GDPR-boetes in Europa lastig verzekerbaar

Abonneer je gratis op Techzine!

Boetes die voortkomen uit de General Data Protection Regulation (GDPR) blijken binnen Europa vooralsnog alleen met zekerheid verzekerbaar in Finland en Noorwegen. In Nederland is dekking voor een GDPR-boete niet vanzelfsprekend, in België is het zelfs niet verzekerbaar. Dat blijkt uit onderzoek van Aon en advocatenkantoor DLA Piper.

Zij keken naast de verzekerbaarheid van de boetes ook naar de gevolgschade voor zaken als gerechtelijke procedures, onderzoeken en claims. Ter vergelijking werd de verzekerbaarheid van andere overheidsboetes onderzocht. Door het niet kunnen verzekeren van de boetes lopen talloze Europese organisaties het risico op forse financiële verliezen.

In 20 van de 30 onderzochte landen – waaronder het Verenigd Koninkrijk, Frankrijk, Italië en Spanje – worden GDPR-boetes in het algemeen als onverzekerbaar beschouwd. In acht landen, waaronder Nederland, hangt de verzekerbaarheid van boetes af van de specifieke details per geval. Denk daarbij aan het gedrag van de verzekerde dat laakbaar is en of de boete eventueel alsnog strafrechtelijk wordt geclassificeerd.

De gevolgschade van een boete kan wel vaak verzekerd worden. Het gaat dan om onder meer kosten voor gerechtelijke procedures, juridisch onderzoek, herstelmaatregelen en het informeren en compenseren van getroffen betrokkenen.

Gevolgen overtreding

Door GDPR lopen organisaties een groter risico bij het beheren en opslaan van hun persoonsgegevens. Boetes voor schending van de bepalingen die in de regulering zijn opgenomen kunnen oplopen tot 20 miljoen euro of vier procent van de wereldwijde jaaromzet van een bedrijf of bedrijvengroep. Daar komt bij dat eventuele negatieve publiciteit veel reputatieschade op kan leveren, en daarmee de marktpositie van een bedrijf kan aantasten.

Hoewel administratie boetes onder de GDPR civielrechtelijk van aard zijn, mogen Europese lidstaten ook zelf straffen opleggen voor een onwetmatige omgang met persoonsgegevens. Bij deze vertaling van de GDPR naar lokale wetgeving wordt er in veel Europese landen voor gekozen de boetes strafrechtelijk te bepalen, daarom zijn deze niet verzekerbaar.