INHOUDSOPGAVE
Cyberverzekering
Model CYB 2019
INHOUDSOPGAVE
Artikel 1 | Aanvullende begripsomschrijvingen | 3 |
Artikel 2 | Omvang van de dekking | 6 |
• MS Xxxxx First Response Team | 7 | |
• Rubriek I Beschikbaarheid | 8 | |
• Rubriek II Integriteit | 8 | |
• Rubriek III Vertrouwelijkheid | 9 | |
• Rubriek IV Overige risico’s | 9 | |
Artikel 3 | Dekkingsgebied | 9 |
Artikel 4 | Aanvullende uitsluitingen | 9 |
Artikel 5 | Schade | 11 |
Artikel 6 | Algemene bepalingen | 12 |
Deze productvoorwaarden vormen één geheel met de Algemene Voorwaarden AV 2019-1.
De verzekering geeft dekking voor de op het polisblad of laatst afgegeven polisaanhangsel van toepassing verklaarde rubrieken en onderdelen.
Artikel 1 Aanvullende begripsomschrijvingen
In dit artikel worden voor diverse begrippen omschrijvingen gegeven. De begrippen waarvoor een omschrijving is gegeven worden in de overige artikelen cursief en vetgedrukt weergegeven. Een aantal omschrijvingen staat in de AV 2019-1.
1.1 Aanspraak
1.1.1 een schriftelijke eis tot schadevergoeding in geld of een schriftelijke eis tot een niet-geldelijke voorziening tegen een verzekerde;
1.1.2 het uitbrengen van een dagvaarding of het instellen van arbitrage of een andere procedure tot geschillenbeslechting tegen een verzekerde;
Onder aanspraak wordt tevens verstaan een PCI aanspraak. Onder aanspraak wordt niet verstaan een bestuurlijke maatregel of afpersing.
1.2 Accountantskosten bij bedrijfsschade
De redelijke kosten van een externe accountant in verband met de bewijslevering van een gedekte bedrijfsschade, ten behoeve van het voorbereiden en indienen van een schademelding bij MS Xxxxx.
1.3 Afpersing
Elke serieuze dreiging om persoonsgegevens of bedrijfsinformatie openbaar te maken, te publiceren of verkopen, of om digitale gegevens van een verzekerde te vernietigen, wissen, versleutelen of aan te tasten, of om de beschikbaarheid van het computersysteem van een verzekerde te belemmeren.
1.4 Bedieningsfout
Een onvoorziene of onbedoelde handeling, fout of nalaten die door een werknemer van een verzekerde of outsourcer uitsluitend is begaan bij:
1.4.1 het onderhouden, invoeren of wijzigen van digitale gegevens van een verzekerde, met uitzondering van niet geaccepteerde programma's; of
1.4.2 het ontwikkelen of installeren van digitale gegevens van een verzekerde, met uitzondering van niet geaccepteerde programma's; of
1.4.3 het bedienen of onderhouden van het computersysteem van een verzekerde.
1.5 Bedrijfsinformatie
Informatie, niet zijnde persoonsgegevens, die door een derde aan een verzekerde is toevertrouwd en ten aanzien waarvan een verzekerde een plicht heeft om de vertrouwelijkheid daarvan in acht te nemen.
1.6 Bedrijfsschade
Het verlies dat een verzekerde lijdt door:
- de vermindering van de nettowinst vermeerderd met
vaste bedrijfslasten; en
- het ontstaan van extra werkkosten.
Bij het vaststellen van de vermindering van de nettowinst vermeerderd met de vaste bedrijfslasten, zal rekening worden gehouden met de mate waarin dit verlies (deels) hersteld of herwonnen is na de uitkeringstermijn.
Dit wordt bepaald door de nettowinst die is doorgeschoven of uitgesteld naar de periode volgend op de uitkeringstermijn, die anders gedurende de uitkeringstermijn zou zijn verdiend, te verrekenen met de verwachte nettowinst gedurende de uitkeringstermijn.
1.7 Bestuurlijke boetes
1.7.1 geldboetes die een verzekerde dient te betalen aan een toezichthouder of andere overheidsinstantie belast met toezicht op of handhaving van regelgeving op het gebied van de bescherming van persoonsgegevens of consumenten- beschermingswetgeving; of
1.7.2 een geldelijke toekenning op last van een toezichthouder of andere overheidsinstantie belast met toezicht op of handhaving van regelgeving het gebied van de bescherming van persoonsgegevens of consumenten-beschermingswetgeving, waaronder een bedrag dat in een fonds gestort dient te worden bij wijze van billijke vergoeding voor het betalen van claims van consumenten.
1.8 Bestuurlijke maatregel
Een officieel schriftelijk verzoek om informatie, een onderzoeksprocedure of een vordering die tegen een verzekerde is ingesteld door een overheidsinstantie.
1.9 Betaaldienstenovereenkomst
Een schriftelijke overeenkomst tussen een verzekerde en een derde om de acceptatie, autorisatie, verwerking en afhandeling van betaalkaarttransacties mogelijk te maken, inclusief maar niet beperkt tot banken en aanbieders van betaalkaarten en dienstverleners van betaalverwerking.
1.10 Beveiligingsinbreuk
Onder beveiligingsinbreuk wordt verstaan de ongeautoriseerde toegang tot of het ongeautoriseerde gebruik van het computersysteem of de digitale gegevens van een verzekerde door een derde of een werknemer, waaronder situaties waarbij toegang is verkregen door middel van gestolen gebruikersgegevens of wanneer toegang is verkregen middels bring your own device.
1.11 Bring your own device
Elke computer inclusief mobiele telefoon of tablet, die eigendom is van een medewerker van verzekeringnemer en waarbij de medewerker door de verzekeringnemer is gemachtigd om verbinding te maken met het computersysteem van een verzekerde of digitale gegevens van een verzekerde.
1.12 Computersysteem van een verzekerde Computerapparatuur waaronder alle computers en onderdelen daarvan inclusief netwerkapparatuur, apparatuur t.b.v. gegevensopslag en invoer- of uitvoerapparaten, die eigendom zijn van een verzekerde of onder zijn operationeel toezicht staan zoals bij huur en lease, ongeacht of deze offline zijn of deel uitmaken van een onderling verbonden netwerk van computers en invoer- of uitvoerapparaten.
1.13 Denial of service-aanval
Een opzettelijke en kwaadwillige aanval die gebruik maakt van de verwerkingscapaciteit van een computer, om rechtmatige geautoriseerde toegang tot een computersysteem te belemmeren of te voorkomen, door het sturen van een buitensporig aantal elektronische gegevens naar dat computersysteem.
1.14 Derde
Elke persoon, bedrijf of entiteit, niet zijnde een verzekerde.
1.15 Digitale gegevens
Niet-fysieke informatie in een voor een machine leesbare en digitale vorm, inclusief programma's.
1.16 Digitale gegevens van een verzekerde
Alle digitale gegevens die eigendom zijn van een verzekerde of waarvoor een verzekerde de verantwoordelijkheid op zich heeft genomen en die opgeslagen zijn op het computersysteem van een verzekerde.
1.17 Dochterondernemingen
Alle rechtspersonen en/of vennootschappen, maatschappen dan wel soortgelijke lichamen naar Nederlands recht, waarin verzekeringnemer al dan niet rechtstreeks voor meer dan 50% belang heeft. Hieronder wordt ook verstaan de tijdens de geldigheidsduur van de verzekering opgerichte of verworven rechtspersoon e.d., echter met inachtneming van de voorwaarden en beperkingen als bepaald in artikel 6.1 “Meeverzekerden”.
Onder dochteronderneming wordt niet verstaan een entiteit die is opgericht als een compagnonschap of een joint venture.
1.18 Eigen risico
Het eigen risico is:
1.18.1 voor alle aanspraken, bestuurlijke maatregelen en schadeveroorzakende gebeurtenissen: de bedragen die zijn vermeld op het polisblad;
1.18.2 voor bedrijfsschade: het bedrag vermeld op het polisblad en dat wordt toegepast nadat de wachttijd is verstreken. De wachttijd is niet van toepassing op extra werkkosten.
1.19 Extra werkkosten
De vergoedingen, kosten en onkosten die redelijkerwijs en noodzakelijkerwijs door een verzekerde zijn gemaakt om bedrijfsschade te vermijden, minimaliseren of te beperken, zoals door het verkorten van de periode waarin bedrijfsschade wordt geleden. Hiervan is sprake in het geval:
1.19.1 bedrijfsschade zou zijn geleden als dergelijke uitgaven niet zouden zijn gedaan; en
1.19.2 de vergoedingen, kosten en onkosten die zijn gemaakt, niet hoger zijn dan de omvang van bedrijfsschade die is vermeden of beperkt als een direct gevolg van dergelijke uitgaven.
Hieronder worden niet verstaan de responsekosten.
1.20 Geaccepteerd programma
Een programma dat alle fasen van zijn ontwikkeling inclusief een formeel testprogramma heeft voltooid en gedurende meer dan 30 dagen officieel in gebruik is geweest zonder materiële fouten.
1.21 Geverifieerd
Geverifieerd betekent het bevestigen van de authenticiteit van de inhoud van een bericht, door:
1.21.1 het aanbrengen van een cryptografische verificatiesleutel door de afzender, zodat een verzekerde kan identificeren dat het bericht afkomstig is van een verkoper, een financiële instelling, of van binnenuit de verzekerde organisatie; of
1.21.2 een telefoontje naar iemand van wie een verzekerde weet dat deze persoon gemachtigd is tot het verzenden van een dergelijk bericht; of
1.21.3 het ontvangen van een geldige gebruikersnaam en wachtwoord of pincombinatie; of
1.21.4 het gebruik van biometrische verificatie; of
1.21.5 een andere verificatiemethode die bestaat uit twee onderdelen en die gangbaar is voor het betrouwbaar authenticeren van elektronische berichten.
1.22 Inbreuk op de bescherming van betaalkaartgegevens De daadwerkelijke of vermoedelijke toegang tot of verkrijging van informatie van creditcards, betaalkaarten of prepaid kaarten op een wijze die niet door een verzekerde is geautoriseerd.
1.23 Inloopdatum
De datum als genoemd op het polisblad.
1.24 Kosten in verband met een bestuurlijke maatregel
Alle noodzakelijke en redelijke vergoedingen, kosten, onkosten en verschotten die door MS Xxxxx, of door een verzekerde met voorafgaande schriftelijke toestemming van MS Xxxxx, zijn gemaakt vanwege het onderzoek, de vaststelling en behandeling van en/of het verweer tegen een bestuurlijke maatregel waaronder een opgelegde bestuurlijke boete. Deze kosten omvatten geen salarissen of (aanvullende) beloningen van werknemers of verantwoordelijke functionarissen van een verzekerde, algemene bedrijfskosten en overheadkosten.
1.25 Kosten van afpersing
1.25.1 betaling van geld, cryptovaluta (bijvoorbeeld bitcoins), waardepapieren of eigendommen van een verzekerde om aan een eis voor een dergelijke betaling te voldoen in ruil voor het beëindigen van een afpersing; en
1.25.2 de vergoedingen, kosten en onkosten van een door
MS Xxxxx of het MS Xxxxx First Response Team aangewezen externe deskundige die waar nodig wordt aangesteld om te adviseren over, onderzoek te doen naar en te reageren op de afpersing, of om de hoogte van het bedrag, waardepapieren of de eigendommen die geëist worden te beperken.
1.26 Kosten van herstel van gegevens
De redelijke vergoedingen, kosten en onkosten die door een verzekerde zijn gemaakt voor het terughalen, herstellen, invoeren, configureren, vervangen van en/of het opnieuw toegang verkrijgen tot digitale gegevens die zijn gecorrumpeerd, aangetast, gewist, versleuteld, beschadigd of vernietigd. Kosten van herstel van gegevens omvatten niet:
1.26.1 de kosten van het opnieuw uitvoeren van onderliggende werkzaamheden die hebben geresulteerd in de totstandkoming van de digitale gegevens, inclusief maar niet beperkt tot onderzoeks- en ontwikkelingsactiviteiten;
1.26.2 de kosten van vervanging van digitale gegevens die een wezenlijke verbetering of upgrade inhoudt van de digitale gegevens die gecorrumpeerd, aangetast, gewist, versleuteld, beschadigd of vernietigd zijn;
1.26.3 de marktwaarde van digitale gegevens die zijn gecorrumpeerd, aangetast, gewist, versleuteld, beschadigd of vernietigd.
1.27 Kosten van verweer
Alle noodzakelijke en redelijke vergoedingen, kosten, onkosten en verschotten die door MS Xxxxx, of door een verzekerde met voorafgaande schriftelijke toestemming van MS Xxxxx, worden gemaakt in het onderzoeken van, afhandelen van, of het verweer of beroep tegen een gedekte aanspraak, in overeenstemming met artikel 5 “Schade” onderdeel 2 “Verweer schikking en keuze van juridische vertegenwoordiging en externe deskundigen”.
Onder kosten van verweer worden tevens verstaan een PCI (Payment Card Industry) kosten van verweer.
Hieronder wordt niet verstaan:
- kosten in verband met een bestuurlijke maatregel; of
- de salarissen, lonen of aanvullende beloningen van werknemers of verantwoordelijke functionarissen van een verzekerde, algemene bedrijfskosten en overheadkosten.
1.28 Media aansprakelijkheid
1.28.1 Onrechtmatige uitingen zoals smaad, laster, en het verspreiden van onwaarheden die emotioneel leed of reputatieschade toebrengen aan personen of organisaties.
1.28.2 Schending van een recht op bescherming van de persoonlijke levenssfeer van personen, waaronder het geven van een valse voorstelling van zaken, publicatie van privézaken, of een andere inbreuk op de privacy.
1.28.3 Inbreuk op een intellectueel eigendom zoals auteursrecht, handelsmerk of handels-, domein- of merknaam, plagiaat, piraterij of een wederrechtelijke toe-eigening van ideeën.
1.29 Nettowinst
De omzet minus de vaste kosten en variabele kosten.
1.30 Outsourcer
Een entiteit die niet het eigendom is van, of bestuurd of gecontroleerd wordt door een verzekerde, welke door een verzekerde is aangesteld voor specifieke IT-diensten (zoals webhosting, betalingsverwerking, IT-beveiliging, dataverwerking, databeheer en dataverwijdering), die anders door een verzekerde zelf zouden worden uitgevoerd.
1.31 PCI (Payment Card Industry)
Organisatie die oorspronkelijk is opgericht door de grote betaalkaartmaatschappijen en verschillende beveiligingsstandaarden voor de betaalkaartindustrie beheert.
1.32 PCI aanspraak
Een schriftelijke aanmaning tot betaling van PCI boetes en/of PCI assessments, op grond van de voorwaarden van een betaaldienstenovereenkomst.
1.33 PCI assessments
Geldbedragen die een verzekerde wettelijk verplicht is te betalen op grond van de gebruiksvoorwaarden en regelgeving verbonden aan deelname aan betaalkaartsystemen (card schemes).
De verzekerde is verplicht deze geldbedragen te betalen in verband met de kosten die door:
- het betaalkaartsysteem;
- de bank die de kaart uitgeeft (issuing bank); of
- de bank die de betalingen verwerkt (acquiring bank), gemaakt zijn om betaalkaarten die vanwege een inbreuk op de bescherming van betaalkaartgegevens niet meer betrouwbaar zijn te vervangen en om frauduleuze transacties terug te betalen
die uit deze inbreuk op de bescherming van betaalkaartgegevens voortvloeiden.
Deze betaalkaartsystemen (card schemes) omvatten, maar zijn niet beperkt tot, systemen betreffende kaarten die worden uitgegeven door VISA, MasterCard, Maestro en American Express.
1.34 PCI boete
Geldboetes of dwangsommen die specifiek gedefinieerd en gekwantificeerd zijn als vaste geldbedragen in de gebruiksvoorwaarden en regelgeving verbonden aan deelname aan betaalkaartsystemen (card schemes), inclusief maar niet beperkt tot die betreffende kaarten die worden uitgegeven door VISA, MasterCard, Maestro en American Express.
1.35 PCI kosten van verweer
Alle noodzakelijke en redelijke vergoedingen, kosten, onkosten en verschotten die door MS Xxxxx, of door een verzekerde met voorafgaande schriftelijke toestemming van MS Xxxxx, worden gemaakt t in het onderzoeken van, afhandelen van, of het verweer of beroep tegen, een gedekte PCI aanspraak, in overeenstemming met artikel 5 “Schade” onderdeel 2 “Verweer, schikking en keuze van juridische vertegenwoordiging en externe deskundigen”.
1.36 Persoonsgegevens
Alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon. Als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon.
1.37 Programma
Een set informatie die is samengesteld om de werking en functies van computers aan te sturen.
1.38 Schade
Een wettelijke verplichting tot vergoeding van schade in geld, waaronder de verschuldigde wettelijke rente en de kosten van degene die de aanspraak heeft ingesteld. Onder schade wordt niet verstaan:
1.38.1 schadevergoeding als boete of voorbeeldfunctie (punitive/exemplary damages);
1.38.2 overige boetes, dwangsommen, sancties, belastingen, of schadevergoedingen die meer dan een vergoeding ter compensatie van geleden nadeel zijn;
1.38.3 restitutie, winstafdracht, ongerechtvaardigde verrijking;
1.38.4 kosten die zijn gemaakt ter voldoening aan een voorlopige voorziening;
1.38.5 kortingen, waardebonnen, prijzen of voordelen die aan klanten of andere derden worden aangeboden;
1.38.6 vergoedingen, lasten, commissies of andere vormen van door een verzekerde ontvangen of aan een verzekerde verschuldigde betalingen voor diensten of geleverde of te leveren goederen, die de verzekerden in verband met een schadeveroorzakende gebeurtenis niet aan hun opdrachtgever of afnemer in rekening kan brengen of de opdrachtgever/ afnemer het recht heeft deze van hun terug te vorderen.
1.39 Schade met een accidenteel karakter
1.39.1 De onbedoelde en onvoorziene fysieke schade aan computersystemen van een verzekerde, waardoor zijn digitale gegevens niet langer in een leesbare vorm beschikbaar zijn omdat ze zijn aangetast, gewist, beschadigd of vernietig; of
1.39.2 Schade door een te hoog of te laag voltage in een elektriciteitsvoorziening (waaronder een noodelektriciteits- voorziening), maar alleen indien de middelen voor stroomopwekking en distributie eigendom van een verzekerde zijn of onder zijn operationeel toezicht staan zoals bij huur en lease; of
1.39.3 schade ten gevolge van elektrostatische op- of ontlading, maar niet indien dit door blikseminslag veroorzaakt is.
1.40 Schadelijke software
Een computervirus, Trojaans paard, worm, logic bomb, spyware, ransomware, cryptoware, schadelijke codes, malware, of enig ander uitvoerbaar programma of bestand dat opzettelijk is ontworpen om schade te berokkenen.
1.41 Schadeveroorzakende gebeurtenis
Elke schending van privacy, schending van vertrouwelijkheid, schade met een accidenteel karakter, bedieningsfout, beveiligingsinbreuk, denial of service- aanval, inbreuk op de bescherming van betaalkaartgegevens, afpersing, schending van persoonsgegevens of media aansprakelijkheid, cyber fraude, bedrijfsschade door aantasting van reputatie en telefoonhacking.
1.42 Schending van persoonsgegevens
Het door een verzekerde verzamelen, gebruiken, wijzigen, vernietigen of bewaren van persoonsgegevens in strijd met wet- of regelgeving of in strijd met het eigen schriftelijke privacybeleid van een verzekerde. Schending van persoonsgegevens omvat niet een schending van de privacy.
1.43 Schending van privacy
1.43.1 De daadwerkelijke of vermoedelijke toegang tot of verwerking van persoonsgegevens door een niet daartoe door een verzekerde geautoriseerde; of
1.43.2 het onbeschermd zijn danwel op onrechtmatige wijze verwerken van persoonsgegevens door onzorgvuldigheid van een door een verzekerde geautoriseerde (rechts)persoon.
1.44 Schending van vertrouwelijkheid
1.44.1 De daadwerkelijke of vermoedelijke toegang tot of verwerking van bedrijfsinformatie, door een niet daartoe door een verzekerde geautoriseerde; of
1.44.2 het onbeschermd zijn danwel op onrechtmatige wijze verwerken van bedrijfsinformatie door onzorgvuldigheid van een door een verzekerde geautoriseerde (rechts)persoon.
1.45 Uitkeringstermijn
1.45.1 Ten aanzien van rubriek I “Beschikbaarheid”, onderdeel 2 “Bedrijfsschade”: de periode die aanvangt op het eerste moment waarop de beschikbaarheid van het computersysteem of de digitale gegevens van een verzekerde is verminderd en die eindigt:
a. op het moment dat de computersystemen van een verzekerde of de beschikbaarheid van de digitale gegevens van een verzekerde niet langer is verminderd; of indien dat zich later voordoet;
b. op het moment dat er geen bedrijfsschade meer wordt geleden;
maar in ieder geval na 12 maanden.
1.45.2 Ten aanzien van rubriek II “Integriteit”, onderdeel 3 “Bedrijfsschade”: de periode die aanvangt op het eerste moment dat de digitale gegevens van een verzekerde zijn gecorrumpeerd of versleuteld en die eindigt:
a. op het moment dat de digitale gegevens van een verzekerde zijn teruggehaald, hersteld, opnieuw geconfigureerd en/of vervangen, of, indien dat zich later voordoet;
b. op het moment dat er geen bedrijfsschade meer wordt geleden;
maar in ieder geval na 12 maanden.
1.45.3 Ten aanzien van rubriek IV “Overige risico’s:, onderdeel 5 “bedrijfsschade door aantasting reputatie”: De periode vanaf de eerste dag waarop in de media melding wordt gemaakt van een schending van privacy of schending van vertrouwelijkheid, tot aan het moment waarop de bedrijfsschade eindigt, of, indien dit eerder is, eindigend op de negentigste dag na de eerste vermelding in de media.
1.45.4 Er kan een wachttijd gelden voor de rubrieken I en II, in welke periode de dekking niet van kracht is. Deze wachttijd maakt onderdeel uit van de uitkeringstermijn.
1.45.5 Als na het verstrijken van de wachttijd blijkt dat:
a. de digitale gegevens van een verzekerde nog niet zijn teruggehaald, hersteld, opnieuw geconfigureerd en/of vervangen (ten aanzien van rubriek I); of
b. de computersystemen van een verzekerde of de beschikbaarheid van de digitale gegevens van een verzekerde nog steeds is verminderd (ten aanzien van xxxxxxx XX),
wordt alsnog dekking geboden over de periode waarin de
wachttijd van toepassing was.
1.46 Vaste bedrijfslasten
Bedrijfslasten die noodzakelijkerwijs doorlopen en die niet redelijkerwijs kunnen worden vermeden gedurende de uitkeringstermijn.
1.47 Verantwoordelijke functionaris
Elke persoon die één van de volgende functies bekleedt of in het verleden heeft bekleed binnen het verzekerde bedrijf: hoofd, voorzitter, partner, managing partner, lid van de raad van bestuur, Executive Officer, Chief Executive Officer, Chief Financial Officer, Chief Operating Officer, Chief Risk Officer, Risk Manager, Insurance Manager, Chief Security Officer, Chief Information Security Officer, Chief Privacy Officer, General Counsel, een juridisch gekwalificeerd persoon werkend op het kantoor van de General Counsel of in een bedrijfsjuridische functie, of een persoon die een functie bekleedt of in het verleden heeft bekleed die inhoudelijk lijkt op de in dit lid omschreven functies, ongeacht de functietitel die aan deze persoon of rol is toegekend.
1.48 Verkoper
Een rechtspersoon of natuurlijke persoon die een schriftelijke overeenkomst heeft met een verzekerde voor de levering van goederen of diensten aan een verzekerde tegen een financiële vergoeding.
1.49 Verlengde periode voor melding
De periode na de geldigheidsduur van de verzekering, voor het melden van aanspraken, bestuurlijke maatregelen of schadeveroorzakende gebeurtenissen, zoals in artikel 6 “Algemene bepalingen” onderdeel 2 “Verlengde periode voor melding” van deze verzekering vastgelegd.
1.50 Verlies
Onder verlies wordt verstaan:
1.50.1 Bedrijfsschade;
1.50.2 Kosten van herstel van gegevens;
1.50.3 Direct financieel verlies, uitsluitend van toepassing onder rubriek IV, “Overige risico’s” onderdeel 1 “Cyber fraude”.
1.50.4 Kosten van afpersing;
1.50.5 Responsekosten;
1.50.6 Bestuurlijke boetes en/of kosten in verband met een
bestuurlijke maatregel.
1.51 Vermindering van de nettowinst
Het bedrag aan nettowinst vóór belastingen, dat een verzekerde redelijkerwijs geprognosticeerd zou hebben verdiend aan verkochte goederen en verleende diensten gedurende de uitkeringstermijn, verminderd met de nettowinst vóór belastingen die een verzekerde gedurende die periode daadwerkelijk heeft verdiend. Deze prognose zal worden gedaan door het toepassen van de nettowinst vóór belastingen die is verdiend in onderstaande vergelijkbare perioden, afhankelijk van welke periode MS Xxxxx redelijkerwijs als de nauwkeurigste maatstaf beschouwt voor de nettowinst die verdiend zou zijn als de schadegebeurtenis niet zou hebben plaatsgevonden:
1.51.1 dezelfde kalenderperiode van het voorafgaande boekjaar; of
1.51.2 dezelfde periode onmiddellijk voorafgaand aan de
uitkeringstermijn; of
1.51.3 dezelfde uren op de laatste werkdag voorafgaand aan de
uitkeringstermijn; of
1.51.4 dezelfde uren op de laatste overeenkomstige dag van de week.
Een verdere aanpassing zal worden gedaan, voor zover van toepassing, om andere omstandigheden in acht te nemen die het bedrag aan nettowinst vóór belastingen, dat verdiend zou kunnen zijn gedurende de uitkeringstermijn, kan beïnvloeden, zoals, seizoensgebonden afwijkingen, belangrijke data voor inkomsten et cetera.
1.52 Verzekerde
1.52.1 Verzekeringnemer en eventueel andere (rechts)personen, onderneming(en) of entiteit(en) die als (een) verzekerde(n) (wordt of) worden genoemd op het polisblad;
1.52.2 eventuele dochterondernemingen van
verzekeringnemer;
1.52.3 een bestuurder of verantwoordelijke functionaris van een verzekerde onder 1.52.1 en 1.52.2, maar uitsluitend in verband met de uitvoering van zijn of haar taken in die hoedanigheid namens deze verzekerde;
1.52.4 een fulltime, parttime of tijdelijke werknemer, maar uitsluitend in verband met de uitvoering van zijn of haar taken in die hoedanigheid namens een verzekerde onder 1.52.1, 1.52.2 en 1.52.3;
1.52.5 een persoon die volgens 1.52.1 tot en met 1.52.4 hierboven voorheen gold als een verzekerde maar uitsluitend in verband met de uitvoering van zijn of haar taken in die hoedanigheid namens een verzekerde onder 1.52.1 en 1.52.2;
1.52.6 de erfgenamen, executeurs, bewindvoerders, rechtverkrijgenden en juridisch vertegenwoordigers van een verzekerde in geval van overlijden, handelingsonbekwaamheid, insolventie of faillissement van deze verzekerde, maar uitsluitend voor zover deze verzekerde anders dekking zou hebben gehad onder deze verzekering.
1.53 Wachttijd
De periode waarin de dekking nog niet van kracht is, die van toepassing is op elke beveiligingsinbreuk, denial of service- aanval, schade met een accidenteel karakter en bedieningsfout en die staat vermeld op het polisblad. De wachttijd vangt aan:
1.53.1 uitsluitend in het kader van rubriek I “Beschikbaarheid”, onderdeel 2 “Bedrijfsschade”, vanaf het eerste moment dat de beschikbaarheid van het computersysteem van een verzekerde wordt belemmerd.
1.53.2 uitsluitend in het kader van rubriek II, “integriteit” onderdeel 3 “Bedrijfsschade”, vanaf het eerste moment dat de digitale gegevens van een verzekerde worden beschadigd of versleuteld.
1.53.3 uitsluitend in het kader van xxxxxxx XX, “bedrijfsschade door aantasting van reputatie”, vanaf het eerste moment dat er schending van privacy of een schending van vertrouwelijkheid heeft plaatsgevonden.
1.54 Werknemer
Een persoon in dienst van een verzekerde, die door deze verzekerde is ingeschakeld en wordt aangestuurd in de normale uitoefening van het bedrijf, waaronder begrepen voormalige en parttime, seizoens-, tijdelijke of ingehuurde werknemers. Onder werknemer wordt niet verstaan de verantwoordelijke functionarissen van een verzekerde.
1.55 Wettelijke meldingsplicht aan betrokkenen
Wet- of regelgeving van een staat of jurisdictie die vereist dat de personen wiens persoonsgegevens zijn aangetast bij een schending van privacy, daarvan in kennis worden gesteld.
Artikel 2 Omvang van de dekking
2.1 Gedekt zijn, met inachtneming van hetgeen is bepaald in de Algemene Voorwaarden en de Productvoorwaarden, alsmede met inachtneming van het van toepassing zijnde verzekerd bedrag en het eigen risico:
2.1.1 Aanspraken en bestuurlijke maatregelen die tegen een verzekerde worden ingesteld als omschreven in de van toepassing zijnde rubriek(en) en onderdelen, mits:
- de schadeveroorzakende gebeurtenis heeft plaatsgevonden op of na de inloopdatum; en
- de aanspraak xxxxxxx daarvan voor de eerste maal tegen de verzekerde is ingesteld tijdens de geldigheidsduur van de verzekering en tevens tijdens deze geldigheidsduur schriftelijk bij MS Xxxxx is aangemeld; en
- de aanspraak respectievelijk de omstandigheid bij het aangaan van de verzekering bij de verzekeringnemer of de aansprakelijk gestelde verzekerde niet bekend was.
2.1.2 Schade, kosten, verliezen en boetes als omschreven in de van toepassing zijnde rubriek(en) en onderdelen, mits:
- de schadeveroorzakende gebeurtenis heeft plaatsgevonden op of na de inloopdatum; en
- de xxxxxxx xxxxxxx daarvan tijdens de geldigheidsduur van de verzekering schriftelijk bij MS Xxxxx is xxxxxxxxx; en
- de omstandigheid bij het aangaan van de verzekering bij
- de verzekeringnemer niet bekend was; en
- met betrekking tot het onderdeel afpersing: de dreiging voor het eerst tegen de verzekerde is geuit en aan MS Xxxxx schriftelijk is gemeld tijdens de geldigheidsduur van de verzekering; en
- met betrekking tot de andere onderdelen: de gebeurtenis door de verzekerde is ontdekt of aan de verzekerde is gemeld tijdens de geldigheidsduur van de verzekering.
2.2 Verlengde periode voor melding
Op grond van artikel 6.2 heeft de verzekerde in bepaalde gevallen de mogelijkheid om de termijn waarbinnen:
- de aanspraak tegen de verzekerde moet zijn ingesteld en
- tevens schriftelijk bij MS Xxxxx moet zijn aangemeld; of
- schade, kosten, verliezen en boetes schriftelijk bij
MS Xxxxx moeten zijn aangemeld,
met één jaar na de geldigheidsduur te verlengen.
Indien de verzekerde van deze mogelijkheid gebruik heeft gemaakt en aan de voorwaarden is voldaan, is de verlengde periode voor melding op artikel 2 van toepassing.
2.3 Omvang van de dekking per rubriek
De omvang van de dekking wordt in de rubrieken I tot en met IV beschreven. Tevens kan in onderstaande situaties gebruik worden gemaakt van het MS Xxxxx First Response Team.
MS Xxxxx First Response Team
Wanneer sprake is (of wordt vermoed dat er sprake is) van een schadeveroorzakende gebeurtenis (zie artikel 1.41) waarvoor op basis van de verzekerde rubrieken (mogelijk) dekking bestaat onder deze verzekering, kan een verzekerde 24/7 contact opnemen met het MS Xxxxx First Response Team, die samen met de verzekerde bepaalt welke stappen direct ondernomen moeten worden.
MS Xxxxx First Response Team Telefoonnummer: 0320 – 331 343
Het MS Xxxxx First Response Team als genoemd op het polisblad bestaat uit:
- een Crisis Coördinator; en
- een Juridisch Adviseur; en
- een IT-Specialist; en
- een Communicatieadviseur
indien het inschakelen daarvan door MS Xxxxx of de Crisis Coördinator nodig wordt geacht.
Het verdient de voorkeur rechtstreeks te melden bij het MS Xxxxx First Response Team. Een melding bij het MS Xxxxx First Response Team geldt als een melding aan MS Xxxxx. Het eigen risico geldt niet voor de eigen kosten van het MS Xxxxx First Response Team gemaakt gedurende de eerste 72 uur nadat de melding bij MS Xxxxx of het MS Xxxxx First Response Team heeft plaatsgevonden.
Wanneer de verzekering op basis van de verzekerde rubrieken dekking biedt, worden de hieronder genoemde kosten door de verzekering vergoed.
In het geval dat op een later tijdstip wordt vastgesteld dat de verzekering geen dekking biedt, worden deze kosten vergoed tot het moment waarop dit wordt vastgesteld en is gecommuniceerd met de verzekerde.
De verzekerde heeft in dat geval de mogelijkheid om voor eigen rekening gebruik te blijven maken van de diensten van het MS Xxxxx First Response Team.
Responsekosten:
Onder responsekosten worden verstaan:
Door of namens MS Xxxxx, of door een verzekerde met voorafgaande schriftelijke toestemming van MS Xxxxx, gemaakte noodzakelijke en redelijke kosten voor:
a. de Crisis Coördinator ten behoeve van crisisbeheersing;
b. externe IT-Specialisten om:
1. het bestaan van een (vermoedelijke) beveiligingsinbreuk te kunnen bevestigen of uit te sluiten; en/of
2. de oorzaak en/of omvang van een beveiligingsinbreuk te bepalen en op welke wijze deze beperkt kan worden; en/of
3. kwaadwillende software, kwaadwillende computercodes of virussen uit het computersysteem te verwijderen; en/of
4. relevante digitale gegevens op het computersysteem van een verzekerde te identificeren en te behouden.
c. externe Communicatieadviseurs, ten behoeve van advies en bijstand om de redelijkerwijs te verwachten of reeds opgelopen schade aan de reputatie van een verzekerde te beperken of beheersen;
d. externe juridische adviseurs ten behoeve van het bepalen van de reikwijdte van de verplichtingen van een verzekerde en acties die noodzakelijk zijn om te voldoen aan de wettelijke meldingsplicht aan betrokkenen, derden of de toezichthouder, indien toepasselijk;
e. het melden aan personen die door de schending van privacy zijn getroffen, derden of de toezichthouder in geval van een wettelijke meldingsplicht (aan betrokkenen) of, bij afwezigheid van een dergelijke wettelijke plicht, in geval MS Xxxxx en de verzekerde overeenstemmen dat melding het risico van aanzienlijke financiële schade, reputatieschade of andere schade aan personen zal beperken;
f. het verlenen van callcenter-diensten om inkomende gesprekken van personen waaraan de verzekerde (onder e) hierboven melding heeft gedaan, aan te nemen en om informatie te verstrekken en vragen te beantwoorden die op het incident betrekking hebben. Tenzij dit anderszins verplicht is volgens toepasselijke wet- of regelgeving, zullen callcenterdiensten worden verleend voor een maximum van 90 dagen volgend op alle hierboven (onder e) genoemde meldingen;
g. kredietbewaking of bescherming van de identiteit van personen aan wie als hierboven (onder e) melding is gedaan, voor de duur van één jaar na de inbreuk. Voorwaarde voor vergoeding is dat deze kosten daadwerkelijk gemaakt zijn binnen 12 maanden na de inbreuk.
h. externe deskundigen die worden aangesteld om te adviseren over, onderzoek te doen naar en te reageren op afpersing, of om de hoogte van het bedrag, waardepapieren, of de eigendommen die geëist worden te beperken.
Responsekosten omvatten geen:
1. kosten in verband met het oplossen van fouten, tekortkomingen of defecten in de systemen;
2. kosten in verband met het verbeteren van beveiliging, processen, besturingshardware of software van een verzekerde.
Rubriek I Beschikbaarheid
Voorwaarde voor dekking onder deze rubriek is, dat tevens is voldaan aan het bepaalde in artikel 2 “Omvang van de
dekking”.
Onder de dekking van deze rubriek vallen de volgende onderdelen als gevolg van een beveiligingsinbreuk:
Onder beveiligingsinbreuk wordt verstaan de ongeautoriseerde toegang tot of het ongeautoriseerde gebruik van het computersysteem of de digitale gegevens van een verzekerde door een derde of een werknemer, waaronder situaties waarbij toegang is verkregen door middel van gestolen gebruikersreferenties of wanneer toegang is verkregen middels bring your own device.
1. Aansprakelijkheid
MS Xxxxx dekt schade die een verzekerde wettelijk verplicht is te betalen en de bijbehorende kosten van verweer, ten gevolge van een gedekte aanspraak vanwege het verzuim van de verzekerde om een beveiligingsinbreuk te voorkomen die ertoe leidt dat geautoriseerd gebruik van computersystemen van een verzekerde door een geautoriseerde derde, niet mogelijk is.
2. Bedrijfsschade
Gedekt is bedrijfsschade gedurende de uitkeringstermijn, die is ontstaan omdat de beschikbaarheid van het computersysteem of digitale gegevens van een verzekerde is belemmerd.
Voor dit onderdeel geldt dat er naast dekking als gevolg van een
beveiligingsinbreuk ook dekking is ten gevolge van:
2.1 een bedieningsfout;
2.2 een denial of service-aanval (bij een verzekerde of een
outsourcer);
2.3 een beveiligingsinbreuk in het computersysteem van een
outsourcer.
3. Kosten van afpersing
Gedekt zijn de kosten van afpersing die een verzekerde moet maken als direct gevolg van een serieuze dreiging om de beschikbaarheid van het computersysteem van een verzekerde geheel of gedeeltelijk te belemmeren. Voor dit onderdeel geldt dat er naast dekking als gevolg van een beveiligingsinbreuk ook dekking is als gevolg van een denial of service-aanval door een ongeautoriseerde (rechts)persoon.
Rubriek II Integriteit
Voorwaarde voor dekking onder deze rubriek is, dat tevens is voldaan aan het bepaalde in artikel 2 “Omvang van de
dekking”.
Onder de dekking van deze rubriek vallen de volgende onderdelen als gevolg van een beveiligingsinbreuk:
Onder beveiligingsinbreuk wordt verstaan de ongeautoriseerde toegang tot of het ongeautoriseerde gebruik van het computersysteem of de digitale gegevens van een verzekerde door een derde of een werknemer, waaronder situaties waarbij toegang is verkregen door middel van gestolen
gebruikersreferenties of wanneer toegang is verkregen middels
bring your own device.
1. Aansprakelijkheid
MS Xxxxx dekt schade die een verzekerde wettelijk verplicht is te betalen en de bijbehorende kosten van verweer, ten gevolge van een gedekte aanspraak voortvloeiend uit het verzuim van de verzekerde om een beveiligingsinbreuk te voorkomen, die leidt tot:
1.1 de overdracht van schadelijke software van computersystemen van een verzekerde of van digitale gegevens van een verzekerde naar een derde;
1.2 de ongeautoriseerde vernietiging, aantasting, uitwissing of versleuteling van digitale gegevens van derden die op computersystemen van een verzekerde zijn opgeslagen; (hier geldt dat het ook kan gaan om het computersysteem van een outsourcer).
1.3 het ongeautoriseerde gebruik van computersystemen van een verzekerde met als doel om deel te nemen aan een denial of service-aanval gericht tegen de computersystemen van een derde.
2. Herstel
Gedekt zijn de kosten van herstel van gegevens, die door een
verzekerde zijn gemaakt.
Voor dit onderdeel geldt dat er naast dekking als gevolg van een
beveiligingsinbreuk ook dekking is ten gevolge van:
2.1 schade met een accidenteel karakter;
2.2 een bedieningsfout;
2.3 een beveiligingsinbreuk (onder andere als gevolg van een denial of service-aanval) in het computersysteem van een outsourcer.
3. Bedrijfsschade
Gedekt is bedrijfsschade gedurende de uitkeringstermijn, die is ontstaan omdat een verzekerde niet in staat is geweest om op betrouwbare wijze gebruik te maken van zijn digitale gegevens, die aangetast of versleuteld zijn geraakt waardoor hun beoogde functie niet kan worden uitgeoefend.
Voor dit onderdeel geldt dat er naast dekking als gevolg van een
beveiligingsinbreuk ook dekking is ten gevolge van:
3.1 schade met een accidenteel karakter,
3.2 een bedieningsfout;
3.3 een beveiligingsinbreuk in het computersysteem van een
outsourcer.
4. Kosten van afpersing
Gedekt zijn de kosten van afpersing die een verzekerde moet maken als direct gevolg van een serieuze dreiging om digitale gegevens van een verzekerde te vernietigen, aan te tasten, wissen of versleutelen (encryptie), of om decryptiesleutels achter te houden en die het gevolg is van een beveiligingsinbreuk die:
4.1 een ongeautoriseerde in staat stelt om digitale gegevens van een verzekerde te wissen, vernietigen, beschadigen of versleutelen;
4.2 heeft geleid tot de versleuteling van digitale gegevens van een verzekerde door een ongeautoriseerde;
4.3 een ongeautoriseerde in staat stelt om schadelijke codes in
computersystemen van een verzekerde aan te brengen.
Xxxxxxx XXX Vertrouwelijkheid
Voorwaarde voor dekking onder deze rubriek is, dat tevens is voldaan aan het bepaalde in artikel 2 “Omvang van de
dekking”.
Onder de dekking van deze rubriek vallen de volgende onderdelen als gevolg van een schending van privacy of een schending van vertrouwelijkheid:
Onder schending van privacy wordt verstaan:
- de daadwerkelijke of vermoedelijke toegang tot of verwerking van persoonsgegevens door een niet daartoe door een verzekerde geautoriseerde (rechts)persoon; of
- het onbeschermd zijn danwel op onrechtmatige wijze verwerken van persoonsgegevens door onzorgvuldigheid van een door een verzekerde geautoriseerde (rechts)persoon.
Onder schending van vertrouwelijkheid wordt verstaan:
- de daadwerkelijke of vermoedelijke toegang tot of verwerking van bedrijfsinformatie, door een niet daartoe door een verzekerde geautoriseerde (rechts)persoon; of
- het onbeschermd zijn danwel op onrechtmatige wijze verwerken van bedrijfsinformatie door onzorgvuldigheid van een door een verzekerde geautoriseerde (rechts)persoon.
1. Aansprakelijkheid
MS Xxxxx dekt schade die een verzekerde wettelijk verplicht is te betalen en de bijbehorende kosten van verweer, ten gevolge van een gedekte aanspraak.
2. Boetes
Voor zover deze wettelijk verzekerbaar zijn, zijn bestuurlijke boetes en bijbehorende kosten gedekt in verband met een bestuurlijke maatregel die een verzekerde wettelijk verplicht is te betalen.
3. Kosten van afpersing
Gedekt zijn de kosten van afpersing die een verzekerde moet maken als een direct gevolg van een serieuze dreiging om persoonsgegevens of bedrijfsinformatie openbaar te maken, te publiceren of verkopen.
Rubriek IV Overige risico’s
Voorwaarde voor dekking onder deze rubriek is, dat tevens is voldaan aan het bepaalde in artikel 2 “Omvang van de
dekking”.
1. Cyber fraude
MS Xxxxx dekt het directe financiële verlies dat door een verzekerde is geleden als een rechtstreeks gevolg van het overmaken/overdragen door de verzekerde van gelden of eigendommen, indien:
1.1 de verzekerde heeft vertrouwd op (de invoer van) frauduleus, oneerlijk of crimineel gebleken gegevens of instructies naar het computersysteem of de digitale gegevens van een verzekerde, terwijl de verzekerde de gegevens (invoer of instructies) heeft geverifieerd, of
1.2 omdat toegang tot het computersysteem of de digitale gegevens van een verzekerde is verkregen als gevolg van een beveiligingsinbreuk door een derde, niet zijnde de werknemer.
2. Media aansprakelijkheid
MS Xxxxx dekt schade die een verzekerde wettelijk verplicht is te betalen en de bijbehorende kosten van verweer, ten gevolge van een gedekte aanspraak vanwege media aansprakelijkheid die voor het eerst op of na de inloopdatum door de verzekerde is gepubliceerd in elektronische vorm:
- op de website(s) van een verzekerde zoals genoemd in de artikelen 1.52.1 of 1.52.2; of
- op een account van een verzekerde zoals genoemd in de artikelen 1.52.1 of 1.52.2 op social media netwerken (zoals Twitter, Facebook en Instagram); of
- als nieuwsbrief.
3. Payment Card Industry (PCI)
MS Xxxxx dekt PCI boetes, PCI assessments en bijbehorende PCI kosten van verweer ten gevolge van een gedekte PCI aanspraak vanwege een inbreuk op de bescherming van betaalkaartgegevens, die heeft plaatsgevonden vanwege verzuim van een verzekerde om te voldoen aan gepubliceerde Payment Card Industry Data Security Standards (PCI DSS).
4. Schending van persoonsgegevens
MS Xxxxx dekt de schade die een verzekerde wettelijk verplicht is te betalen en de bijbehorende kosten van verweer, ten gevolge van een gedekte aanspraak vanwege een schending van persoonsgegevens door de verzekerde.
5. Bedrijfsschade door aantasting van reputatie
MS Xxxxx dekt bedrijfsschade die een verzekerde gedurende de uitkeringstermijn lijdt en die rechtstreeks en uitsluitend te wijten is aan de aantasting van het merk of reputatie van de verzekerde, welke aantasting rechtstreeks voortvloeit uit een schending van privacy of een schending van vertrouwelijkheid.
6. Telefoonhacking
MS Xxxxx dekt tevens de extra telefoonkosten die een verzekerde verplicht is te betalen als gevolg van ongeoorloofde toegang door een hacker tot het telefoonsysteem van de verzekerde.
Artikel 3 Dekkingsgebied
Het dekkingsgebied is de gehele wereld, tenzij anders bepaald op het polisblad.
Niet gedekt zijn echter aanspraken:
- gebaseerd op het recht van de Verenigde Staten van Amerika of Canada of
- gebaseerd op gerechtelijke uitspraken door een rechtsprekende instantie in de Verenigde Staten van Amerika of Canada.
Deze verzekering is niet van toepassing op een vestiging in het buitenland of een ondergeschikte daarvan, tenzij nadrukkelijk anders overeengekomen.
Artikel 4 Aanvullende uitsluitingen
Naast de uitsluitingen in de Algemene Voorwaarden gelden de volgende bepalingen.
Niet gedekt zijn aanspraken, bestuurlijke maatregelen, schades, verliezen, of daarbij behorende kosten, die verband houden met of voortvloeien uit:
Versie 04042019
4.1 Fysieke gebeurtenissen
4.1.1 Asbest of asbesthoudende stoffen of zaken, waaronder maar niet uitsluitend door blootstelling daaraan, het gebruik of aanwezigheid daarvan, of de opsporing of verwijdering daarvan.
4.1.2 Brand, rook en explosie.
4.1.3 Natuurrampen zoals aardbevingen, vulkanische uitbarstingen, hoge waterstand, blikseminslag, wind, neerslag, overstroming, vloedgolf, ijsgang, wervelstromen, grondverzakking en aardverschuiving.
4.1.4 Een (vermoeden van) milieuaantasting, zoals de uitstoot, lozing, doorsijpeling, loslating of ontsnapping van enige vloeibare, vaste of gasvormige stof, voor zover die een prikkelende of besmetting of bederf veroorzakende of een verontreinigende werking heeft in of op de bodem, de lucht, het oppervlaktewater of enig(e) al dan niet ondergronds(e) water(gang).
4.1.5 Schade veroorzaakt door of verband houdende met een elektromagnetisch veld, elektromagnetische straling, of elektromagnetisme.
4.2 Lichamelijk letsel
Ieder letsel of aantasting van de lichamelijke of geestelijke gezondheid van personen, al dan niet de dood ten gevolge hebbend, met inbegrip van de op geld waardeerbare gevolgen hiervan. Deze uitsluiting omvat ook letsel of aantasting van de gezondheid die geheel of gedeeltelijk als vermogensschade op een verzekerde wordt of kan worden afgewenteld. Deze uitsluiting geldt echter niet voor de onbedoelde toebrenging van emotioneel leed of geestelijk lijden als gevolg van een schending van privacy, beveiligingsinbreuk of media aansprakelijkheid.
4.3 Contractuele aansprakelijkheid
De aansprakelijkheid of verplichting tot het betalen van geldsommen vanwege het niet-nakomen van een verplichting uit een overeenkomst, waaronder de aansprakelijkheid of betalingsverplichting van anderen die een verzekerde middels een overeenkomst op zich heeft genomen. Dit geldt ook voor verstrekte garanties, beloftes of toezeggingen. Deze uitsluiting geldt echter niet in het geval:
4.3.1 de verzekerde ook aansprakelijk zou zijn of een betalingsverplichting zou hebben bij afwezigheid van een dergelijke overeenkomst, garantie of belofte (in dat geval alleen dekking op deze basis);
4.3.2 het gaat om de verplichting van de verzekerde om de vertrouwelijkheid en veiligheid van persoonsgegevens of bedrijfsinformatie te bewaken;
4.3.3 het gaat om PCI boetes en PCI assessments zoals bedoeld in Rubriek IV, onderdeel 3.
4.4 Kosten ter voldoening aan een dwangbevel Voorzieningen of gemaakte kosten ten behoeve van het voldoen aan een bevel van een gerechtelijke instantie of toezichthouder, inclusief, maar niet beperkt tot, een voorlopige voorziening, een bevel om de beveiliging van gegevens of van een computersysteem te verbeteren, of een (doorlopende) verplichting om controles, audits, assessments of testen uit te voeren.
4.5 Bestuurdersaansprakelijkheid
De persoonlijke aansprakelijkheid van bestuurders, commissarissen en functionarissen die in de hoedanigheid van feitelijk bestuurder of toezichthouder aansprakelijk zijn. Deze uitsluiting geldt echter niet voor een aanspraak die gedekt is wegens een schending van privacy, ingesteld door een
werknemer, verantwoordelijke functionaris of aandeelhouder, waarbij toegang is verkregen tot de persoonsgegevens van die werknemer, verantwoordelijke functionaris of aandeelhouder op een wijze waarvoor de verzekerde geen toestemming heeft gegeven.
Deze uitsluiting geldt ook niet indien en voor zover deze verzekering dekking had geboden als de verzekeringnemer was aangesproken.
4.6 Discriminatie
Discriminatie of intimidatie door een verzekerde van welke aard ook, inclusief maar niet beperkt tot, vanwege ras, geloof, etnische afkomst, leeftijd, geslacht, zwangerschap, burgerlijke staat, seksuele voorkeuren of beperking.
4.7 Opzet, fraude en onbehoorlijk gedrag
In afwijking van het bepaalde in de Algemene Voorwaarden AV 2019-1 geldt het volgende:
handelen of nalaten dat gericht is op een beoogd of zeker gevolg (opzet), gewelddadig, frauduleus, oneerlijk of crimineel gedrag van (een) verantwoordelijke functionaris(sen), of elk dergelijk door een verzekerde vertoond gedrag dat bekend is bij (een) verantwoordelijke functionaris(sen), ongeacht of de verzekerde alleen of samen met anderen handelt.
4.8 Overdracht van gelden
Het verlies, overdracht of diefstal van gelden, effecten of roerende zaken van anderen van of naar een rekening die onder zorg, beheer of toezicht van een verzekerde staat. Ten behoeve van deze uitsluiting wordt onder de term “rekening” onder andere verstaan, een depositorekening, creditrekening, debetrekening, prepaid rekeningen en rekeningen van effectenmakelaars.
Deze uitsluiting geldt niet indien en voor zover dekking wordt geboden op basis van Rubriek IV, onderdeel 1 “Cyberfraude”.
4.9 Overheidsoptreden
Een handeling, beperking of vereiste opgelegd door een overheidsinstantie, waaronder handhavend optreden of onderzoek door middel van een nationale of regionale verordening. Deze uitsluiting is echter niet van toepassing op een gedekte aanspraak uit hoofde van Xxxxxxx XXX “Vertrouwelijkheid”, onderdeel 2 “boetes”.
4.10 Illegale programma's
Het gebruik van illegale of niet-gelicentieerde software die inbreuk maken op wet- en regelgeving ter bescherming van software, indien dit gebruik bekend is bij een verantwoordelijke functionaris.
4.11 Infrastructuur
4.11.1 Storing, aantasting of onderbreking in de levering van een nutsvoorziening, waaronder gas, water en elektriciteit.
4.11.2 Storing, aantasting of onderbreking in de dienstverlening of werking van een telecommunicatieprovider of satelliet.
4.12 Insolventie van de verzekerde
De insolventie van, het faillissement van of wanbetaling door de
verzekerde of een outsourcer.
4.13 Onderlinge aansprakelijkheid
Elke aanspraak die door een verzekerde tegen een andere verzekerde wordt ingesteld. Deze uitsluiting geldt echter niet voor een aanspraak die door een werknemer of een verantwoordelijke functionaris wordt ingesteld.
Versie 04042019
4.14 Intellectueel eigendom
4.14.1 De werkelijke of vermeende inbreuk op octrooi- of patentrechten; of
4.14.2 Het verduisteren van handelsgeheimen of bedrijfsinformatie door een verzekerde of door een derde partij die namens een verzekerde handelt.
4.15 Bekende aanspraken en omstandigheden
4.15.1 Elk(e) handeling, fout, nalaten, feit, incident, omstandigheid of schadeveroorzakende gebeurtenis, die voor het eerst is gedaan of gebeurd voorafgaand aan de ingangsdatum van deze verzekering, waarvan een verantwoordelijke functionaris wist of behoorde te weten dat deze een aanspraak of schade tot gevolg kon hebben.
4.15.2 Elke aanspraak of bestuurlijke maatregel die aan een verzekerde wordt gemeld of tegen een verzekerde wordt ingesteld voorafgaand aan de ingangsdatum van deze verzekering.
4.15.3 Xxxx xxxxxxxxx, fout, nalaten, schadeveroorzakende gebeurtenis of andere zaak die gemeld is aan een verzekeraar van een andere verzekeringspolis die van kracht was voorafgaand aan de ingangsdatum van deze verzekering.
4.16 Zaakschade
Iedere fysieke schade aan of vernietiging van zaken, inclusief verlies van het gebruik daarvan en met inbegrip van de op geld waardeerbare gevolgen hiervan. Deze uitsluiting omvat ook de schade aan, vernietiging van en verlies van het gebruik van zaken, dat geheel of gedeeltelijk als vermogensschade op een verzekerde wordt of kan worden afgewenteld. Deze uitsluiting is echter niet van toepassing op digitale gegevens van een verzekerde die zijn aangetast, gewist, beschadigd of vernietigd als gevolg van schade met een accidenteel karakter, aan of vernietiging van computerhardware.
4.17 Onrechtmatige verwerking van gegevens
De onrechtmatige verzameling, aanpassing, vernietiging bewaring en gebruik van persoonsgegevens door een verzekerde of wie dan ook namens een verzekerde met de toestemming, kennis of medewerking van een verantwoordelijke functionaris.
4.18 Slijtage
De slijtage of geleidelijke achteruitgang van computersystemen of digitale gegevens van een verzekerde evenals eventuele gemaakte kosten ter verbetering van het computersysteem of de digitale gegevens van een verzekerde.
4.19 Oneerlijke en bedrieglijke praktijken van een verzekerde
Elke werkelijke of beweerde:
4.19.1 valse, bedrieglijke of misleidende reclame of bedrog van consumenten;
4.19.2 valse, bedrieglijke of oneerlijke handelspraktijken;
4.19.3 oneerlijke concurrentie, handelsbelemmering of schending van een kartelverbod.
Artikel 5 Schade
Een verzekerde kan alleen een beroep doen op deze verzekering indien hij zijn verplichtingen als bedoeld in dit artikel is nagekomen en MS Xxxxx op basis van de door de verzekerde aan hem verstrekte informatie zijn uitkeringsplicht heeft kunnen vaststellen.
5.1 Hulp en samenwerking
5.1.1 De verzekerde verplicht zich aan MS Xxxxx alle informatie te verstrekken en alle door of namens MS Xxxxx verzochte medewerking te verlenen die nodig is om zijn eventuele uitkeringsplicht te beoordelen. De verzekerde zal zich onthouden van handelen of nalaten die de belangen van MS Xxxxx kunnen benadelen. Zo zal de verzekerde geen aansprakelijkheid erkennen zonder instemming van MS Xxxxx en geen informatie aan derden verstrekken waaruit een erkenning kan worden afgeleid.
5.1.2 De verzekerde verplicht zich om op verzoek van MS Xxxxx medewerking te verlenen aan - en al het nodige te doen bij - het treffen van schikkingen, het voeren van verweer en procedures en het nemen van regres op een aansprakelijke derde. De verzekerde verplicht zich voor eigen rekening aanwezig te zijn bij zittingen, getuigenverhoren en procedures en om mee te werken aan het veilig stellen en het leveren van bewijs. Onder dit laatste valt ook het bewerkstelligen van de aanwezigheid van getuigen, één en ander voor zover dit binnen de macht ligt van de verzekerde.
5.1.3 In het geval op grond van privacywetgeving of regelgeving/voorwaarden van een betaalkaartorganisatie wordt vereist dat er een onverwijlde publieke kennisgeving van een schending van privacy wordt gedaan, wordt dit niet beschouwd als een erkenning van aansprakelijkheid waarvoor voorafgaande schriftelijke toestemming van MS Xxxxx vereist is. MS Xxxxx dient echter zo snel als redelijkerwijs mogelijk is volgens artikel
5.3. op de hoogte te worden gesteld indien die kennisgeving een omstandigheid is die zou kunnen leiden tot een aanspraak of schade.
5.1.4 Op grond van de polisvoorwaarden en artikel 7:941 Burgerlijk Wetboek is de verzekerde verplicht MS Xxxxx alle informatie te vertrekken die voor hem nodig is om zijn uitkeringsplicht te beoordelen. De verzekerde stemt er in verband daarmee mee in dat MS Xxxxx rechtstreeks informatie ontvangt van derden en van ingeschakelde deskundigen. De verzekerde zal dergelijke derden en ingeschakelde deskundigen machtigen om aan MS Xxxxx zonder voorbehoud alle informatie te verstrekken. De verzekerde machtigt daartoe reeds nu en voor alsdan de bedoelde ingeschakelde deskundigen, waaronder de deskundigen van het MS Xxxxx First Response Team als bedoeld op het polisblad.
5.2 Verweer, schikking en keuze van juridische vertegenwoordiging en externe deskundigen
5.2.1 Partijen beslissen in gezamenlijk overleg over de inschakeling van deskundigen die zich met de behandeling van een schade onder de verzekering belast. Indien de verzekerde en MS Xxxxx hierover geen overeenstemming bereiken zal de beslissing van MS Xxxxx bindend zijn.
MS Xxxxx zal slechts de onder deze verzekering gedekte kosten dienen te vergoeden die met voorafgaande schriftelijke toestemming van MS Xxxxx zijn gemaakt. Als uitzondering daarop geldt dat MS Xxxxx zijn goedkeuring niet zal onthouden indien de verzekerde kiest voor een door MS Xxxxx geselecteerde deskundige uit het MS Xxxxx First Response Team dat op het polisblad is genoemd.
5.2.2 Indien MS Xxxxx en de verzekerde van mening verschillen over de wijze van afwikkeling van een aanspraak of bestuurlijke maatregel zal de vergoedingsplicht van MS Xxxxx voor die aanspraak of bestuurlijke maatregel niet hoger zijn dan het laagste van de volgende bedragen:
a. het bedrag waarvoor de aanspraak of bestuurlijke maatregel had kunnen worden geschikt, minus het eigen risico, vermeerderd met:
Versie 04042019
- de kosten van verweer;
- PCI kosten van verweer;
- kosten in verband met een bestuurlijke maatregel, welke kosten zijn gemaakt tot de datum waarop de verzekerde te kennen heeft gegeven niet akkoord te kunnen gaan met een schikking voorgesteld door MS Xxxxx; of
b. het overblijvende deel van het toepasselijke (maximum) verzekerde bedrag zoals vermeld op het polisblad.
5.3 Melden van aanspraken en/of schade
5.3.1 Meldingen van aanspraken, schade, kosten, verliezen en boetes moeten zo snel als rederlijkerwijs mogelijk worden gedaan:
- vanaf het moment waarop dit bekend is bij een
verantwoordelijke functionaris; en
- binnen de geldigheidsduur van de verzekering; of
- voor het einde van de verlengde periode voor melding indien deze verlengde periode volgens artikel 6.2 van toepassing is.
In afwijking van het bovenstaande geldt het volgende:
- aanspraken die voor het eerst zijn ingesteld; of
- schade, kosten, verliezen en boetes die voor het eerst door de verzekerde zijn ontdekt of aan de verzekerde zijn gemeld,
tijdens de laatste 30 dagen van de geldigheidsduur van de verzekering, kunnen tot maximaal 30 dagen na de geldigheidsduur van de verzekering bij MS Xxxxx worden gemeld.
5.3.2 Voor het verlenen van bijstand aan de verzekerde na een melding maakt MS Xxxxx gebruik van een zogenaamd “MS Xxxxx First Response Team”. Het MS Xxxxx First Response Team als bedoeld op het polisblad bestaat uit:
- een Crisis Coördinator
- een Juridisch Adviseur; en
- een IT-Specialist; en
- een Communicatieadviseur
indien het inschakelen daarvan door MS Xxxxx of de Crisis Coördinator nodig wordt geacht.
Een melding bij het MS Xxxxx First Response Team geldt als een melding aan MS Xxxxx. Het verdient de voorkeur rechtstreeks te melden bij het MS Xxxxx First Response Team. Een eigen risico geldt niet voor de eigen kosten van het MS Xxxxx First Response Team gemaakt gedurende de eerste 72 uur nadat de melding bij MS Xxxxx of het MS Xxxxx First Response Team heeft plaatsgevonden.
5.3.3 De melding dient ten minste het volgende te omvatten:
a. specifieke details van de handeling, fout, nalaten, feit of omstandigheid die waarschijnlijk grond zal zijn voor een aanspraak of een bestuurlijke maatregel; en
b. de mogelijke schade, bestuurlijke boetes of andere bedragen die mogelijk gedekt worden door deze verzekering die kunnen voortvloeien of zijn voortgevloeid uit de handeling, fout, nalaten, feit of omstandigheid; en
c. de feiten waardoor de verantwoordelijke functionaris voor het eerst de handeling, fout, het nalaten, feit of omstandigheid waarvan het redelijk waarschijnlijk is dat die grond zal zijn voor een aanspraak of een bestuurlijke maatregel, heeft ontdekt.
5.3.4 Elke latere aanspraak of bestuurlijke maatregel die tegen de verzekerde wordt ingesteld als gevolg van de handeling, fout, nalaten, feit of omstandigheid die het onderwerp is van de melding in 5.3.1 hierboven zal geacht worden te zijn gedaan op het moment dat schriftelijke melding werd gedaan van de handeling, fout, nalaten, feit of omstandigheid volgens de hierboven vermelde vereisten.
5.3.5 Het bestaan van een kwetsbaarheid in de beveiliging, zonder dat er bewijs van die kwetsbaarheid is overlegd, geldt niet als een handeling, fout, nalaten, feit of omstandigheid waarvan het waarschijnlijk is dat die grond zal zijn voor een aanspraak of een bestuurlijke maatregel in het kader van artikel 5.3.4.
5.3.6 Een aanspraak of schadeveroorzakende gebeurtenis zal geacht worden aan MS Xxxxx te zijn gemeld op het moment dat MS Xxxxx - of een deskundige uit het Team genoemd op het polisblad - voor het eerst kennisgeving hebben ontvangen op de in de verzekering voorgeschreven wijze.
5.4 Bewijs van xxxxxx
5.4.1 Voor alle verzoeken tot vergoeding van bedrijfsschade en/of kosten van herstel van gegevens dient de verzekerde zo spoedig als mogelijk een schriftelijk bewijs van de bekende schade te overleggen.
Dit bewijs van schade dient het volgende te omvatten:
a. een volledige en begrijpelijke beschrijving van de schadeveroorzakende gebeurtenis, het exacte tijdstip van de schadeveroorzakende gebeurtenis en de relevante locatie waar de schadeveroorzakende gebeurtenis zich heeft voorgedaan, de locatie en beschrijving van de digitale gegevens en de aangetaste computersystemen van een verzekerde;
b. een uitleg van het belang van de verzekerde bij de digitale gegevens en computersystemen die onderdeel vormen van de digitale gegevens en de computersystemen van een verzekerde die door de schadeveroorzakende gebeurtenis zijn aangetast;
c. alle systeemlogboeken, beveiligingslogboeken, informatie en documenten die relevant zijn voor de beoordeling van de schade en de schadeveroorzakende gebeurtenis;
d. verklaringen van getuigen of andere rapporten van deskundigen die zijn ingeschakeld in verband met de schadeveroorzakende gebeurtenis of schade;
e. het bedrag van eventueel gevorderde bedrijfsschade en/of kosten van herstel van gegevens, vergezeld van een gedetailleerde berekening.
5.4.2 MS Xxxxx vergoedt de accountantskosten bij bedrijfsschade.
5.4.3 In het geval MS Xxxxx en de verzekerde het niet eens zijn over het bedrag van bedrijfsschade en/of kosten van herstel van gegevens, zal het geschil worden beslecht overeenkomstig de procedure als aangegeven in de Algemene Voorwaarden.
Artikel 6 Algemene bepalingen
In het kader van dit artikel wordt onder aanspraak tevens verstaan bestuurlijke maatregelen.
6.1 Meeverzekerden
6.1.1 Andere verzekerden als bedoeld in artikel 1.52 “verzekerde” zijn: Alle rechtspersonen en/of vennootschappen, maatschappen dan wel soortgelijke lichamen naar Nederlands recht, vanaf het moment dat verzekeringnemer daarin al dan niet rechtstreeks voor meer dan 50% belang heeft, mits de activiteiten vergelijkbaar zijn met de activiteiten van de bestaande verzekerden.
6.1.2 Ter zake van deelnemingen die tijdens het lopende verzekeringsjaar worden verworven geldt dat niet gedekt zijn aanspraken, schade, kosten, verliezen en boetes waarbij:
- de schadeveroorzakende gebeurtenis heeft plaatsgevonden voor de overdrachtsdatum;
- de aanspraak of omstandigheid bij een verzekerde en/of de
Versie 04042019
verworven deelneming bekend is voor de overdrachtsdatum.
6.1.3 Onder “datum van verwerving” wordt verstaan de “overdrachtsdatum”, zijnde de datum waarop het eigendom van de verworven deelneming, in juridische zin, overgaat.
6.1.4 Verzekeringnemer is verplicht zo spoedig mogelijk doch uiterlijk binnen drie maanden na de overdrachtsdatum MS Xxxxx een opgave te doen van de nieuw verworven deelneming alsmede van de door MS Xxxxx gewenste risico informatie. MS Xxxxx heeft het recht om na ontvangst van de informatie met betrekking tot de nieuw verworven deelneming aanvullende voorwaarden en condities voor te stellen.
6.1.5 Indien verzekeringnemer niet akkoord gaat met de door MS Xxxxx voorgestelde aanvullende voorwaarden en condities wordt de nieuw verworven deelneming niet als een verzekerde beschouwd. MS Xxxxx houdt de nieuwe deelneming echter vanaf de overdrachtsdatum verzekerd onder deze verzekering op de door hen voorgestelde voorwaarden en condities gedurende een termijn van maximaal drie maanden tenzij anders overeengekomen.
6.1.6 De door MS Xxxxx voorgestelde aanvullende voorwaarden en condities zijn van toepassing vanaf de overdrachtsdatum, ongeacht of er na deze datum reeds omstandigheden of aanspraken zijn gemeld bij MS Xxxxx.
6.1.7 Onder meeverzekerde wordt niet verstaan een entiteit die is opgericht als een compagnonschap of een joint venture, tenzij nadrukkelijk anders is overeengekomen.
6.2 Verlengde periode voor melding
6.2.1 Indien MS Xxxxx of verzekeringnemer deze verzekering opzegt of niet verlengt op grond van artikel 6.1 van de AV 2019- 1, heeft verzekernemer het recht de termijn waarbinnen schriftelijk bij MS Xxxxx gemeld kan worden met één jaar te verlengen.
6.2.2 Met betrekking tot deze verlenging geldt het volgende:
- de verlengde periode voor melding geldt voor één jaar aansluitend op de einddatum van de verzekering;
- voor deze dekking geldt een extra premie gelijk aan 75% van de tot dan geldende jaarpremie;
- de verlengde periode voor melding is uitsluitend van toepassing op:
- elke aanspraak die voor het eerst tegen een verzekerde wordt ingesteld tijdens de verlengde periode voor melding; of
- schade, kosten, verliezen en boetes die voor het eerst door een verzekerde worden ontdekt of aan een verzekerde worden gemeld tijdens de verlengde periode voor melding,
en die voortvloeit uit een schadeveroorzakende gebeurtenis die zich voor het eerst voordoet op of na de inloopdatum en tijdens de geldigheidsduur van de verzekering.
6.2.3 De verlengde periode voor melding is uitsluitend van toepassing indien verzekeringnemer binnen 30 dagen na de datum van kennisgeving van de opzegging of niet-verlenging, aangeeft van dit recht gebruik te willen maken en de premie voor de verlengde periode voor melding volledig is betaald.
6.2.4 Het verzekerd bedrag voor de verlengde periode voor melding is onderdeel van en komt niet bovenop, het verzekerd bedrag van de verzekering. De aanspraken, schade, kosten, verliezen en boetes worden toegerekend aan het verzekeringsjaar direct voor de einddatum van de polis.
6.3 Verzekerd bedrag
6.3.1 Het verzekerd bedrag van de verzekering genoemd op het polisblad is de volledige vergoeding en het maximum dat MS Xxxxx zal betalen voor alle schade, schadevergoeding, kosten van verweer, PCI kosten van verweer, of welke andere
bedragen dan ook, ongeacht het aantal aanspraken of schadeveroorzakende gebeurtenissen en ongeacht het aantal Rubrieken en onderdelen die van toepassing zijn en waaraan die aanspraken en schadeveroorzakende gebeurtenissen verbonden zijn.
6.3.2 Voor bepaalde onderdelen kunnen sublimieten van toepassing zijn. Deze sublimieten maken deel uit van het verzekerd bedrag van de verzekering.
6.3.4 Het verzekerd bedrag voor de verlengde periode voor melding in artikel 6.2 is onderdeel van en komt niet bovenop het verzekerd bedrag van de verzekering als aangegeven op het polisblad. De verlengde periode voor melding kan het verzekerd bedrag van de verzekering niet vernieuwen of verhogen.
6.4 Verwante aanspraken, verliezen en schadeveroorzakende gebeurtenissen
6.4.1 Alle:
- aanspraken; of
- bestuurlijke maatregelen; of
- schades/ verliezen,
die voortvloeien uit één enkele schadeveroorzakende gebeurtenis zullen worden beschouwd als één enkele:
- aanspraak; of
- bestuurlijke maatregel; of
- schade/ verlies, ongeacht het aantal:
- verzekerden; of
- aanspraken en eisers; of
- bestuurlijke maatregelen en toezichthouders; of
- schades/ verliezen.
6.4.2 Al deze aanspraken, bestuurlijke maatregelen of schades/ verliezen zullen geacht worden te zijn ingediend op de datum waarop de eerste aanspraak werd gedaan of de eerste schadeveroorzakende gebeurtenis werd ontdekt.
6.4.3 Wanneer uit één schadeveroorzakende gebeurtenis zowel aanspraken, bestuurlijke maatregelen of schades/ verliezen voortvloeien, zal dit worden beschouwd als één enkele aanspraak die geacht wordt te zijn ingediend op de datum waarop de eerste aanspraak werd gedaan of de eerste schadeveroorzakende gebeurtenis werd ontdekt.
6.5 Eigen risico
6.5.1 MS Xxxxx is uitsluitend verplicht tot betaling van gedekte bedragen boven het toepasselijke eigen risico tot ten hoogste het verzekerd bedrag van de verzekering als bepaald op het polisblad.
6.5.2 Indien er meerdere eigen risico’s per aanspraak/ gebeurtenis van toepassing zijn, zullen de eigen risico’s niet cumuleren. Per aanspraak/ gebeurtenis zal nimmer meer dan eenmaal het hoogste van toepassing zijnde eigen risico gelden.
Versie 04042019