Cyberförsäkring
Cyberförsäkring
Ansvarsbegränsning Relaterade ersättningsanspråk
Reglering och anmälan av ersättningsanspråk Kostnader för svaromål och juridisk representation Förändrad bestämmanderätt
Överlåtelse Tillämplig lag Skiljeförfarande
Ersättning och utbetalning Ansökan
Användning av brandvägg, antivirusprogram och säkerhetskopiering av data
AXCY:3
1 september 2022
Dessa försäkringsvillkor, försäkringsbrevet och de Allmänna avtalsbestämmelserna AXAA utgör tillsammans försäkringsavtalet.
1. Försäkringens omfattning
Med beaktande av försäkringstagarens betalning av eller överenskommelse att betala premien för den försäkrades räkning ska försäkringsbolaget, utöver gällande självrisk, betala, eller om överenskommet, ersätta den försäkrade:
1.1 Den försäkrades förlust vad gäller ersättningsanspråk som först framställts mot den försäkrade och som anmälts till försäkringsbolaget under försäkringstiden.
1.2 Förlust vid verksamhetsavbrott som följer av ett verksamhetsavbrott som inleds på eller efter det retroaktiva datum och som upptäcks under försäkringstiden.
1.3 Räddningskostnader som den försäkrade haft till följd av ett faktiskt eller hotande verksamhetsavbrott, en dataansvarsincident eller en nätverkssäkerhetsincident som först upptäckts av den försäkrade och som rapporterats till försäkringsbolaget under försäkringstiden.
1.4 Den försäkrades förlust vad gäller PCI-böter och utredningskostnader till följd av en dataansvars- incident som upptäckts av den försäkrade och som rapporterats till försäkringsbolaget under försäkringstiden.
2. Allmänna definitioner
2.1 Verksamhetsavbrott avser en cyber-incident som medför ett oplanerat systemavbrott, nätverksavbrott
eller en försämring av den försäkrades nätverk eller nätverket hos en molntjänstleverantör.
2.2 Förlust vid verksamhetsavbrott avser den försäkrades förlorade bruttovinst plus rimliga utgifter som är nödvändiga för att upprätthålla drift, funktionalitet eller tjänster i den försäkrades verksamhet, som en direkt följd av ett verksamhetsavbrott, men endast:
(i) efter karenstidens utgång och
(ii) fram till det datum då den försäkrades verksamhet har återställts till samma eller likvärdigt skick, funk- tion och tjänstenivå som före avbrottet, dock inte längre än 180 dagar från det datum då avbrottet eller försämringen inleddes, på så sätt att 180 dagars perioden inte begränsas av försäkringstidens utgång. Förlust vid verksamhetsavbrott ska även innefatta uppkomna kostnader och utgifter för att undgå eller begränsa följderna av ett systemavbrott eller nätverksavbrott, upptäcka och minimera sådana avbrott eller försämringar av nätverket, tillvarata bevisning och/eller styrka den försäkrades förlust.
2.3 Ersättningsanspråk avser varje skriftligt krav, civil, rättslig, straffrättslig, juridisk, administrativ, myndig- hetsmässig talan eller skiljeförfarande mot den försäkrade gällande skadestånd eller annan rättslig åtgärd eller påföljd till följd av en dataansvarsincident, medieansvarsincident eller nätverkssäkerhetsincident.
2.4 Molntjänstleverantör avser tredje part med vilken den försäkrade har ett skriftligt avtal om tillhanda- hållande av databehandlingstjänster, infrastrukturplattformar eller affärsapplikationer.
2.5 Kreditövervakningskostnader avser rimliga avgifter, kostnader och utgifter, som uppkommit i stöd av skriftligt medgivande från försäkringsbolaget, för övervakningstjänster gällande identitets- eller kreditstöld, inklusive köp av försäkring mot identitetsstöld, under en period om 12 månader från och med datumet för en dataansvarsincident.
2.6 Kostnader för cyber-utpressning (ransomware) avser ersättning för rimliga avgifter, kostnader och utgifter som uppstått hos den försäkrade, eller som betalas å den försäkrades vägnar, i stöd av ett skriftligt medgivande från försäkringsbolaget, vilket inte utan godtagbar orsak får fördröjas, i syfte att avsluta eller avhjälpa ett troligt hot om verksamhetsavbrott, dataansvarsincident eller nätverkssäkerhetsincident till följd av utpressning eller försök till utpressning från tredje part.
2.7 Cyberincident avser:
(i) obehörig åtkomst
(ii) operatörsfel
(iii) överbelastningsattack
(iv) införande av skadeprogram (malware) i ett nätverk som ägs eller drivs av en försäkrad innefattande nätverket hos en molntjänstleverantör.
2.8 Dataansvarsincident avser:
(i) förlust av eller misstänkt förlust av tredje parts icke offentliga data eller information för vilken den försäkrade är juridiskt ansvarig
(ii) överträdelse av dataskyddslagstiftning någonstans i världen av den försäkrade eller av någon för vilken den försäkrade är juridiskt ansvarig, alltid under förutsättning att en sådan dataansvarsincident inträffar på eller efter det retroaktiva datum som framgår av försäkringsbrevet.
2.9 Kostnader för återskapande av data avser rimliga avgifter, kostnader och utgifter för återskapande och/eller ersättning av data och/eller program som gått förlorade, blivit raderade, förvanskade eller krypterade i samband med en cyberincident eller dataansvarsincident samt kostnader för att förbygga eller minimera ytterligare skada och att bevara fysisk bevisning för civilrättsliga, straffrättsliga eller illasinnade gärningar. Dessa kostnader omfattar kostnaderna för att vid behov köpa ersättande programlicenser.
2.10 Svaromålskostnader avser rimliga avgifter, kostnader och utgifter (däribland arvoden till jurister och sakkunniga) som den försäkrade haft i samband med svaromål, förlikning eller överklagande gällande ersättningsanspråk.
2.11 Utredningskostnader avser rimliga avgifter, kostnader och utgifter som den försäkrade har för att
undersöka orsak, omfattning och allvarlighetsgrad av dataansvarsincident, verksamhetsavbrott eller nätverkssäkerhetsincident.
2.12 Den försäkrade avser försäkringstagaren och eventuella dotterbolag som är befintliga vid upprättandet och/eller förvärvas efter upprättandet, förutsatt att försäkringsbolaget meddelas om sådant förvärv och att försäkringsbolaget inte har gjort någon invändning inom 30 dagar efter en sådan anmälan.
2.13 Kostnader för juridiska ombud avser rimliga och nödvändiga avgifter, kostnader och utgifter för juridisk rådgivning eller representation i syfte att tillvarata den försäkrades intressen i samband med en dataansvarsincident eller nätverkssäkerhetsincident. Kostnader för juridiska ombud ska innefatta kostnader för utredning, reglering och svaromål i samband med förvaltningsförfaranden.
2.14 Skada avser domar, förlikningar, skiljedomar och kostnader, däribland, utan begränsning, skadestånd, pengar till fond för konsumenters möjlighet till rättslig prövning, böter, vite och straffskadestånd som avser ett ersättningsanspråk, som omfattas av denna försäkring, i den utsträckning som lagen medger. Skada ska även innefatta svaromålskostnader och kostnader för juridiskt ombud.
2.15 Skadeprogram (malware) avser programkod utformad i syfte att:
(i) radera, förhindra åtkomst till eller förvanska data, exempelvis utpressningstrojaner (ransomware)
(ii) orsaka skada eller avbrott i nätverk eller system
(iii) kringgå nätverkssäkerhetsprodukt eller -tjänst.
2.16 Medieansvarsincident avser vilket som helst digitalt innehåll eller skriftlig media skapad och publicerad av den försäkrade, vilket leder direkt till:
(i) intrång i upphovsrätt, äganderätt, slogan, varumärke, handelsbeteckning eller domännamn
(ii) plagiat, piratkopiering eller otillåtet förfogande med eller stöld av idéer
(iii) förtal, inklusive förringande beskrivning av produkt eller -tjänst
(iv) varje överträdelse av tystnadsplikt eller integritetskränkning eller -hinder, dock alltid under förutsättning att en sådan medieansvarsincident uppkommer inom ramen för den försäkrades normala verksamhet och att en sådan medieansvarsincident inträffar på eller efter det retroaktiva datum som anges i försäkringsbrevet. För att undvika tvetydighet ska tillverkning, leverans, försäljning eller distribution av materiella tillgångar eller produkter inte anses vara en medieansvarsincident.
2.17 Betaltjänstavtal avser en avtalsförbindelse mellan den försäkrade och en annan organisation som låter den försäkrade ta emot betalningar via kreditkort eller bankkort.
2.18 Nätverkssäkerhetsincident avser:
(i) överföring av skadeprogram (malware) från den försäkrades nätverk eller från någon molntjänst- leverantörs nätverk
(ii) misslyckande att säkra den försäkrades datasystem eller nätverk, vilket leder till obehörig åtkomst
(iii) oförmåga att förhindra en överbelastningsattack som inletts från den försäkrades nätverk eller från nätverket hos en molntjänstleverantör, alltid under förutsättning att nätverkssäkerhetsincidenten inträffar på eller efter det retroaktiva datum som anges i försäkringsbrevet.
2.19 Anmälningskostnader avser rimliga avgifter, kostnader och utgifter som rör anmälan till fysisk eller juridisk person, vars uppgifter eller information har eller kan ha gått förlorade, eller kostnaden för anmälan till dataskyddsmyndighet eller liknande, till följd av en dataansvarsincident.
2.20 Operatörsfel avser oavsiktlig radering, förstöring eller ändring av den försäkrades data eller program utförd av en arbetstagare eller av en molntjänstleverantör.
2.21 PCI-böter och utredningskostnader avser alla belopp som den försäkrade är lagligen förpliktigad att betala enligt ett betaltjänstavtal till följd av en dataansvarsincident som medför en överträdelse av PCI DSS (betalkortssektorns datasäkerhetsnorm), påföljder, inklusive men inte begränsat till böter, ärendehanteringsavgifter, avgifter för bristande efterlevnad, återbetalning av bedrägliga transaktioner samt
kostnader som uppstått vid förnyande av kort och tillsättning av PCI-utredare.
2.22 Försäkringstiden avser den tidsperiod som anges i försäkringsbrevet.
2.23 Försäkringstagare avser den juridiska person som anges i försäkringsbrevet.
2.24 PR-kostnader avser rimliga avgifter, kostnader och utgifter som uppkommit i stöd av ett skriftligt medgivande från försäkringsbolaget, vilket inte utan godtagbar orsak får fördröjas, för att erhålla råd och stöd i syfte att bevara, eller begränsa, skadan på den försäkrades rykte.
2.25 Räddningskostnader avser:
(i) kreditövervakningskostnader
(ii) kostnader för cyber-utpressning (ransomware)
(iii) kostnader för återskapande av data
(iv) utredningskostnader
(v) kostnader för juridiskt ombud
(vi) anmälningskostnader
(vii) PR-kostnader.
2.26 Självrisk avser det belopp som anges i försäkringsbrevet.
2.27 Retroaktivt datum avser det datum som anges i försäkringsbrevet.
2.28 Obehörig åtkomst avser användning av den försäkrades datasystem eller nätverksinfrastruktur av person eller personer som inte har behörighet till detta, anställda inkluderade.
2.29 Karenstid avser det antal timmar som anges i försäkringsbrevet och som måste ha förflutit efter ett verksamhetsavbrott innan en förlust vid verksamhetsavbrott enligt överenskommelse ska anses ha uppkommit. Karenstiden gäller för varje enskild verksamhetsavbrottshändelse.
3. Undantag
Försäkringsbolaget ansvarar inte för att erlägga någon betalning eller tillhandahålla någon förmån eller tjänst vad gäller ersättningsanspråk eller skada:
3.1 Avseende dödsfall, kroppsskada eller förlust av eller skada på materiell tillgång. Detta undantag ska emellertid inte gälla psykiskt lidande eller psykisk skada till följd av en dataansvarsincident eller en nätverkssäkerhetsincident. Förtydligas att data i elektronisk form inte utgör en materiell tillgång.
3.2 Som följer av, kan tillskrivas, eller baserar sig på sakförhållande eller omständighet som varit känd för den försäkrade före försäkringsperiodens början.
3.3 Som följer av, kan tillskrivas eller baserar sig på avsiktligt brottsligt eller bedrägligt beteende eller som begåtts eller godkänts av den försäkrades företrädare, delägare eller person i ledande ställning.
3.4 Som följer av fel, driftsavbrott eller avbrott i kraftförsörjning, allmännyttiga tjänster, satelliter eller externa telekommunikationstjänster som inte står under försäkringstagarens omedelbara operativa kontroll.
3.5 Som följer av fysisk krigshandling, invasion eller krigsliknande verksamhet, inbördeskrig, upplopp, civila oroligheter, uppror, revolution, folkresning eller kravaller.
3.6 Som följer av konkurs, likvidation eller insolvens hos försäkringstagaren eller annan aktör, inklusive eventuella molntjänstleverantörer.
3.7 I den utsträckning som den försäkrades försäkringsskydd, betalning, tjänst, förmån och/eller verksam- het eller aktivitet, från vilken ersättningsanspråket eller skadan härrör, skulle stå i strid med gällande handelssanktioner eller ekonomiska sanktioner eller annan lag eller förordning någonstans i världen, ska
denna bestämmelse ha företräde framom alla övriga villkor i försäkringsavtalet.
3.8 Som följer av eller svarar mot kostnader för uppgradering eller förbättring av den försäkrades applikation, system eller nätverk.
3.9
a) Som framställs mot en person i ledande ställning eller i egenskap av företrädare för den försäkrade.
b) Som följer av skyldighet som den försäkrade har i egenskap av arbetsgivare eller potentiell arbetsgivare till någon arbetstagare, inklusive anspråk gällande ogrundad uppsägning, vid anställningsavtal eller vid anlitande av uppdragstagare eller vid läroavtal eller yrkespraktik.
c) Som innefattar påstådda trakasserier eller ofredande på grund av kön, etnisk tillhörighet eller annan grund, eller diskriminering eller repressalier på grund av kön, ras, etnisk tillhörighet, funktionsnedsättning, sexuell läggning, religion och/eller ålder, eller diskriminering eller repressalier av annat slag.
3.10
a) Som direkt eller indirekt härrör från eller orsakats av asbest eller faktisk eller påstådd asbestrelaterad skada, person eller sakskada som involverar användning, närvaro, förekomst, påvisande, avlägsnande, eliminering eller undvikande av asbest eller exponering för asbest
b) Som direkt eller indirekt härrör från, baserar sig på, tillskrivs eller på något sätt involverar:
(i) Joniserande strålning eller kontaminering av radioaktivitet från kärnbränsle eller kärnavfall
(ii) Radioaktiva, giftiga, explosiva eller andra farliga egenskaper hos någon kärnteknisk anordning eller del därav.
c) Som orsakats av, baseras på, kan tillskrivas, följer av eller på något sätt inbegriper föroreningar eller direkt eller indirekt faktisk, påstådd eller hotande tömning, spridning, utsläpp eller läckage av förorenande ämnen.
d) Som orsakats av, baserar sig på, tillskrivs eller utgör en följdverkan av elektromagnetiskt fält, elektro- magnetisk strålning eller elektromagnetism, där begreppen har följande definition:
(i) Elektromagnetiskt fält avser varje kraftfält som består av sammanhörande elektriska och magnetiska komponenter
(ii) Elektromagnetisk strålning avser en följd av elektromagnetiska vågor
(iii) Elektromagnetism avser magnetism som frambringas av en elektrisk ström.
3.11 Som orsakats av brand, blixt, explosion, luftfartyg, kollision eller annan naturkatastrof.
3.12 Som orsakats av den försäkrades förlust av portabla enheter som inte är skyddade av lösenord eller biometri. Med portabla enheter avses till exempel bärbara datorer, smarttelefoner, pekplattor och USB minnen.
3.13 Som orsakats av överträdelse av bestämmelser om skräppost eller telefonförsäljning någonstans i världen.
3.14 Som orsakats av elektronisk överföring av tillgångar, pengar eller varor som tillhör den försäkrade eller för vilken den försäkrade är juridiskt ansvarig.
3.15 Som orsakats av avtalsrättslig förpliktelse som den försäkrade åtagit sig, såvida inte denna förpliktelse skulle ha varit bindande även i frånvaro av ett sådant avtal. Detta undantag ska inte gälla för försäkrings- skydd, punkt 1.4.
3.16 Som orsakats av missbruk av eller intrång i patent eller företagshemlighet.
3.17 Som orsakats av faktisk eller påstådd oförmåga att tillhandahålla yrkesmässiga tjänster.
4. Allmänna villkor
Ansvarsbegränsning
4.1 Den ansvarsbegränsning som framgår av försäkringsbrevet utgör det maximala belopp som kan betalas ut från försäkringen, inklusive svaromålskostnader, oavsett antalet ersättningsanspråk på försäkringen.
Relaterade ersättningsanspråk
4.2 Samtliga ersättningsanspråk eller skador, enligt alla tillämpliga villkor i denna försäkring, som direkt eller indirekt härrör från eller på annat sätt är relaterade till samma orsak eller händelse, ska bedömas som ett och samma försäkringsfall, såsom anmält på dagen för den första av dessa ersättningsanspråk. Samtliga ersättningsanspråk eller skador, enligt alla tillämpliga villkor i denna försäkring, som involverar flera än en ersättningsform, ska bedömas som ett och samma ersättningsanspråk.
Reglering och anmälan av ersättningsanspråk
4.3 Varje anmälan om ersättningsanspråk, skada eller verksamhetsavbrott ska göras till den överenskomna skadehandläggaren som anges i försäkringsbrevet, så snart som är praktisk möjligt, men aldrig senare än 7 (sju) dagar efter att den försäkrade fått kännedom om incidenten. Den som söker ersättning ska till försäkringsbolaget överlämna sådana handlingar och uppgifter som behövs för utredning av försäkringsbolagets ansvar.
4.4 Den försäkrade kan till försäkringsbolaget anmäla omständigheter som rimligen kan förväntas ge upphov till ett ersättningsanspråk och specificera skälen till anspråket. Om sådan anmälan görs, ska ersättningsanspråk som därefter direkt eller indirekt riktas mot den försäkrade, och som hävdar, upp- kommer ur eller på något sätt är förknippat med sådana omständigheter, anses ha gjorts vid den tidpunkt då anmälan gjordes av den försäkrade till försäkringsbolaget.
4.5 Ingen försäkrad ska godta eller ikläda sig någon förpliktelse, ingå förlikning eller samtycka till någon dom gällande ersättningsanspråk utan föregående skriftligt medgivande från försäkringsbolaget, och sådant samtycke ska inte utan godtagbart skäl nekas eller fördröjas.
4.6 Den försäkrade ska samarbeta med försäkringsbolaget, inklusive ombud som den försäkrade ska utse för att utreda ersättningsanspråk eller verksamhetsavbrott, och överlämna all sådan information och dokumentation som behövs för att försäkringsbolaget ska kunna utreda sitt ansvar.
Kostnader för svaromål och juridisk representation
4.7 Förutsatt att den försäkrade iakttar bestämmelserna i punkterna 4.3, 4.4 och 4.5 och den ansvarsbegränsning och den självrisk som framgår av försäkringsbrevet för denna försäkring, samtycker försäkringsbolaget till att fortlöpande förskottera svaromålskostnader före det slutliga avgörandet av ett ersättningsanspråk. Den försäkrade samtycker till att återbetala alla sådana svaromålskostnader om det skulle visa sig att ersättningsanspråket är ogiltigt.
Förändrad bestämmanderätt
4.8 Om någon person, grupp eller juridisk person under försäkringstiden förvärvar mer än 50 % av försäk- ringstagarens emitterade aktiekapital, eller om sammansättningen av försäkringstagarens styrelse ändras på motsvarande sätt, ska försäkringsskyddet enligt denna försäkring begränsas till att endast gälla ersättningsanspråk som avser verksamhetsavbrott, dataansvarsincident eller nätverkssäkerhetsincident som inträffat dagen före försäljningen, konsolideringen, fusionen eller förvärvet av kontroll trädde i kraft, såvida inte försäkringsbolaget har samtyckt till att utöka försäkringens omfattning och försäkringstagaren har samtyckt till villkoren för en sådan utvidgning av försäkringens omfattning.
Överlåtelse
4.9 Denna försäkring och de rättigheter som följer av den kan inte överlåtas utan föregående skriftligt medgivande från försäkringsbolaget.
Tillämplig lag
4.10 Detta avtal och varje tvist eller anspråk mellan den försäkrade och försäkringsbolaget, som uppstår till
följd av eller i samband med avtalet eller dess innehåll eller dess uppkomst (inklusive utomobligatoriska tvister eller anspråk), ska regleras av och tolkas enligt den jurisdiktion som anges i försäkringsbrevet. Om ett villkor i detta avtal i någon utsträckning är ogiltigt, olagligt eller omöjligt att verkställa, ska villkoret uteslutas i den mån som det är ogiltigt, olagligt eller omöjligt att verkställa och alla andra villkor i avtalet ska fortsatt och fullt ut vara i kraft.
Skiljeförfarande
4.11 Samtliga tvister med anledning av detta avtal, eller som rör ett rättsförhållande med anknytning till eller härlett från detta avtal, ska avgöras genom skiljeförfarande och i enlighet med lag och jurisdiktion för det territorium som anges i försäkringsbrevet.
Ersättning och utbetalning
4.12 Försäkringsbolaget har rätt, men ingen skyldighet, att åta sig kontroll, svaromål och utbetalning för varje ersättningsanspråk eller utredning. Vid varje steg i ett ersättningsärende kan försäkringsbolaget välja att betala upp till ansvarsbegränsningen eller med annat belopp som återstår efter föregående betalningar.
4.13 Försäkringsbolaget ska ha rätt att genomföra de inspektioner som denne anser vara nödvändiga, inklusive men inte begränsat till, inspektioner avseende ansökan eller uppgifter som lämnats i samband med tecknandet av försäkringen samt gällande försäkringsskyddet.
4.14 Ifall den försäkrade vägrar att samtycka till uppgörelse som försäkringsbolaget föreslår och som den ersättningssökande är villig att godta, får den försäkrade fortsätta svaromålet och utredningen av detta ersättningsanspråk, när det gäller ersättningsanspråk i enlighet med punkt 1.1. De ytterligare kostnader och utgifter som uppstår ska emellertid betalas av den försäkrade och försäkringsbolaget på proportionell basis, så att 25 % betalas av försäkringsbolaget och 75 % betalas av den försäkrade.
Ansökan
4.15 Genom godkännande av detta försäkringsavtal samtycker samtliga försäkrade till att den information som uppges i ansökan, ansökan om förnyande av försäkring samt eventuellt kompletterande material som lämnats in tillsammans med sådana ansökningar utgör de försäkrades överenskommelser och framställningar vilka ska anses väsentliga för den risk som åvilar försäkringsbolaget samt att denna försäk- ring utfärdas på grundval av dessa ansökningar och detta material.
Användning av brandvägg, antivirusprogram och säkerhetskopiering av data
4.16 Försäkringstagaren ska införa och underhålla kommersiell standard på virusskydd och brandvägg för hela försäkringstagarens nätverk.
4.17 Den försäkrade, eller den försäkrades molntjänstleverantör, ska säkerhetskopiera viktiga data med högst 7 (sju) dagars mellanrum. Där sådana data kopieras till flyttbara medier ska dessa flyttbara medier förvaras i säkerhet på annan plats än verksamhetsstället.