Inbreuken op gegevens worden steeds groter en het aantal getroffen records per gegevensinbreuk neemt toe.

TYPEN INBREUKEN DOOR DE JAREN HEEN

Hacking is de meest voorkomende oorzaak van gegevensverlies en het aantal hackingincidenten neemt snel toe.

Bovendien zijn de uitgaven bij de afwikkeling van een gegevensinbreuk schrikbarend hoog, ongeacht de omvang van het bedrijf. Hieruit voortvloeiende kostenposten zijn opsporing/ forensisch, escalatie, kennisgeving, herstel en inkomsten- en imagoverlies.3

MEEST VOORKOMENDE TYPEN INBREUKEN EN DAARMEE SAMENHANGENDE KOSTEN PER RECORD

Kwaadwillig hacken is de achterliggende oorzaak van gegevensinbreuken die het meest voorkomt en voor de hoogste kosten zorgt. Andere inbreuken zijn terug te voeren op fouten veroorzaakt door een systeem of een werknemer.4

First Party-risico’s

Omvatten eigen kosten als gevolg van een inbreuk of een datalek:

• Kosten van digitaal forensisch onderzoek (om de omvang en reikwijdte van de inbreuk of van het gegevensverlies vast te stellen) – de kosten kunnen sterk uiteenlopen, afhankelijk van hoe groot of ingrijpend de inbreuk is

• Melden en Inlichten van gedupeerden – de tarieven kunnen nogal verschillen maar veel aanbieders hebben tarieven afgesproken die uiteenlopen van € 1,25
tot € 5 per persoon

• Kosten voor public relations en crisismanagement

• Ransomware betalingen door cyberafpersing

• Kosten van herstel van ICT-systemen

Third Party-risico’s

Omvatten de kosten die worden gemaakt door inbraak of aansprakelijkheid:
• Kosten voor uitgifte nieuwe betaalkaart

• Kosten van fraude met een betaalkaart

• PCI boetes

• Boetes
— Boetes opgelegd door de CBP (College Bescherming Persoonsgegevens)
— Boetes / schadevergoedingen van andere instanties • Vanwege identiteitsdiefstal

• Vanwege verlies van intellectueel eigendom of vertrouwelijke bedrijfsgegevens van derden

• Vanwege netwerkverstoring

• Lichamelijk letsel als gevolg van verloren gegevens

• Psychische en emotionele schade door openbaarmaking van privégegevens

• Overdracht of verspreiding van een computervirus/-worm of schadelijke software als gevolg van onachtzaamheid

Accountantskantoren

Bij een accountantskantoor gaat een backupstation verloren waarop namen, adressen en BSN-nummers van alle belastingklanten zijn opgeslagen. Omdat op het station persoonsgegevens werden bewaard, moet elke klant worden benaderd en moet aan elk van hen fraudecontrole worden aangeboden, ongeacht of er ooit wat met de informatie zal worden gedaan.

Een computersysteem van een accountantskantoor wordt gehackt, waardoor betalingsgegevens van honderden klanten gevaar lopen. Het kantoor moet opdraaien voor de kosten van alle gedupeerde klanten en voor de kosten van uitgifte van nieuwe creditcards.

Het computersysteem van een accountantskantoor wordt gehackt. De BSN-nummers en financiële gegevens van belastingaangiftes van duizenden klanten zijn in het geding, evenals de gegevens van alle vaste en tijdelijke werknemers. Het kantoor moet alle getroffen partijen inlichten en fraudecontrolediensten aanbieden.

Reclamebureaus

Een ontevreden werknemer van een bureau voor digitale reclame geeft vertrouwelijke gegevens over gevolgd klikgedrag door aan een concurrent van een klant van het bureau. De klant daagt het bureau voor de rechter vanwege contractbreuk en nalatigheid.

Een reclamebureau zet een nieuwe reclamecampagne op voor een prominente klant. De campagne lekt uit voor de geplande lanceringsdatum, reden voor de klant om het bureau voor de rechter te dagen.

Landbouw

Een werknemer van een veevoerleverancier verliest een laptop waarop gevoelige gegevens, waaronder factuurgegevens, van zijn klanten zijn opgeslagen. Hoewel niet zeker is of er ooit wat met die gegevens zal worden gedaan, is het de verantwoordelijkheid van de leverancier dat alle bedrijven waarvan de gegevens zijn gecompromitteerd op de hoogte worden gesteld.

Het computersysteem van een groot agrarisch bedrijf wordt gehackt. Gevoelige gegevens, waaronder namen, BSNnummers en geboortedata komen op straat te liggen. Het bedrijf moet al zijn vaste en seizoensmedewerkers inlichten en fraudecontrolediensten aanbieden.

Biotechnologische en farmaceutische bedrijven

Een farmaceutisch bedrijf is halverwege een grote klinische proef van een veelbelovend geneesmiddel. Het computersysteem wordt gehackt waardoor gevoelige patiëntinformatie, waaronder BSN-nummers en medische gegevens, wordt gecompromitteerd. Het bedrijf moet alle getroffen patiënten op de hoogte stellen en fraudecontrole aanbieden. Bovendien moet de proef worden gestopt en worden overgedaan.

Een biotechnologisch bedrijf werkt aan een nieuw genetisch gemodificeerd voedingsproduct. Gegevens over het onderzoek komen voordat de studie is voltooid onbedoeld via e-mail terecht bij een mediabedrijf. De voedingsmiddelenfabrikant daagt het laboratorium voor de rechter.

Energie

Het computersysteem van een leverancier van zonne-energie wordt gehackt waardoor de betaalgegevens van alle klanten alsmede gevoelige persoonsgegevens op straat komen te liggen. De kosten voor kennisgeving aan alle getroffen personen en de verlening van fraudecontrolediensten moeten door de leverancier worden betaald

De bouw

De computers van een bouwbedrijf worden besmet met een virus dat onbedoeld wordt doorgegeven aan potentiële en bestaande klanten en aan leveranciers. Het bedrijf is aansprakelijk voor de kosten die zij moeten maken om het virus te verwijderen en gegevens te herstellen.

De vertrouwelijke ontwerpplannen voor een project voor de ontwikkeling van multifunctionele gebouwen worden door een ontevreden medewerker van de aannemer die de bouwopdracht heeft binnengehaald, gelekt naar een concurrent. De projectontwikkelaar daagt de aannemer voor de rechter wegens schending van de geheimhoudingsovereenkomst.

Adviesbureaus

Bij een bureau voor personeelsadvisering raakt iemand een laptop kwijt. Namen, adressen en BSN-nummers van honderden contractmedewerkers waren er in opgeslagen. Ongeacht of de informatie ooit wordt verspreid, moet het bureau de getroffen werknemers inlichten en fraudecontrole aanbieden. Enkele consultants van een bureau voor managementadvies werken tijdens een project op locatie bij een klant. Een van de consultants stuurt per ongeluk een vertrouwelijk memo naar een grote e-maillijst met adressen van zowel interne als externe ontvangers. De klant daagt het adviesbureau voor de rechter.

Gaming

Een game-hostingbedrijf wordt gehackt waardoor verschillende populaire gamingsites enkele dagen plat liggen. De ontwikkelaars van de games dagen het hostingbedrijf voor de rechter wegens gederfde royalty’s.

Een populaire online game-franchise bereidt de lancering voor van de nieuwste versie van zijn flagship-product. Er had een demoversie klaar moeten staan om te worden gedownload, maar in plaats daarvan is de volledige versie klaargezet, die vervolgens door duizenden gebruikers gratis wordt gedownload. De ontwikkelaar, marketeer en anderen leiden schade door gederfde inkomsten.

Advocatenkantoren

Het computersysteem van een advocatenkantoor wordt gehackt waardoor vertrouwelijke informatie over spraakmakende echtscheidingszaken bij de media terechtkomt. Het kantoor wordt door beide partijen in de echtscheidingszaak voor de rechter gedaagd.

Een nieuwe medewerker in een advocatenkantoor gooit een afschrift van vertrouwelijke betalingsinformatie van klanten in de openbare papiercontainer in plaats van het document door de papierversnipperaar te halen. Het kantoor moet de klanten ervan in kennis stellen dat hun gegevens mogelijk gecompromitteerd zijn en hun fraudecontrole aanbieden.

Een laptop van een advocatenkantoor dat gespecialiseerd is in collectieve rechtszaken wordt gestolen. Er staat gevoelige informatie op, zoals BSN-nummers en medische gegevens, van een groot aantal eisers in een geding tegen een fabrikant van medische apparatuur. Het advocatenkantoor moet de eisers inlichten en fraudecontrolediensten aanbieden.

Productie

Een uitvinder geeft een fabrikant de opdracht een beperkt aantal producten te vervaardigen waarop nog geen octrooi is verleend. Een werknemer van de fabrikant verstuurt per ongeluk een e-mailbericht met de productspecificaties aan potentiële concurrenten. De fabrikant wordt voor de rechter gedaagd wegens schending van de geheimhoudingsovereenkomst en andere schade.

Het computersysteem van een productiebedrijf wordt gehackt waardoor de gevoelige gegevens van alle voltijd- en contract medewerkers zijn gecompromitteerd. Het bedrijf moet alle getroffen werknemers inlichten en fraudecontrole aanbieden.

Mediabedrijven

Een mediabedrijf ontwikkelt een uitgebreid mediaplan voor een nieuw product van een klant. Een e-mailbericht met daarin vertrouwelijke gegevens over het product die bedoeld zijn voor de klant, wordt per ongeluk verzonden naar de e-mailadressen op een persdistributielijst, waardoor de buitenwereld ruim vóór de lancering al op de hoogte is van de productgegevens. De klant daagt het mediabedrijf voor de rechter wegens contractbreuk en andere schade.

Op het computersysteem van een mediabedrijf zijn grote hoeveelheden statistische gegevens van klanten opgeslagen, waaronder sleutelwoorden voor zoekmachine-optimalisatie, betaling-per-klik-campagnes, enz. Het systeem wordt gehackt en alle gegevens lopen gevaar. Een aantal klanten spant een rechtszaak aan wegens vermeende nalatigheid.

Non-profitorganisaties

Een non-profitorganisatie raakt een laptop kwijt waarop de lijst van donoren is opgeslagen. De organisatie moet iedereen die op de lijst staat inlichten en fraudecontrole aanbieden, ongeacht of de informatie ooit wordt verspreid.

Uitgeverijen

Een bekende schrijver schrijft onder pseudoniem een nieuw boek in een ander genre. De uitgever spreekt met de schrijver af dat de ware identiteit van de schrijver niet wordt onthuld maar een ontevreden medewerker lekt de echte naam van de schrijver naar de pers. De schrijver daagt de uitgever voor de rechter wegens contractbreuk. Het computersysteem voor orderverwerking van een uitgever van e-books wordt gehackt en gevoelige betalingsgegevens worden gecompromitteerd. De uitgever moet al zijn klanten inlichten en aanbieden gedurende een jaar fraudecontrolediensten te verlenen. De kosten daarvan zijn voor zijn rekening.

Overheidsinstellingen

Het computersysteem wordt gehackt van een overheidsinstelling die toeziet op een programma voor volwassenen personen met een handicap. De persoonsgegevens van de deelnemers aan het programma zijn gecompromitteerd. De instelling is verplicht om de getroffen deelnemers en hun zorgverleners of wettelijke vertegenwoordigers in te lichten en fraudecontrolediensten aan te bieden.

Amusement

De nieuwe single van een populaire artiest wordt door een medewerker van een platenbedrijf per ongeluk vrijgegeven aan sites waar gratis muziek kan worden gedownload. De artiest daagt het bedrijf voor de rechter wegens gederfde royalty’s.

CYBER EN DATA RISKS VERZEKERING PRIVACYPOLIS

Wat kost een Cyberverzekering?
De kosten van uw cyberverzekering zijn afhankelijk van het verzekerde bedrag per aanspraak en de omzet van uw bedrijf. Op onze TARIEVENPAGINA vindt u de vastgestelde tarieven voor uw cyberverzekering.

Welk risico loopt uw bedrijf?
De risico’s betreffen in het algemeen de persoonsgegevens die zij onder beheer hebben, zoals BSN-nummers, rijbewijsnummers, gegevens van betaalkaarten waarmee goederen, diensten en rekeningen worden betaald, gevoelige gegevens van klanten, verzamelde medische gegevens, enz.

Waarom moet u weten over hoeveel records een bedrijf beschikt? Hoe hoger het aantal gegevensrecords, des te hoger het risico én de kosten na een inbreuk.

WAAROM UW BEDRIJF EEN CYBER EN DATA RISKS POLIS NODIG HEEFT

Mijn andere polis biedt al dekking hiervoor. Is dat niet voldoende? Mogelijk, maar meestal niet. In de meeste gevallen is de dekking zeer beperkt en wordt slechts een gering bedrag in euro's toegekend. Het kan bijvoorbeeld zijn dat alleen de Third Party-kosten worden vergoed of dat de maximumdekking voor First Party-kosten beperkt is tot slechts € 50.000. Een complete verzekeringspolis bij inbreuken op privacy en gegevens is profijtelijk voor elk bedrijf en biedt de geruststelling dat de kosten van een potentiële inbreuk geen ontwrichtende werking zullen hebben op de bedrijfsvoering.

Als mijn werkelijke risico alleen First Party-gegevens betreft (zoals gegevens van werknemers), heb ik dan zo’n polis dan wel nodig? Elk bedrijf heeft de taak en verplichting om namens werknemers beheerde gegevens te beschermen. Hetzelfde geldt voor vertrouwelijke gegevens van het bedrijf zelf. Geen enkel bedrijf is immuun tegen aanvallen. Een polis van Hiscox biedt dekking voor werknemersgegevens.

Ik ben geen doelwit zoals Sony, KPN of AMSL. Waarom zou ik me zorgen maken? Grote bedrijven halen het nieuws. Kleine niet. Niettemin, als het gaat om inbreuken op gegevens is het niet de vraag of het gebeurt, maar wanneer het gebeurt. Er bestaat een zwarte markt waar gestolen gegevens worden gekocht en verkocht, en hackers worden steeds slimmer. Target, KPN, Sony en andere grote organisaties hebben complete afdelingen die zich bezighouden met het analyseren van de risico’s waaraan het bedrijf is blootgesteld en die meewerken aan het opzetten van beleid en procedures waarmee ze zichzelf kunnen beschermen, maar hackers weten nog steeds gaten in de verdediging te slaan. Kleinere bedrijven die geen netwerkbeveiligers in dienst hebben en niet de middelen hebben om hun gegevens te beschermen, zijn voor hackers een gemakkelijke prooi.

Wie sluit tegen cyberrisico’s een dekking af? Bedrijven die dit toenemende risico willen beperken. Het wordt een ‘must have’-dekking.

Waarom zou ik twijfelen aan mijn IT-afdeling als ze zeggen dat ze al hun zaakjes op orde hebben? Target, Sony en andere grote bedrijven hebben complete afdelingen die zich bezighouden met IT-beveiliging maar ze bleken kwetsbaarder dan ze dachten. Eén simpele fout of vergissing, zoals het niet updaten van software, het niet instellen van de juiste procedures voor authenticatie van derdenleveranciers, het kwijtraken van een niet-versleutelde laptop waarop gevoelige gegevens zijn opgeslagen, of een medewerker met kwaad in de zin, kan leiden tot een inbreuk. De risico’s groeien mee met de technologische ontwikkelingen en hackers gaat steeds slimmer en geraffineerder te werk.

Heb ik deze dekking wel nodig als ik gegevens van klanten niet opsla op mijn netwerk? Ja. U slaat klantgegevens weliswaar niet op, maar u hebt er wel toegang tot. Uzelf kunt de oorzaak zijn van een inbreuk op gegevens van uw klanten en zo contractbreuk veroorzaken. Bedrijfsinformatie valt eveneens onder de dekking van een polis tegen inbreuk op gegevens en privacy. Aansprakelijkheid bestaat ook voor gegevens van werknemers.

Ik heb maar een heel klein bedrijf. Loop ik dan nog steeds enig risico van inbreuk op gegevens? lk bedrijf is blootgesteld aan privacyrisico’s, hetzij via gevoelige gegevens van werknemers, hetzij via betalingen die van derden worden geïnd, geleverde diensten enz. Sommige risico’s zijn groter dan andere maar het is belangrijk om te benadrukken dat elk bedrijf met werknemers in dienst aansprakelijk is voor verlies van Third Party-gegevens (met inbegrip van gegevens van werknemers). Een inbreuk kost het kleinste bedrijf met de geringste risico’s gemiddeld €188.000. De kosten stapelen zich razendsnel op.

De verwerking van betaalkaarttransacties besteed ik uit aan een derde. Op dat gebied loop ik dus geen risico, klopt dat? Volgens de PCI Compliance Guide, geldt de PCIstandaard voor ALLE organisaties of handelaren, ongeacht de omvang van of het aantal transacties, die gegevens van kaarthouders accepteren, doorgeven of opslaan. En het simpele feit van uitbesteding aan een derde partij ontslaat u niet van de plicht te voldoen aan de PCI-voorschriften. Misschien kunt u zo het risico verminderen en daarmee de PCIcompliance wat vergemakkelijken, maar dat betekent nog niet dat er volledigaan PCI voorbij kan worden gegaan.

Als mijn klantgegevens zijn opgeslagen in de cloud berust de aansprakelijkheid toch bij de cloudaanbieder? Dat is niet zeker. Het is in het belang van de verzekerde om contracten op dit gebied zorgvuldig door te spreken met een juridisch adviseur. Zelfs als het risico beperkt is, kan het nog steeds dat de aansprakelijkheid bij de verzekerde wordt gelegd.

DE FEITEN

Welke sectoren sloten altijd al aansprakelijkheidsverzekeringen af en welke sectoren zijn daar bijgekomen? De meeste aansprakelijkheidsverzekeringen worden afgesloten door banken, gezondheidszorginstellingen en bedrijven in de technische branche. Ze worden tegenwoordig ook steeds meer afgesloten door bedrijven van uiteenlopende grootte en uit uiteenlopende sectoren, overheden, onderwijsinstellingen en producenten.

Wat zijn de gemiddelde kosten van een gegevensinbreuk? De gemiddelde kosten blijven schommelen maar liggen volgens toonaangevende bronnen uit de wereld van de cyberbeveiliging op zo’n € 188.000. Hoe groter het bedrijf, des te hoger de kosten. Maar ongeacht de grootte van het bedrijf geldt wederom: hoe meer gevoelige gegevens het bedrijf verzamelt, des te hoger de kosten.

RISICO’S

Hoe gaat cybercriminaliteit in zijn werk? Het volgende scenario ontspint zich: Een hacker die zich voordoet als leverancier, klant of werknemer krijgt een werknemer van de verzekerde zo ver dat die geld overmaakt op de rekening van de hacker. De misleiding kan de vorm aannemen van phishing, spear phishing en andere trucs die door middel van e-mail, text message, instant message, de telefoon of andere elektronische middelen worden uitgehaald.

Wat is een record precies? Wat doe ik als ik meerdere bestanden van dezelfde persoon in mijn bezit heb? Wilt u weten om hoeveel records het in totaal gaat of hebt u alleen het aantal personen nodig? Niet-openbare persoonsgegevens zoals bepaald in nationale, regionale, plaatselijke of buitenlandse wet- of regelgeving kunnen bestaan uit, maar zijn niet beperkt tot, onbeveiligde vertrouwelijke gezondheidsinformatie, BSNnummers, persoonsgebonden belastingidentificatienummers, rijbewijsnummers, nummers van een identiteitskaart of paspoort, bankrekeningnummers en nummers van betaalpassen of creditcards. Wat wij willen weten is het aantal afzonderlijke gegevenselementen die een verzekerde in totaal bezit. Indien meerdere gegevenselementen van dezelfde persoon zijn opgeslagen in het netwerk van de verzekerde of op locatie bij de verzekerde, willen wij informatie hebben over de ter plekke gehanteerde bewaar- en duplicatieprocedures.

Hebben privacypolissen gevolgen voor websites? Ja, want deze polissen zijn in veel opzichten te beschouwen als een overeenkomst met uw klanten. Belangrijker nog, als u uw gegevensbeschermingsprocedures geheim wilt houden en niet wilt vertellen met wie u gegevens van anderen deelt, kan dat in strijd zijn met privacyregelgeving.

Aan welke regelgeving zijn bedrijven in het algemeen onderworpen? Voor gegevens van betaalkaarten de PCI/ DSS-regels. Deze gegevens zijn samen met BSN-nummers, financiële en medische gegevens enz. ook onderworpen aan nationale, regionale en lokale voorschriften.

Waarom is het zo belangrijk om aan de PCI-regels te voldoen? Wat gebeurt er als ik die regels niet naleef? Iemand die zich niet houdt aan de PCI-regels kan een boete krijgen van kaartuitgevers en voor de rechter worden gedaagd door diverse partijen die opkomen voor boze consumenten die slachtoffer zijn van inbreuken op hun gegevens.

Mijn Point-of-Sale-leverancier zegt dat hij PCI-compliant is. Dat betekent dat ik ook compliant ben, klopt dat? Niet per se, de meeste handelaren zijn blootgesteld aan enig risico. De enige manier om volledig te ontkomen aan de noodzaak om PCI-compliant te worden, is door uitbesteding van het gehele betalingsverwerkingsproces. In de meeste gevallen wordt bij de verwerking een beroep gedaan op in ieder geval een deel van uw netwerkinfrastructuur. Dit betekent dat ook handelaren onderworpen zijn aan de PCI-standaard.

Wat is het verschil tussen een boete en een assessment van de PCI? Uitgevers van betaalkaarten (Visa, Mastercard enz.) kunnen naar eigen goeddunken boetes opleggen die variëren van € 5.000 tot € 100.000 per maand voor overtreding van de PCI-voorschriften. De boetes hebben een punitief doel en hebben geen betrekking op schadevergoeding aan banken door fraude met betaalkaarten. PCI-assessments gaan gepaard met aansprakelijkheden en kosten die zijn uitgewerkt in een overeenkomst inzake diensten van handelaren of inzake betalingsverwerking. Dergelijke overeenkomsten kunnen bepalingen bevatten inzake kosten voor uitgifte van nieuwe passen en van frauduleuze debiteringen na een inbreuk.

DEKKING

Wat is het verschil tussen First Party- en Third Partydekking en wat is hun respectieve belang? Met een First Party-verzekering dekt de verzekerde zijn eigen schade als gevolg van kennisgeving aan gedupeerden, digitaal forensisch onderzoek om na te gaan hoe de inbreuk heeft kunnen plaatsvinden, herstel, bedrijfsstagnatie enz. Met een Third Party-verzekering dekt de verzekerde de kosten als gevolg van aansprakelijkheid collectieve rechtszaken en andere aanspraken die door externe partijen worden ingesteld.

Wat zijn vertrouwelijke bedrijfsgegevens als handelsgeheimen buiten beschouwing worden gelaten? In dat geval hebben vertrouwelijke bedrijfsgegevens betrekking op informatie waarvan openbaarmaking schade zou toebrengen aan het bedrijf. De informatie kan bestaan uit verkoop- en marketingplannen, productplannen, documenten over ontwerpen en uitvindingen, gegevens over klanten en toeleveranciers, financiële gegevens enz. die naar hun aard niet openbaar zijn.

Aan welke limieten moet ik denken? Dat hangt af van de grootte van het bedrijf en van het risico. De limieten stijgen navenant mee met de grootte van het bedrijf en de gevoeligheid van de gegevens.

Wat houdt ‘dekking per persoon’ in? In plaats van een waarde in euro's te bepalen voor meldings- en fraudecontrolekosten stelt de verzekeraar het maximumaantal personen vast die tegen deze schade zijn gedekt (geen vastgesteld eurobedrag).

Dekt een cyberverzekeringspolis het rechtstreeks verlies van gelden? De meeste cyberverzekeringspolissen zijn bedoeld om de schade door verlies van gegevens, niet van gelden (rechtstreeks) te dekken. Bij Hiscox kunnen we voor bepaalde risico’s de dekking uitbreiden. Onze polis tegen cybercriminaliteit biedt dekking tegen inbreuken op gegevens, bijvoorbeeld bankgegevens die worden gestolen om rekeningen van bedrijven of instellingen te plunderen.

Biedt de polis dekking tegen ‘social engineering’? Social engineering is een methode om personen door misleiding beveiligde gegevens afhandig te maken. Slachtoffers van social engineering zijn kwetsbaar door hun ingeboren aard om anderen te vertrouwen en te willen helpen. De meeste verzekeringspolissen dekken verlies van gegevens ongeacht hoe het verlies tot stand is gekomen, al moet wel goed worden gekeken wat de polis hier precies over zegt.

Dekt de polis ook gegevensverlies veroorzaakt door malafide medewerkers? De meeste verzekeringspolissen dekken de kosten van gegevensverlies ongeacht de wijze waarop het verlies zijn beslag heeft gekregen. Er zijn echter ook polissen die gegevensinbreuken veroorzaakt door malafide medewerkers uitsluiten. De dekking van de verzekeringspolissen van Hiscox tegen standaardinbreuken op gegevens door malafide medewerkers is overeenkomstig de voorwaarden van de polis, maar bepaalde situaties waarbij leidinggevend personeel van de organisatie betrokken is, kunnen in de polis zijn uitgesloten.

Zijn ook gegevens op papier gedekt? In bijna alle polissen op dit gebied zijn papieren gegevens meeverzekerd, maar het is zaak de polis hier altijd even op na te slaan. De polis van Hiscox voor privacybescherming definieert persoonsgegevens als gegevens in enigerlei vorm die onder uw zorg, beheer en toezicht staan, of die onder zorg, beheer en toezicht staan van om het even welke derde voor wie u volgens de wet aansprakelijk bent. Een inbreuk op papieren gegevens zou vallen onder de standaardbepalingen van de Hiscox-polis.

Is er wereldwijde dekking? Wat houdt dat precies in? Moet de zaak worden voorgelegd aan een rechtbank in de Verenigde Staten? Wij bieden wereldwijde dekking maar onze jurisdictie bij claimsafhandeling beperkt zich tot het juridisch rechtsgebied zoals vermeld op de polis.

Biedt de polis ook dekking tegen offlinerisico’s? Zowel digitale als papieren gegevens vallen onder de polisdekking.

RISICOBEHEERSING

Waarom is het belangrijk om personeel te instrueren? In een groot aantal gevallen is het verlies aan gegevens te wijten aan de onachtzaamheid van een werknemer, bijvoorbeeld doordat hij of zij een laptop in een taxi of vliegtuig heeft laten liggen, persoonsgegevens per ongeluk naar de verkeerde e-mailadressen heeft gestuurd, of simpelweg in een gesprek die plaatsvindt in het publieke domein privégegevens heeft onthuld. Werknemers moeten leren om zorgvuldig en discreet met dergelijke informatie om te gaan.

Waarom is het afsluiten van overeenkomsten inzake handelaarsdiensten belangrijk? Bij overeenkomsten die u sluit met betalingsverwerkers is er vaak een aansprakelijkheid jegens banken in geval van een inbreuk op gegevens van betaalkaarten. De kleine lettertjes kunnen ervoor zorgen dat u met veel meer akkoord gaat dan u denkt.

Wat is versleuteling? Informatie zodanig coderen dat alleen bevoegden er toegang toe hebben. Versleuteling is zeer belangrijk bij het beoordelen van de risico’s, omdat een inbreuk op versleutelde gegevens aanzienlijk minder kosten met zich brengt dan een inbreuk op onversleutelde gegevens. Versleuteling is een waarborg in veel zaken die betrekking hebben op wettelijke bepalingen inzake privacybescherming.

Onze laptops zijn met wachtwoorden beschermd. Is dat niet voldoende? Houdt dit in dat ze versleuteld zijn? Nee. Versleuteling is het coderen van gegevens op een harde schijf om ze onbruikbaar te maken totdat ze met een versleutelingscode weer worden gedecodeerd. Beveiliging met alleen een wachtwoord betekent simpelweg dat een hacker het wachtwoord kan omzeilen om zich toegang te verschaffen tot intacte, niet-versleutelde gegevens.

Wat is het verschil tussen versleuteling en bescherming met een wachtwoord? Hoe versleutelt mijn bedrijf gegevens? Versleuteling is een methode waarmee berichten of gegevens met gecodeerde symboolreeksen onbruikbaar worden gemaakt. De methode wordt doorgaans gebruikt voor de beveiliging van onlinecontact met banken en voor de bescherming van creditcardgegevens. Bij onlinebankieren verschijnt er in de adresbalk een pictogram van een slot in beeld, hetgeen betekent dat de bank de browsersessie heeft versleuteld. Vaak worden op mobiele apparaten wachtwoorden gebruikt om versleuteling mogelijk te maken. Apple is begonnen met de versleuteling van persoonsgegevens op het meest recente besturingssysteem, iOS 8, mits de correcte instellingen zijn ingeschakeld. Een aantal leveranciers biedt aan bedrijfsgegevens te versleutelen. Verzekerden zouden zich moeten wenden tot hun risicomanager voor nadere informatie over hoe dit aanvullende beveiligingsprotocol moet worden geïmplementeerd.

Wat zijn uw diensten met toegevoegde waarde? Wij hebben directe toegang tot vooraanstaande partners en de eRisk Hub. Hun diensten zijn voor onze verzekerden gratis beschikbaar. Onze partners leveren op het gebied van risicobeheersing uitgebreide maatregelen, procedures, instructies en andere tools voor verzekerden om inbreuken te voorkomen. Daarnaast wordt voorzien in onlinemateriaal op het gebied van compliance, e-mailupdates, procedures en voorbeeldformulieren, training van medewerkers, responsplannen in geval van gegevensinbreuken en volledige telefonische ondersteuning. eRisk Hub®, mede mogelijk gemaakt door NetDiligence®, stelt tools en middelen beschikbaar om onze verzekerden te helpen inzicht te krijgen in de risico’s, een responsplan op te stellen en de organisatorische gevolgen van een gegevensinbreuk op de organisatie zoveel mogelijk te beperken. In dat kader wordt ook een inbreukadviseur en een responsteam beschikbaar gesteld.

Bovenstaande tarieven zijn jaarpremies exclusief 21% assurantiebelasting en € 10 poliskosten en inclusief provisie.
Eigen risico: € 2.000,-- per aanspraak en bij Cyber Business Interruption (retentietijd) 10 uur

De sublimiet voor opgelegde toezichtmaatregelen (o.a. boete(s)) bedraagt maximaal . 1.000.000,-
Eigen risico bij opgelegde toezichtmaatregelen: € 25.000,-- per aanspraak/schade

Polisvoorwaarden

Clausules

• Sublimiet: € 50.000,--
• Eigen risico: € 1.250,--

Verlies van geld op rekening

• Sublimiet: € 12.500,--
• Eigen risico: € 500,--

Cyber Business Interruption (online)

• Schadevergoeding per uur: € 500,--
• Retentietijd: 10 uren