AVG-boetes in Europa lastig verzekerbaar

Civielrechtelijke boetes voor schending van de Algemene Verordening Gegevensbescherming (AVG) zijn binnen Europa vooralsnog alleen met zekerheid verzekerbaar in Finland en Noorwegen. 

Dat blijkt uit onderzoek van risico- en verzekeringsadviseur Aon en advocatenkantoor DLA Piper naar de verzekerbaarheid van AVG-boetes in Europa en van gevolgschade voor zaken als gerechtelijke procedures, onderzoeken en claims. Ter vergelijk werd ook de verzekerbaarheid van andere overheidsboetes onderzocht. De resultaten van het onderzoek zijn gebundeld in de handleiding ‘The price of data security’ (De prijs van gegevensbeveiliging).

Met de ingang van de AVG lopen organisaties een aanzienlijk groter risico bij het beheren en opslaan van hun persoonsgegevens. Boetes voor schending van de bepalingen die in de AVG zijn opgenomen kunnen oplopen tot 20 miljoen euro of 4 procent van de wereldwijde jaaromzet van een bedrijf of bedrijvengroep. Daar komt bij dat eventuele negatieve publiciteit veel schade aan de reputatie en daarmee de marktpositie van een bedrijf kan aanbrengen.

Zelf straffen opleggen
Hoewel administratieve boetes onder de AVG civielrechtelijk van aard zijn, mogen Europese lidstaten onder de AVG ook zelf straffen opleggen voor een onwetmatige omgang met persoonsgegevens. Bij deze vertaling van de AVG naar lokale wetgeving wordt er in veel Europese landen voor gekozen de boetes strafrechtelijk te bepalen en daarom zijn deze niet verzekerbaar.

In twintig van de dertig onderzochte landen – waaronder het Verenigd Koninkrijk, Frankrijk, Italië en Spanje – worden AVG-boetes daarom in het algemeen als onverzekerbaar beschouwd. In acht landen, waaronder Nederland, hangt de verzekerbaarheid van AVG-boetes af van de specifieke details per geval, bijvoorbeeld of het gedrag van de verzekerde laakbaar is en of de boete eventueel alsnog strafrechtelijk wordt geclassificeerd.

Gevolgkosten wel verzekerbaar
“Ook al is de dekking van AVG-boetes beperkt, verzekeringen blijven een belangrijk onderdeel van de risicobeheersingsstrategie van organisaties ten aanzien van de AVG,” vertelt Maarten van Wieren, managing director van Aon Cyber Solutions Group. Bijkomende kosten bij overtreding van de AVG zijn onder meer kosten voor gerechtelijke procedures, juridisch onderzoek, herstelmaatregelen en het informeren en compenseren van getroffen betrokkenen. “Deze gevolgschade kan hoog oplopen en is vrijwel altijd verzekerbaar,” aldus Van Wieren.

“Organisaties die dat nog niet hebben gedaan, moeten in rap tempo hun kwetsbaarheden ten aanzien van de AVG in kaart brengen,” aldus Prakash (PK) Paran, Partner en co-Chair van Global Insurance Sector bij DLA Piper. Hij raadt organisaties aan om verzekeringspartners actief te betrekken bij hun risico-overdracht en crisisplannen. Verzekerbaarheid moet niet de enige inzet zijn. “Met een gedegen voorbereiding op incidenten bescherm je ook je reputatie, je klanten, de bredere markt en je verstandhouding met regelgevende instanties. Daarmee is het een kwestie van verantwoordelijkheid.”