en/of het niet correct beheren, verzamelen, opslaan of verwerken van persoonsgegevens. Een cyberverzekering kan op al deze onderdelen ondersteuning bieden met:

  • juridische diensten voor advies en ondersteuning tijdens en na incidenten;
  • IT-diensten om te onderzoeken en/of vast te stellen of er vertrouwelijke informatie is gelekt of gestolen;
  • juridisch verweer en ondersteuning richting de toezichthouder als gevolg van een onderzoek;
  • wettelijk te verzekeren boetes en/of sancties die door een toezichthouder worden opgelegd.
GDPR geeft men het recht om u, bovenop de materiële schade, te vervolgen voor immateriële schade

Organisaties zijn verplicht om binnen 72 uur nadat zij bekend zijn met het datalek, dit te melden bij de toezichthoudenende autoriteit.  

First Response

De meldingen aan de toezichthoudende autoriteit en particulieren zijn zowel duur als tijdrovend. Men kan zich voor deze kosten verzekeren. Wat aansprakelijkheidsclaims door derden betreft, hebben particulieren na de invoering van GDPR het recht om u, bovenop de materiële schade, te vervolgen voor immateriële schade. Een cyberverzekering dekt de verdedigingskosten en aansprakelijkheidsclaims die voortvloeien uit een lek van vertrouwelijke informatie. Onze First Response service biedt een gecoördineerde aanpak van een datalek inclusief IT, juridische hulp en PR-bijstand.

Cyberverzekering is niet langer de enige relevante verzekering

Ben jij al klaar voor GDPR?

Download het overzicht 10 actiepunten voor GDPR’, mede mogelijk gemaakt door Norton Rose Fulbright, één van onze partners die u helpen bij een cyberincident.

Grotere financiële gevolgen na GDPR

Gezien de invoering van GDPR en de wereldwijde toename van cyberaanvallen is het niet eerder zo belangrijk geweest dat bedrijven een goed ontworpen en uitgebreide cyberverzekering hebben. Niet alleen om de risico's van een inbreuk op de GDPR te dekken maar ook om direct toegang te hebben tot deskundige hulp. Bedrijven die al een cyberverzekering hebben moeten ook evalueren of de bestaande dekkingen en limieten voldoende zijn, omdat de financiële gevolgen van een datalek met de GDPR vrijwel zeker hoger zullen liggen.

De GDPR creëert een beduidend risico. Maar omdat aansprakelijkheid een sleutelthema is in de nieuwe regelgeving, is een cyberverzekering niet langer de enige relevante verzekering. Men zal ook de risico’s voor bestuurdersaansprakelijkheid moeten inventarisen.

GDPR in de directiekamer

Het hoofddoel van een bestuurdersaansprakelijkheidsverzekering is om het privévermogen van bestuurders en leidinggevend personeel te beschermen. De polis dekt ook mogelijk verdedigingskosten bij een beschuldiging van onrechtmatig beheer. Risico's van bestuurders en leidinggevenden bestaan voor alle soorten organisaties: van grote financiële instellingen tot kleine familiebedrijven met een lokaal klantenbestand, sportorganisaties met een lange lijst aan leden of zelfs liefdadigheidsinstellingen.

Een toezichthouder kijkt vooral of bestuurders genoeg moeite hebben gedaan om cyberrisico's te analyseren

Wiens schuld is een datalek?

Bestuurders worden continu op de proef gesteld door nieuwe dreigingen zoals cyberaanvallen en veranderingen in regelgeving zoals de GDPR. De rol van het bestuur is essentieel in het identificeren en beheren van cyberrisico's om de uitwerking ervan op het bedrijf te minimaliseren. Bestuurders zijn steeds bezorgder over het feit dat het bij een datalek onvermijdelijk is dat een deel van de schuld in hun schoenen wordt geschoven. Bij een verhoogd toezicht op het bestuur zal een toezichthouder waarschijnlijk vooral kijken of het bestuur genoeg fondsen heeft vrijgemaakt voor IT-beveiliging, genoeg moeite heeft gedaan om cyberrisico's te analyseren en of er gekeken is naar het mogelijk afdekken van de risico's door een verzekering aan te schaffen.

Vanuit verzekeringsoogpunt is het goed om een bestuurdersaansprakelijkheidsverzekering samen met een cyberaansprakelijkheidsverzekering te overwegen

Meer verantwoordelijkheden voor bestuurders

Cyberrisico’s ontwikkelen zich voortdurend en het is duidelijk dat dit aanvullende verantwoordelijkheden oplegt aan bestuurders. De financiële impact van een datalek kan enorm zijn; bestuurders moeten dus nadenken over hun verplichtingen aan het bedrijf en de aandeelhouders. Maar ook het privévermogen kan gevaar lopen bij een vordering wegens vermeend onrechtmatig beheer. In een situatie waarin een cyberincident een materiële uitwerking heeft op de aandeelhouderswaarde van een bedrijf, of de reputatiewaarde, zal er bijna zeker een geschil volgen. Vooral als het bestuur de fout heeft begaan om het cyberrisico niet goed te verzekeren.

Als de voorbereiding op GDPR vanuit een verzekeringsoogpunt wordt besproken is het dus goed om een bestuurdersaansprakelijkheidsverzekering samen met een cyberverzekering te overwegen. Zeker gezien de potentiële persoonlijke risico's voor bestuursleden.

Dure datalekken maken nu deel uit van het bedrijfsleven

Wat gaat er na 25 mei gebeuren?

Bestuursleden van meerdere bedrijven in de Verenigde Staten werden aangeklaagd na cyberhacks, bijvoorbeeld Target en Home Depot. Het is interessant om te zien wat er gebeurt voor Nederlandse en Europese organisaties na de invoering van GDPR op 25 mei. Dure datalekken maken nu deel uit van het bedrijfsleven en het lijkt onvermijdelijk dat cybergerelateerde eisen tegen bestuurders zullen volgen. Vooral als benadeelde aandeelhouders of klanten vergelding zoeken en toezichthoudende instanties hun nieuwe macht gaan beginnen te gebruiken.

Meer weten wat een cyberverzekering kan doen?

Meld je hier aan voor Cyber Monday!  

Aanmelden

Meer weten wat een cyberverzekering kan doen?

Meld je hier aan voor Cyber Monday!  

Aanmelden

Gerelateerde artikelen

Cyberclaims – inzichten die je aan het denken zetten

Knowledge and Insights

Dit gebeurt er na een cyberincident

Knowledge and Insights

Maak kennis met ons Cyber team

Knowledge and Insights