Cyber+Smart
Cyber+Smart
Betingelser for cyberforsikring
CYB+S FL 821 (1.17) DK (v2)
Side: 1/16 404-FL821(1.17) DK (v2)
Indholdsfortegnelse Side:
1 Forsikringsdækning for ansvarskrav samt for andre nævnte krav fra tredjepart 4
1.1 Hvad dækker forsikringen? 4
1.2 Krav vedørende opfyldelse og efterfølgende opfyldelse 4
1.3 Begrebsdefinitioner 5
1.4 Ydelser 6
1.5 Forsikringsbegivenhed 6
1.6 Tidsmæssige bestemmelser for forsikringsdækningen 6
2 Forsikringsdækning af egne skader 7
2.1 Hvad dækker forsikringen? 7
2.2 Ydelser 7
2.3 Forsikringsbegivenhed 7
2.4 Genetablering af data og software 7
2.5 Impersonation Fraud (sublimit) 8
3 Driftsafbrydelse/Driftstab 9
3.1 Hvad dækker forsikringen, forsikringsbegivenhed 9
3.2 Data-/softwareskade, ikke forsikringsdækkede risici og skader 9
3.3 Forsikringssted 9
3.4 Skader vedrørende driftstab 9
3.5 Meromkostninger 9
3.6 Dækningstid 9
3.7 Erstatningsomfang 10
3.8 Udbetaling af erstatning 10
3.9 Forpligtelser til skadesbegrænsning 10
3.10 Erstatning for udgifter 10
3.11 Benyttelse af cloud-/ IT tjenesteydelser (option) 10
4 Generel del 10
4.1 Forsikringstager/medforsikrede virksomheder og medforsikrede personer 10
4.2 Forsikringstagers konkurs, fusionering, likvidation 11
4.3 Bestemmelse vedrørende omfang af ydelse 11
4.4 Ikke dækkede krav 12
4.5 Forsikringstagers anmeldelsespligt 13
4.6 Start af forsikringsdækning 13
4.7 Dækningsperiode, opsigelse 13
4.8 Beregning, betaling og tilpasning af præmie 13
4.9 Forpligtelser før indtræden af forsikringsbegivenhed 13
4.10 Forpligtelser efter indtræden af forsikringsbegivenheder; godtgørelse af omkostninger 14
4.11 Retsfølger ved tilsidesættelse af forpligtelser 14
4.12 Risikoforhøjelse 14
4.13 Geografisk dækningsområde 15
4.14 Retsstilling 15
4.15 Repræsentanter 15
4.16 Værneting og lovvalg 15
4.17 Anmeldelser, viljeserklæringer, adresseændring 15
4.18 Sanktionsbegrænsning 15
5 Ordforklaringer 16
Forord
For så vidt angår ansvarskrav og andre nævnte krav fra tredjepart (punkt 1.1 til 1.2) yder denne forsikring dækning på basis af claims-made- princippet. Forsikringsbegivenheden udløses af, at der inden for dækningsperioden eller inden for anmeldelsesfristen efter forsikringens ophør for første gang gøres et ansvarskrav skriftligt gældende over for sikrede eller medforsikrede personer efter tilsidesættelse af informationssikkerheden, begået inden for dækningsperioden (punkt 1.3.5).
For bestemte egne skader sikrer denne forsikring godtgørelse for udgifter og omkostninger, erstatning for bestemte formueskader som følge af Impersonation Fraud samt for driftstab i henhold til disse betingelser. For så vidt angår dækningen ved sådanne egne skader gælder de forskellige definitioner på forsikringsbegivenheden, som er nævnt særskilt under punkterne 2 og 3.
Godtgørelse for udgifter og omkostninger for egne skader, erstatning for driftstab samt omkostninger for afværgelse af yderligere skader, med undtagelse af HDI Danmarks egne udgifter og omkostninger samt skyldige renter efter forfald af forsikringsydelse, er en del af forsikringssummen og modregnes i denne i henhold til disse betingelser.
Begrebsdefinitionerne under punkt 1.3 samt de nævnte tekniske begreber i ordforklaringen (punkt 5) gælder for samtlige dele af forsikringsaftalen og er fremhævet med kursiv.
Overskrifterne i disse forsikringsbetingelser skal alene ses som orientering og har ingen retsvirkning for selve forsikringsdækningen. Det er alene teksten i den respektive forsikringsaftale, som er gældende.
1 Forsikringsdækning for ansvarskrav samt for andre betegnede krav fra tredjeparts side
1.1 Hvad dækker forsikringen?
HDI Danmark yder forsikringsdækning over for forsikringstager, de medforsikrede virksomheder, i det følgende blot benævnt sikrede, og medforsikrede personer inden for rammerne af efterfølgende betingelser, når der i henhold til disse på baggrund af lovpligtige ansvarsbestemmelser første gang inden for dækningsperioden, i det følgende blot benævnt dækningsperioden, kræves erstatning af tredjepart for en formueskade, såfremt denne formueskade er indtrådt ved tilsidesættelse af informationssikkerhed i forbindelse med udøvelsen af den forsikrede aktivitet. Forudsætningerne for forsikringsbegivenheden fremgår af punkt 1.5.
Kontraktlige krav fra tredjeparts side er dækket af forsikringen, såfremt erstatningskravet i samme omfang også uden indsigelse kan gøres gældende efter lovpligtige ansvarsbestemmelser, og såfremt det ikke drejer sig om krav vedrørende opfyldelse eller efterfølgende opfyldelse i henhold til punkt 1.2.
1.1.1 Kontraktsansvar
Forsikringsdækningen omfatter derudover det lovpligtige ansvar, der ved forpligtelsen til skadesløsholdelse påhviler sikrede som følge af tilsidesættelse af databeskyttelse, der første gang inden for dækningsperioden eller inden for anmeldelsesfristen efter forsikringens ophør gøres gældende over for en ekstern aktør, der af sikrede har fået til opgave at behandle tredjeparts data – for så vidt som der ikke er gjort brug af cloud-tjenester efter stk. 3 under dette punkt.
Såfremt det drejer sig om uberettigede krav, der gøres gældende, påtager HDI Danmark sig afværgelsen af krav efter punkt 1.4.1.
Såfremt det aftales særskilt omfatter dækningen inden for rammerne dette punkt også sikredes benyttelse af cloud-tjenesteydelser. Omfanget af forsikringsdækningen aftales individuelt. Inden for rammerne og omfanget af dette afsnit betragtes også IT-systemer hos benyttede cloud- tjenester som IT-system.
1.1.2 Medieansvar
Forsikringsdækningen omfatter derudover krav, der inden for dækningsperioden første gang af tredjepart fremsættes over for sikrede eller medforsikrede personer grundet uberettiget offentliggørelse af digitalt medieindhold som følge af
- krænkelse af mærke- eller ophavsrettigheder,
- krænkelse af en naturlig persons personlighedsrettigheder,
- krænkelse af konkurrenceret, der resulterer i krænkelse af mærke- eller ophavsrettigheder eller krænkelse af personlighedsrettigheder.
såfremt offentliggørelsen af det digitale medieindhold er sket ved udøvelse af den forsikrede aktivitet efter tilsidesættelse af informationssikkerhed.
Der er ikke nogen forsikringsdækning af krav som følge af
- fejlagtig, urigtig eller ufuldstændig offentliggørelse af produkt- eller tjenesteydelsesbeskrivelser;
- fejlagtig, urigtig eller ufuldstændig offentliggørelse af finansielle data fra sikredes side;
- pornografisk indhold samt reklamer, præmiekonkurrencer eller lotteri, bl.a. vedrørende forudsigelser eller beregninger, som ikke holder stik, værdikuponer, der er stillet i udsigt, rabatter eller andre gevinster;
- spredning af uopfordret eller uønsket korrespondance eller kommunikation (det være sig i fysisk eller digital form), navnlig i form af e-mail, telefaxskrivelser, telemarketing eller andre former for direkte marketing.
1.1.3 Konventionalbod PCI (sub-limit)
Forsikringsdækningen omfatter derudover krav, der inden for dækningsperioden første gang fremsættes over for sikrede eller medforsikrede personer af en e-payment-service-provider for krænkelse af offentliggjorte payment card industry-datasikkerhedsstandarder (PCI-
datasikkerhedsstandarder) for betaling af konventionalbod såfremt denne krænkelse af PCI-datasikkerhedsstandarden er sket i forbindelse med udøvelsen af den forsikrede aktivitet ved tilsidesættelse af informationssikkerheden.
Såfremt det drejer sig om uberettigede krav, der gøres gældende, påtager HDI Danmark sig afværgelsen af krav efter punkt 1.4.1.
E-payment-service-providere i denne kontrakts forstand er, medmindre andet udtrykkelig aftales, udelukkende virksomhederne American Express, Mastercard, Maestro Card, Visa og Dankort.
Ydelsen fra HDI Danmarks side for betaling for konventionalbod efter stk.
1 under dette punkt er inden for rammerne af forsikringssummen begrænset til 25 % af forsikringssummen og kan maksimalt udgøre 5.000.000,00 kr. pr. forsikringsbegivenhed og i alt pr. forsikringsår.
1.1.4 Advokatbistand ved databeskyttelsessager Forsikringsdækningen omfatter derudover advokatbistand i forvaltningssager eller sager vedrørende overtrædelse af ordensforskrifter (simple overtrædelser), der for første gang begæres behandlet inden for dækningsperioden mod sikrede eller medforsikrede personer ved en databeskyttelsesmyndighed eller anlægges ved statslige domstole for tilsidesættelse af databeskyttelse. Punkterne 1.4.1 og 1.4.2 finder tilsvarende anvendelse.
1.1.5 Yderligere krav fra tredjepart i forbindelse med
tilsidesættelse af databeskyttelse
Forsikringsdækningen omfatter derudover følgende anførte krav fra tredjepart, såfremt disse er baseret på et andet restgrundlag end skadeserstatningskrav efter punkt 1.1, gøres gældende sammen med disse, og såfremt det ikke drejer sig om krav vedrørende opfyldelse eller efterfølgende opfyldelse i henhold til punkt 1.2:
- Krav om erstatning for udgifter fra tredjepart, omfattet af databeskyttelse, såfremt disse krav efter den respektive anvendelige lov ikke er omfattet af skadeserstatningskrav og står i direkte forbindelse med tilsidesættelse af databeskyttelse;
- afværgelse af uberettigede undladelses- og afhjælpningskrav, såfremt disse står i direkte forbindelse med en tilsidesættelse af databeskyttelse og gøres gældende af aktører/forbund, der kan gøre krav gældende (såkaldt ”class action” vedrørende databeskyttelse);
- afværgelse af andre uberettigede undladelses- og afhjælpningskrav også under en foreløbig retshjælpssag, såfremt denne foregår i umiddelbar forbindelse med en tilsidesættelse af databeskyttelse.
1.2 Krav vedrørende opfyldelse og efterfølgende opfyldelse Der er ikke nogen forsikringsdækning af krav, heller ikke selvom det drejer sig om lovhjemlede krav,
- for opfyldelse af kontrakter, efterfølgende opfyldelse, egen afhjælpning, tilbagetrædelse, nedsættelse, skadeserstatning i stedet for ydelsen;
- som følge af skader, der forårsages for at kunne gennemføre den efterfølgende opfyldelse;
- som følge af afsavn for benyttelse af kontraktgenstanden eller som følge af, at den efter kontraktydelsen skyldige succes udebliver;
- for erstatning for forgæves udgifter i tillid til behørig opfyldelse af kontrakten;
- for erstatning af formueskader som følge af forsinkelse af ydelsen;
- som følge af andre erstatningsydelser, der træder i stedet for opfyldelse.
1.3 Begrebsdefinitioner
NB: Begrebsdefinitionerne nedenfor gælder for samtlige kontraherende parter og er fremhævet med kursiv.
1.3.1 Data
Data i denne kontrakts forstand er digitaliserede, maskinlæsbare eller på anden teknisk måde læsbare informationer, som ligger på datamedier, der er nødvendige for den driftsmæssige benyttelse.
1.3.2 Software
Side: 4/16 404-FL821(1.17) DK (v2)
Software i denne kontrakts forstand er den samlede betegnelse for programmer eller immaterielle dele i IT-systemer, der står til rådighed for driften af IT-systemerne, inklusive den respektive tilhørende dokumentation. Heri indgår standardprogrammer, individuelle programmer og driftssystemer.
- Et standardprogram er et program, der fremstilles til ensartede anvendelser på forskellige områder eller i forskellige virksomheder, og som med en relativt lille indsats kan tilpasses individuelle krav.;
- Et individuelt program er et program, der er fremstillet til brug for en individuel anvendelse, som på den krævede måde ikke optræder således på noget andet sted;
- Et driftssystem er et styringssystem, der giver brugeren mulighed for at administrere filer, kontrollere tilsluttede enheder som printere og harddiske eller starte og afslutte programmer.
1.3.3 Tredjepart
Tredjepart i denne kontrakts forstand er alle naturlige og juridiske personer, navnlig sådanne, der er omfattet af databeskyttelse, kunder eller kontraktpartnere for sikrede. Medforsikrede personer anses for tredjepart, hvis disse som berørte i forbindelse med tilsidesættelse af databeskyttelse gør krav gældende over for sikrede.
Som tredjepart anses ikke
- medforsikrede virksomheder;
- medforsikrede personer, såfremt forudsætningerne efter punkt
1.3.3 stk. 1, 2. punktum ikke er til stede.
1.3.4 Formueskader
Formueskader i denne kontrakts forstand er skader, der hverken er personskader (drab, fysisk kvæstelse eller skade på liv og lemmer) eller materielle skader (genstande, der beskadiges, ødelægges, tilintetgøres eller mistes) eller skader, der hidrører herfra.
Følgende anses også for at være formueskader
- skader som følge af tab, ændring eller manglende rådighed over
data og software fra tredjepart;
- immaterielle skader på tredjepart som naturlige personer som følge af krænkelser af personlighedsret i forbindelse med tilsidesættelse af databeskyttelse.
Skader som følge af ting, der mistes, penge (herunder såkaldt cybermoney), mærker af pengeværdi eller andre aktiver i form af værdipapirer, der beskadiges, tilintetgøres eller mistes, anses ikke for at være formueskader.
Endvidere anses idømte bøder, konventionalbod (for så vidt som der ikke er aftalt forsikringsdækning efter stk. 1.1.3), inddragelse af overskud eller godtgørelse med strafkarakter (f.eks. punitive eller exemplary damages), selvom disse pålægges en tredjepart, og at denne tredjepart efterfølgende fremsætter erstatningskrav mod sikrede eller medforsikrede personer med hensyn hertil, ikke for at være formueskader.
1.3.5 Tilsidesættelse af informationssikkerhed
Tilsidesættelse af informationssikkerhed foreligger i denne kontrakts forstand ved
- tilsidesættelse af databeskyttelse;
- tilsidesættelse af datafortrolighed
- tilsidesættelse af netværkssikkerhed.
1.3.6 Tilsidesættelse af databeskyttelse
Tilsidesættelse af databeskyttelse i denne kontrakts forstand foreligger, når sikrede eller medforsikrede personer i strid med den danske lov om persondata (Persondataloven) eller generelle bestemmelser om databeskyttelse indhenter, behandler eller udnytter personrelateret data. Dette gælder også ved tilsidesættelse af tilsvarende udenlandske retsforskrifter.
Som tilsidesættelse af databeskyttelse anses også:
- sikredes tilsidesættelse af lovpligtige underretningsforpligtelser over for databeskyttelsesmyndigheder og berørte naturlige personer (navnlig kapitel 5 i persondataloven) og andre anvendelige databeskyttelsesbestemmelser;
- sikredes tilsidesættelse af kontraktlige underretningsforpligtelser over for berørte naturlige personer;
- overtrædelser af forpligtende virksomhedsbestemmelser, således som omhandlet i § 27, stk. 4 i persondataloven, og som forsikringstageren selv har fastlagt (såkaldt Binding Corporate Rules).
1.3.7 Tilsidesættelse af datafortrolighed
Tilsidesættelse af datafortrolighed i denne kontrakts forstand er sikredes eller medforsikrede personers tilsidesættelse af fortroligheden vedrørende tredjeparts data, som sikrede har rådighed over.
Der er tale om tilsidesættelse af fortrolighed, hvis tredjeparts data fra sikredes rådighedssfære overgår til tredjeparts rådighedssfære eller til offentlighedens tilgængelighed, og hvor sikrede eller medforsikrede personer har overtrådt retsforskrifter vedrørende hemmeligholdelse eller særskilt, skriftligt aftalte hemmeligholdelsesforpligtelser vedrørende forretningsmæssige informationer, medmindre det drejer sig om kendsgerninger, der er åbenlyse eller efter deres betydning åbenlyst ikke kræver hemmeligholdelse.
1.3.8 Tilsidesættelse af netværkssikkerhed.
Tilsidesættelse af netværkssikkerhed i denne kontrakts forstand foreligger i forbindelse med følgende begivenheder:
- infektion af IT-systemer hos sikrede med en hvilken som helst art af skadelig software;
- Denial-of-Service-angreb på eller ved hjælp af IT-systemer hos sikrede;
- forhindring af autoriseret tilgang til IT-systemer hos sikrede eller til de data, som er lagret i IT-systemerne;
- uberettiget tilegnelse af adgangskoder eller elektroniske adgangsnøgler hos sikreden eller medforsikrede personer;
- uberettiget sletning, undertrykkelse, ubrugeliggørelse eller ændring af data, lagret i IT-systemer hos sikredes, således som omhandlet i § 279a i den danske straffelov (Straffeloven);
- uberettiget påvirkning af IT-systemer hos sikrede, således som omhandlet i § 263 i straffeloven;
- computersabotage af IT-systemer hos sikrede, således som omhandlet i straffeloven;
- tyveri af IT-systemer hos sikrede eller bortkomst af disse systemer. Følgende anses ikke for tyveri eller bortkomst i denne kontrakts forstand: beslaglæggelse, konfiskering, ekspropriation, overgang til statsejendom eller ødelæggelse af IT-systemer på foranledning af statslige myndigheder.
Forsikringstager er forpligtet til at fremlægge tilsidesættelsen af netværkssikkerheden over for HDI Danmark troværdigt i en dertil egnet form og i tilfælde af begrundet tvivl fra HDI Danmarks side at fremlægge bevis for tilsidesættelsen.
1.3.9 Fejlagtig betjening af IT-systemerne
Fejlagtig betjening af IT-systemerne i denne kontrakts forstand er en fejlfunktion i IT-systemet hos sikrede, udelukkende forårsaget ved en medforsikret persons uvidenhed, misforståelse, uagtsomhed eller forsømmelighed.
1.4 Ydelser 1.4.1
Forsikringsdækningen i henhold til punkt 1 omfatter kontrol af ansvarsspørgsmål, afværgelse af uberettigede erstatningskrav og friholdelse af sikrede og medforsikrede personer for berettigede erstatningsforpligtelser.
Såfremt andet ikke er aftalt, er HDI Danmark også inden for rammerne af den i policen aftalte selvrisiko forpligtet til afværgelse af uberettigede erstatningskrav.
Erstatningsforpligtelserne er berettigede såfremt sikrede eller en medforsikret person som følge af lovgivningen, en retskraftig dom, anerkendelse eller forlig er forpligtet til erstatning og HDI Danmark er bundet heraf.
Anerkendelser og forlig, der afgives eller indgås af sikrede eller en medforsikret person uden samtykke fra HDI Danmark, er kun bindende for HDI Danmark, såfremt kravet også uden anerkendelse eller forlig havde kunnet gøres gældende.
Såfremt sikredes eller en medforsikret persons erstatningsforpligtelse er konstateret med bindende virkning for HDI Danmark, er HDI Danmark forpligtet til inden for to uger at friholde sikrede eller den medforsikrede person for krav, fremsat af tredjepart.
HDI Danmark har fuldmagt til at afgive alle erklæringer der findes hensigtsmæssige til afvikling af skaden eller afværgelse af erstatningskrav på vegne af sikrede eller medforsikrede personer.
Såfremt krav om erstatning imod sikrede eller medforsikrede personer i forbindelse med en forsikringsbegivenhed kommer for retten, har HDI Danmark fuldmagt til at føre retssagen. HDI Danmark fører således retssagen på vegne af sikrede eller medforsikrede personer.
1.4.2
Såfremt HDI Danmark i forbindelse med en straffesag som følge af tilsidesættelse af informationssikkerhed eller en sag om overtrædelse af ordensforskrifter som følge af tilsidesættelse af databeskyttelse, der kan medføre et ansvarskrav, som er dækket af forsikringen, ønsker eller godkender advokatbestand for sikrede eller medforsikrede personer, afholder HDI Danmark sådanne rimelige og nødvendige omkostninger til advokatbistanden.
1.4.3. Yderligere limit for afværgelsesomkostninger
Såfremt forsikringssummen i henhold til denne kontrakt ikke længere er til disposition, fordi den er opbrugt, sikrer HDI Danmark yderligere dækning ved forsikringsbegivenheder, der indtræder inden for denne forsikringsperiode inden for rammerne af punkt 1 for afværgelsesomkostninger på maksimalt 375.000 kr. for alle forsikringsbegivenheder i denne forsikringsperiode.
1.5 Forsikringsbegivenhed
En forsikringsbegivenhed foreligger, når ansvarskrav grundet tilsidesættelse af informationssikkerheden, sket inden for dækningsperioden, første gang gøres gældende over for sikrede eller medforsikrede personer.
Ansvarskrav i denne kontrakts forstand er gjort gældende, når der første gang skriftligt inden for dækningsperioden rejses ansvarskrav over for sikrede eller medforsikrede personer.
1.6 Tidsmæssige bestemmelser for forsikringsdækningen
1.6.1 Tilsidesættelse af informationssikkerheden inden for dækningsperioden
Forsikringen dækker for forsikringsbegivenheder, indtrådt i dækningsperioden for tilsidesættelse af informationssikkerheden, som er sket inden for dækningsperioden.
1.6.2 Retroaktiv dækning
Der er dækning ved forsikringsbegivenheder, der er indtrådt inden for dækningsperioden som følge af en tilsidesættelse af informationssikkerheden, begået op til 2 år før det for forsikringen fastsatte starttidspunkt, og som hverken sikrede eller medforsikrede personer, som kravet rejses over for, havde kendskab til, da forsikringskontrakten blev indgået.
Følgende tilsidesættelser af informationssikkerheden i medforsikrede virksomheder eller hos medforsikrede personer, er ikke dækket af forsikringen med tilbagevirkende kraft, hvis de er begået
- inden en virksomhed er blevet til en medforsikret virksomhed efter punkt 4.1.1, eller
- efter at en virksomhed er blevet til en medforsikret virksomhed efter punkt 4.1.1 og de pågældende tilsidesættelser af
informationssikkerheden før dette tidspunkt udgør en serieskade, således om omhandlet i punkt 4.3.4.
1.6.3 Anmeldelsesfrist efter forsikringens ophør
Såfremt forsikringskontrakten ikke forlænges, er der med undtagelse af de tilfælde, hvor kontrakten ophører som følge af forsinket præmiebetaling, også dækning af forsikringsbegivenheder grundet tilsidesættelse af informationssikkerheden, sket inden kontraktens ophør og i dækningsperioden, og som følge af hvilke, der skriftligt rejses krav mod sikrede eller medforsikrede personer inden for
- et år i tilfælde forsikringstagers konkurs, fusionering eller likvidation (punkt 4.2);
- tre år i alle andre tilfælde
- fem år i alle andre øvrige tilfælde, såfremt forsikringskontrakten mindst har været indgået i en periode på tre år.
efter kontraktens ophør.
I tilfælde af forsikringstagers konkurs, fusionering eller likvidation (punkt 4.2) er forsikringstager derudover berettiget til inden for en måned efter ophør af forsikringskontrakten at forlænge anmeldelsesfristen efter forsikringens ophør til i alt tre år mod betaling af en tillægspræmie på 100 % af årspræmien i sidste forsikringsperiode.
Inden for anmeldelsesfristen efter forsikringens ophør er der dækning inden for rammerne af og i henhold til de ved udløb af sidste forsikringsperiode gældende forsikringsbetingelser, nærmere bestemt op til den ikke brugte del af forsikringssummen i sidste forsikringsperiode.
Tegner forsikringstager en anden cyber-(ansvars-) forsikring, bortfalder anmeldelsesfristen efter forsikringens ophør automatisk, når den nye forsikring træder i kraft, uafhængig af dennes betingelser og forsikringssum.
Tegner en medforsikret virksomhed en anden cyber-(ansvars-) forsikring, bortfalder anmeldelsesfristen efter forsikringens ophør for den medforsikrede virksomhed automatisk, når den nye forsikring træder i kraft, uafhængig af dennes betingelser og forsikringssum.
1.6.4 Anmeldelse af foreliggende omstændigheder
Forsikringstager kan, hvis han har kendskab til konkrete informationer om tilsidesættelse af informationssikkerheden til enhver tid under dækningsperioden og inden for det første år inden for anmeldelsesfristen efter forsikringens ophør over for HDI Danmark anmelde disse omstændigheder skriftligt, som det er muligt og ikke usandsynligt, at der vil blive rejst krav i anledning af. Såfremt der gøres krav gældende, antages det, at forsikringsbegivenheden er indtrådt på tidspunktet for anmeldelsen af omstændighederne. Forsikringsdækningens omfang svarer til de på dette tidspunkt gældende forsikringsbetingelser og op til et beløb, svarende til den ikke brugte del af forsikringssummen i den pågældende periode.
Forsikringsdækningen forudsættes af, at kravet senest fremsættes inden for den aftalte anmeldelsesfrist efter forsikringens ophør efter punkt
1.6.3 og anmeldes over for HDI Danmark.
Anmeldelsen skal indeholde en præcis beskrivelse af omstændighederne samt oplysninger om arten og størrelsen på den eventuelle skade, tidspunktet for tilsidesættelsen af informationssikkerheden og oplysninger om den mulige part, kravet rejses over for, og den mulige part, der rejser kravet.
2 Forsikringsdækning af egne skader
2.1 Hvad dækker forsikringen?
Forsikringsdækningen gælder inden for rammerne af forsikringsbetingelserne i henhold til punkterne 2.1.1 til 2.3 for de nødvendige og rimelige omkostninger og udgifter, som sikrede inden for dækningsperioden pålægges at udrede i forbindelse med de under punkterne 2.1.1 til 2.3 nævnte tjenesteydelser. Det er alene sikredes interesse, der forsikres.
informationssikkerheden sammen med tilsidesættelser af
2.1.1 Forebyggende service- og rådgivningsydelser
I tilfælde af tilstrækkelige faktiske holdepunkter for tilsidesættelse af informationssikkerheden dækker forsikringen i en periode på op til 48 timer fra første kontakt med den i policen nævnte virksomhed rimelige og nødvendige honorarer, udlæg og udgifter for den i policen nævnte virksomhed til
- forensiske undersøgelser efter punkt 2.1.2;
- juridisk rådgivning efter punkt 2.1.3;
- PR-arbejde i tilfælde af krisebegivenhed efter punkt 2.1.4.
For perioder derudover dækkes ovenfor nævnte omkostninger og udgifter inden for rammerne af punkt 2.1.1 kun, hvis HDI Danmark forud har givet skriftligt samtykke til forlængelsen.
2.1.2 Forensiske undersøgelser
I tilfælde af tilsidesættelse af informationssikkerheden dækker forsikringen rimelige og nødvendige honorarer, udlæg og udgifter for den i policen nævnte virksomhed til forensiske undersøgelser med henblik på at konstatere, hvad tilsidesættelsen blev forårsaget af og til anbefalinger til forebyggelse af eller en reaktion på sådanne tilsidesættelser af informationssikkerheden
For så vidt angår virksomheder, som ikke er nævnt i policen, er der kun dækning for ovenfor nævnte omkostninger og udgifter til forensiske undersøgelser, såfremt HDI Danmark forud har givet skriftligt samtykke til, at disse virksomheder har fået arbejdet i opdrag.
Udgifter til konstatering af, om data og software, som befandt sig i sikredes IT-systemer, kan genetableres, registreres på ny eller indhentes igen, er kun dækket via punkt 2.4.
2.1.3 Underretning
I tilfælde af tilsidesættelse af databeskyttelse dækker forsikringen sikredes rimelige og nødvendige egne omkostninger (undersøgelse, informationsbehandling, afsendelse, annonceindrykning etc.) for underretning af de berørte og de ansvarlige databeskyttelsesmyndigheder, såfremt forpligtelsen til den respektive underretning er lovbestemt.
Omkostninger og udgifter i forbindelse med tildeling af ordre til eksterne servicevirksomheder dækkes, såfremt denne er nødvendig for behørigt og rettidigt at opfylde den lovbestemte forpligtelse, og såfremt HDI Danmark forud har givet skriftligt samtykke til denne tildeling af ordre.
Forsikringsdækningen omfatter i den forbindelse også rimelige og nødvendige honorarer til en advokat for juridisk rådgivning i forbindelse med underretningen af de berørte og de ansvarlige databeskyttelsesmyndigheder.
2.1.4 PR-arbejde
I tilfælde af, at tredjepart i medierne offentliggør oplysninger om en faktisk og/eller påstået tilsidesættelse af informationssikkerheden
hos sikrede (krisebegivenhed), hvilket med overvejende sandsynlighed vil have en ikke bare ubetydelig skadevirkning på sikredes eller medforsikrede personers omdømme til følge, dækker forsikringen rimelige og nødvendige honorarer, udlæg og udgifter til den rådgivningsvirksomhed for PR-arbejde, som er nævnt i policen, eller til en ikke nævnt virksomhed, som sikrede med forudgående skriftlig accept fra HDI Danmark har givet i opdrag at etablere og gennemføre en kriserelateret strategi for PR-arbejde med henblik på opretholdelse eller genetablering af omdømmet. Forsikringen dækker rimelige og nødvendige honorarer, udlæg og udgifter, der forfalder inden for seks måneder efter indtrædelse af krisebegivenheden.
Forsikringsdækningen omfatter i den forbindelse også rimelige og nødvendige honorarer til en advokat for juridisk rådgivning om den kriserelaterede strategi for PR-arbejdet.
Omkostninger og udgifter til relevante nyheder, præsentationer og annoncer i medierne inden for rammerne af en kriserelateret strategi for PR-arbejde er omfattet af forsikringsdækningen, såfremt disse foranstaltninger forlods er aftalt med rådgivningsvirksomheden for PR- arbejdet og HDI Danmark forlods har givet sit skriftlige samtykke hertil.
2.1.5 Kreditovervågningstjenester
I tilfælde af tilsidesættelse af informationssikkerheden i forbindelse med bestemte personrelaterede data, som indeholder identitetsoplysninger, og som kombineret med andre data kan misbruges til at oprette nye bank- og kreditkortkonti i den berørte persons navn (f.eks. kreditkortnummer, sygesikringsnummer, kørekortnummer, ID- nummer/personnummer) dækker forsikringen rimelige og nødvendige udgifter til overvågningstjenester for kontrol og underretning.
Forsikringen omfatter udelukkende kreditovervågning
- som der gælder en lovbestemt forpligtelse eller en myndighedsmæssig bestemmelse fra den ansvarlige databeskyttelsesmyndighed for;
- som er tilbudt inden for en periode på tolv måneder fra første konstatering af tilsidesættelsen af informationssikkerheden, og som benyttes af den berørte person.
2.2 Ydelser
Forsikringsdækningen efter punkterne 2.1.1 til 2.1.5 omfatter afholdelse af de rimelige og nødvendige omkostninger og udgifter, som er nævnt under disse punkter.
I forbindelse med egne skader efter punkterne 2.1.3 til 2.1.5 skal sikrede forud aftale valg af advokat med HDI Danmark. HDI Danmark afholder omkostningerne efter § 126, stk. 2 i lov om rettens pleje (Retsplejeloven) eller efter tilsvarende udenlandsk lov. Efter forudgående særskilt og skriftligt samtykke fra HDI Danmark dækker forsikringen også omkostninger herudover inden for rammerne af honoraraftaler, såfremt disse navnlig i forhold til vanskeligheden i og betydningen af sagen skønnes rimelige.
2.3 Forsikringsbegivenhed
Forsikringsbegivenhed i forbindelse med egne skader efter punkterne
2.1.1 til 2.1.5 er i tilfælde af
- punkt 2.1.1 den første konstatering af tilstrækkelige faktiske holdepunkter for en tilsidesættelse af informationssikkerheden, begået af forsikringstager inden for dækningsperioden;
- punkt 2.1.2 den første konstatering af en tilsidesættelse af informationssikkerheden, begået af forsikringstager inden for dækningsperioden;
- punkt 2.1.3 den første konstatering af en tilsidesættelse af databeskyttelse, begået af forsikringstager inden for dækningsperioden;
- punkt 2.1.4 den første offentliggørelse i medierne inden for dækningsperioden;
- punkt 2.1.5 den første konstatering af en tilsidesættelse af informationssikkerhed, begået af forsikringstager inden for dækningsperioden;
2.4 Genetablering af data og software
2.4.1 Hvad dækker forsikringen, forsikringsbegivenhed
I tilfælde af konstateret tilsidesættelse af netværkssikkerheden for første gang i dækningsperioden er der inden for rammerne og omfanget af punkterne 2.4.1 til 2.4.6, dækning på forsikringsstedet af godtgørelse for nødvendige og rimelige omkostninger og udgifter (på første-risiko basis)
- til konstatering af, om data og software, som på tidspunktet for tilsidesættelsen af netværkssikkerheden befandt sig i sikredes IT- systemer, kan genetableres, registreres på ny eller indhentes igen;
- til genetablering af tidligere, driftsklar tilstand af forsikrede data og software, inklusive websites hos sikrede efter punkt 2.4.5, hvis sletningen, ændringen eller utilgængeligheden af data/software er sket uforudset.
Der er også forsikringsdækning for sletning, ændring eller utilgængelighed af forsikrede data og software, såfremt disse skader skyldes forkert betjening af IT-systemerne.
Det er alene sikredes interesse, der forsikres.
2.4.2 Forsikret og ikke forsikret data og software
De data og den software er forsikret, som sikrede er berettiget til at drage nytte af, for så vidt som disse befinder sig i sikredes IT-systemer.
Forsikringen dækker ikke data og software, der blot befinder sig i RAM, inkl. et midlertidigt lager.
2.4.3 Ikke forsikringsdækkede risici og skader
HDI Danmark yder uanset årsag ingen dækning for skader ved
- planlagte afbrydelser af hardware, databehandlingsanlæg eller datatelekommunikationsudstyr og - forbindelser;
- indførelse af nye IT-procedurer, IT-systemer eller software;
- mangler, der allerede fandtes ved tegningen af forsikringen, og som må have været forsikringstager eller hans repræsentanter bekendt, hvor kun skade ved grov uagtsomhed berettiger HDI Danmark til at nedsætte sin ydelse i forhold til graden af skyld.
2.4.4 Forsikringssted
Forsikringsdækningen gælder for alle sikredes faste driftssteder, inklusive eksterne lagringssteder for backup-datamedier samt forbindelsesvejene mellem driftsejendommene og de eksterne lagringssteder på forsikringens geografisk dækningsområde (punkt 4.13).
2.4.5 Erstatningsomfang
De nødvendige omkostninger og udgifter for genetablering af den tidligere, driftsklare tilstand for data og software dækkes.
Omkostninger og udgifter til genetablering vedrører især nødvendige
- maskinelle genindlæsninger fra backup-datamedier;
- genanskaffelse og genindlæsning eller genetablering af data (inklusive den herfor nødvendige dokumentationsbearbejdelse
/informationsfremskaffelse);
- Genetablering og geninstallation af standardprogrammer inklusive operativsystemer efter punkt 1.3.2, tredje bullet);
- genindlæsning af programdata fra individuelle programmer og programudvidelser (f.eks. konfigurationer, funktionsblokke) ud fra dokumentation hos sikrede (f.eks. kildekoder)
- fjernelse af skadelig software.
HDI Danmark yder ingen dækning for
- omkostninger og udgifter som følge af, at sikrede tillader anvendelse af data og software eller selv anvender sådanne, som efter punkt 2.4.2 ikke er forsikret;
- opretning af manuelt fejlagtigt indlæst data;
- omkostninger til fejlafhjælpning i software;
- meromkostninger og merudgifter som følge af ændringer eller forbedringer, som ligger ud over genetableringen;
- genanskaffelse eller genindlæsning af data og software senere end tolv måneder efter at skaden indtraf.
- xxxxx xxxxxxxxxxxx (f.eks. udgifter til genanskaffelse af
datamedier).
2.4.6 Udbetaling af erstatning
Erstatningen skal udbetales, når HDI Danmark er færdig med at fastlægge årsagen til skaden og størrelsen på kravet. Forsikringstager kan to uger efter anmeldelse af, at skaden er indtruffet, kræve et beløb udbetalt som forskud, der minimalt skal betales efter sagens omstændigheder.
2.5 Impersonation Fraud (sub-limit)
2.5.1 Impersonation Fraud, forårsaget af udenforstående tredjepart / hvad dækker forsikringen
HDI Danmark yder sikrede dækning inden for rammerne af efterfølgende betingelser for skader på deres formuer, som sikrede
- direkte har lidt ved at en udenforstående tredjepart har tilsidesat netværkssikkerheden, hvor dette opfylder betingelserne for en strafbar handling efter straffeloven, eller
- indirekte har lidt ved at en medforsikret person efter punkt 4.1.2 som følge af udenforstående tredjeparts tilsidesættelse af
netværkssikkerheden, hvor dette opfylder betingelserne for en strafbar handling efter straffeloven, fejlagtigt blev forledt til at foretage betalinger/overførsler.
Dette gælder også, hvis skaden sker i form af sikredes erstatningspligt over for en anden tredjepart.
En forudsætning for, at HDI Danmark er erstatningspligtig, er under alle omstændigheder, at den udenforstående tredjeparts handling skete med det sigte ulovligt at berige sig selv eller en anden tredjepart.
Udenforstående tredjeparter er personer, som der ikke på noget tidspunkt er indgået et kontraktforhold med.
2.5.2 Ydelser
HDI Danmark yder sikrede erstatning for skader efter punkt 2.5.1 på op
10 % af forsikringssummen, dog maksimalt 5.000.000 kr. pr. forsikringsbegivenhed og i alt pr. forsikringsår.
HDI Danmark yder inden for rammerne af den aftale sublimit sikrede yderligere dækning for de påviseligt fremkomne, nødvendige interne og eksterne omkostninger på i alt op til 20 % af den forsikrede, direkte skade, dog maksimalt den aftalte sublimit:
- udgifter, som påløber for sikrede i forbindelse med opklaring og rekonstruktion af skadesforløbet, konstateringen af skadesstørrelse eller opsporing af skadevolder, for så vidt som der ikke benyttes egne medarbejdere hos sikrede til disse opgaver (eksterne beregningsomkostninger for skaden).
- udgifter hos sikrede, som står i direkte forbindelse med forsikringsbegivenheden, og som fremkommer i forbindelse med, at erstatningskrav gøres gældende over for skadevolder for at opnå godtgørelseskrav i samme størrelse af denne forsikring (eksterne omkostninger til retsforfølgning).
2.5.3 Forsikringsbegivenhed
En skade efter punkt 2.5.1, som af sikrede konstateres for første gang inden for dækningsperioden, anses for at være en forsikringsbegivenhed, såfremt den tilsidesættelse af netværkssikkerheden, som ligger til grund herfor, og som opfylder betingelserne for en strafbar handling efter straffeloven, er indtrådt første gang under dækningsperioden.
2.5.4 Andre forudsætninger
Forudsætningen for udbetaling af godtgørelse er forsikringstagers eller en medforsikret virksomheds påvisning af en skade efter punkt 2.5.1, både hvad angår årsag og størrelse.
Såfremt sikrede ikke kan identificere den udenforstående tredjepart, så ydes der alligevel en godtgørelse, hvis der straks efter opdagelsen af en indtrådt skade efter punkt 2.5.1 foretages anmeldelse af det strafbare forhold, og det efter afslutningen af efterforskningen fremgår af efterforsknings- og straffesagsakterne samt af de øvrige sagsakter, der er stillet til rådighed, at den indtrådte skade med overvejende sandsynlighed er blevet begået af den udenforstående tredjepart, og at det ud fra hændelsesforløbet med overvejende sandsynlighed drejer sig om en skade efter punkt 2.5.1.
2.5.5 Subrogation
Såfremt efter en forsikringsbegivenhed et erstatningskrav over for tredjepart, som tilkommer sikrede, ikke allerede i kraft af loven overgår til HDI Danmark, skal sikrede overdrage et sådant krav til HDI Danmark.
På HDI Danmarks forlangende skal sikrede bekræfte overgangen skriftligt. Såfremt sådanne rettigheder samt rettigheder, der er indrømmet til sikring af skadeserstatningskrav, ikke overgår i kraft af loven, er sikrede forpligtet til at overdrage dem til HDI Danmark.
2.5.6 Anmeldelsesfrist efter forsikringens ophør
Punkt 1.6.3, stk. 1 og 3 finder inden for rammerne af stk. punkt 2.5 tilsvarende anvendelse.
2.5.7 Dækningsbegrænsninger
Ud over de i punkt 4.4 nævnte krav, der ikke dækkes, dækker forsikringen heller ikke
- indirekte skader som eksempelvis tab af indtjening, renter, konventionalbod og bødestraffe, bøder, toldafgifter, afgifter og gebyrer, løse- og afpresningspenge, penge for svie og smerte, skader i forbindelse med driftsafbrydelser og skader på omdømme;
- skader i forbindelse med afsløring af drifts- og forretningshemmeligheder;
- skader, der forårsages af eller forårsages med deltagelse af andelsindehavere eller aktionærer, der ejer mere end 15 % af kapitalen hos sikrede.
3 Driftsafbrydelse/Driftstab
OBS: Begrebet "Data/softwareskade", nævnt under dette punkt, skal også uden udtrykkelig henvisning forstås efter begrebsdefinitionen under punkt 3.2.1.
3.1 Hvad dækker forsikringen, forsikringsbegivenhed
Såfremt driften hos forsikringstager eller medforsikrede virksomheder inden for dækningsperioden afbrydes fuldstændigt eller delvist eller forstyrres (driftsafbrydelse) som følge af
- en data/softwareskade;
- en med forsikringstager aftalt forensisk undersøgelse efter punkt
2.1.2 hos sikrede;
- en bestemmelse fra en databeskyttelsesmyndighed, som skal fuldbyrdes øjeblikkeligt vedrørende standsning af driften hos sikrede grundet tilsidesættelse af databeskyttelsen;
- fejlagtig betjening af IT-systemerne
så yder HDI Danmark erstatning for det derved forårsagede driftstab inden for dækningstiden efter punkt 3.4 (på første-risiko basis).
Uden hensyn til medvirkende årsager ydes der ingen dækning for driftstab som følge af materielle skader, som ikke er data/softwareskader (f.eks. brandskader på databehandlingsanlæg eller mekaniske skader på maskiner som følge af en data/softwareskade).
3.2 Data-/softwareskade, ikke forsikringsdækkede risici og skader
3.2.1 Data/softwareskade
Ved data/softwareskade forstås en sletning, ændring eller utilgængelighed af data/software som følge af tilsidesættelse af netværkssikkerheden.
3.2.2 Ikke forsikringsdækkede risici og skader
HDI Danmark yder uanset årsag ingen dækning for driftstab som følge af
- data/softwareskade, for så vidt som sikrede ikke er berettiget til benyttelse af disse data/denne software;
- planlagte afbrydelser af hardware, databehandlingsanlæg eller datatelekommunikationsudstyr og - forbindelser (med undtagelse af afbrydelser grundet forensiske undersøgelser, aftalt med HDI Danmark efter punkt 2.1.2);
- indførelse af nye IT-procedurer, IT-systemer eller software;
- mangler, der allerede fandtes ved tegningen af forsikringen, og som må have været forsikringstager eller hans repræsentanter bekendt, hvor kun skade ved grov uagtsomhed berettiger HDI Danmark til at nedsætte sin ydelse i forhold til graden af skyld.
- opretning af manuelt fejlagtigt indlæst data og for fejlafhjælpning i software;
- ændringer eller forbedringer af data/software, som ligger ud over genetableringen;
- ikke nødvendige genanskaffelser eller genindlæsninger af
data/software.
3.3 Forsikringssted
Forsikringsdækningen gælder for sikredes faste driftssteder, inklusive eksterne lagringssteder for backup-datamedier samt forbindelsesvejene mellem driftsejendommene og de eksterne lagringssteder på forsikringens geografiske dækningsområde (punkt 4.13).
3.4 Skader vedrørende driftstab
Ved driftstab forstås mistede driftsindtægter og de fortsatte driftsomkostninger, som sikrede frem til det tidspunkt, fra hvilket driftstabet ikke længere forekommer, dog højest frem til tidspunktet for afslutningen af dækningstiden, ikke kunne indtjene som følge af driftsafbrydelsen eller driftsforstyrrelsen.
3.5 Meromkostninger
Derudover er der forsikringsdækning for de meromkostninger, der inden for dækningstiden fremkommer til afværgelse eller forkortelse af en driftsafbrydelse.
Ved meromkostninger forstås alle dokumenterede omkostninger og udgifter, der fremkommer inden for dækningsperioden efter indtrædelse af en data/softwareskade for første gang vedrørende
- overarbejdstimer for ansatte i virksomheden;
- midlertidigt beskæftiget hjælpepersonale;
- midlertidigt leje og/eller benyttelse af databehandlingsanlæg, tilhørende tredjepart;
- serviceydelser fra tredjepart, som der midlertidigt gøres brug af, f.eks. eksterne call-centre/hotlines;
- ordreproduktionsydelser fra tredjepart, som der midlertidigt gøres brug af, dvs. fremmedproduktion i stedet for egenproduktion,
som i den normale drift hos sikrede ikke forekommer, men som efter en forsikret data/softwareskade er nødvendige for sikrede at afholde for at kunne fortsætte driften.
Ved konstatering af meromkostninger skal alle forhold tages i betragtning, som under driftsafbrydelsen, dog højest frem til tidspunktet for afslutningen af dækningstiden, ville have påvirket driften og resultatet, gunstigt eller ugunstigt, såfremt afbrydelsen eller forstyrrelsen ikke var sket.
Er HDI Danmark berettiget til at nedsætte sin ydelse, kan HDI Danmark også nedsætte erstatningen for meromkostninger tilsvarende.
Udgifter til genetablering af data og software anses ikke for at være meromkostninger og forsikres alene inden for rammerne og omfanget af punkt 2.4.
Punkterne 3.9 og 3.10 berøres ikke af meromkostningsdækningen.
3.6 Dækningstid
Dækningstiden er det tidsrum, som er nævnt i policen, og som der er forsikringsdækning for driftstab inden for. Dækningstiden begynder ved første indtrædelse af afbrydelsen eller forstyrrelsen af den tekniske mulighed for anvendelse af data/software, dog senest på det tidspunkt, hvor tabet af indtægter starter.
Punkt 4.3.4 (serieskadeklausul) finder anvendelse her.
3.7 Erstatningsomfang
3.7.1 Beregning af erstatning
HDI Danmark yder erstatning for driftstab, når tidspunktet, fra hvilket data/softwareskaden efter anerkendte tekniske regler tidligst kunne konstateres af sikrede, ligger inden for den aftalte dækningsperiode.
Ved konstatering af driftstab skal alle forhold tages i betragtning, som under driftsafbrydelsen ville have påvirket driften og resultatet, gunstigt eller ugunstigt, såfremt afbrydelsen ikke var sket. Driftsindtægter og omkostninger skal navnlig ikke erstattes, såfremt de som følge af planlagte og nødvendige revideringer, vedligeholdelsesarbejder eller ændringer alligevel ikke var blevet indtjent.
Erstatning må ikke føre til en berigelse. Der skal tages rimeligt hensyn til økonomiske fordele, der efter tidspunktet, fra hvilket der ikke længere opstår driftstab, fremkommer som følge af afbrydelsen eller forstyrrelsen inden for dækningstiden. Denne tidsgrænse gælder ikke, såfremt planlagte eller nødvendige revideringer, vedligeholdelsesarbejder eller ændringer gennemføres før tiden under perioden med afbrydelsen.
Fortløbende omkostninger erstattes kun, såfremt den fortsatte betaling heraf er juridisk eller økonomisk begrundet, og såfremt de ville være fremkommet uden afbrydelsen eller forstyrrelsen.
HDI Danmark yder ingen erstatning, hvis tabet af indtægter øges som følge af
- usædvanlige begivenheder, der indtræder under afbrydelsen, men hvis indtræden ikke kan anses som en følge af skaden;
- begrænsninger fra myndighedernes side, medmindre det drejer sig om bestemmelser fra databeskyttelses-myndighedernes side efter punkt 3.1, stk. 2 med pålæg om at standse driften.
Ej heller yder HDI Danmark dækning for
- udgifter til rå-, hjælpe- eller driftsmaterialer samt indkøbte varer og tjenesteydelser, såfremt det ikke drejer sig om
- udgifter til opretholdelse af driften eller om betaling af mindstegebyrer og afgifter vedrørende køb af energi hos tredjepart;
- omsætningsafgifter, forbrugsskatter og eksporttold;
- udgående fragtomkostninger, såfremt løbende kontraktlige betalingsforpligtelser ikke står i vejen herfor, samt pakkeporto;
- omsætningsafhængige forsikringspræmier og -kontingenter;
- omsætningsafhængige licensafgifter;
- omsætningsafhængige opfindergodtgørelser;
- indtægter og omkostninger, som ikke hænger sammen med fabrikations-, handels- eller erhvervsvirksomheden, og opnås uden for det egentlige forretningsformål (f.eks. ved forretninger vedrørende kapital eller fast ejendom) eller som påløber;
- konventionalbod og dagbøder.
3.7.2 Tidsmæssig selvrisiko
Ved enhver forsikringsbegivenhed bærer forsikringstager den tidsmæssige selvrisiko, som er aftalt i policen. Den tidsmæssige selvrisiko starter ved den første indtrædelse af afbrydelsen eller forstyrrelsen af den tekniske mulighed for anvendelse af data/software. Såfremt den aftalte tidsmæssige selvrisiko overskrides, bortfalder denne med tilbagevirkende kraft, og i stedet finder selvrisiko efter punkt 4.3.6 anvendelse.
Punkt 4.3.4 (serieskadeklausul) finder anvendelse her.
3.8 Udbetaling af erstatning
Erstatningen skal udbetales, når HDI Danmark er færdig med at fastlægge årsagen til skaden og størrelsen på kravet. Hvis det efter udløb af to uger fra starten af afbrydelsen eller forstyrrelsen og efter udløb af hver yderligere måned er muligt at beregne det beløb, som HDI Danmark mindst skal godtgøre for den medgåede tid med afbrydelse eller forstyrrelse, kan forsikringstager forlange, at dette beløb udbetales som modregning i den samlede ydelse.
3.9 Forpligtelser til skadesbegrænsning
Forsikringstager skal efter bedste evne sørge for afværgelse og minimering af skaden, medmindre forsikringstager derved udsættes for urimelige krav. Navnlig er forsikringstager forpligtet til at træffe samtlige rimelige foranstaltninger for at begrænse eller minimere driftsforstyrrelser efter punkt 3.1.
Instrukser fra HDI Danmark skal følges, medmindre forsikringstager derved udsættes for urimelige krav. Forsikringstager skal fremsende udførlige og sandfærdige skadesrapporter til HDI Danmark og understøtte denne i forbindelse med opgørelsen og reguleringen af skaden. Alle omstændigheder, der efter HDI Danmarks opfattelse er vigtige for behandlingen af skaden, skal meddeles og alle herfor nødvendige sagsakter fremsendes.
3.10 Erstatning for udgifter
HDI Danmark skal godtgøre forsikringstagers udgifter til afværgelse og minimering af skaden, også selvom de ikke førte til noget resultat, i det omfang forsikringstager efter omstændighederne har måttet anse dem for nødvendige. HDI Danmark skal på forlangende fra forsikringstager godtgøre denne med det for udgifterne nødvendige beløb.
Udgifter godtgøres ikke
- hvis de medfører fordele for forsikringstageren ud over
dækningstiden;
- hvis der som følge af disse fremkommer omkostninger, som ikke er forsikrede.
Er HDI Danmark berettiget til at nedsætte sin ydelse, kan HDI Danmark også nedsætte erstatningen for udgifterne tilsvarende.
Udgifter, der påløber for forsikringstager som følge af instrukser fra HDI Danmark, skal også godtgøres i det omfang, de sammen med de øvrige ydelser overstiger forsikringssummen.
Udgifter, der påløber for forsikringstager uden instrukser fra HDI Danmark, skal kun godtgøres i det omfang, de sammen med de øvrige ydelser ikke overstiger forsikringssummen.
For så vidt angår alle ydelser fra HDI Danmark vedrørende godtgørelse af udgifter betaler forsikringstager for hver forsikringsbegivenhed det beløb, der i policen er aftalt som selvrisiko. Punkterne 3.7 og 4.3.4. finder anvendelse.
3.11 Benyttelse af cloud-/ IT-tjenesteydelser (option)
Såfremt det er særskilt aftalt, dækker forsikringen inden for rammerne og omfanget af punkterne 3.1. til 3.10 også i tilfælde af, at driften hos sikrede under kontraktperioden med en nævnt udbyder af cloud/IT- tjenesteydelser helt eller delvist afbrydes eller indskrænkes. Inden for rammerne og omfanget af dette punkt anses også IT-systemer hos benyttede udbydere af cloud/IT-tjenesteydelser som IT-systemer.
HDI Danmarks ydelser under dette punkt er inden for rammerne af forsikringssummen begrænset til en sub-limit på 25 % af forsikringssummen, dog maksimalt 5.000.000 kr. pr. forsikringsbegivenhed og i alt pr. forsikringsår.
4 Generel del
Medmindre der udtrykkeligt er afvigende bestemmelser under de pågældende punkter, gælder denne generelle del for punkterne 1 til 3.
4.1 Forsikringstager/medforsikrede virksomheder og medforsikrede personer
4.1.1 Medforsikrede virksomheder/nytilkomne virksomheder Der er forsikringsdækning for den i policen nævnte forsikringstager og de medforsikrede virksomheder (datterselskaber).
Datterselskaber er virksomheder, som er associerede med forsikringstager efter § 5, nr. 3, jf. §§ 6 og 7 i den danske selskabslov (Selskabsloven) og i hvilke forsikringstager direkte eller indirekte har afgørende indflydelse enten gennem
- majoritet af stemmerettigheder eller
- retten til at indsætte og afskedige flertallet af medlemmer i administrative organer, ledelser og bestyrelser, såfremt forsikringstager også er selskabsdeltager, eller
- retten til at udøve en afgørende indflydelse på grundlag af indgået ledelsesaftale med denne virksomhed eller på grundlag af en vedtægtsbestemmelse i denne virksomhed eller
- overtagelse af størstedelen af risici og muligheder ud fra en økonomisk synsvinkel, hvis virksomhedens formål er at opnå et snævert begrænset og nøje defineret mål for moderselskabet (formålsselskab).
Et selskab, der i sin etableringsfase bliver til et datterselskab eller skal blive til det sådant, anses for at være et datterselskab.
Et selskab, der har sit hjemsted i et land, hvor forsikringsdækning fra udlandet efter den ret, der finder anvendelse i det pågældende land, ikke er tilladt, anses ikke for at være et datterselskab (såkaldt Non-Admitted- Not-Allowed).
For datterselskaber, der først efter begyndelsen af denne kontrakt erhverves eller etableres af forsikringstager, er der dækning for tilsidesættelser af informationssikkerheden, hvor disse tilsidesættelser er indtrådt efter datoen for overtagelsen eller etableringen.
Nytilkomne virksomheder, som er tilkommet efter begyndelsen af kontrakten, er ikke omfattet af den automatiske dækning,
- hvis der i disse ikke findes rimelige IT-sikkerhedsstandarder, navnlig egnede tekniske og organisatoriske procedurer efter punkt 4.9.4; på anfordring fra HDI Danmark skal spørgsmål vedrørende risici besvares, og der skal fremlægges beviskraftige risikoinformationer, eller
- hvis konsoliderede balancesum eller konsoliderede omsætning overstiger forsikringstagers sidste konsoliderede balancesum eller sidste konsoliderede omsætning med 10 %, eller
- som er en del af finanssektoren, telekommunikations-, IT- eller mediebranchen, eller
- som har sit hjemsted i USA eller på et US-territorium.
Nytilkomne virksomheder, som der findes rimelige IT- sikkerhedsstandarder i således som omhandlet under første bullet, men som ikke anvender de IT-sikkerhedsstandarder, som er implementeret hos forsikringstager, skal straks indberettes til HDI Danmark med angivelse af afvigelserne. For så vidt angår ovennævnte nytilkomne virksomheder er der en foreløbig automatisk medforsikring for et tidsrum på seks måneder efter dato for overtagelse eller etablering.
Banker, sparekasser, kapitalinvesteringsselskaber, fonde, forsikringsselskaber samt andre selskaber, der er underlagt tilsyn fra de danske finanstilsynsmyndigheder (Finanstilsynet), inklusive tilsvarende udenlandske virksomheder og tilsynsmyndigheder, anses for at være en del af finanssektoren.
Træder et datterselskab i likvidation eller ophører det efter det fastsatte tidspunkt for begyndelsen af forsikringen med at være et datterselskab i henhold til stk. 1 under dette punkt, dækker forsikringen for det pågældende datterselskab kun forsikringsbegivenheder som følge af tilsidesættelser af informationssikkerheden, som er begået inden afslutningen af likvidationen eller før forudsætninger efter stk. 1 under dette punkt bortfalder. Forsikringsdækningen gælder ved forsikrings- begivenheder, der indtræder inden afslutningen af dækningsperioden eller en anmeldelsesfrist efter forsikringens ophør, som finder anvendelse.
4.1.2 Medforsikrede personer
Medforsikrede personer er
- de lovmæssige repræsentanter hos sikrede og alle øvrige medarbejdere (inklusive praktikanter, udlånte medarbejdere, freelancere og optagne medarbejdere fra andre virksomheder), som udfører deres tjenstlige opgaver for sikrede;
- de personer, som hos sikrede er fratrådt som lovmæssige repræsentanter for sikrede, samt andre medarbejdere, såfremt der rejses krav mod disse vedrørende deres tidligere arbejde for sikrede.
4.2 Forsikringstagers konkurs, fusionering, likvidation
Såfremt det begæres, at forsikringstagers bo tages under konkursbehandling, ophører forsikringsaftalen automatisk med udløbet af dækningsperioden, i hvilken konkursbegæringen fremsættes eller afvises grundet boets utilstrækkelighed efter den danske konkurslov (Konkursloven).
I tilfælde af forsikringstagers opløsning uden afvikling som følge af en omdannelse i henhold til selskabsloven dækker forsikringen kun forsikringsbegivenheder som følge af tilsidesættelser af informationssikkerheden, der blev begået inden at omdannelsen civilretlig blev virksom. Forsikringskontrakten ophører automatisk med udløb af forsikringsperioden.
I tilfælde af likvidation hos forsikringstager, uden at dette beror på konkurs, dækker forsikringen tilsidesættelser af informationssikkerheden
automatisk med udløb af den forsikringsperiode, som likvidationen blev afsluttet inden for.
I alle ovennævnte tilfælde kræves der ikke nogen særskilt opsigelse.
4.3 Bestemmelser vedrørende omfang af ydelse
4.3.1 Forsikringssum
Forsikringssummen udgør det største beløb, som det ved hver enkel forsikringsbegivenhed påhviler HDI Danmark at udrede.
HDI Danmarks ydelsespligt ved alle forsikringsbegivenheder inden for en forsikringsperiode er begrænset til den maksimale årlige erstatningsydelse, nævnt i policen.
De sub-limits, som er nævnt i policen, udgør den maksimale grænse for de ydelser, HDI Danmark er forpligtet til at yde for de dækningselementer, der er underlagt en sub-limit, og de modregnes i forsikringssummen og den maksimale årlige erstatningsydelse.
4.3.2 Modregning af omkostninger
Godtgørelse for udgifter vedrørende egne skader, driftstab, samt afværgelsesomkostninger med undtagelse af HDI Danmarks egne omkostninger, samt skyldige renter efter forfald af forsikringsydelsen er en del af forsikringssummen og modregnes i henhold til disse betingelser i forsikringssummen.
4.3.3 Afregning af krav
Såfremt den afregning af et ansvarskrav, som kræves af HDI Danmark efter punkt 1 ved anerkendelse, opfyldelse eller forlig, slår fejl som følge af forsikringstagers adfærd, er HDI Danmark ikke forpligtet til at dække meromkostninger vedrørende godtgørelse, renter og omkostninger, som fremkommer efter denne nægtelse.
4.3.4 Serieskader
Flere forsikringsbegivenheder og/eller skader
- af samme årsag eller
- af lignende årsag, såfremt der mellem de flere lignende årsager foreligger en indre, navnlig saglig og tidsmæssig sammenhæng eller
- som er blevet forårsaget af samme person eller samme personer,
anses for at være en forsikringsbegivenhed (såkaldt serieskade) og uafhængigt af dens faktiske indtræden for at være indtrådt på det tidspunkt, som den første forsikringsbegivenhed og/eller skade i denne serie indtrådte på.
Aftalte selvrisici fremkommer i alt kun en gang pr. serieskade.
For punkt 3 gælder, at den aftalte dækningstid kun er til rådighed en gang pr. serieskade.
Delvist afvigende fra punkterne 1, 2 og 3 vedrører den tidsmæssige gyldighed af forsikringsdækningen udelukkende forsikringsbegivenheder inden for sådanne serier, hvor den første forsikringsbegivenhed og/eller skade er indtrådt inden for forsikringens gyldighed. Ligger den første forsikringsbegivenhed og/eller skade i en serie før det tidspunkt, der er fastsat som forsikringens begyndelse, er den samlede serieskade ikke dækket.
4.3.5 Akkumulation
Er den forsikringsbegivenhed og/eller skade, som er gjort gældende, også forsikret under en anden forsikringskontrakt hos sikrede, så prioriteres denne police som den specifikke kontrakt (prioritetsbestemmelse).
Er den anden forsikringskontrakt også tegnet hos et selskab inden for Talanx-koncernen, er ydelsen i alt begrænset til den største af de aftalte forsikringssummer, og hvor alene den højest aftalte selvrisiko finder anvendelse.
Ovenstående ordning gælder ikke for særskilt etablerede policer omfattende bestyrelses- og direktionsansvar hos selskaber i Talanx- koncernen.
frem til afslutningen af likvidationen. Forsikringskontrakten ophører
Er der inden for et skadeskompleks tale om flere definitioner af en forsikringsbegivenhed, der falder i forskellige forsikringsperioder, sker der ingen kumulering af forsikringssummerne fra flere forsikringsperioder. Forsikringssummen fra den forsikringsperiode, som den første tilsidesættelse af informationssikkerheden skete inden for, finder anvendelse.
4.3.6 Selvrisiko
For så vidt angår alle ydelser fra HDI Danmark inklusive godtgørelse af udgifter efter punkt 4.10.3 betaler forsikringstager for hver forsikringsbegivenhed det beløb, der i policen er aftalt som selvrisiko.
Hvis der for enkelte dele af en skade kan anvendes forskellige selvrisici, så er summen af disse begrænset af beløbet for den højst anvendelige selvrisiko.
Der sker ikke nogen modregning af selvrisici i forsikringssummen.
4.4 Ikke dækkede krav
Der er ikke dækning for krav
4.4.1
- som følge af eller i forbindelse skader, der beror på en forsætlig fremkaldelse af forsikringsbegivenheden;
- som følge af eller i forbindelse med skader, der beror på en bevidst pligtforsømmelse eller bevidst fravigelse fra lovpligtige eller myndighedsmæssige bestemmelser eller instrukser.
Såfremt det er omstridt, om der foreligger en bevidst pligtforsømmelse eller en bevidst tilsidesættelse af lovforskrifter, myndigheders pålæg eller anvisninger, yder HDI Danmark foreløbig forsikringsdækning til afværgelse af ansvarskrav efter punkt 1. HDI Danmark friholdes med tilbagevirkende kraft for ovenstående forpligtelse til at yde afværgelsesdækning, hvis det i en afgørelse, truffet af myndigheder eller af en domstol (ansvars- eller dækningsproces) eller ved forlig endeligt fastslås, at der foreligger en bevidst pligtforsømmelse eller en bevidst tilsidesættelse af lovforskrifter, myndigheders pålæg eller anvisninger. De ydelser, som HDI Danmark har betalt, skal i sådanne tilfælde tilbagebetales i deres fulde omfang.
Sikrede tilregnes kun deres repræsentanters adfærd, forseelse, bevidste handling, kendskab eller det at burde have kendskab efter punkt 4.15;
4.4.2
for skader af enhver art som følge af produkter, arbejder eller andre ydelser, sikrede har bragt på markedet;
4.4.3
for så vidt som kravene som følge af en kontrakt eller særligt tilsagn går ud over omfanget af lovpligtigt ansvar;
4.4.4
- mellem forsikringstager og/eller medforsikrede virksomheder og/eller medforsikrede personer under denne kontrakt indbyrdes; dette gælder dog ikke for krav fra medforsikrede personers side mod deres arbejdsgiver for tilsidesættelser af databeskyttelse;
- fra forsikringstagers selskabsdeltagere med ubegrænset personlig hæftelse, når forsikringstager er et interessentskab eller et kommanditselskab;
- fra forsikringstagers partnere, når forsikringstager er en registreret partnerselskabskonstruktion.
- fra forsikringstagers likvidatorer, bestyrere af brugspant eller kuratorer;
- i forbindelse med krav over for medlemmer af sikredes ledelses- eller tilsynsorganer;
4.4.5
som følge af eller i forbindelse med
- krænkelser af patentrettigheder eller skader som følge af tab af patenterbarhed;
- tilsidesættelse af drifts- eller forretningshemmeligheder, dette gælder dog ikke for drifts- eller forretningshemmeligheder, hvis
der er forsikringsdækning efter punkt 1.1 for tilsidesættelser af datafortroligheden;
- licenser, inklusive betaling af licensafgifter; dette gælder dog ikke for udgifter efter punkt 2.4.5 for nylige licenserhvervelser, der fremkommer, fordi forsikrede data eller software er sikret ved kopibeskyttelse, tilgangsbeskyttelse eller andre foranstaltninger;
- krænkelse af kartel- eller konkurrencebestemmelser; dette gælder dog ikke, hvis der er forsikringsdækning efter punkt 1.1.2, tredje bullet (medieansvar);
4.4.6
som følge af eller i forbindelse med omstændigheder, skader og/eller verserende sager for domstole eller myndigheder, som sikredes repræsentanter allerede inden begyndelsen af forsikringsdækningen (punkt 4.6) var bekendt med;
4.4.7
som følge af skader af enhver art, som direkte eller indirekte beror på krig, krigeriske handlinger, invasion eller krigslignende operationer, borgerkrig, indre uroligheder, opstand, revolution, oprør, civil opstand eller statsindgreb.
Ved statsindgreb forstås ekspropriation, nationalisering, beslaglæggelse, tilegnelse eller enhver anden handling i opdrag af eller bestemt af en stat, en regering, en offentlig retlig organisation, myndighed eller anden (de facto) statsinstitution.
4.4.8
som følge af skader grundet eller i forbindelse med enhver form for afbrydelse eller forstyrrelse af forsyningen med
- el, gas, olie eller
- internet-, kabel-, satellit-, telekommunikationsforbindelser,
såfremt årsagen til afbrydelsen eller forstyrrelsen ikke ligger inden for forsikringstagers eller medforsikrede virksomheders kontrolområde;
4.4.9
- som følge af sikredes tab fra handel for egen regning eller gældsforpligtelser vedrørende handel (handelspassiver);
- som følge af tab ved elektroniske overførsler eller anvisninger, som foretages af forsikringstager, i hans navn eller af medforsikrerede virksomheder eller i deres navn; dette gælder ikke, såfremt der foreligger forsikringsdækning efter punkt 2.5 (Impersonation Fraud);
- som følge af køb, salg eller handel med aktier, kapitalandele eller andre værdipapirer inklusive brugen af fortrolig information (f.eks. insider-informationer) eller ved overtrædelse af love og bestemmelser, som anvendes herfor; dette gælder ligeledes som følge af, at sikrede ved overskridelse af fuldmagt foretager uberettigede forretningstransaktioner;
- i forbindelse med tilsidesættelser af informationssikkerheden, som indebærer en påvirkning af sikredes eller andre virksomheders børskurs;
- som følge af en fejlagtig fremstilling af sikredes finansielle og økonomiske stilling, f.eks. i årsberetninger, presseartikler eller på pressekonferencer;
4.4.10
som følge af eller i forbindelse med skader og/eller sager ved domstole eller myndigheder i USA eller territorier under US-lov;
4.4.11
hvis og i det omfang det er forbudt for HDI Danmark som følge af de lovmæssige bestemmelser, denne er underkastet, at stille forsikringer til disposition eller betale forsikringsydelser.
Lovmæssige bestemmelser er her navnlig:
- Den Europæiske Unions bestemmelser
- øvrige danske lovmæssige bestemmelser eller
- øvrige bestemmelser, der umiddelbart kan anvendes ud fra gældende EU-ret.
4.5 Forsikringstagers anmeldelsespligt
4.5.1
Forsikringstager skal, indtil denne afgiver sin kontrakterklæring, meddele HDI Danmark alle forsikringstager bekendte risikoomstændigheder, som HDI Danmark skriftligt har udbedt sig oplysninger om, og som er af afgørende betydning for HDI Danmarks beslutning om at indgå kontrakten med det aftalte indhold. Forsikringstager er også forpligtet til at give oplysninger i det omfang HDI Danmark efter forsikringstagers accepterklæring, men inden accept af policen, skriftligt stiller spørgsmål i henhold til stk. 1.
Urigtige oplysninger vedrørende risikoomstændigheder eller svigagtig fortielse af andre risikoomstændigheder kan berettige HDI Danmark til af afvise forsikringsdækningen.
4.5.2
Forsikringstager er forpligtet til på HDI Danmarks forespørgsel herom straks at meddele denne alle efter indgåelse af kontrakten indtrådte omstændigheder, som øger de dækkede risici. Dette gælder såvel de af forsikringstager forårsagede som de af tredjepart med forsikringstagers billigelse forårsagede risikoforhøjelser. De i punkt 4.5.1 nævnte retsfølger er gældende.
4.6 Start af forsikringsdækning
Med forbehold for bestemmelserne om følgerne af for sent eller manglende betaling af den første præmie eller af engangspræmien starter forsikringsdækningen på det i policen anførte tidspunkt.
4.7 Dækningsperiode, opsigelse 4.7.1
Kontrakten er i første omgang indgået for den i policen fastsatte periode.
Andrager den mindst et år, forlænges policen stiltiende hver gang med endnu et år, medmindre den senest 3 måneder før udløb er opsagt af enten forsikringstager eller HDI Danmark.
4.7.2
Efter at forsikringsbegivenheden er indtrådt, kan hver kontraktpart opsige den policen . Opsigelsen skal ske skriftligt, og kan kun ske til udgangen af en måned efter afslutning af forhandlingerne om godtgørelse.
Opsiger forsikringstager, er hans opsigelse gyldig i det øjeblik den indgår hos HDI Danmark. Forsikringstager kan dog bestemme, at hans opsigelse skal være gyldig på et senere tidspunkt, dog senest med udgangen af den løbende dækningsperiode.
Opsigelse fra HDI Danmarks side er gyldig tre måneder efter at den er indgået hos forsikringstager.
4.8 Beregning, betaling og tilpasning af præmie
4.8.1 Beregning af præmie
Grundlaget for beregning af præmien er den samlede omsætningssum i forsikringsåret ekskl. moms, oprundet til hele tusinder i den aftalte valutaenhed.
Omsætningen hos medforsikrede virksomheder, filialer mv. er indeholdt i forsikringstagers omsætning (konsolideret omsætning).
Præmiesatsen gælder for den virksomhedstype, som er beskrevet i policen/tillægget, og for det p.t. aftalte forsikringsomfang. Ændringer - også risici, der fremkommer som nye for forsikringstager, kræver en ny fastsættelse af præmien.
4.8.2 Tilpasning af præmie
På opfordring fra HDI Danmark er forsikringstager forpligtet til skriftligt at meddele ændringer i de forsikrede risici og den samlede årsomsætning ekskl. moms. Til det formål fremsender HDI Danmark hvert år et spørgeskema til forsikringstager. Forsikringstager er forpligtet til at besvare spørgeskemaet inden for tre måneder. På HDI Danmarks forlangende skal oplysninger fra regnskabsbøger og andre bilag dokumenteres.
Årspræmien for den samlede løbende forsikringsperiode baseres på spørgeskemaet. Ved ændringer i de forsikrede risici eller i den samlede årsomsætning sker der en tilpasning af præmien. Der sker ingen tilpasning af præmien for så vidt angår tidligere forsikringsperioder.
Undlader forsikringstager at indsende spørgeskemaet rettidigt, kan HDI Danmark i stedet for en tilpasning af præmien kræve den aftalte præmie for den samlede løbende forsikringsperiode en gang mere. Såfremt spørgeskemaet foreligger inden for en måned efter modtagelse af krav om efterbetaling fra HDI Danmarks side, bortfalder forsikringstagers forpligtelse til at betale præmien en gang mere, og HDI Danmark foretager tilpasningen af præmien.
4.9 Forpligtelser før indtræden af forsikringsbegivenhed 4.9.1
For forsikring mod egne skader (punkt 2) og driftsafbrydelse/driftstab
(punkt 3) gælder følgende:
Forud for en forsikringsbegivenheds indtræden, skal forsikringstager have en kontraktligt aftalt forpligtelse om overholdelse af alle lovmæssige, myndighedsmæssige og aftalte sikkerhedsforskrifter.
4.9.2
Særligt faretruende omstændigheder skal forsikringstager på HDI Danmarks forlangende fjerne inden for en rimelig frist. Dette gælder ikke, hvis fjernelsen under afvejning af begge siders interesser udgør et urimeligt krav. En omstændighed, som har ført til en skade, anses uden videre for at være særligt faretruende.
4.9.3
Inden for dækningsperioden er forsikringstager yderligere forpligtet til
- straks at meddele det rådgivningsfirma, som er nævnt i policen, at der er konstateret tilstrækkeligt faktiske holdepunkter for en tilsidesættelse af informationssikkerheden (OBS: Denne meddelelse erstatter ikke anmeldelsen af forsikringsbegivenheden over for HDI Danmark efter punkt 4.10.1),
- og gøre alt, hvad der er nødvendigt for at begrænse udgifterne til det omfang, som er nødvendigt og objektivt egnet til at forhindre skaden i at indtræde, eller mindske omfanget af skaden,
- og på HDI Danmarks forlangende i rette tid at gøre indsigelser mod bestemmelser fra myndighedernes side eller aftale foranstaltninger med HDI Danmark;
- over for HDI Danmark at anmelde første ordre, afgivet til ekstern virksomhed efter punkt 1.1.1 på behandling af data fra tredjepart, samt væsentlige ændringer i eksisterende ordreomfang inden for rammerne af normal forretningsgang, fra tidspunktet for kendskab hertil eller senest på forespørgsel fra HDI Danmarks side, og med angivelse af udbyder og omfanget af tjenesteydelsen; afgørende er her ændringer i relation til forsikringstagers angivelser i det til enhver tid aktuelle spørgeskema.
Som væsentlig ændring anses ud over den første ordre skift af udbyder og ophævelse af kontrakt;
4.9.4
Inden for dækningsperioden skal forsikringstager ved egnede tekniske og organisatoriske foranstaltninger sørge for, at de IT-systemer og data, der benyttes af sikrede og medforsikrede personer samt videregivelse af data er beskyttet med relevante sikkerhedsforanstaltninger (f.eks. virusscanner, firewall, krypteringssystemer, backups, serversikkerhed), som lever op til det aktuelle tekniske niveau.
Det aktuelle tekniske niveau i denne kontrakts forstand er et niveau for avancerede procedurer, udstyr eller driftsmetoder, som sikrer den praktiske egnethed af en foranstaltning til beskyttelse af IT-systemers, komponenters eller processers funktionsevne mod forringelse i henseende til tilgængelighed, integritet, autenticitet og fortrolighed. Ved bestemmelse af det aktuelle tekniske niveau skal navnlig sådanne sammenlignelige procedurer, udstyr og driftsmetoder tages i betragtning, som med succes er blevet afprøvet i praksis.
Forsikringstager skal reagere på ændringer i det aktuelle tekniske niveau i rimelig tid ved herfor nødvendige foranstaltninger. Foranstaltninger er
kun nødvendige, hvis udgifterne til dem står i et rimeligt forhold til det tilstræbte mål for beskyttelse.
4.9.5
I forbindelse med outsourcing af IT-systemer og/eller benyttelse af cloud/IT-tjenesteydelser skal forsikringstager sikre ved kontraktlige aftaler og egnede kontrolforanstaltninger, at aktuelle nødvendige sikkerhedsstandarder og lovmæssige eller myndighedsmæssige bestemmelser altid overholdes. Hvis forsikringstager bliver bekendt med manglende overholdelse af sikkerhedstandarder eller -bestemmelser skal afhjælpning heraf øjeblikkeligt fremmes.
4.10 Forpligtelser efter indtræden af forsikringsbegivenhed; godtgørelse af omkostninger
4.10.1
Enhver forsikringsbegivenhed skal straks - og senest inden for en uge - meddeles HDI Danmark.
4.10.2
Forsikringstager skal efter bedste evne sørge for afværgelse og minimering af skaden. Forsikringstager skal følge instrukser fra HDI Danmarks side, medmindre denne derved udsættes for urimelige krav. Forsikringstager skal fremsende udførlige og sandfærdige skadesrapporter til HDI Danmark og understøtte denne i forbindelse med opgørelsen og reguleringen af skaden. Alle omstændigheder, der efter HDI Danmarks opfattelse er vigtige for behandlingen af skaden, skal meddeles og alle herfor nødvendige sagsakter fremsendes.
4.10.3
HDI Danmark skal godtgøre forsikringstagers udgifter til afværgelse og minimering af skaden, også selvom de ikke førte til noget resultat, i det omfang forsikringstager efter omstændighederne har måttet anse dem for nødvendige. HDI Danmark skal på forlangende fra forsikringstager godtgøre denne med det for udgifterne nødvendige beløb.
Er HDI Danmark berettiget til at nedsætte sin ydelse, kan denne også nedsætte godtgørelsen for udgifterne tilsvarende.
Udgifter, der påløber for forsikringstager efter instrukser fra HDI Danmarks side, skal også godtgøres i det omfang, de sammen med de øvrige ydelser overstiger forsikringssummen.
Udgifter, der påløber for forsikringstager uden instrukser fra HDI Danmarks side, skal kun godtgøres i det omfang, de sammen med de øvrige ydelser ikke overstiger forsikringssummen.
For så vidt angår alle ydelser fra HDI Danmarks side vedrørende godtgørelse af udgifter betaler forsikringstager for hver forsikringsbegivenhed det beløb, der i policen er aftalt som selvrisiko. Punkterne 4.3.4 og 4.3.6. finder anvendelse.
4.10.4
For så vidt angår forsikring af ansvarskrav (punkt 1) gælder følgende: Hvis der indledes en sag mod forsikringstager ved statsadvokaten/anklagemyndigheden, en anden myndighed eller ved en domstol, udstedes betalingspåkrav mod forsikringstager eller denne modtager en procestilvarsling, skal det omgående meddeles til HDI Danmark.
4.10.5
For så vidt angår forsikring af ansvarskrav (punkt 1) gælder følgende: Forsikringstager skal inden for gældende frist gøre indsigelse eller gøre brug af andre nødvendige retsmidler mod betalingskrav eller mod forvaltningsmyndigheders beslutning om skadeserstatning. Hertil kræves ikke instruks fra HDI Danmarks side.
4.10.6
Forsikringstager skal iagttage regreskrav eller rettigheder, der tjener sikringen af disse regreskrav, under overholdelse af gældende form- og fristbestemmelser. Forsikringstagers regreskrav over for tredjemand overgår til HDI Danmark, såfremt denne har udbetalt forsikringsydelser. HDI Danmark kan kræve, at der udstedes et dokument til dokumentation af fordringsovergangen, eller denne kan kræve enhver anden nødvendig
medvirken fra forsikringstagers side i forbindelse med HDI Danmarks gennemførelse af regreskravene.
4.11 Retsfølger ved tilsidesættelse af forpligtelser 4.11.1
Såfremt forsikringstager forsømmer en pligt efter denne kontrakt, som denne skal opfylde inden indtræden af en forsikringsbegivenhed, kan HDI Danmark inden for en måned fra det tidspunkt, denne har fået kendskab til pligtforsømmelsen, uden varsel opsige kontrakten. HDI Danmarks ret til at opsige kontrakten bortfalder, hvis forsikringstager dokumenterer, at pligtforsømmelsen hverken skete forsætligt eller som følge af grov uagtsomhed.
4.11.2
Såfremt en pligt efter denne kontrakt forsætligt forsømmes, mister forsikringstager sin forsikringsdækning. Ved forsømmelse af en pligt som følge af grov uagtsomhed er HDI Danmark berettiget til at reducere sin ydelse i forhold til grovheden i forsikringstagers forseelse.
Fuldstændigt eller delvist bortfald af forsikringsdækningen ved tilsidesættelse af en efter indtræden af forsikringsbegivenheden foreliggende oplysnings- eller opklaringsforpligtelse forudsætter, at HDI Danmark ved særskilt skriftlig meddelelse har oplyst forsikringstager om denne retsfølge.
Såfremt forsikringstager kan påvise, at han ikke har tilsidesat forpligtelsen ved grov uagtsomhed, eksisterer dækningen fortsat.
Forsikringsdækningen eksisterer også fortsat, hvis forsikringstager påviser, at tilsidesættelsen af forpligtelsen hverken var årsag til indtræden eller konstatering af forsikringsbegivenheden eller til konstateringen eller omfanget af den ydelse, der påhviler HDI Danmark. Dette gælder ikke, hvis forsikringstager svigagtigt har tilsidesat forpligtelsen.
Ovenstående bestemmelser gælder uafhængigt af, om HDI Danmark udøver sin ret til opsigelse i henhold til punkt 4.11.1.
4.12 Risikoforhøjelse
Risikoforhøjelse foreligger, hvis de faktiske omstændigheder efter afgivelse af forsikringstagers accepterklæring forandres således, at indtræden af en forsikringsbegivenhed eller øgning af skaden eller et uberettiget krav mod HDI Danmark bliver mere sandsynligt.
En risikoforhøjelse kan navnlig foreligge, hvis en omstændighed med betydelig risiko, som HDI Danmark har spurgt til før indgåelse af kontrakten, ændres.
Der er ikke tale om risikoforhøjelse, hvis risikoen kun er øget ubetydeligt, eller den efter omstændighederne skal gælde som ligeledes dækket.
For så vidt angår retsfølgen af en risikoforhøjelse henvises til anvendelsen af §§ 45-50 i den danske lov om indgåelse af forsikringsaftaler (Forsikringsaftaleloven).
4.13 Geografisk dækningsområde
Hvis det retlig er tilladt, gælder forsikringsdækningen i hele verden, såfremt sikredes hjemsted, filialer eller andre faste driftssteder befinder sig inden for den Europæiske Union eller det Europæiske Økonomiske Samarbejdsområde (EØS).
4.14 Retsstilling
Sikrede og medforsikrede personer har ret til ydelserne efter forsikringskontrakten. Kun forsikringstager har ret til at gøre rettighederne efter forsikringskontrakten gældende.
Forsikringstagers anmeldelsespligter og forpligtelser gælder også for de medforsikrede virksomheder og medforsikrede personer.
Forsikringskrav må inden de endeligt konstateres hverken afstås eller pantsættes uden HDI Danmarks samtykke; vedrørende forsikring af ansvarskrav (punkt 1) gælder følgende: Det er tilladt at afstå friholdelseskrav til skadelidt tredjepart.
4.15 Repræsentanter
Afvigende fra § 57 i forsikringsaftaleloven gælder følgende for så vidt angår sikredes og/eller medforsikrede personers adfærd, forseelse, bevidste handling, kendskab eller det at burde have kendskab:
Sikrede tilregnes kun sådanne personers adfærd, forseelse, bevidste handling, kendskab eller det at burde have kendskab, såfremt disse personer er repræsentanter for sikrede.
Repræsentanter for sikrede i denne kontrakts forstand er disses
- medlemmer af direktion og ved udenlandske medforsikrede virksomheder den tilsvarende personkreds,
- leder af en juridisk afdeling,
- leder af IT-afdeling eller lignende funktion,
- leder af risikomanagementafdeling,
- ansvarlige for databeskyttelse,
- leder af ansvarlig afdeling for indkøb af forsikringsprodukter eller ledelsen hos tilknyttet forsikringsagentvirksomhed.
4.16 Værneting og lovvalg
Forsikringstager kan gøre krav efter denne forsikringskontrakt gældende mod HDI Danmark eller forsikringsformidleren ved den herfor kompetente domstol ved HDI Danmarks hjemsted eller den forretningsadresse, forsikringsaftalen sorterer under. Er kontrakten formidlet eller indgået af en forsikringsformidler, kan sager også indbringes for retten på det sted, hvor forsikringsformidleren på tidspunktet for formidlingen eller indgåelsen af kontrakten havde sit forretningssted, eller i mangel af et forretningssted, havde sin bopæl.
HDI Danmark kan gøre krav efter forsikringskontrakten gældende ved den herfor kompetente domstol, hvor forsikringstager har sit hjemsted, forretningsadresse eller bopæl.
For alle retsforhold som følge af eller i forbindelse med denne kontrakt gælder udelukkende dansk ret med udelukkelse af international privatret.
Navnlig er bestemmelserne i forsikringsaftaleloven gældende.
4.17 Anmeldelser, viljeserklæringer, adresseændring
Alle anmeldelser og erklæringer til HDI Danmark skal stiles til det kontor, som de ifølge policen eller tillæg hertil sorterer under.
Hvis forsikringstager ikke har meddelt HDI Danmark ændring i sin adresse, er fremsendelse af anbefalet brev til den af HDI Danmark senest bekendte adresse tilstrækkeligt for en viljeserklæring, der skal afgives over for forsikringstager. Erklæringen anses for tilgået tre dage efter afsendelsen af brevet. Dette gælder tilsvarende i tilfælde af forsikringstagers navneændring.
4.18 Sanktionsbegrænsning
Intet forsikringsselskab skal give dækning og er ikke forpligtet til at betale krav eller given nogen ydelser i det omfang at afgivelse af en sådan dækning, betaling af et sådant krav eller afgivelse af en sådan ydelse, ville udsætte forsikringsselskabet for enhver sanktion, forbud eller begrænsning i henhold til anvendelige sanktionslove.
5 Ordforklaringer
NB: De tekniske definitioner nedenfor gælder for samtlige kontraherende parter og er fremhævet med kursiv.
- Arbejdslager:
Arbejdslageret (RAM) er betegnelsen for det lager, der indeholder de programmer og programdele, der aktuelt kører, samt de herfor nødvendige data.
- Eksternt lagringssted:
Et eksternt lagringssted er et sted, egnet til og bestemt for permanent ekstern lagring af backup-datamedier uden for de i policen nævnte fast driftssteder, og som tilbyder et rimeligt teknisk og organisatorisk sikkerhedsniveau, der lever op til såvel de lovpligtige bestemmelser som forsikringstagers interne retningslinjer.
- Klient:
Klient er betegnelsen på soft- eller hardware, der kan rekvirere forskellige tjenester fra en server. Almindeligvis drejer det sig om en arbejdsstation, der er bundet op på et computernetværk.
- Datamedie:
Datamedier er lagringsmedier, der anvendes i forbindelse med informationsbehandlingen.
- Databehandlingsanlæg:
Et databehandlingsanlæg er et system til automatiseret behandling af data og informationer.
- Denial-of-Service-angreb:
(Distributed) Denial-of-Service-angreb (DoS/DDoS) er handlinger eller instruktioner, der anvendes med det formål at angribe eller forstyrre tilgængeligheden af netværk, netværkstjenester, netværksforbindelser eller informationssystemer. Denial-of- Service-angreb indeholder - men er ikke begrænset til - produktion af overskydende datatrafik på netværksadresser, udnyttelsen af svage steder i informationssystemer eller i netværk og produktionen af overskydende eller uautoriseret datatrafik mellem netværk.
- Firewall:
Firewall er betegnelsen for et system, bestående af soft- og hardwarekomponenter, der bruges til sikkert og regelbaseret at forbinde netværk samt sikre og overvåge overgange mellem netværk.
- Hardware:
Hardware er betegnelsen for de samlede tekniske og fysiske maskinelementer (apparater, enheder) i et IT-system eller netværk, som eksempelvis CPU, datalager og ledningsforbindelser. Hardware funktioner udløses, styres og kontrolleres af programmer.
- Informationsteknik (IT):
Informationsteknik omfatter alle tekniske midler til behandling og overførsel af informationer.
- IT-system:
IT-systemer er samtlige hardware- og software-systemer, som forsikringstager selv kører, inklusive netværkskomponenter og netværk (herunder virtuelle) samt tilsluttede enheder (herunder mobile).
- IT-procedurer:
IT-procedurer er samtlige af forsikringstager benyttede, sammenhængende IT-baserede arbejdsforløb og - processer, som overvejende automatiseret behandler informationer gennem et længere tidsrum.
- Netværk (computernetværk):
Netværk (computernetværk) er betegnelsen for en sammenkobling af flere apparater (som regel computere, printere, netværkskomponenter) med datakommunikation som formål. Det fysiske overførselsmedie kan variere (f.eks. kabel, fiberoptik, trådløst).
- Protokol / Netværks-protokol/ Overførsels-protokol: Protokol / netværks-protokol/ overførsels-protokol er betegnelsen for et regelsæt til brug for udveksling af informationer i et computernetværk med styring af kommunikation for øje.
- Server:
Server er betegnelsen for hardware, der tilbyder brugerne bestemte tjenester via en netværksforbindelse
- Skadelig software:
Skadelig software (også kaldet malware) er programmer og andre informationstekniske rutiner og procedurer, der har til formål uberettiget at udnytte eller slette data eller har til formål uberettiget at virke ind på andre informationstekniske forløb. For specielle former for skadelig software, se også de tekniske definitioner på "vira", "trojanske heste" og "orme".
- Trojanske heste:
Trojanske heste er betegnelse for skadelig software, der ud over deres egentlige funktion, som brugeren er bekendt med, også udfører andre funktioner, som brugeren ikke har kendskab til, og hvis udførelse han i regel ikke bemærker. Specielle typer af trojanske heste er logiske bomber (dvs. programmer med skjult skadelig funktion, som imidlertid startes af ydre omstændigheder, f.eks. klokkeslæt eller dato).
- Vira:
Vira er betegnelsen på skadelig software, der har til formål at beskadige, forstyrre eller på anden måde virke negativt ind på software, filer eller computeroperationer uafhængigt af, om vira eller lignende skadelig software kopierer sig selv eller ej.
- Orme:
Orme er betegnelsen for en selvstændig skadelig software, der kopierer sig selv, og som angriber et system, navnlig et netværk.
- Midlertidigt lager:
Et midlertidigt lager er inden for databehandling et bufferlager, specielt cache eller udklipsholder.