Door Eur Ing Mark Hawksworth, Global technology specialist practice group leader en executive MCL adjuster
Met de invoering van nieuwe wetten voor gegevensbescherming komen er ook nieuwe uitdagingen.
Er is sprake van claimfarming wanneer partijen claims indienen voor financieel gewin tegen doelwitten die zich niet bewust zijn van misbruik van gegevens en dit komt steeds vaker voor in het Verenigd Koninkrijk. Na het doorstaan van de problemen in verband met COVID-19 en het toenemende aantal cyberaanvallen, worden bedrijven in het Verenigd Koninkrijk nu geconfronteerd met een extra risico van claim farming door gebruik te maken van Regulation 6 van de Privacy and Electronic Communications (EC Directive) Regulations 2003(PECR). In de claims die we tot nu toe hebben ontvangen, waren bedrijven zich niet bewust van hun blootstelling. Daarom is het zo belangrijk dat polishouders zich bewust zijn van het risico en een plan opstellen om zichzelf te beschermen.
Zorgen over naleving
In sommige gevallen zijn bedrijven zich er niet van bewust dat ze aansprakelijk zijn voor misbruik van persoonlijke gegevens. Als een individu zijn webpagina bezoekt en merkt dat er tracking cookies zijn gedownload, kan hij een claim indienen dat de webpagina niet voldoet aan de regelgeving. De uitdaging is om te bepalen of de persoon die de claim indient de webpagina opzettelijk heeft opgezocht voor eigen financieel gewin.
Er worden massaal claims door derden gegenereerd met betrekking tot persistente tracking cookies die zonder toestemming van de eigenaar op persoonlijke apparaten worden geplaatst. Het argument is dat tracking cookies indruisen tegen de GDPR en omdat er geen toestemming is gegeven voor het plaatsen van de tracking cookie, kan de eiser financiële compensatie eisen.
In seriecorrespondentie van eisers wordt meestal Verordening 2(1) van Verordening 6 van de Privacy and Electronic Communications (EC Directive) Regulations 2003 (PECR) aangehaald, waarin wordt verwezen naar "toestemming van een gebruiker of abonnee komt overeen met de toestemming van de betrokkene in de GDPR". Overweging 32 van de GDPR stelt: "toestemming moet worden gegeven door middel van een duidelijke bevestigende handeling waarmee een vrijelijk gegeven, specifieke, geïnformeerde en ondubbelzinnige indicatie van de instemming van de betrokkene wordt vastgelegd."
Het proces voor polishouders
Als er op basis van de bovenstaande richtlijnen een inbreuk wordt geconstateerd, wordt de polishouder op de hoogte gesteld van de installatie van tracking cookies en wordt hij uitgenodigd om een claim in te dienen onder de toepasselijke verzekeringsdekking die hij heeft. Een claim wordt doorgegeven aan de verzekeraars en vervolgens aan een behandelaar die bewijs krijgt van zowel de installatie als het voortbestaan van de tracking cookies, meestal in de vorm van een video die is opgenomen vanaf het apparaat van de eiser.
De claim kan verwijzen:
- aantijgingen/bewijsmateriaal
- de beweerde webpagina die tracking cookies installeert
- bewijs van persistentie van de tracking cookies
- hoe de trackingcookies een unieke identificatiecode creëren waarmee internetgedrag wordt gevolgd, wat in strijd is met artikel 6, lid 1, van de PECR
- het niet verstrekken aan de eiser van duidelijke en volledige informatie over de doeleinden van deze cookies, in strijd met Regulation (6)(2)(a) van PECR
- het niet verkrijgen van toestemming voor het gebruik van cookies in strijd met voorschrift 6(2)(b) van de PECR;
- het niet verwerken van persoonsgegevens op een eerlijke, wettige en transparante manier in strijd met artikel 5 van de GDPR
Tijdens claimbesprekingen wordt gedreigd dat als de kwestie niet naar tevredenheid van de eiser wordt opgelost, de gegevens worden doorgegeven aan de Information Commissioner Office (ICO). Het ICO kan zijn handhavingsfuncties uitoefenen op grond van Verordening 32 van de PECR, dat een persoonlijke aansprakelijkheid voor schendingen van de PECR bestaat op grond van Verordening 2(3) van de Privacy and Electronic Communications (Amendment) Regulations 2018. Correspondentie wordt gewoonlijk afgesloten met het verzoek om een betaling in de vorm van financiële compensatie voor bovengenoemd gebrek aan toestemming, waarna kennisgeving aan de ICO niet wordt voortgezet.
Voor verzekeraars, makelaars en polishouders is het essentieel om de gevolgen te begrijpen van het niet accepteren van cookietoestemming op webpagina's. Of het bedrijf zich er nu van bewust is of niet, het kan nog steeds in gebreke blijven en als zodanig verantwoordelijk zijn voor het bieden van financiële compensatie aan de eiser. Bewustwording rond claim farming en het opstellen van een plan kunnen onschuldige partijen beschermen tegen claims van derden zoals deze.
Tags: claim farming, Compliance, complexiteit van compliance, Cyberrisico, Dataprivacy, Gegevensbeveiliging, Evoluerende risico's + Reactie, Financieel risico, GDPR, persoonsgegevens, Privacy, regelgeving, Verandering in regelgeving + Compliance, tracking, tracking cookies, VK