23/10/19

Kan je je verzekeren voor geldboetes bij datalekken?

Uit het IAPP-EY Privacy Governance Report 2019 blijkt dat 38% van de respondenten in het afgelopen jaar een datalek heeft gemeld. Dit is een stijging van 22% ten opzichte van het vorige jaar.  38% daarvan spreekt bovendien over meer dan 5 datalekken in het laatste jaar. 

Datalekken zijn in vele gevallen het gevolg van inadequate technische en organisatorische maatregelen. De GDPR en de GDPR-wet voorzien hiervoor een sanctie in de vorm van administratieve en strafrechtelijke geldboetes. In ons artikel van 29 juli 2019 bespraken we reeds de Cybersecurity-wet die bij uitbreiding administratieve en strafrechtelijke geldboetes oplegt voor digitale dienstverleners. Daarbij moet het niet enkel gaan over de bescherming van persoonsgegevens.

Verzekering als onderdeel van je risicomanagement
In het kader van het risicomanagement van je onderneming is het dus aangeraden om de nodige maatregelen te nemen voor een voldoende beveiliging van je IT-omgeving. Naast het uitzoeken van de beste IT-partners om te zorgen voor je technische beveiliging en naast het nemen van de nodige organisatorische maatregelen, blijft het ook van belang om het financieel risico van een datalek (schadeclaims, herstelkosten, gerechtskosten, dringende interventies, reputatieherstel, losgeld, ….) zoveel mogelijk te beperken.

Bedrijven kunnen zich onder andere laten verzekeren, maar de verzekering voor al wat specifiek te maken heeft met schade ten gevolge van cyberrisico’s is nog een jonge markt. Het is dus altijd goed uitkijken wat voor soort polis je hebt ondertekend en wat nu precies wel of niet gedekt zal worden. Dit is van belang, aangezien vb. schadeclaims in deze context stevig kunnen oplopen. Zie wat dat betreft ook ons blogartikel van 12 augustus 2019.

Nu ook de GBA (gegevensbeschermingsautoriteit) stilaan in actie is geschoten en de kans op controle en boetes stelselmatig zal verhogen, stelt zich ook de vraag of je je tegen deze geldboetes kan verzekeren.

Strafrechtelijke boetes
De nationale wetgever voorziet in verschillende strafrechtelijke geldboetes. Een overtreding van de GDPR wordt bestraft met een geldboete van 2.000 Euro tot 120.000 Euro. Een verzuim van onder andere je beveiligingsverplichtingen als digitale dienstverlener wordt gestraft met een geldboete van 26 Euro tot 240.000 Euro.

Deze boetes zijn in België niet verzekerbaar. De wet op de verzekeringen sluit dit expliciet uit: ’Geen enkele geldboete of geen enkele minnelijke schikking in strafzaken kan het voorwerp zijn van een verzekeringsovereenkomst, …’

Daarover kan dus weinig discussie bestaan.

Administratieve geldboetes
Strafrechtelijke geldboetes kennen tot op vandaag nog geen voorbeelden in de praktijk, wat wel gezegd kan worden van de administratieve geldboetes. De laatste maanden hebben de verschillende beschermingsautoriteiten administratieve geldboetes opgelegd. Administratieve geldboetes onder de GDPR kunnen oplopen tot 20.000.000 Eur of, voor een onderneming, tot 4% van de totale wereldwijde jaaromzet in het voorgaande boekjaar, indien dit cijfer hoger is. Onder de Cybersecuritywet kunnen deze boetes oplopen tot 100.000 Euro.

Over de verzekerbaarheid van deze geldboetes bestaat tot op vandaag nog discussie.

De wet op de verzekeringen sluit de verzekerbaarheid van administratieve geldboetes niet expliciet uit en een groot deel van de verzekeringspolissen voorziet ook de verzekerbaarheid van administratieve geldboetes. Maar, deze polissen formuleren dit regelmatig als verzekerbaar voor zover de wet dit toelaat. En daar knelt het schoentje. Administratieve geldboetes zijn verzekerbaar voor zover zij geen afschrikkend en bestraffend karakter hebben. Eén van de elementen voor deze beoordeling is dat de boete zeer zwaar moet zijn, gelet op het bedrag ervan.

Als je de maximale bedragen tussen de strafrechtelijke en administratieve geldboetes vergelijkt, dan zie je dat de administratieve maxima een veelvoud zijn van de strafrechtelijke maxima. Hoewel dit nog niet definitief uitgeklaard is, lijkt het nu al duidelijk te worden dat ook deze administratieve geldboetes een strafrechtelijk karakter zullen worden toegeschreven en niet verzekerbaar zullen zijn. Je zal dan ook geen beroep kunnen doen op een lopende verzekering. 

En in de rest van Europa?
Enkel Slowakije lijkt tot op heden deze geldboetes als verzekerbaar te beschouwen. In de overige landen is het simpelweg niet verzekerbaar of dient een vergelijkbare analyse gemaakt te worden zoals in België.

Conclusie
Je laten verzekeren voor cyberrisico’s is een belangrijk onderdeel voor het risicomanagement van je vennootschap. Kijk hiervoor altijd steeds goed na of de aangeboden verzekering een verzekering is op maat van je vennootschap. Stel daarbij de vraag of de gedekte initiatieven jou te verwachten schade zullen opvangen. Kijk tot slot kritisch naar de voorgehouden dekking van de geldboetes, aangezien de kans groot is dat zij tot geen enkele dekking zullen leiden.

Roeland Lembrechts 
roeland@siriuslegal.be

dotted_texture