ZURICH ProPlus Rubriek M Security & Privacy ICT bedrijven

ZURICH ProPlus Rubriek M Security & Privacy ICT bedrijven

ZURICH ProPlus-M S&P

Security & Privacy ICT bedrijven

20 Algemeen

20.1 De dekkingen binnen deze Rubriek zijn optioneel. Er is dekking voor zover de specifieke sectie blijkens het polisblad is meeverzekerd. Het verzekerd bedrag voor alle secties tezamen zal nimmer boven het op het polisblad genoemde maximum uitkomen. Artikel 4.1.1.5 van Rubriek A komt hiermee te vervallen.

20.2 De gekozen Secties 23 en 29 bieden uitsluitend dekking mits de aanspraak ter zake daarvan voor de eerste maal tegen verzekerde is ingesteld tijdens de geldigheidsduur van de verzekering en tevens tijdens deze geldigheidsduur schriftelijk bij Zurich is gemeld.

20.3 De gekozen Secties 24, 25, 26, 27 en 28 bieden uitsluitend dekking mits een verzekerde voor de eerste maal bekend is geworden met een privacy incident, netwerk incident of cyberafpersing tijdens de geldigheidsduur van de verzekering en tevens tijdens deze geldigheidsduur schriftelijk bij Zurich is gemeld.

20.4 Deze verzekering dekt geen aanspraken en omstandigheden die voortvloeien uit handelen of nalaten van verzekerde dat heeft plaatsgevonden vóór de ingangsdatum van de verzekering, tenzij er een inloopperiode blijkens het polisblad is meeverzekerd.

20.5 Deze verzekering dekt niet de schade of kosten die voortvloeien uit een privacy incident, netwerk incident of cyberafpersing dat heeft plaatsgevonden vóór de ingangsdatum van de verzekering, tenzij er een inloopperiode blijkens het polisblad is meeverzekerd.

20.6 Deze verzekering dekt niet de schade of kosten die voortvloeien uit een inbreuk op de bescherming van persoonsgegevens of een digitale publicatie op het internet of mediadiensten die het internet gebruiken dat heeft plaatsgevonden vóór de ingangsdatum van de verzekering, tenzij er een inloopperiode blijkens het polisblad is meeverzekerd.

20.7 Indien sprake is van een reeks van handelen of nalaten van verzekerde die met elkaar verband houdt of uit elkaar voortvloeit, is voor de toepassing van dit artikel bepalend de datum van aanvang van deze reeks.

20.8 Indien een privacy incident, netwerk incident of cyberafpersing is gebaseerd op of toe te kennen aan eenzelfde oorzaak, een enkele schade of een reeks voortdurende, herhaalde schades of incidenten, zal deze worden beschouwd als één aanspraak en worden geacht bij Zurich te zijn aangemeld op het moment dat het eerste privacy incident, netwerk incident of cyberafpersing bij Zurich is gemeld.

20.9 Indien een inbreuk op de bescherming van persoonsgegevens is gebaseerd op eenzelfde oorzaak of bron, zal deze worden beschouwd als één aanspraak en worden geacht bij Zurich te zijn aangemeld op het moment dat de eerste inbreuk op de bescherming van persoonsgegevens bij Zurich is gemeld.

20.10 Indien een aanspraak is ingediend op basis van een digitale publicatie op het internet of mediadiensten die het internet gebruiken, gebaseerd is op of toe te kennen is aan eenzelfde oorzaak of bron, zal deze worden beschouwd als één aanspraak en worden geacht bij Zurich te zijn aangemeld op het moment dat de eerste aanspraak bij Zurich is gemeld.

20.11 Deze verzekering dekt niet de gemaakte extra kosten waardoor het computersysteem van verzekerde in een verbeterde situatie komt dan voor het netwerk incident het geval was.

20.12 Indien de onder deze verzekering gedekte schade of kosten tevens is of zijn gedekt onder een andere verzekering, zal (zullen) die andere verzekering(en) in geval van een aanspraak te allen tijde voorgaan als zou de onderhavige verzekering niet hebben bestaan.

21 Definities

In aanvulling op artikel 2 van Xxxxxxx A zijn voor deze Rubriek onderstaande definities van toepassing.

21.1 Bedrijfsstilstandschade

Onder bedrijfsstilstandschade wordt verstaan de vermindering van de brutowinst, onder aftrek van de eventuele besparingen, als gevolg van een netwerk incident indien en voor zover deze vermindering niet zou hebben plaatsgevonden indien het netwerk incident zich niet zou hebben voorgedaan. Onder bedrijfsstilstandschade wordt niet verstaan boetes wegens contractbreuk, vertraagde uitvoering of het niet uitvoeren van opdrachten, alsmede de afschrijving op debiteuren.

21.2 Brutowinst

Onder brutowinst wordt verstaan de vaste kosten vermeerderd met de nettowinst vóór belastingen, respectievelijk verminderd met het nettoverlies.

21.3 Computersysteem

Onder computersysteem wordt verstaan computer hardware, computersoftware en de elektronische gegevens daar opgeslagen, alsmede de daarbij behorende randapparatuur, dataopslag apparaten, netwerkapparatuur, elektronische back-up faciliteiten, met inbegrip van systemen toegankelijk via het internet, intranet, extranet of virtuele private netwerken.

21.4 Computersysteem van verzekerde

Onder computersysteem van verzekerde wordt verstaan, het computersysteem dat eigendom is van, gehuurd of gebruikt wordt door verzekerde.

21.5 Cyberafpersing

Onder cyberafpersing wordt verstaan een concrete dreiging uitgevoerd door ieder ander dan de in artikel 2.4.4 van Rubriek A genoemde verzekerden om:

- Het computersysteem van verzekerde met een virus te besmetten, beschadigen of te vernietigen;

- De toegang tot het computersysteem van verzekerde met een virus te beperken of te belemmeren, inclusief de dreiging met een DDoS aanval;

- Elektronische data in beheer of onder controle van verzekerde te openbaren, te vernietiging of te misbruiken.

21.6 Data

Onder data wordt verstaan:

- Iedere informatie waaruit een uniek natuurlijk persoon kan worden geïdentificeerd, waaronder de naam van een individu, BurgerServiceNummer, medische informatie of beschermde gezondheidsinformatie, rijbewijsnummer, bankrekeningnummer, creditcardnummer, adres, telefoonnummer of wachtwoord.

- Bedrijfsinformatie in beheer of onder controle van verzekerde of diens serviceprovider, voor zover deze informatie als vertrouwelijk valt aan te merken.

Onder data wordt niet verstaan informatie welke voor het publiek rechtmatig openbaar is.

21.7 DDoS aanval

Onder een DDOS aanval wordt verstaan een aanval uitgevoerd over één of meerdere netwerken specifiek ontworpen en bedoeld om het computersysteem en elektronische data van verzekerde geheel of gedeeltelijk te ontregelen en/of te onderbreken.

21.8 Elektronische data

Onder elektronische data wordt verstaan software, audiobestanden, afbeeldingsbestanden, tekstbestanden, programma’s, websites of andere data die elektronisch opgeslagen wordt.

21.9 Externe kosten

Onder externe kosten wordt verstaan de daadwerkelijk door verzekerde gemaakte kosten voor ingeschakelde experts, consultants, advocaten en accountants om de oorzaak en de omstandigheden van een privacy incident en netwerk incident te identificeren, te herstellen en de schade te beperken.

21.10 Netwerk incident

Onder een netwerk incident wordt verstaan elk(e)/ieder ongeautoriseerd(e) toegang/gebruik of besmetting met een virus of DDoS aanval via het computersysteem leidend tot:

- onderbreking of uitval van het computersysteem van verzekerde;

- beschadiging of vernietiging van elektronische data van verzekerde;

- de weigering van toegang op het computersysteem van verzekerde voor een geautoriseerde gebruiker;

- de deelname van het computersysteem van verzekerde in een DDoS aanval gericht op het computersysteem van een derde;

- de verspreiding van een virus door het computersysteem van verzekerde leidend tot de besmetting, beschadiging of vernietiging van elektronische data op het computersysteem van een derde.

21.11 Netwerkonderbreking

Onder netwerkonderbreking wordt verstaan een onderbreking, vertraging, stilval of uitval van een product of dienst die wordt verschaft middels het computersysteem van verzekerde als gevolg van een netwerk incident.

21.12 Privacy incident

Onder een privacy incident wordt verstaan de ongeautoriseerde openbaarmaking of verlies van data in beheer of onder controle van verzekerde of diens serviceprovider.

21.13 Serviceprovider

Onder serviceprovider wordt verstaan ieder ander dan verzekerde, echter door verzekerde aangesteld middels een schriftelijke overeenkomst en betaling, om services en diensten te verlenen met betrekking tot het onderhoud, management en controle van computersystemen van verzekerde, hosting en het faciliteren van internetwebsites van verzekerde alsmede het verlenen van andere informatietechnologische diensten voor verzekerde.

21.14 Wachttermijn

Onder wachttermijn wordt verstaan het aantal uren zoals vermeld op het polisblad dat ten minste verstreken dient te zijn, met een minimum eigen risico uitgedrukt in euro’s.

22 Geldigheidsgebied

In tegenstelling tot artikel 5 van Rubriek A biedt deze verzekering dekking voor aanspraken, die tegen een verzekerde zijn ingesteld en/of rechtens aanhangig worden gemaakt in de gehele wereld.

23 Sectie: Aansprakelijkheid

23.1 Voor zover meeverzekerd blijkens het polisblad biedt deze sectie dekking voor de aansprakelijkheid van verzekerde voor schade van derden als omschreven in artikel 2.9 van Rubriek A voortvloeiende uit een privacy incident of een netwerk incident bij verzekerde of zijn serviceprovider.

23.2 De onder artikel 23.1 genoemde verzekerde vermogensschade zal worden vergoed, onder aftrek van het geldende eigen risico voor deze sectie, tot het op het polisblad genoemde verzekerde bedrag voor deze sectie.

24 Sectie: Kosten bij privacy incident of netwerk incident

24.1 Voor zover meeverzekerd blijkens het polisblad biedt deze sectie dekking voor de externe kosten gemaakt door verzekerde voortvloeiende uit een privacy incident of netwerk incident voor:

24.1.1 Forensisch IT-onderzoek om de oorzaak en omvang van een privacy incident of netwerk incident vast te stellen;

24.1.2 Vaststelling van regres- en vrijwaringsmogelijkheden richting de serviceprovider;

24.1.3 Vaststelling van de wettelijke meldplicht en toetsing aan de toepasselijke privacy wet- en regelgeving;

24.1.4 Notificatie aan derden en toezichthoudende instanties;

24.1.5 Het inhuren van een communicatie- of PR-bureau of callcenter, gedurende maximaal 12 maanden nadat een privacy incident of netwerk incident heeft plaatsgevonden;

24.1.6 Kredietbewakingsdiensten.

24.2 De onder 24.1 genoemde, met toestemming van Zurich, gemaakte externe kosten zullen worden vergoed, onder aftrek van het geldende eigen risico voor deze sectie, tot het op het polisblad genoemde verzekerde bedrag voor deze sectie.

25 Sectie: Herstel van data

25.1 Voor zover meeverzekerd blijkens het polisblad biedt deze sectie dekking voor kosten gemaakt door verzekerde om de elektronische data te reconstrueren, te vervangen of te herstellen als gevolg van een netwerk incident.

25.2 De onder 25.1 artikel genoemde, met toestemming van Zurich, gemaakte kosten zullen worden vergoed, onder aftrek van het geldende eigen risico voor deze sectie, tot het op het polisblad genoemde verzekerde bedrag voor deze sectie.

26 Sectie: Bedrijfsstilstandschade

26.1 Voor zover meeverzekerd blijkens het polisblad biedt deze sectie dekking voor de geleden bedrijfsstilstandschade van verzekerde als gevolg van een netwerkonderbreking, met inachtname van de wachttermijn, gedurende maximaal 12 maanden nadat een netwerk incident zich heeft voorgedaan.

26.2 Bij de berekening van de bedrijfsstilstandschade zal rekening worden gehouden met de activiteiten en/of diensten die verzekerde heeft uitgevoerd in een vergelijkbare periode in voorgaande boekjaren.

26.3 De onder artikel 26.1 geleden bedrijfsstilstandschade zal worden vergoed tot het op het polisblad genoemde verzekerde bedrag voor deze sectie.

27 Sectie: Administratieve boetes

27.1 Voor zover meeverzekerd blijkens het polisblad en mits toegestaan op basis van lokale wet- en regelgeving, biedt deze sectie dekking voor de administratieve boetes, alsmede de kosten voor de in overleg met Zurich ingeschakelde advocaten en andere experts, ten aanzien van een onderzoek door een toezichthouder in verband met een toezichtrechtelijke procedure aangaande een inbreuk op de bescherming van persoonsgegevens als gevolg van een privacy incident of een netwerk incident.

27.2 De administratieve boete vormt iedere rechtmatig te verzekeren boete, als opgelegd door een toezichthouder, in verband met een toezichtrechtelijke procedure aangaande een inbreuk op de bescherming van persoonsgegevens. De administratieve boete vormt geenszins enig andere civiele of strafrechtelijke boete.

27.3 De onder artikel 27.1, met toestemming van Zurich, gemaakte kosten en betaalde boetes zullen worden vergoed, onder aftrek van het geldende eigen risico voor deze sectie, tot het op het polisblad genoemde verzekerde bedrag voor deze sectie.

28 Sectie: Cyberafpersing

28.1 Voor zover meeverzekerd op het polisblad biedt deze sectie dekking voor de externe kosten betaald aan adviseurs om te bemiddelen bij of onderzoek uit te voeren naar de oorzaak van cyberafpersing.

28.2 In aanvulling op het bepaalde in artikel 28.1 van deze rubriek biedt deze sectie dekking voor de met toestemming van Zurich betaalde gelden aan derden, wanneer deze gelden leiden tot de arrestatie en veroordeling van een persoon die dreigt met een cyberafpersing.

28.2.1 Zurich vergoedt de betaalde gelden tot maximaal € 50.000,- per aanspraak en per verzekeringsjaar als onderdeel van het op het polisblad genoemde verzekerde bedrag voor cyberafpersing.

28.2.2 In tegenstelling tot het bepaalde op het polisblad geldt er voor deze betaalde gelden geen eigen risico.

28.3 De onder artikel 28.1 genoemde, met toestemming van Zurich, gemaakte kosten zullen worden vergoed, onder aftrek van het geldende eigen risico voor deze sectie, tot het op het polisblad genoemde verzekerde bedrag voor deze sectie.

29 Sectie: Media aansprakelijkheid

29.1 Voor zover meeverzekerd blijkens het polisblad biedt deze sectie dekking voor de aansprakelijkheid van verzekerde voor vermogensschade van derden als omschreven in artikel 2.9.3 van Rubriek A voortvloeiende uit een digitale publicatie op het internet of mediadiensten die het internet gebruiken, welke leidt tot:

- smaad, belediging of laster;

- inbreuk op een auteursrecht, titel, slogan, handelsmerk, handelsnaam, imago, merk, servicemerk, servicenaam of domeinnaam;

- plagiaat, valse reclame of diefstal van ideeën of informatie;

- inbreuk op, strijdigheid met of belemmering van privacy- of publiciteitsrechten, onjuiste voorstelling van zaken, publieke openbaarmaking van privé feiten en commerciële toe-eigening;

- onbevoegd gebruik van titels, formats, stijl, karakters of ander beschermd materiaal.

29.2 In aanvulling op het bepaalde in artikel 30 van deze Rubriek wordt voor de sectie Media Aansprakelijkheid uitgesloten de schade voorvloeiende uit, gebaseerd op of te wijten aan:

- de daadwerkelijke of vermeende onjuiste, ontoereikende of onvolledige beschrijving van de prijs van goederen, producten of diensten, kostenweergaven of ramingen van prijzen vastgesteld in contracten, de echtheid van goederen, producten of diensten en het niet voldoen van goederen of diensten aan de voorgestelde kwaliteits- of prestatienormen, tenzij deze wijziging is gedaan door een kwaadwillige derde;

- onjuistheden gemaakt in de financiële publicaties van verzekerde, met inbegrip van jaarverslagen, jaarrekeningen en beursmededelingen;

- uploaden of downloaden van gedigitaliseerde muziek, films, software, of videospellen;

- reclames of reclame-uitingen van derden geplaatst op de website van verzekerde.

29.3 De uitsluiting als genoemd in artikel 30.6 van Rubriek M zal op deze Sectie niet van toepassing zijn.

29.4 De onder artikel 29.1 genoemde geleden vermogensschade zal worden vergoed, onder aftrek van het geldende eigen risico voor deze sectie, tot het op het polisblad genoemde verzekerde bedrag voor deze sectie.

30 Uitsluitingen

30.1 Andere rubrieken

De uitsluitingen als genoemd in artikel 3 van Rubriek A zijn niet van toepassing op deze Rubriek.

30.2 Opzet

Deze verzekering dekt niet de aansprakelijkheid voor schade of kosten in verband met of veroorzaakt door opzet of bewuste roekeloosheid van verzekerde. Bij opzet of bewuste roekeloosheid van een ondergeschikte als bedoeld in artikel 2.4.6 van Rubriek A, houdt verzekeringnemer recht op dekking, indien hij aantoont dat hem ter zake van de opzet geen enkel verwijt treft.

30.3 Frauduleus handelen

Deze verzekering dekt niet de aansprakelijkheid voor schade of kosten in verband met of veroorzaakt door het plegen van een vermogensdelict, onrechtmatig bevoordelen of frauduleus handelen van verzekerde. De kosten van verweer zullen worden vergoed tot het moment waarop een gerechtelijke uitspraak of een andere definitieve uitspraak dit frauduleus handelen of nalaten heeft bevestigd.

30.4 Personenschade en zaakschade

Deze verzekering dekt niet aansprakelijkheid voor schade of kosten in verband met of veroorzaakt door personenschade als genoemd in artikel 2.9.1 van Rubriek A en zaakschade als genoemd in 2.9.2 van Xxxxxxx X.

Deze uitsluiting heeft geen betrekking op mentale en psychische schade als gevolg van een privacy incident.

30.5 Insolventie of faillissement

Deze verzekering dekt niet de schade of kosten in verband met insolventie of faillissement van verzekerde.

30.6 Intellectueel eigendom

Deze verzekering dekt niet de aansprakelijkheid voor schade of kosten in verband met het inbreuk maken op intellectueel eigendom.

30.7 Systeemonderbrekingen

Deze verzekering dekt niet de aansprakelijkheid voor schade of kosten in verband met netwerk- en/of systeemonderbrekingen als gevolg van stroomuitval of uitval van communicatieapparatuur, tenzij deze het gevolg is van een netwerk incident bij verzekerde.

30.8 Vernietiging door overheidsorgaan

Deze verzekering dekt niet de aansprakelijkheid voor schade of kosten in verband met inbeslagname, vernietiging of nationalisatie van het computersysteem van verzekerde door een overheidsorgaan.

30.9 Onbevoegd of onrechtmatig verzamelde gegevens

Deze verzekering dekt niet de aansprakelijkheid voor schade of kosten in verband met het onrechtmatig of onbevoegd verzamelen van data van derden.

30.10 Slijtage

Deze verzekering dekt niet de aansprakelijkheid voor schade of kosten in verband met de slijtage of veroudering van het computersysteem van verzekerde of elektronische data van verzekerde.

30.11 Oneerlijke concurrentie

Deze verzekering dekt niet de aansprakelijkheid voor schade of kosten in verband met een daadwerkelijke of vermeende overtreding van mededingingswetgeving, oneerlijke concurrentie of handelsbeperking.

30.12 Molest

Deze verzekering dekt niet de aansprakelijkheid voor schade of kosten, veroorzaakt door of ontstaan uit een gewapend conflict, (burger)oorlog, opstand, binnenlandse onlusten, oproer en een muiterij.

30.13 Aansprakelijkheid bestuurder/commissaris

Deze verzekering dekt niet de aansprakelijkheid in de hoedanigheid van bestuurder of commissaris.

30.14 Herprestatie

Deze verzekering dekt niet de aansprakelijkheid voor schade of kosten in verband met het verbeteren, herstellen, opnieuw of alsnog uitvoeren van door of onder verantwoordelijkheid van verzekerde uitgevoerde werkzaamheden, met inbegrip van de hieruit voortvloeiende vertragingsschade.

30.15 Garanties/toezeggingen

Deze verzekering dekt niet de schade of kosten in verband met garanties of toezeggingen op het gebied van productiecapaciteit, rendement, responstijd, rentabiliteit, afzetmogelijkheden, belangstelling voor producten of diensten, opbrengstverwachtingen, enzovoorts.

30.16 Monetaire verliezen

Deze verzekering dekt niet de schade of kosten uit (handels)transacties, handelsverliezen, mutaties in bankrekeningen, aandelen/effecten rekeningen, verlies of diefstal van geld en geldswaardige papieren of verlies in de monetaire waarde van transacties.

30.17 Punitive damages

Niet verzekerd zijn aanspraken gebaseerd op of voortvloeiende uit punitive en/of exemplary damages, dan wel uit soortgelijke vergoedingen met een straffend of voorbeeldstellend karakter.

30.18 Verenigde Staten van Amerika

Niet verzekerd zijn aanspraken die betrekking hebben op handelen of nalaten van een verzekerde, dan wel geheel of gedeeltelijk worden ingediend of voortgezet binnen het rechtsgebied van de Verenigde Staten van Amerika indien:

- gebaseerd op of voortvloeiende uit overtreding van de Employee Retirement Security Act of 1974 en alle aanvullingen of vergelijkbare bepalingen in enige andere wetgeving of rechtspraak met betrekking tot deze wet;

- gebaseerd op of voortvloeiende uit overtreding van Sectie 16b van de Securities Exchange Act of 1934 en alle aanvullingen of vergelijkbare bepalingen in enige andere wetgeving of rechtspraak met betrekking tot deze wet.

30.19 Verzekerden onderling

Niet verzekerd zijn aanspraken gebaseerd op of voortvloeiende uit aanspraken tussen verzekerden onderling. Deze uitsluiting is niet van toepassing op aanspraken ingediend door verzekerden wanneer zij klant zijn van verzekerde of werknemer van verzekerden, met betrekking tot een privacy incident gerelateerd aan persoonlijke informatie van werknemers.

31 Verplichtingen voor dekking en schaderegeling

In aanvulling op artikel 6 van Xxxxxxx A gelden de navolgende bepalingen en verplichtingen.

31.1 Verzekerde dient Zurich zo spoedig mogelijk schriftelijk in kennis te stellen van iedere omstandigheid of ieder tegen verzekerde ingestelde aanspraak.

31.2 Ingeval van een privacy incident dient verzekerde:

- Zurich hiervan zo spoedig mogelijk, maar in ieder geval binnen 30 dagen nadat verzekerde met een privacy incident bekend is geworden, schriftelijk in kennis te stellen;

- Alle redelijke stappen te ondernemen om het computersysteem van verzekerde alsmede de data te beschermen;

- De volle medewerking aan forensisch IT onderzoek en schaderegeling te verlenen.

31.3 Ingeval van een netwerk incident of netwerkonderbreking dient verzekerde:

- Zurich hiervan zo spoedig mogelijk, maar in ieder geval binnen 60 dagen nadat verzekerde met een netwerk incident of netwerkonderbreking bekend is geworden, schriftelijk in kennis te stellen;

- Alle redelijke stappen en maatregelen te ondernemen om het netwerk incident of de bedrijfsstilstandschade te beperken. Binnen 6 maanden na de netwerkonderbreking dient verzekerde een volledig overzicht aan Zurich te verstrekken van de geleden bedrijfsstilstandschade.

- De volledige medewerking aan het forensisch IT onderzoek en schaderegeling te verlenen.

31.4 Ingeval van een cyberafpersing dient verzekerde Zurich, zo spoedig mogelijk, maar in ieder geval binnen 30 dagen, schriftelijk in kennis te stellen van de cyberafpersing.

31.5 Verzekerde garandeert dat minstens eenmaal per week een back–up wordt gemaakt van de elektronische data en dat deze back-up wordt opgeslagen op een virtuele omgeving buiten het netwerk van verzekerde of een locatie buiten het bedrijf van verzekerde.

31.6 Verzekerde garandeert dat permanente antivirussoftware is geïnstalleerd en geactiveerd en dat updates minstens eenmaal per week worden uitgevoerd op het computersysteem van verzekerde.