Wat moet uw verzekeringnemer doen bij een hack of een ander cyber incident?
Cyber incidenten zijn aan de orde van de dag. En ze komen in allerlei vormen en maten voor. Zo kan het computernetwerk van uw verzekeringnemer gehackt zijn, waarna door middel van ransomware alle data ‘gegijzeld’ wordt. Of het is onschuldiger: een werknemer van uw verzekeringnemer heeft een USB-stick met een kopie van het klantbestand in de trein laten liggen. Ongeacht de vorm en maat, moet bij een cyber incident altijd te rade worden gegaan of het incident gemeld moet worden aan de toezichthouder en eventuele andere betrokkenen.
Er bestaan verschillende meldplichten in diverse wetgeving. De bekendste is de meldplicht voor ‘datalekken’ in de Algemene Verordening Gegevensbescherming (de AVG of in het Engels: de GDPR). Deze meldplicht verplicht ondernemingen om de Autoriteit Persoonsgegevens te informeren bij de volgende situaties: wanneer een cyberincident per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens. Om handen en voeten te geven aan dit redelijk abstracte toetsingskader, heeft Kennedy Van der Laan de Datalek Tool ontwikkeld.
De Datalek Tool loodst u door de juridische analyse van de drie hoofdvragen waarmee u weet of u onder de meldplicht datalekken valt: heeft u te maken met een datalek in de zin van de AVG? Moet u het datalek melden aan de Autoriteit Persoonsgegevens? Moet u het datalek melden aan de betrokken personen? Aan de hand van verschillende vragen in de 'Datalek Tool’ komen de relevante factoren voor de juridische beoordeling van uw situatie aan bod en krijgt u een duidelijk antwoord of u dit wel of niet moet melden.