29 mei 2018 -
Civielrechtelijke boetes voor schending van de Algemene Verordening Gegevensbescherming (AVG), die op 25 mei inging, zijn binnen Europa vooralsnog alleen met zekerheid verzekerbaar in Finland en Noorwegen. In Nederland is dekking voor een AVG-boete niet vanzelfsprekend.
Strafrechtelijke boetes zijn vrijwel nooit verzekerbaar. Daardoor lopen talloze Europese organisaties het risico op forse financiële verliezen.
Dat blijkt uit onderzoek van Aon en DLA Piper naar de verzekerbaarheid van AVG-boetes in Europa en van gevolgschade voor zaken als gerechtelijke procedures, onderzoeken en claims. Ter vergelijk werd ook de verzekerbaarheid van andere overheidsboetes onderzocht. De resultaten van het onderzoek zijn gebundeld in de handleiding ‘The price of data security’ (De prijs van gegevensbeveiliging).
Met de ingang van de AVG lopen organisaties een aanzienlijk groter risico bij het beheren en opslaan van hun persoonsgegevens. Boetes voor schending van de bepalingen die in de AVG zijn opgenomen kunnen oplopen tot twintig miljoen euro of vier procent van de wereldwijde jaaromzet van een bedrijf of bedrijvengroep. Daar komt bij dat eventuele negatieve publiciteit veel schade aan de reputatie en daarmee de marktpositie van een bedrijf kan aanbrengen.
Zelf straffen opleggen
Hoewel administratieve boetes onder de AVG civielrechtelijk van aard zijn, mogen Europese lidstaten onder de AVG ook zelf straffen opleggen voor een onwetmatige omgang met persoonsgegevens. Bij deze vertaling van de AVG naar lokale wetgeving wordt er in veel Europese landen voor gekozen de boetes strafrechtelijk te bepalen en daarom zijn deze niet verzekerbaar.
In twintig van de 30 onderzochte landen – waaronder het Verenigd Koninkrijk, Frankrijk, Italië en Spanje – worden AVG-boetes daarom in het algemeen als onverzekerbaar beschouwd. In acht landen, waaronder Nederland, hangt de verzekerbaarheid van AVG-boetes af van de specifieke details per geval, bijvoorbeeld of het gedrag van de verzekerde laakbaar is en of de boete eventueel alsnog strafrechtelijk wordt geclassificeerd.
Gevolgkosten wel verzekerbaar
"Ook al is de dekking van AVG-boetes beperkt, verzekeringen blijven een belangrijk onderdeel van de risicobeheersingsstrategie van organisaties ten aanzien van de AVG," vertelt Maarten van Wieren, managing director van Aon Cyber Solutions Group. Bijkomende kosten bij overtreding van de AVG zijn onder meer kosten voor gerechtelijke procedures, juridisch onderzoek, herstelmaatregelen en het informeren en compenseren van getroffen betrokkenen. "Deze gevolgschade kan hoog oplopen en is vrijwel altijd verzekerbaar," aldus Van Wieren.
"Organisaties die dat nog niet hebben gedaan, moeten in rap tempo hun kwetsbaarheden ten aanzien van de AVG in kaart brengen," aldus Prakash (PK) Paran, Partner en co-Chair van Global Insurance Sector bij DLA Piper. Hij raadt organisaties aan om verzekeringspartners actief te betrekken bij hun risico-overdracht en crisisplannen. Verzekerbaarheid moet niet de enige inzet zijn. "Met een gedegen voorbereiding op incidenten beschermt u ook uw reputatie, klanten, de bredere markt en uw verstandhouding met regelgevende instanties. Daarmee is het een kwestie van verantwoordelijkheid."