Datalekken: Wie betaalt de schade?
De invoering van de AVG heeft ons bewuster gemaakt van het belang van veilig en zorgvuldig omgaan met persoonsgegevens en het voorkomen van cyberaanvallen en datalekken. Dat de AVG ook flinke (aansprakelijkheids)risicos met zich meebrengt waar veel ondernemers niet (afdoende) voor zijn verzekerd, is nog niet goed doorgedrongen.
Een verloren USB-stick, een gestolen laptop, een hacker die persoonsgegevens buitmaakt of een e-mail met privacygevoelige gegevens die naar de verkeerde persoon wordt gestuurd; allemaal voorbeelden van datalekken en overtreding van de AVG. De gevolgen hiervan lopen uiteen van hoge boetes (zie kader) en gederfde winsten vanwege bedrijfsstagnatie tot kosten voor crisismanagement, juridische bijstand en, last but not least, aansprakelijkheid voor schade.
Aansprakelijkheid gaat ver !De hoofdregel is dat de veroorzaker aansprakelijk is en de volledige schade moet vergoeden. Als Verwerker kun je dus aansprakelijk gesteld worden voor de schade die bijvoorbeeld je opdrachtgever lijdt (de Verwerkersverantwoordelijke). Denk aan imagoschade, boetes, etc. Maar ook iemand die slachtoffer is geworden van identiteitsfraude door jouw datalek kan jou, als Verwerker of Verwerkingsverantwoordelijke, aansprakelijk stellen voor zijn schade.
Gevalletje
Bedrijfsaansprakelijkheidsverzekering?In de regel zijn in een bedrijfsaansprakelijk-heidsverzekering alleen letsel en goederen schade (aan derden) verzekerd. Daar is in het geval van een datalek geen sprake van. Bovendien is het gebruikelijk om boetes uit te sluiten. Een bedrijfsaansprakelijkheidsverze-kering biedt dus geen dekking in dit geval.
En nu?Je kunt je aansprakelijkheid contractueel proberen uit te sluiten. De kans wordt dan wel klein dat partijen nog zaken met je willen doen. Het beperken van aansprakelijkheid is gebruikelijker, daarmee voorkom je onbeperkte aansprakelijkheid. Dat kan een beperking zijn in schadebedrag, tot wat de verzekering maximaal dekt of tot specifieke kosten; wel schade maar geen boetes bijvoorbeeld. Je risico is dan beperkt(er), maar nog steeds aanwezig. Een cyberverzekering biedt daarvoor een oplossing. Deze zijn inmiddels vrij makkelijk af te sluiten en redelijk betaalbaar.