De invoering van de AVG heeft ons bewuster gemaakt van het belang van veilig en zorgvuldig omgaan met persoonsgegevens en het voorkomen van cyberaanvallen en datalekken. Dat de AVG ook flinke (aansprakelijkheids)risico’s met zich meebrengt waar veel ondernemers niet (afdoende) voor zijn verzekerd, is nog niet goed doorgedrongen.
Risico’s
Een verloren USB-stick, een gestolen laptop, een hacker die persoonsgegevens buitmaakt of een e-mail met privacygevoelige gegevens die naar de verkeerde persoon wordt gestuurd; allemaal voorbeelden van datalekken en overtreding van de AVG. De gevolgen hiervan lopen uiteen van hoge boetes* en gederfde winsten vanwege bedrijfsstagnatie tot kosten voor crisismanagement, juridische bijstand en, last but not least, aansprakelijkheid voor schade.
Aansprakelijkheid gaat ver!
De hoofdregel is dat de ‘veroorzaker’ aansprakelijk is en de volledige schade moet vergoeden. Als Verwerker kun je dus aansprakelijk gesteld worden voor de schade die bijvoorbeeld je opdrachtgever lijdt (de Verwerkersverantwoordelijke). Denk aan imagoschade, boetes, etc. Maar ook iemand die slachtoffer is geworden van identiteitsfraude door jouw datalek kan jou, als Verwerker of Verwerkingsverantwoordelijke, aansprakelijk stellen voor zijn schade.
Gevalletje Bedrijfsaansprakelijkheidsverzekering?
In de regel zijn in een bedrijfsaansprakelijkheidsverzekering alleen letsel en goederen schade (aan derden) verzekerd. Daar is in het geval van een datalek geen sprake van. Bovendien is het gebruikelijk om boetes uit te sluiten. Een bedrijfsaansprakelijkheidsverzekering biedt dus geen dekking in dit geval.
En nu?
Je kunt je aansprakelijkheid contractueel proberen uit te sluiten. De kans wordt dan wel klein dat partijen nog zaken met je willen doen. Het beperken van aansprakelijkheid is gebruikelijker, daarmee voorkom je onbeperkte aansprakelijkheid. Dat kan een beperking zijn in schadebedrag, tot wat de verzekering maximaal dekt of tot specifieke kosten; wel schade maar geen boetes bijvoorbeeld. Je risico is dan beperkt(er), maar nog steeds aanwezig. Een cyberverzekering biedt daarvoor een oplossing. Deze zijn inmiddels vrij makkelijk af te sluiten en redelijk betaalbaar.
*Boetes
De Autoriteit Persoonsgegevens kan je een boete opleggen die kan oplopen tot 20 miljoen euro of 4% van de jaarlijkse wereldwijde omzet van de Verwerkersverantwoordelijke. Oftewel, als jij als event of congresorganisator (lees Verwerker) een datalek hebt veroorzaakt waarbij persoonsgegevens van bijvoorbeeld T-Mobile of Philips klanten en medewerkers zijn gelekt, dan wordt de boete vastgesteld op de omzet van in dit voorbeeld T-Mobile of Philips.
