Sinds mei 2018 hebben bedrijven een nieuwe angst: het overtreden van de privacywetgeving. Al lang voordat de Algemene Verordening Gegevensbescherming officieel van kracht werd, werden bedrijven bang gemaakt voor de mogelijk catastrofale gevolgen als zij zich er niet aan hielden. Onder de Europese wet kan een toezichthouder boetes opleggen. Na een wat mak eerste jaar, waarin de focus nog lag op vooral voorlichting en ondersteuning, beginnen de eerste boetes inmiddels te vallen. De eerste Nederlandse AVG-boete kwam voor rekening van het Haagse Haga Ziekenhuis, dat het logbeleid voor medische dossiers niet op orde had. Het ziekenhuis kreeg daarvoor 460.000 euro boete.
Het is in Nederland mogelijk een verzekering af te sluiten tegen AVG-boetes
Inmiddels zijn boetes en het risico op handhaving een realistisch scenario voor een bedrijf. Verzekeren voor boetes is iets typisch Nederlands. Er zijn maar weinig landen waarin het mogelijk is om een verzekering voor boetes af te sluiten; alleen in een paar landen, zoals Noorwegen en Finland, kan dat ook. Heel vanzelfsprekend is dat niet; de optie lijkt in Nederland vooral door één partij te worden aangeboden. Verzekeraar AON deed vorig jaar samen met een advocatenkantoor onderzoek naar de mogelijkheden om zo'n verzekering aan te bieden. Conclusie: het kan. Wel moet zo'n verzekering aan veel voorwaarden voldoen. Een belangrijke: alleen bestuursrechtelijke boetes kunnen worden verzekerd. Dat zijn boetes die zonder tussenkomst van het OM of een rechter worden opgelegd, zoals boetes van de privacytoezichthouder. Strafrechtelijke boetes zijn niet te verzekeren.
Er zijn een paar verzekeraars in Nederland die verzekeringen tegen boetes aanbieden, zoals de VvAA voor medische professionals. In Nederland zijn er voor zover bekend nog geen voorbeelden geweest waarbij een bedrijf aanspraak maakte op een AVG-boeteverzekering. Dat komt niet in de laatste plaats doordat het aantal AVG-boetes in ons land op een paar handen te tellen is, maar het heeft nog een andere belangrijke reden. Verzekeraars vergoeden die boete alleen als er geen sprake is van grof nalatig handelen.
Geen nalatigheid
De ironie is echter dat boetes onder de AVG eigenlijk vooral worden uitgedeeld als blijkt dat een bedrijf juist grof nalatig is. Zeker van toezichthouders die meer sturend dan corrigerend zijn, zoals de Nederlandse Autoriteit Persoonsgegevens, krijgen bedrijven eerder een waarschuwing, een boze brief, of in het ergste geval een last onder dwangsom. Dat laatste is een voorwaardelijke boete. De toezichthouder grijpt meestal naar die middelen voordat een definitieve boete wordt uitgedeeld. Een bedrijf dat dus daadwerkelijk een boete krijgt opgelegd, moet het dan ook heel bont hebben gemaakt wat beveiliging betreft. Het is dan ook de vraag of de verzekeraar gaat uitkeren. Sommige verzekeraars zijn er niet heel uitgesproken over, waardoor de echte voorwaarden voor uitkering vaag blijven. Zo zegt De Goudse alleen: "Wij vergoeden een boete die als gevolg van een cyberincident is opgelegd door de Autoriteit Persoonsgegevens". De verzekeraar noemt daar ook alleen boetes onder de Wet bescherming persoonsgegevens, de oude privacywet vóór de AVG. Niet erg actueel dus.
Bij AIG staat bijvoorbeeld dat een boete niet wordt vergoed bij het 'opzettelijk veronachtzamen of niet naleven van een uitspraak of aanwijzing van een toezichthouder'. Als een toezichthouder dus eerst een waarschuwing geeft en het bedrijf daarna alsnog niet voldoet aan de wet, valt dat hoogstwaarschijnlijk onder dat 'niet naleven'. Het is dan ook de vraag of het bedrijf in dat geval aanspraak kan maken op een een vergoeding bij de verzekeraar, maar voor zover bekend is dat nog nooit aan de orde geweest.
:strip_exif()/i/2004806902.jpeg?f=fpa)
/i/2004836960.png?f=fpa)
/i/1248683747.png?f=fpa)
/i/2001462189.png?f=fpa)
:strip_exif()/i/2003261192.jpeg?f=fpa)
:strip_exif()/i/2000609729.jpeg?f=fpa)
:strip_exif()/i/1072706036.jpg?f=fpa)
/i/2002249063.png?f=fpa)
/i/2002161739.png?f=fpa)
/i/1129715850.png?f=fpa)