Column


IT-jurist Peter van Schelven over...

Datalekken: wat dekt uw verzekeraar?

Al zo’n 25 jaar is een beperkt aantal verzekeraars in de Nederlandse markt actief met het bieden van verzekeringsdekking voor IT-gerelateerde risico’s. Veel - maar overigens lang niet alle - IT-risico’s zijn verzekerbaar.

Tot die risico’s behoren vooral mislukte projecten of falende IT-producten. Financieel gezien kan de verwezenlijking van IT-risico’s zeer nadelig of zelfs desastreus uitpakken, zowel voor de gebruikers als hun IT-leveranciers. IT-bedrijven houden daarom steeds meer rekening met de kwade kans dat in voorkomend geval een gedupeerde opdrachtgever met succes een stevige schadeclaim presenteert.

De voorbeelden daarvan liggen in de praktijk voor het oprapen. Een goede verzekering tegen beroepsfouten en wanprestatie is voor de meeste IT-bedrijven dus geen overbodige luxe. Kanttekening is wel dat in de markt forse kwaliteitsverschillen tussen de verzekeraars van IT-risico’s bestaan. Bij het selecteren van een goede verzekeraar kan de support van een deskundige assurantietussenpersoon overigens wel een wereld van verschil uitmaken. Niet zelden is de welwillende, maar een onbekwaam tussenpersoon uit het dorp eerder ‘a part of the problem’ dan ‘a part of the solution.’

Hosting en cloud
De nieuwste ontwikkeling is dat verzekeraars zich ook op de dekking van risico’s rondom datalekken richten. Sommige hebben hun bestaande assurantieproducten inmiddels uitgebreid, andere verzekeraars presenteren specifieke verzekeringen voor specifieke cyber-risico’s. Met name voor hosting- of cloudbedrijven die in hun datacenters in opdracht van hun klanten software draaien of gegevens verwerken, kan de inkoop van zo’n dekking de moeite van het overwegen waard zijn. Eén enkele datalek in een datacenter kan een reeks van claims en hoge interne kosten opleveren, met name als de lek het gevolg is van ondermaatse security. 

Datacenters doen er dus verstandig aan om de polissen die zij in huis hebben nog eens goed onder de loep te nemen. Er zijn in het verleden bijvoorbeeld IT-verzekeringen ‘verkocht’ die de schade wegens schending van de privacywetgeving of schade wegens inbreuk op de informatiebeveiliging expliciet van de dekking uitsluiten. Dan sta je als verzekerde bij een datalek dus met lege handen. Dat soort ‘uitgeklede’ polissen konden in het verleden makkelijk aan de man worden gebracht omdat, zo leerde de ervaring, veel IT-bedrijven bij de aanschaf eerder naar premiekosten dan naar dekkingsomvang keken. IT-verzekeringen zijn voor velen in zekere zin “low interest” producten.

Rol verzekeraar bij datalekken
Heb je als hosting- of cloudbedrijf echter wel een dekking voor datalekken in huis, dan is het niettemin verstandig om toch nog eens de precieze omvang van de dekking in kaart te brengen. De dekkingsomvang blijkt per verzekeraar sterk te verschillen. Is er louter dekking voor schadeclaims van derden (opdrachtgevers) of strijkt de polis zich ook uit tot een dekking van de boetes van de Autoriteit Persoonsgegevens en tevens tot de zogeheten ‘first party risico’s’? Bij die ‘first party risico’s’ moet je met name denken aan de kosten die je als bedrijf zelf moet maken naar aanleiding van een datalek of security-incident, bijvoorbeeld de kosten van reconstructie van verloren data, de kosten van forensisch onderzoek, de kosten van crisismanagement, de extra kosten van de service aan opdrachtgevers en de kosten voor de inschakeling van gespecialiseerde IT-juristen. Naast de schadeclaims kunnen die eigen kosten al met al flink in de papieren lopen.

Ook lijkt het goed om nu stil te staan bij de vraag wat de betrokkenheid van de verzekeraar precies wordt wanneer je als hosting- of cloudbedrijf op enig moment echt te maken hebt met een datalek, dat je aan je opdrachtgevers wilt gaan melden. Je hangt bij een melding in zekere zin ‘de vuile was buiten’ en dus komt de vraag op of je bij die stap ook direct jouw verzekeraar betrekt. Immers, de verzekeraar is direct belanghebbende bij de melding, want zij komt op de eventuele financiële blaren van het datalek te zitten. Betrek je als verzekerde de verzekeraar pas laat in het proces, dan loop je het risico dat je verweten wordt de belangen van de verzekeraar onnodig te hebben benadeeld. Kortom, het zou geen slechte zaak zijn als datacenters en hun verzekeraars over de concrete aanpak van datalekken van tevoren praktische operationele afspraken maken, temeer omdat de wet bij een datalek supersnel handelen verlangt. Idealiter moet de positie van de verzekeraar in een ‘incident response plan’ worden benoemd.

Uiteraard kan het niet zover gaan dat de verzekeraar op de stoel van het datacenter kan gaan zitten; als een datacenter een lek moet melden, dan mag de verzekeraar dat vanzelfsprekend niet tegen houden. Maar een set van goede werkafspraken vooraf tussen verzekerde en verzekeraar kan niettemin netelige discussies achteraf voorkomen.


Lees meer over