Databeskyttelse og cyber risk-forsikringer

Transkript

1 Databeskyttelse og cyber risk-forsikringer v/ partner Anne Buhl Bjelke & Den offentlige uddannelsesdag 2014 persondataspecialist Charlotte Bagger Tranberg

2 Persondataretlige aspekter Personoplysninger kun en delmængde af data, som på forskellig vis kan kompromitteres Personoplysninger er enhver form for information om en identificeret eller identificerbar juridisk person Den, der har ansvar for personoplysninger, skal træffe de fornødne tekniske og organisatoriske sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. Tilsvarende gælder for databehandlere (persondatalovens 41, stk. 3)

3 Typesituationer Kompromittering af personoplysninger: Brud på den organisatoriske sikkerhed (både medarbejdere og databehandlere) Videregiver oplysninger om kunder til andre Sender oplysninger om andre medarbejdere/kunder til sig selv Egentlige hackere Hvilke oplysninger? Oplysninger om medarbejdere, herunder bankoplysninger Oplysninger om kunder, herunder kreditkortoplysninger

4 Pligter og sanktioner Underretning af berørte personer følger af kravet om god databehandlingsskik i persondatalovens 5, stk. 1 Sanktioner: Offentlige myndigheder: Datatilsynet udtaler kritik Private dataansvarlige: Bøde på op til DKK Når den kommende persondataforordning vedtages: Underretning af Datatilsynet (inden 72 timer) og i særlige situationer underretning af berørte personer Sanktioner: Offentlige myndigheder: Op til EUR 1 mio. Private dataansvarlige: Op til 2 % af årlige globale omsætning

5 5 Forsikringsafdækning af cyber risk er det nye sort Kriminelle handlinger Utilsigtet tab af data

6 6 Offentlige myndigheders potentielle tab som følge af brud på datasikkerheden Økonomisk tab i form af erstatningsansvar genskabelse af data administrative bøder it bistand juridisk bistand løsepenge

7 7 Offentlige myndigheders potentielle tab som følge af brud på datasikkerheden (fortsat) Ikke-økonomisk tab i form af tab af omdømme tab af tillid

8 8 Tab som følge af brud på datasikkerheden er ikke eller kun i begrænset omfang dækket af traditionelle forsikringsprodukter Selvforsikring Erhvervs- og produktansvarsforsikring Løsøreforsikring Tyveriforsikring Kriminalitetsforsikring Terrorismeforsikring

9 9 Tab som følge af brud på datasikkerheden kan forsikringsafdækkes under en cyber risk-forsikring Eksempel på standarddækning dækning af krav om erstatning for tab i forbindelse med sikredes fejl eller forsømmelse, der fører til tredjemands uautoriserede adgang til fortrolig data (eksempelvis utilsigtet offentliggørelse af fortrolige oplysninger på nettet) dækning af krav om erstatning for tab af person- eller virksomhedsoplysninger, uanset om det skyldes fejl af sikrede selv eller en selvstændigt virkende tredjemand som databehandler dækning af krav om erstatning for tab af person- eller virksomhedsoplysninger i forbindelse med sikkerhedsbrist hos sikrede (eksempelvis som følge af hackerangreb, virus, ikke-elektronisk tyveri af adgangskode eller tyveri af hardware) dækning af administrative bøder for overtrædelse af persondatalovgivningen genskabelse af data it bistand

10 10 Tab som følge af brud på datasikkerheden kan forsikringsafdækkes under en cyber risk-forsikring (fortsat) juridisk bistand PR-krisehåndtering

11 11 Forudsætninger for forsikringsdækning Etablering og opretholdelse af sikkerhedsprocedurer i forbindelse med behandling af data Vedligeholdelse og opdatering af hardware og software Vedligeholdelse af back-up systemer

12 12 Kontakt Anne Buhl Bjelke Partner København Konfliktløsning Transport & Forsikring T M E [email protected] Charlotte Bagger Tranberg Persondataspecialist Aarhus IP & Technology T M E [email protected] København Langelinie Allé København Ø Danmark Aarhus Værkmestergade Aarhus C Danmark Shanghai Suite 1818, 18/F No. 699 Nanjing West Road Jing an District, Shanghai T F E [email protected]