Netbank- og Cyberberedskabsforsikring

30.304 Netbank- og Cyberberedskabsforsikring DK 09.19 Side 1 af 7

Netbank- og Cyberberedskabsforsikring

Policenummer 30.305-29461

1. Forsikringstager

2. Periode

Sparekassen Vendsyssel Xxxxxxxxx 00

9760 Vrå

Danmark

CVR: 64806815

a. Forsikringsperioden: Fra og med 01.12.2019

Policen løber for en et-årig periode og fornyer automatisk til hovedforfald, medmindre en af parterne opsiger policen.

Ansvaret begynder kl. 00.01 og ophører kl. 24.00 standard tid på Forsikringstagers adresse.

b. Hovedforfald: 01.12

c. Udstedelsesdato: 18.11.2019

3. Præmie

4. Skatter og afgifter

Præmien er eksklusive skatter og afgifter.

5. Summer og selvrisici

a. Forsikringssum Netbankindbrud: DKK 5.000.000 pr. sikrede pr. skade for perioden

Cyberberedskab: DKK 1.000.000 pr. sikrede pr. skade for perioden

Samlet DKK 6.000.000 pr. sikrede pr. skade for perioden, dog maksimalt DKK 150.000.000 i alt for perioden.

b. Selvrisiko DKK 2.500 pr. skade

6. Vilkår

a. Forretningsbetingelser: 30.304 Netbank- og Cyberberedskabsforsikring DK 09.19

b. Geografisk område: Europa

c. Særlige betingelser: Ingen.

7. Forsikringsselskabet

Enhver henvendelse vedrørende forsikringen ved skader, risikoændringer eller andre forhold skal ske til:

RiskPoint

Tlf. x00 00 00 00 00

Fax. x00 00 00 00 00

E-mail: xxxxxx@xxxxxxxxx.xx xxxxxx@xxxxxxxxx.xx

Forsikringsgiver:

100,00 % dækningen:

Arch Insurance (EU) DAC, 035981/12/2019

Mægler:

Denne forsikring er placeret via Factor Insurance Brokers A/S

Forsikringsbetingelser

Netbank- og Cyberforsikring

1 Sikrede

1.1 Sikrede under denne forsikring er forsikringstagers erhvervskunder inklusive disses datterselskaber og associerede selskaber, når disse erhvervskunder har en skriftlig aftale om netbank med forsikringstager.

1.2 Ved datterselskaber forstås selskaber og virksomheder, hvori forsikringstageren direkte eller indirekte:

i. besidder mere end halvdelen af

som følge af uautoriseret overførsel foretaget

af tredjemand via sikredes IT netværk, dog altid forudsat:

i. At login og password ikke er opnået gennem forsikringstagers netværk/system, uanset hvem der drifter;

ii. At adgang til sikredes netværk/system og/eller tabet ikke har relation til fejl, mangler eller uhensigtsmæssigheder i forsikringstagers netværk/system, uanset hvem der drifter.

Definitionen af direkte tab omfatter mistede

ii.

aktiekapitalen, eller kontrollerer flertallet af stemmerettighederne, eller

renter af stjålne penge i forbindelse med netbankindbrud dækkes, for den periode hvor netbankindbrud foretage, til

iii. har ret til at udpege flertallet af

bestyrelsesmedlemmerne, eller

iv. ved vedtægt eller aftale i øvrigt har kontrol over selskabet og som er 100 % konsolideret ind i

forsikringstagerens koncernregnskab, eller

v. på grundlag af aftale med andre aktionærer råder over flertallet af stemmerettighederne og

som er 100 % konsolideret ind i forsikringstagerens koncernregnskab, eller

vi. øvrige selskaber eller virksomheder listet i bilag under Særlige betingelser jf. Policens pkt. 6.c.

1.3 Forsikringen dækker kun erhvervskunders datterselskabers direkte tab ved netbankindbrud, såfremt tabet er påført på et tidspunkt, hvor selskabet eller virksomheden var et datterselskab af sikrede erhvervskunde efter ovenstående definition, jf. 1.2.

1.4 Såfremt en erhvervskundes datterselskab ophører med at være et sådant, dækkes direkte tab ved netbankindbrud, der konstateres i forsikringsperioden, jf. Policens pkt. 2.a.

1.5 Ved associerede selskaber forstås selskaber og virksomheder, hvor sikrede erhvervskunder i et erhvervsforhold har fuldmagt til at tilgå disse selskabers netbank hos forsikringstageren.

2 Forsikringens omfang

2.1 Dækning Netbankindbrud: Forsikringen dækker sikredes direkte tab ved netbankindbrud.

2.2 Ved direkte tab ved netbankindbrud forstås i denne forsikring et direkte tab i form af elektronisk tyveri af sikredes penge, både indestående og trækningsret på netbankkonti samt sikredes værdipapirer på netbankkonti,

netbankindbruddet konstateres, jf. 3.2.

2.3 Dækning Cyberberedskab: I tilfælde af et dækningsberettiget tab under 2.1 Netbankindbrud er denne forsikring udvidet til at dække alle rimelige udgifter, som defineret i 2.3.1-2.3.4, når der i direkte sammenhæng med et dækket netbankindbrud hos sikrede, er en uautoriseret adgang til sikredes IT netværk/system:

2.3.1 IT-konsulentbistand til at;

i. Undersøge om et netbankindbrud har fundet sted og om det stadig pågår samt hvordan netbankindbruddet kunne finde sted;

ii. Fastslå om et netbankindbrud har resulteret i misbrug af personoplysninger;

iii. Opgøre hvilke personoplysninger der er bragt i fare ved netbankindbrud;

iv. Bringe et netbankindbrud under kontrol;

v. Fjerne skadeligt software, computerkode eller virus fra sikredes IT netværk/system;

vi. Undersøge sikredes IT netværk/system for at fastslå hvilken afhjælpning er nødvendig.

2.3.2 Juridisk rådgivning ved misbrug af personoplysninger til at;

i. Undersøge og udarbejde instruks om det konkrete misbrug af personoplysninger;

ii. Afklare pligt til at anmelde og underrette relevante tilsynsmyndigheder;

iii. Underrette datasubjekter og besvare af spørgsmål fra datasubjekter;

iv. Monitorere klager fra datasubjekter og besvare klager fra datasubjekter.

2.3.3 Underretningsomkostninger, dvs.

i. Udgifter til oprettelse af telefoncentral-/pasning til besvarelse

af henvendelser fra datasubjekter, som er blevet underrettet om misbrug af vedkommendes personoplysninger, hvis henvendelserne på grund af antal/omfang ikke kan håndteres af den sikrede erhvervskunde;

ii. Udgifter til underretning af

omfattede af sikredes netværk, hvis disse er underlagt samme sikkerhed som sikredes øvrige arbejdspladser.

2.6 Ved netbankkonti forstås sikredes netbankkonti i danske pengeinstitutter i Europa.

datasubjekter og relevante   

tilsynsmyndigheder, både ved faktuelle og formodede misbrug af personoplysninger.

2.3.4 Afpresningsomkostninger, dog ikke omkostninger ved trusler eller afpresninger foretaget eller foranlediget af myndigheder og/eller stater, dvs.

i. Betaling af løsesum relateret til en afpresning, når lovligt at forsikre;

ii. Udgifter til kriserådgiver i forbindelse med afpresning.

2.4 Ved afpresning forstås i denne forsikring en trussel, hvor tredjemand faktisk har, eller påstår at have, uautoriseret adgang til sikredes IT netværk/system, med en eller flere af nedenstående elementer:

i. tilføre ondsindet og skadelig kode i sikredes IT netværk/system (virus, orm, malware, spyware);

ii. ødelægge sikredes IT netværk/system;

iii. begrænse eller hindre adgang til sikredes IT netværk/system (DDOS)

iv. kommunikere med sikredes kunder og udgive sig for at være sikrede, eller udgive sig for at være legitimeret til at handle på vegne af sikrede, for at få adgang til sikredes kunders personoplysninger (phising, pharming);

v. uautoriseret offentliggørelse af personoplysninger, som sikrede opbevarer på IT netværk/system;

der vil påføre sikrede et finansielt tab.

Det er en forudsætning for dækning af afpresningsomkostninger i 2.3.4, at:

i. forsikringstager og sikrede sørger for at hemmeligholde forsikringsdækningen;

ii. forsikringsselskabet kan kontakte Politiet og udveksle oplysninger om afpresning eller afpresningsforsøg der er anmeldt til

3 Forsikringsperioden

3.1 Forsikringen dækker tab ved netbankindbrud jf. 2.1 og 2.3, der konstateres i forsikringsperioden og anmeldes til forsikringsselskabet inden 180 dage efter forsikringsperiodens ophør.

3.2 Et tab anses for konstateret på det tidspunkt, hvor en person i bestyrelsen eller i direktionen, en partner, en afdelingschef eller lignende person i en ledende stilling hos sikrede for første gang får kendskab til omstændigheder, som rimeligvis må antages at have medført, eller vil medføre, et tab dækket af denne forsikring. Dette gælder uafhængigt af, hvorvidt tabets størrelse eller de nærmere detaljer endnu ikke er kendte.

4 Geografisk område

4.1 Med mindre andet er anført i Policens pkt. 6.b, dækker forsikringen tab i forbindelse med elektronisk indbrud i netbankkonti i Europa.

5 Undtagelser

Denne forsikring dækker ikke:

5.1 indirekte tab af nogen art eller følgetab, herunder tab af indtægt.

5.2 tyveri af sikredes penge og/eller værdipapirer, som skyldes fejl i pengeinstituttet, og/eller handlinger og undladelser hos pengeinstituttets ansatte, og/eller sikredes ansatte eller personer med autoriseret adgang til sikredes IT netværk/system.

5.3 tab der relaterer sig til erstatningskrav mod sikrede.

iii. iv.

forsikringsselskabet;

sikrede kontakter rådgivere straks efter sikrede har kendskab til afpresning eller afpresningsforsøg; sikrede stiller al relevant information til rådighed for rådgivere og forsikringsselskabet.

5.4 tab som følge af sikredes tidligere (dog kun hvis det strafbare forhold skyldes misbrug af oplysninger, som den tidligere ansatte var i besiddelse af som led i ansættelse hos sikrede), eller nuværende ansattes strafbare handlinger eller undladelser, og tab som følge af handlinger eller undladelser af personer

2.5 Ved sikredes IT netværk/system forstås i denne forsikring ethvert elektronisk netværk, som ejes og driftes af sikrede eller af professionel IT leverandør, som sikrede har outsourcet driften af netværket til. Hjemmearbejdspladser og mobile enheder er

der står i ledtog med forsikringstagers eller sikredes ansatte.

5.5 udgifter / omkostninger til afhjælpning, udbedring, tilretning, forbedring o.lign. ved fejl og/eller mangler i forsikringstagers eller

sikredes netværk/systemer, processer, hardware og/eller software.

5.6 udgifter / omkostninger til cyberberedskab vedrørende personoplysninger, som på falsk, svigagtig, forsætlig eller groft uagtsom vis er indsamlet, behandlet eller vedligeholdt af sikrede og dennes ledelse og/eller ansatte.

6 Forsikringssum

6.1 Forsikringssummen, jf. Policens pkt. 5.a, er den højeste grænse for forsikringsselskabets forpligtelse for samtlige tab under policen inkl. renter og udgifter. For alle dækninger og udvidelser gælder, at dækningen og udvidelsen, medmindre andet specifikt er angivet, er en del af forsikringssummen, og ikke skal være i tillæg hertil.

7 Selvrisiko

7.1 Erstatning under denne forsikring ydes efter fradrag af selvrisiko, jf. Policens pkt. 5.b, for hver enkelt skade.

8 Serieskadeklausul

8.1 Tab, der påføres sikrede ved en sammenhængende serie af handlinger, som begås af samme person alene eller i medvirken med andre, anses for at udgøre én enkelt skade under forsikringen.

9 Anmeldelse af tab

10 Risikoforandringer

10.1 Forsikringstageren er forpligtet til at informere forsikringsselskabet ved risikoforandringer. I tillæg til forsikringsaftalelovens almindelige regler om fareforøgelse vil følgende forhold altid være at anse for en risikoforandring:

i. forsikringstageren fusionerer med eller sælger alle eller en væsentlig del af sine aktiver til en anden person eller enhed, eller

ii. nogen person eller enhed opnår kontrol med forsikringstageren gennem besiddelse af mere end 50 % af forsikringstagerens aktiekapital eller stemmerettigheder, eller

iii. forsikringstagers konkurs eller likvidation, eller

iv. koncernen påbegynder aktiviteter, der i væsentlig grad afviger fra koncernens bestående og de til forsikringsselskabet oplyste aktiviteter.

10.2 Forsikringsselskabet træffer bestemmelse om, hvorvidt og på hvilke vilkår forsikringen kan fortsætte.

10.3 Er sådan anmeldelse ikke sket, hæfter forsikringsselskabet i skadetilfælde kun på de vilkår og i det omfang, i hvilket det mod den aftalte præmie ville have fortsat forsikringen, hvis forandringen havde været forsikringsselskabet bekendt.

11 Subrogation

9.1 Såfremt et dækningsberettiget tab konstateres, jf. ovenfor under 3.2, skal sikrede:

i. uden ophold foretage skriftlig anmeldelse til forsikringsselskabet, og

ii. anmelde forholdet til Xxxxxxxx, og

iii. straks og i videst mulige omfang forsøge at begrænse tabets omfang, herunder men ikke begrænset til at tage kontakt til involverede pengeinstitut (forsikringstager),

iv. straks spærre adgangen til -og ændre koder m.m. til de kompromitterede bankkonti,

v. bistå forsikringsselskabet med alle oplysninger og dokumentation i enhver relation til tabet, og

vi. undlade at anerkende erstatningspligt eller godkende erstatningskrav ved tab, der involverer erstatningsansvar eller retslige skridt mod sikrede, uden forsikringsselskabets samtykke, og

vii. lade forsikringsselskabet træffe bestemmelse om sagens behandling.

9.2 Tab der konstateres i forsikringsperioden, men som anmeldes senere end 180 dage efter forsikringsperiodens ophør dækkes ikke.

11.1 I tilfælde af, at der finder udbetaling sted under denne Police, indtræder forsikringsselskabet for dette beløb i alle rettigheder, der tilkommer sikrede. Koncernen og sikrede skal udfærdige alle nødvendige dokumenter og skal gøre alt, hvad der måtte være nødvendigt for at sikre disse rettigheder herunder udarbejdelse af de dokumenter, der er nødvendige for forsikringsselskabets subrogation.

12 Anden forsikring

12.1 Forsikringen dækker ikke i det omfang sikrede er dækket af anden forsikring, garanti eller skadesløsholdelse. Er det i anden forsikring, garanti eller skadesløsholdelse anført, at dækningen falder bort eller indskrænkes, hvis forsikring, garanti eller skadesløsholdelse er eller bliver tegnet andetsteds, gælder nærværende forsikring med samme forbehold.

12.2 Dækning under denne forsikring skal være subsidiær i forhold til enhver anden Netbankforsikring for Sikrede. Såfremt den anden Netbankforsikring er tegnet af Forsikringsselskabet, er den samlede totale forsikringssum til rådighed for krav rejst mod

Sikrede den største forsikringssum angivet i én af de involverede forsikringer.

12.3 Sikrede erhvervskunde skal optræde på koncernens og de sikredes vegne med hensyn til at afgive og modtage meddelelse om rettigheder og pligter under nærværende forsikring.

12.4 Forsikringen og enhver af de rettigheder, der gælder i henhold hertil, kan ikke overdrages uden forsikringsselskabets skriftlige samtykke.

13 Opsigelse og fornyelse

13.1 Forsikringen tegnes for den i Policens pkt. 2. a angivne forsikringsperiode. Forsikringen kan opsiges med én (1) måneds skriftligt varsel til hovedforfaldsdato. Opsiges forsikringen ikke fornyes forsikringsperioden automatisk for et (1) år ad gangen.

14 Præmiens betaling

14.1 Første præmie forfalder til betaling ved forsikringens ikrafttræden og senere præmier til de anførte forfaldsdage. Præmien er fuldt optjent ved ikrafttrædelse.

14.2 Betales præmien ikke rettidigt, sendes påkrav om betaling til den af forsikringstageren opgivne betalingsadresse.

14.3 Betales præmien ikke senest 14 dage efter modtagelse af påkrav, sender forsikringsselskabet en skriftlig påmindelse om præmiebetalingen.

14.4 Betales præmien ikke senest 14 dage efter modtagelse af denne påmindelse bortfalder forsikringsselskabets dækningspligt.

14.5 Har forsikringsselskabet udsendt en sådan påmindelse, er forsikringsselskabet berettiget til at opkræve et ekspeditionsgebyr.

15 Udbetaling af erstatning

15.1 Udbetaling af skade skal ske til en af sikredes netbankskonti hos forsikringstager.

16 Værneting og lovvalg

16.1 Denne forsikringsaftale er underlagt dansk ret og Forsikringsaftaleloven.

16.2 Enhver tvist afgøres ved voldgift, jf. reglerne om det danske voldgiftsinstitut.

17 Forsikringsselskabet

17.1 Enhver henvendelse vedrørende forsikringen ved skader, risikoændringer eller andre forhold skal ske til RiskPoint:

RiskPoint A/X Xxxxxxxxxxxxx 0

DK-1267 København K Tlf. x00 00 00 00 00

Fax. x00 00 00 00 00

E-mail: xxxxxx@xxxxxxxxx.xx

xxxxxx@xxxxxxxxx.xx

17.2 For skader hæfter alene Forsikringsgiver(-ne) med de under Policens pkt. 7 anførte respektive andel(-e).

18 Sikkerhedsforholdsregler

18.1 I henhold til Forsikringsaftalelovens § 51 gælder følgende sikkerhedsforholdsregler:

18.1.1 Sikrede har til enhver tid pligt til at sikre:

i. At der implementeres procedurer og gennemføres kontrol med efterlevelse af procedurer i relation til betalinger og overførsler;

ii. At adgang til sikredes IT netværk/system, uanset hvem der drifter, logges og er sikret og beskyttet med opdaterede firewalls, antivirus, antispyware, samt at adgang til netværk/systemer forudsætter adgangskoder, som udskiftes jævnligt.

17.2 Hvis sikrede overtræder eller tilsidesætter en eller flere sikkerhedsforholdsregler, dækker denne forsikring kun i det omfang det anses for godtgjort, at tabets indtræden eller omfang ikke skyldes overtrædelse eller tilsidesættelse af disse forholdsregler.

Behandling af personoplysninger

Forsikrede personer gøres udtrykkeligt opmærksom på, at RiskPoint foretager elektronisk databehandling af forsikredes og andre i forsikringsbetingelserne nævnte personers personoplysninger, som indhentes af RiskPoint, og forsikrede, erklærer sig ved begæring om forsikringsdækningen indforstået hermed.

Personoplysninger er f.eks. oplysninger om forsikredes navn, adresse og lignende, som registreres i forbindelse med tegningen af forsikringen, samt oplysninger, som registreres i forbindelse med anmeldelse og behandling af forsikringsbegivenheder, f.eks. skadeårsag, tilskadekomne, mv.

Registrering og behandling af personoplysninger sker i overensstemmelse med den Europæiske Persondataforordning (EU/2016/679 af 27. april 2016). I henhold til denne forordning gøres forsikrede hermed udtrykkeligt opmærksom på, at afgivelse af relevante personoplysninger er nødvendig for at opnå dækning og for behandling i henhold til forsikringen.

De registrerede personoplysninger opbevares så længe det er nødvendigt, og udveksles kun med XxxxXxxxx’x samarbejdspartnere, og Forsikringsgiver(ne) under pkt. 7 i policen, for at aftalens forpligtelser kan varetages.

RiskPoint er den dataansvarlig. Hvis forsikrede ønsker at få indsigt i de personoplysninger vi har registreret omkring denne eller anmode om rettelse af fejlagtige personoplysninger, kan denne henvende sig til RiskPoint.

Forsikringsbetingelser

Netbank- og Cyberforsikring

Policetillæg nr. 1 – IT-konsulentbistand Service i relation til 2.3.1

Specifik service leveret af KPMG til sikrede i henhold til betingelsernes pkt. 2.3.1;

a. Når pengeinstituttet har konstateret at et netbanksindbrud er sket, skal KPMG kontaktes af sikrede eller det berørte pengeinstitut, for at vurdere om der er brug for assistance, herunder onsite assistance.

b. Baseret på informationen fra det berørte pengeinstitut og undersøgelsen foretaget af det berørte pengeinstitut, som konkluderede at der er sket et netbanksindbrud, kan KPMG assistere sikrede med at fastslå om persondata er blevet kompromitteret ved netbanksindbruddet.

c. Baseret på informationen fastslået i pkt. b kan KMPG hjælpe med at fastslå hvilke personfølsomme oplysninger, der kan være kompromitteret.

d. Når det er konstateret, at et netbanksindbrud har fundet sted, kan KPMG assistere sikrede med at fjerne skadeligt software, computerkode eller virus fra sikredes IT netværk/system.

e. Når det er konstateret, at et netbanksindbrud har fundet sted, kan KPMG assistere sikrede med at undersøge sikredes IT netværk/system for at fastslå hvilken afhjælpning, der er nødvendig.

Med afhjælpning forstås genetablering af sikredes data og genopretning af sikredes IT netværk/system.

Omkostninger til selve afhjælpningen er ikke dækket under nærværende police.

Når sikrede eller det involverede pengeinstitut mistænker at et netbanksindbrud har fundet sted skal KPMG kontaktes, uanset om der på det tidspunkt er konstateret et netbanksindbrud, og deraf assistance fra KPMG er nødvendig.

KPMG kontaktes af RiskPoint i forbindelse med anmeldelse af en skade.

KPMG vil hurtigst muligt herefter vende tilbage til sikrede for få yderligere informationer og fremsætte en plan for assistancen.

Assistance vil blive leveret indenfor 3 arbejdsdage, efter at det er konstateret af det involverede pengeinstitut, at der er sket et netbanksindbrud.

Onsite assistance vil blive leveret af KMPG efter bedste evne.