Dækker forsikringen de nye krav til datasikkerhed?

torsdag d. 15. marts, 2018

Det kan udfordre både budget og bundlinje, hvis en virksomhed ikke overholder sine forpligtelser i forhold til datasikkerhed. Når den nye persondataforordning træder i kraft, bliver de økonomiske konsekvenser ved ikke at overholde reglerne endnu større og behovet for en cyberforsikring mere aktuelt.

Af Kristine Seest

En bøde på op til fire procent af virksomhedens globale omsætning. Det kan blive konsekvensen af manglende overholdelse af den nye EU-persondataforordning (General Data Protection Regulation, GPDR), der træder i kraft 25. maj 2018. Forordningen omfatter organisationer og virksomheders behandling af oplysninger om personer – det vil sige enhver form for information, der kan henføres til bestemte personer.

»Virksomhederne skal være opmærksomme på at behandle, opbevare og videregive data på en måde, der overholder reglerne i den nye forordning. Men virksomhederne skal også være særligt opmærksomme på, om deres nuværende forsikringsprogram matcher de krav, som virksomhederne bliver mødt med, når persondataforordningen træder i kraft,« siger Practice Lead FINEX CYBER Tine Olsen fra Willis Towers Watson. 

Ud over en bøde kan virksomheder og organisationer med ansvar for data eller for behandling af data også risikere at blive mødt med krav om erstatning eller godtgørelse fra personer, der er blevet berørt af et databrud.

»Hvis der er tale om en overtrædelse af persondataforordningen, hvor flere registrerede personer er berørt, kan disse personer fra 25. maj desuden bemyndige en organisation til at kræve erstatning på deres vegne. Databrud i stort omfang kan derfor give anledning til gruppesøgsmål, og her vil selv et mindre beløb i godtgørelse til hver enkelt person kunne påvirke bundlinjen markant,« siger Tine Olsen. 

Uforudsete cyberhændelser
Willis Towers Watson får ofte henvendelser fra virksomheder, der er blevet udsat for cyberangreb. De seneste henvendelser har blandt andet drejet sig om hacking af mailsystemer med krav om løsesum, om phishing, hvor virksomheden har modtaget en mail med en faktura fra it-kriminelle, der er lykkedes med at udgive sig som en leverandør, og om ransomeware-angreb, hvor hackere har inficeret virksomhedens system med malware, der har krypteret al data. 

Ved at tegne en cyberforsikring kan der opnås dækning for uforudsete hændelser som for eksempel hacking, virus og malware.

En cyberforsikring dækker omkostninger i forbindelse med:

■ Netværks- og datatab – herunder driftstab/indtægtstab

■ Genetablering af netværk og data

■ Skadebegrænsende tiltag

 Erstatningskrav fra berørte personer, når databruddet for eksempel skyldes hacking 

 Advokatbistand ved et databrud med henblik på at afgøre erstatningsspørgsmål – herunder forsvarsomkostninger i tilfælde af krav rejst af berørte personer

 Underretning af personer berørt af databrud

 Ydelser fra eksterne it-konsulenter – for eksempel til undersøgelser af databruddets omfang

 PR- og medieindsatser som reaktion på cyberhændelse

 Tab som følge af system- og netværksfejl

 Elektronisk afpresning


Begrænsning af bødens størrelse

Det er et grundlæggende princip i dansk retspleje, at man ikke kan forsikre sig mod bøder, der udstedes som en strafferetlig sanktion.

»På baggrund af de nuværende oplysninger om databeskyttelsesforordningen er det vores vurdering, at en virksomhed ikke kan forsikre sig mod en bøde for manglende overholdelse af datasikkerhedsforpligtelserne. Man skal dog være opmærksom på, at en cyberforsikring tilbyder proaktive tiltag, der kan være med til at begrænse udmåling af bødens størrelse,« siger Tine Olsen.

Willis Towers Watson står til enhver tid til rådighed for en diskussion af, hvordan din virksomhed kan beskytte sig mod cyberangreb.

Læs mere
Læs mere om persondataforordningen set i forhold til forsikringsmulighederne i artiklen Har du tænkt din virksomheds forsikringer ind i forberedelserne til den nye EU-databeskyttelsesforordning? af Tine Olsen, Practice Lead FINEX CYBER i Willis Towers Watson.

kristine.seest@willistowerswatson.com