2013. Redactioneel. De Mening Van... Jan Berkvens, Rabobank Janneke Slöetjes, Bits of Freedom Lieneke Viergever, Moore advocaten

PRIVACY & COMPLIANCE TIJDSCHRIFT VOOR DE PRAKTIJK

04-05/2013 Redactioneel Eric Schreuders Datalekken met bewerkers en bewerkers met datalekken PAUL Korremans Gaan datalekken bij u voor paniek zorgen!? Anouk Ferwerda PRIVACYPERIKELEN BIJ HET KOPEN OVER DE GRENZEN Jeroen Terstegge Inzicht in de FG David de Nood OPINIE de praktijk Meldplicht datalekken – implementatie bij KPN Privacy aspecten slimme meter Het Portret David Smith Freek Warmelink

De Mening Van ... Jan Berkvens, Rabobank Janneke Slöetjes, Bits of Freedom Lieneke Viergever, Moore advocaten Voor u bezocht Privacy Laws & Business Jubileumsymposium NGFG Internationale Privacy Conferentie Warschau Boekpresentatie: Jan Holvast Big Brother Awards 2013 Privacyzaken Wet- en regelgeving de vraag Wanneer melden aan het CBP volgens het wets­voorstel meldplicht datalekken? aankondigingen

ISSN 2211-3754

colofon Privacy & Compliance Baltzer Science Publishers Tel +31 6 53 88 1602 [email protected] www.baltzersciencepublishers.com Redactie Mr. drs. J. (Jeroen) Terstegge, (Hoofdredacteur) PrivaSense K.J. (Klaas) Bruin, KLM Mr. H. (Huib) Gardeniers, Net2Legal Consultants Mr. S.H. (Sergej) Katus, Privacy Management Partners Dr. J.A.G. (Koen) Versmissen, Privacy Management Partners Vaste medewerkers Mr. F. (Friederike) van der Jagt, Stibbe Mr. dr. E.P.M. (Elisabeth) Thole, Van Doorne Redactiesecretaris Dr. J.A.G. (Koen) Versmissen, Privacy Management Partners 06-81678016 [email protected] Vormgeving Eric G.F. van den Berg [email protected] Omslag en format: Tom van Staveren [email protected] Abonnementsprijs 2013, Jaargang 2, 1-6, € 175,00 excl. BTW, incl. verzendkosten (in Nederland). De prijs is exclusief online toegang, voor online toegang en meerdere gebruikers is een prijsmodel te raadplegen op de website: http://www.baltzersciencepublishers.com/nl/ general/bestelformulier Nieuwe abonnementen Abonnementen kunnen worden gestart per 1 januari van een kalenderjaar. Valt de aanvraag van een abonnement niet samen met het begin van een kalenderjaar, dan worden de reeds verschenen nummers van dat kalenderjaar alsnog verzonden en wordt de prijs van een volledige jaargang in rekening gebracht. Nieuwe abonnementen kunnen schriftelijk, per fax, per telefoon of per email worden opgegeven. Adreswijziging Bij adreswijziging wordt u verzocht deze zo spoedig mogelijk en bij voorkeur schriftelijk door te geven aan de uitgeverij onder ver­melding van: adreswijziging Privacy & Compliance. Beëindiging abonnement Abonnementen kunnen alleen schriftelijk, tot 1 december van het lopende abonnementsjaar, worden opgezegd. Bij niet tijdige opzegging wordt het abonnement auto­matisch voor een kalenderjaar verlengd. ISSN: 2211-3754 • E-ISSN: 2211-3762

inhoudsopgave

03 Redactioneel – Klaas Bruin 04 Datalekken met bewerkers en bewerkers met datalekken – Eric Schreuders 08 Gaan datalekken bij u voor paniek zorgen!? – Paul Korremans 12 PRIVACYPERIKELEN BIJ HET KOPEN OVER DE GRENZEN – Anouk Ferwerda 17 Inzicht in de FG – Jeroen Terstegge 21 OPINIE – David de Nood 24 De Praktijk • Meldplicht datalekken – implementatie bij KPN • Privacy aspecten slimme meter 32 Het Portret • David Smith • Freek Warmelink 39 De Mening Van – Jan Berkvens, Janneke Slöetjes en Lieneke Viergever 42 Voor u bezocht • Privacy Laws & Business congres, Cambridge • Jubileumsymposium NGFG • Internationale Privacy Conferentie, Warschau • Boekpresentatie: Jan Holvast, De volkstelling van 1971 • Big Brother Awards 2013 53 Privacyzaken – Friederike van der Jagt 55 Wet- en regelgeving – Jeroen Terstegge 66 de vraag • Wanneer melden aan het CBP volgens het wets­  voorstel meldplicht datalekken? – Sergej Katus 68 aankondigingen

2 – PRIVACY & COMPLIANCE – 04-05/2013

Het Portret: Freek Warmelink Directeur AON

De (on)mogelijkheid van het verzekeren van datalekken Elisabeth Thole en Huib Gardeniers* Het lijkt soms wel of alles te verzekeren valt zolang je maar betaalt. De werkelijkheid is complexer. Ook wat betreft datalekken zijn de mogelijkheden om risico’s af te dekken niet onbegrensd. Maar datalekken, inbreuken op de beveiliging en andere cyberrisico’s staan wel in de belangstelling bij verzekeraars. In een interview met Freek Warmelink, Directeur AON Risk Solutions, licht hij toe welke verzekeraars in dit gat zijn gesprongen, wat de rol van een tussenpersoon zoals AON daarbij is en tegen welke vraagstukken verzekeraars hierbij aanlopen.

 *  Elisabeth Thole, advocaat bij Van Doorne en Huib Gardeniers, partner van Net2Legal Consultants.

36 – PRIVACY & COMPLIANCE – 04-05/2013

Het Portret – Freek Warmelink

“Verzekeraars baseren hun polissen op ervaringen uit het verleden. Dat maakt het verzekeren van cyber risks een lastige tak van sport” Om meteen in ‘het diepe’ te springen: is het mogelijk om datalekken te verzekeren?

Het is belangrijk eerst een beeld te krijgen waar verzekeraars zich op dit moment op richten. Datalekken zijn voor verzekeraars onderdeel van het bredere onderwerp cyberrisico’s. Door ontwikkelingen als hosting, open source en social media kijkt de verzekeringsbranche steeds meer naar mogelijkheden om de daaraan verbonden zogenaamde ‘cyberrisico’s’ te verzekeren. Enkele grote internationale verzekeraars zoals Zurich, Allianz, AIG en Hiscox bieden op dit moment speciale polissen aan voor het verzekeren van dit soort risico’s. De markt voor dit soort producten is nu nog beperkt, maar er zit wel groei in. De trend is ondubbelzinnig. Mijn verwachting is dat het overgrote deel van de bedrijven en instellingen zich uiteindelijk standaard tegen dit soort risico’s gaan indekken, teneinde hun continuïteit te waarborgen. Ik vermoed ook dat opdrachtgevers (overheid) steeds vaker zullen vragen naar de verzekeringsdekking. Het zal uiteindelijk net zo gaan als bij de aansprakelijkheidsverzekering voor bestuurders en commissarissen (D&O). Dat duurde jaren, maar nu is er praktisch geen bedrijf meer te vinden dat zich niet tegen deze aansprakelijkheid indekt.

Hoe zit het met bestaande polissen: zijn dit soort risico’s nu niet gedekt?

Er zijn voor het afdekken van bedrijfsrisico’s vele polissen op de markt. Bekendste voorbeelden zijn de algemene aansprakelijkheid (AVB), beroepsaansprakelijkheid (BAV), brand- en bedrijfsschade verzekering, fraudeverzekering of de bestuurdersaansprakelijkheidsverzekering. Cyberrisico’s vallen echter niet of nauwelijks onder de dekking van deze traditionele polissen [ZIE KADER]. In de bestaande polissen zijn de cyberrisico’s juist vaak uitgesloten of niet adequaat afgedekt. De traditionele polissen dekken veelal materiële schade en letsel, maar niet de vermogensschade die door cyberrisico’s worden veroorzaakt. Dit wordt niet altijd onderkend door ondernemers en instanties, maar er zijn wel steeds meer ondernemers die zich ervan bewust worden dat cyberrisico’s schade kunnen toebrengen en dat ze nu niet verzekerd zijn.

Welke risico’s dekken de nieuwe cyberpolissen af in geval van datalekken?

De term datalekken is wat verwarrend omdat een ‘lek’ eigenlijk vooral ziet op vele soorten beveiligingsincidenten. Bij mogelijke schade die hierbij een rol kan spelen, gaat het grofweg om twee soorten schaden: de ‘eigen schade’, en ‘aansprakelijkheidsschade’ toegebracht aan derden bijvoorbeeld doordat data ‘op straat’ komen te liggen. De eigen schade is deels nog te overzien. Het is in zekere mate vergelijkbaar met andere soorten eigen schade zoals bij brand en de gevolgen daarvan. Door de dekking die de cyberpolis biedt kan een bedrijf of instelling zich bijvoorbeeld beschermen tegen schade doordat het bedrijf stil ligt ten gevolge van een cyberrisico. Ook valt te denken aan de extra kosten en de juridische bijstand en forensisch onderzoek naar de oorzaak van het beveiligingsincident. Zaken als reputatieschade ten gevolge van een datalek zijn lastig te kwantificeren en daardoor moeilijk te verzekeren en vallen in de regel buiten de verzekering. Dat ligt ook voor de hand want wat verzeker je bij reputatieschade; het herstel van de reputatie? Het tweede soort, de aansprakelijkheidsschade is aanzienlijk complexer. Een derde van wie de gegevens op straat komen, zal de veroorzaker vermoedelijk aanklagen en een lange juridische procedure ligt dan in het verschiet. Cyberverzekeraars zullen die kosten dekken tot de hoogte van het verzekerde bedrag dat in de polis staat genoemd.

En boetes, zijn die nog relevant in het licht van verzekeringen?

Boetes vormen altijd al een interessant onderwerp in relatie tot verzekeringen, zeker nu met de nieuwe privacywetging in opkomst. Aan de vraag of boetes vallen te verzekeren kleeft namelijk ook een morele component. Om een voorbeeld te geven. Een aantal jaar geleden bood een Zweedse verzekeringsmaatschappij een verzekering tegen verkeersboetes aan. In de Tweede Kamer werden daarover vragen gesteld mede om dit soort verzekeringen te voorkomen. De toenmalige minister van Justitie Donner gaf in een reactie daarop aan dat een verzekering tegen verkeersboetes in strijd zou zijn met de openbare orde en de goede zeden, waardoor PRIVACY & COMPLIANCE – 04-05 /2013 – 37

Het Portret – Freek Warmelink

Dekkingsoverzicht cyberrisico’s in verschillende polissen. De beoordelingen zijn afhankelijk van de specifieke bewoording van de betreffende polissen. Bron: AON

deze verzekering nietig is. Het is voorstelbaar dat hetzelfde opgaat voor het verzekeren van boetes in geval van datalekken. In onze praktijk krijgen wij steeds meer vragen. Ik constateer dat er nu cyberpolissen zijn die specifiek boetes verzekeren.

een verzekering. Risicomanagement en juridische afdichting van risico’s zijn hierbij belangrijke alternatieven. Uiteindelijk is verzekeren het sluitstuk van de risico-inventarisatie, teneinde de continuïteit van de organisatie te waarborgen.

 an iedereen zomaar aankloppen K voor een cyberpolis?

Is de verzekeringsmarkt eigenlijk wel klaar om dit soort risico’s te verzekeren?

Voordat een verzekering kan worden afgesloten moet veel informatie worden aangeleverd. Er moet voldoende inzicht worden verkregen hoe kwetsbaar de organisatie is, welke specifieke risico’s er bestaan, hoe het risicomanagement is geregeld en wat voor overige maatregelen zijn genomen om risico’s in te perken. Als de verzekeraar vervolgens overtuigd is van de inspanningen om de risico’s zo klein mogelijk te maken, zal hij een offerte afgeven om specifieke risico’s te verzekeren, tegen een bepaalde prijs/premie. Er zal ook zeker een eigen risico per gebeurtenis van toepassing zijn. Er moet dus het nodige aan huiswerk worden gedaan voordat een verzekering tegen cyberrisico’s zoals datalekken wordt afgegeven.

Wat is dit proces de rol van een verzekeringsmakelaar?

De makelaar is er voor de klant die een verzekering zoekt. Een makelaar ondersteunt de klant bij het zoeken naar de benodigde producten en de partijen die deze producten aanbieden, en staat daarbij aan de kant van de klant. Het is dus wel wenselijk dat de verzekeringsmakelaar technische en verzekeringskennis heeft over cyberrisico’s. Daarbij assisteert de makelaar ook bij de risicoinventarisatie (management), waaronder het inzicht krijgen in de ‘witte vlekken’ van gedekte en nietgedekte cyberrisico’s. Er wordt ook gekeken of er organisatorische oplossingen mogelijk zijn. Het afwenden van risico’s hoeft immers niet altijd via 38 – PRIVACY & COMPLIANCE – 04-05/2013

Verzekeraars baseren hun dekking op ervaringen en statistische gegevens uit het verleden. De statistieken tonen de betaalde schades uit het verleden aan. Dat maakt dat verzekeraars eerst ervaring willen opbouwen alvorens ze bepaalde risico’s willen afdekken. Wat betreft datalekken zijn verzekeraars zich er goed van bewust dat het een cumulatief effect kan hebben. Ik twijfel er niet aan dat verzekeraars hun verplichtingen kunnen nakomen, mede omdat er altijd een limiet in de polis staat, namelijk het verzekerde bedrag. Ook is er altijd een eigen risico van toepassing en bovendien staan er uitsluitingen in de polis. Er blijft dus altijd een belang bij de klant.

Is er een verband tussen verzekeringen en compliance?

Jazeker, bij cyber security en overige beveiligingsvragen draait het meer en meer om digitale compliance. Het gaat daarbij immers niet alleen om oplossingen voor kwetsbaarheden in ICT-systemen, het gaat ook om een gestructureerde aanpak met effectieve maatregelen voor risicobeheersing én bescherming tegen de gevolgen van cyberrisico’s. Verzekeringen zullen in dat verband een zekere disciplinerende werking hebben. Al is het alleen al omdat voor het afsluiten van een polis veel informatie moet worden vergaard en vragenlijsten moeten worden afgewerkt waardoor de bewustwording over de digitale kwetsbaarheid sterk M wordt vergroot.