Recente incidenten tonen aan dat bedrijven zich wel degelijk zorgen zouden moeten maken over cybersecurity en gegevensbescherming, in het bijzonder over de mogelijke gevolgen van ‘digitale' incidenten voor hun onderneming.
In dit artikel leggen we de nadruk op:
• de aansprakelijkheid die bedrijven kunnen oplopen (zowel op burgerlijk als op strafrechtelijk vlak) wanneer hun systemen voor gegevensbescherming door derden gecompromitteerd worden;
• de maatregelen die kunnen, en moeten, genomen worden om de (financiële en operationele) impact van zulke incidenten te voorkomen of te beperken;
• de verschillen tussen de traditionele verzekeringspolissen en de nieuwe types van dekking, specifiek gericht op de risico's die inherent zijn aan de huidige digitale omgeving, en die voor vele bedrijven nuttig kunnen zijn om de gevolgen van ‘digitale' risico's/incidenten te beperken.
Cybersecurity en gegevensbescherming worden steeds belangrijker. Dit blijkt o.m. uit de recente oprichting van een eigen ‘cybersecurity unit' door het Belgische leger om het land beter te beschermen tegen cyberaanvallen. Ook opvallend is het toenemend aantal bedrijven (zowel multinationals als KMO's) dat recent het slachtoffer is geworden van cyberaanvallen (bijv. de ‘Heartbleed bug'). Het verbaast dan ook niet dat verschillende bedrijven reeds een eigen ‘cybersecurity taskforce' hebben opgericht.
Het is in die context van groot belang om de risico's te identificeren die uw onderneming op technisch en juridisch vlak loopt, en om de geschikte (technische, organisatorische en juridische/contractuele) maatregelen te nemen om deze
risico's maximaal te beperken. Op die manier kan u uw bedrijfsaansprakelijkheid trachten te beperken en eventuele (vaak onherstelbare) schade aan de reputatie en de activiteiten van uw bedrijf voorkomen.
Wanneer een ‘cyberincident' zich voordoet, kunnen aangepaste verzekeringspolissen bovendien een belangrijke impact hebben op de financiële gevolgen ervan voor uw onderneming. Het is dan ook nuttig om de dekkingsvoorwaarden en uitsluitingen van de verzekeringspolissen die uw onderneming heeft afgesloten eens van dichtbij te bekijken en na te gaan of uw bedrijf wel voldoende beschermd is tegen (de talrijke) ‘digitale' risico's.
Welke juridische verplichtingen heeft een onderneming op het vlak van cybersecurity en gegevensbescherming?
Zodra een onderneming als verantwoordelijke voor de verwerking (door het vaststellen van het doel en de middelen voor de verwerking van persoonsgegevens) of als gegevensverwerker (door het verwerken van persoonsgegevens
namens of in opdracht van een andere entiteit) persoonsgegevens (i.e. iedere informatie over een geïdentificeerde of identificeerbare natuurlijke persoon) verwerkt, is zij onderworpen aan bepaalde verplichtingen. In de EU zijn deze
verplichtingen grotendeels geharmoniseerd door de EU Databeschermingsrichtlijn 95/46/EG, omgezet door de Belgische Wet Bescherming Persoonsgegevens van 8 december 1992.
Deze verplichtingen zijn niet alleen van toepassing op ondernemingen die B2C-diensten aanbieden, maar op alle ondernemingen die persoonsgegevens verwerken, met inbegrip van bijv. het verwerken van IP-adressen, persoonsgegevens van werknemers of contactpersonen, het gebruik van bewakingscamera's, of het verwerken van persoonsgegevens in het kader van een commerciële of samenwerkingsovereenkomst.
Gegevensverwerkers zijn verplicht om de veiligheid en vertrouwelijkheid van de door hen verwerkte persoonsgegevens te garanderen. Zij moeten passende technische en organisatorische maatregelen nemen om deze persoonsgegevens te beschermen tegen toevallige of ongeoorloofde vernietiging, tegen toevallig verlies, tegen wijziging of ongeoorloofde toegang, en tegen iedere andere niet toegelaten verwerking.
Ondernemingen die als verantwoordelijke voor de verwerking van persoonsgegevens optreden, moeten op hun beurt aan bijkomende verplichtingen voldoen (informatieverplichtingen, toestemmingsvereisten, publieke aangifte, enz.), met inbegrip van bepaalde veiligheidsverplichtingen. In het bijzonder, moeten verantwoordelijken een verwerker kiezen die voldoende waarborgen biedt op het vlak van technische en organisatorische beveiligingsmaatregelen. Zij moeten daarnaast ook toezien op de effectieve naleving van deze maatregelen, met name door deze in contractuele bepalingen vast te leggen. De Belgische Privacy Commissie heeft het belang overigens benadrukt van het in kaart brengen van de eventuele beveiligingsrisico's en het nemen van gepaste, gedocumenteerde, en regelmatig uitgevoerde en geüpdatete beveiligingsmaatregelen. Verantwoordelijken zijn bovendien verplicht om hun servers te beveiligen, en moeten beschikken over passende alarm- en meldingsprocedures indien de veiligheid van de door hen verzamelde persoonsgegevens in het gedrang zou komen.
Als onderdeel van hun algemene veiligheidsverplichting, dienen verantwoordelijken tenslotte binnen de 48 uur de bevoegde autoriteiten op de hoogte te brengen van zodra zij kennis krijgen van een incident waarbij persoonsgegevens werden verloren, vernietigd, gewijzigd, of openbaar gemaakt met mogelijke bekendheid van zulk incident bij het publiek of de autoriteiten tot gevolg (bijv. via de media, het Internet, of klachten). Bovendien moet men ook het publiek inlichten, en dit ten laatste binnen de 24 tot 48 uur na melding aan de autoriteiten. Ten aanzien van financiële dienstverleners en verleners van elektronische communicatienetwerken gelden zelfs nog strengere verplichtingen.
Welke risico's loopt een onderneming in geval van een datalek of cybersecurity- incident?
Indien er zich een datalek voordoet en blijkt dat er onvoldoende maatregelen werden genomen om de onderneming tegen een dergelijk lek te beschermen, is de onderneming die als verantwoordelijke optreedt krachtens de Wet Bescherming Persoonsgegevens volledig aansprakelijk. De onderneming riskeert dan niet alleen burgerlijke (aansprakelijkheids)vorderingen van personen wiens gegevens werden vrijgegeven, maar kan zelfs strafrechtelijk vervolgd worden.
In de eerste plaats, kunnen verantwoordelijken burgerlijk aansprakelijk gesteld worden voor alle schade die voortvloeit uit inbreuken op de Wet Bescherming Persoonsgegevens. Wanneer de servers of de beveiligingsmaatregelen van
een onderneming gehackt worden en persoonsgegevens (met inbegrip van bijv. persoonlijke gezondheidsinformatie of kredietkaartdetails) onrechtmatig verspreid worden, kunnen de slachtoffers hiervan een vergoeding eisen voor de (financiële, morele of reputatie-) schade die zij hebben geleden als gevolg van het datalek. In voorkomend geval, zullen de algemene regels inzake burgerlijke aansprakelijkheid in geval van fout of nalatigheid van toepassing zijn.
Ten tweede, kan de Belgische Privacy Commissie een onderzoek voeren naar de naleving van de Wet Bescherming Persoonsgegevens door ondernemingen. Gelet op de algemene tendens in Europa om de privacywetgeving steeds strenger te handhaven, zijn gerichte en sectorspecifieke onderzoeken zeker te verwachten. Men verwacht van de Belgische Privacy Commissie in het bijzonder een scherper toezicht en een strengere administratieve handhaving in geval van verwerking van ‘gevoelige' persoonsgegevens (zoals bijv. gezondheidsgegevens) en overdrachten van
persoonsgegevens naar de VS.
Tenslotte, legt de Belgische Wet Bescherming Persoonsgegevens voor bepaalde inbreuken (waaronder de algemene beveiligingsverplichting) ook strafsancties op, met name geldboetes van 600 EUR tot 600.000 EUR (die niet gedekt worden door verzekeringspolissen). De rechtbank kan bovendien (i) haar beslissing geheel of gedeeltelijk laten publiceren in één of meerdere kranten, (ii) de verbeurdverklaring uitspreken van de dragers van de persoonsgegevens waarop het misdrijf betrekking heeft, en (iii) het verbod opleggen om gedurende ten hoogste twee jaar rechtstreeks of via een tussenpersoon nog persoonsgegevens als verantwoordelijke te verwerken.
De nieuwe Europese Privacyverordening (die wellicht eind 2015 zal aangenomen worden), zal de toepasselijke sancties bovendien nog aanzienlijk verhogen, met boetes tot wel 100.000.000 EUR of 5% van de totale jaarlijkse wereldwijde
omzet van een onderneming. Van de privacy autoriteiten zal voortaan ook verwacht worden dat zij proactief inbreuken opsporen en vervolgen, hetgeen vandaag slechts uitzonderlijk gebeurt.
Hoe kan een onderneming zich beschermen tegen de gevolgen van deze risico's?
Ondernemingen kunnen hun aansprakelijkheidsrisico voorkomen, of minstens beperken, door (i) proactief hun potentiële digitale' risico's in kaart te brengen, en (ii) op geregelde tijdstippen de naleving van de toepasselijke wetgeving te
controleren. ‘Digitale' schadegevallen veroorzaken echter voornamelijk moeilijk te verhelpen immateriële / onlichamelijke schade. Het afsluiten van aangepaste verzekeringsovereenkomsten is daarom minstens even belangrijk om zo de
financiële gevolgen van een cybersecurity-incident te proberen opvangen.
De meeste ‘traditionele' verzekeringen bieden echter onvoldoende dekking in geval van aansprakelijkheid en/of schade aan een onderneming na een datalek of enig ander cybersecurity-incident.
Een schadeverzekering dekt doorgaans enkel de materiële schade van de onderneming (bijv. schade aan de gebouwen van de onderneming, machines, enz.). Schade aan software, databanken en elektronische apparaten is vaak uitdrukkelijk uitgesloten. In de meeste schadeverzekeringen is ook de immateriële schade en de schade veroorzaakt door een virus, gegevensverlies of hacking uitdrukkelijk van de dekking uitgesloten. De reputatieschade of de gederfde winst die een onderneming lijdt ten gevolge van cyberaanvallen of datalekken zijn daardoor niet gedekt.
Een verzekering burgerlijke aansprakelijkheid (BA verzekering) die de buitencontractuele aansprakelijkheid van een onderneming ten aanzien van derden dekt, is evenmin voldoende aangepast aan cybersecurity incidenten en ‘digitale'
risico's. Hoewel in deze verzekering de immateriële schade die derden lijden ten gevolge van een cybersecurity-incident bijv. gederfde winst, verlies van cliënteel of reputatieschade) meestal is inbegrepen, is de gedekte schade doorgaans
beperkt tot die immateriële schade die onmiddellijk voortvloeit uit materiële schade (bijv. beschadigde of vernietigde goederen). Bij datalekken of ‘digitale' -incidenten, is er echter meestal geen materiële schade voor de benadeelde
partijen, de schade aan hun eigen (elektronische) systemen en/of apparaten eventueel uitgezonderd. Dit verklaart waarom de BA verzekering in de meeste gevallen toch geen dekking zal bieden voor de aansprakelijkheid van een
onderneming in geval van datalekken of ‘digitale' incidenten. Bovendien is de aansprakelijkheid van de verzekerde in een BA verzekering vaak uitdrukkelijk uitgesloten indien deze voortvloeit uit schade die is toegebracht aan derden ten
gevolge van de elektronische informatie, apparaten, en/of communicatie van de verzekerde, of indien de schade is veroorzaakt door een virus of hacking van de eigen systemen.
Een verzekering alle risico's elektronica is een schadeverzekering die enkel de schade dekt aan de verzekerde elektronische uitrusting en apparaten zelf. Gederfde winst, reputatieschade en andere immateriële schade zijn doorgaans niet gedekt. Deze polissen sluiten bovendien vaak virussen en menselijke fouten/manipulatie uit, terwijl deze één van de voornaamste oorzaken zijn van ‘digitale' incidenten en verlies van gegevens.
Als reactie op de hierboven vermelde onvolkomenheden, hebben verzekeraars nieuwe en gesofisticeerde producten ontwikkeld die men in het algemeen ‘cyberrisicoverzekeringen' noemt. Cyberrisicoverzekeringspolissen worden meestal samengesteld in functie van de bijzondere ‘digitale' risico's van de verzekerde onderneming. In België bestaat er geen specifieke reglementering van cyberrisicoverzekeringen. De algemene bepalingen over aansprakelijkheids- en
schadeverzekeringen uit de Verzekeringswet van 4 april 2014 zijn daarom onverkort van toepassing.
In de eerste plaats dekken cyberrisicoverzekeringen de burgerlijke aansprakelijkheid van de verzekerde onderneming voor privacy-inbreuken en datalekken ten gevolge van gestolen persoonsgegevens, virussen, veiligheidstekorten waardoor netwerken en systemen ontoegankelijk zijn voor derden (met inbegrip van de financiële gevolgen hiervan voor deze derden), inbreuken op intellectuele eigendomsrechten, media-activiteiten van de onderneming, enz. Daarnaast kan men ook bestaande bestuurdersaansprakelijkheidsverzekeringen ("D&O polissen") uitbreiden naar een dekking voor cyberrisico's. Vennootschapsbestuurders kunnen immers bij gegevensverliezen door derden worden aangesproken indien blijkt dat zij onvoldoende maatregelen hebben genomen om de databanken en gegevens van hun vennootschap te beschermen.
Ten tweede, dekken cyberrisicoverzekeringen ook de potentiële verliezen die een onderneming lijdt ten gevolge van datalekken of ‘digitale' incidenten. Verschillende dekkingen zijn mogelijk: gederfde winst, gegevensverlies, bedrijfsonderbreking, kosten ten gevolge van het herstel en de opvolging van het (elektronisch) netwerk van een onderneming, enz. Het is zelfs mogelijk om het beheer van een cybercrisis te verzekeren (i.e. de kosten van de
onderneming voor public relations-bijstand en het voeren van reclame om de reputatie van de onderneming opnieuw te herstellen na een incident), de aanwezigheid van een onderneming op de sociale media (i.e. één enkele polis die dekking biedt voor de aansprakelijkheid op sociale media), en cloud computing (i.e. een specifieke dekking voor aanbieders van een cloud en voor zij die van deze cloud diensten gebruik maken, ingeval van verlies, diefstal en
aansprakelijkheid voor de gegevens die zijn opgeslagen in de cloud).
Conclusie
Er bestaan verschillende (burgerlijke en strafrechtelijke) aansprakelijkheden die verband houden met de verantwoordelijkheid van een onderneming als ‘verwerker' of ‘verantwoordelijke voor de verwerking' van
persoonsgegevens. Recente voorbeelden van cyberaanvallen en datalekken tonen aan dat men cybersecurity-risico's voor ondernemingen niet mag onderschatten. Deze risico's worden alsmaar belangrijker. Ondernemingen kunnen op
twee verschillende niveaus actie ondernemen.
Enerzijds kan men gepaste maatregelen nemen om cybersecurity-incidenten te vermijden, zoals het in kaart brengen van de technische en juridische risico's die de onderneming loopt, en het doorvoeren van compliance audits.
Anderzijds kan men specifieke verzekeringen afsluiten die ondernemingen beschermen tegen de verschillende ‘digitale' risico's. Deze risico's zijn echter vaak niet gedekt zijn door, of uitdrukkelijk uitgesloten zijn van, de ‘klassieke'
verzekeringspolissen. Een grondig nazicht van de bestaande of toekomstige verzekeringspolissen van een onderneming, en indien nodig, het heronderhandelen van deze polissen, kan daarom onaangename verassingen in de toekomst vermijden.
De data protection en insurance teams van Loyens & Loeff staan graag ter beschikking om uw onderneming te adviseren en bij te staan op elk van deze twee niveaus. U kan uiteraard ook contact opnemen met uw persoonlijke contactpersoon binnen Loyens & Loeff indien u graag advies op maat ontvangt.