Eind 2013 werd van meer dan 41 miljoen Amerikanen de creditcard ongeldig verklaard. Van meer dan 60 miljoen Amerikanen bleken de belangrijkste gegevens op straat te liggen. De oorzaak was het hacken van de complete POS IT bij de supermarktketen Target. We zijn nu zes jaar verder en nog steeds is deze zaak goed voor persaandacht, want de verzekeraars liggen dwars.
Rechtszaken
De Target hack was in technisch opzicht kinderspel. Achterstallig onderhoud, werken met veel derde partijen waarvan de kwaliteit niet was onderzocht en het ontbreken van de wil op c-level te investeren in kwaliteit maakten het erg makkelijk. Na de hack zijn er koppen gerold. Ook zijn er rechtszaken gestart want dit speelde zich voornamelijk in Amerika af. Iedereen wil van iedereen geld, van de banken die de betaalpassen en creditcards opnieuw moesten uitgegeven, van consumenten waarvan de PII op straat lag tot – jawel – Target zelf dat vond dat een deel van de kosten door derden vergoed moesten worden.
Dagvaarding
Ruim een week geleden heeft Target een dagvaarding uitgebracht tegen de verzekeraar ACE. De 14 pagina’s lange documentatie is hier te vinden. Om te begrijpen wat er precies speelt is deze achtergrondkennis vereist.
Target is na het datalek door een groep Amerikaanse banken gedagvaard. Zij wilden de kosten voor de nieuwe betaalpassen en creditcards vergoed zien. Deze zaak is tussentijds geschikt en dat kostte Target in ieder geval $138 miljoen. Uit berichtgeving richting de beurs en aandeelhouders blijkt dat tot nu toe de hack Target tot nu toe $292 miljoen heeft gekost. Het verschil tussen de twee bedragen zit onder andere in de claims die Target buiten de rechtbank om aan onder andere Visa en American Express heeft betaald.
Target meent dat het voor al deze kosten is verzekerd en is met de pet bij de verzekeraars langsgegaan. Het lijkt erop dat ACE de enige verzekeraar is die weigert de schade te vergoeden. De reden laat zich raden: Dit soort schade valt buiten de polis en is veroorzaakt door verwijtbaar handelen. Daar denkt Target uiteraard anders over. Aangezien beide partijen er niet uitkomen is nu de stap naar de rechter gezet.
Cyberverzekeringen
Hoewel in de dagvaarding het begrip “cyberinsurance” niet voorkomt is deze affaire wel een goede reden nog eens kritisch te kijken naar dat verschijnsel. Target krijgt geen geld van ACE omdat het soort schade buiten de polis van (zie boven). De supermarkt is van mening dat de kosten die het heeft moeten maken wel terdege vallen onder het begrip: “loss of tangible property that is not physically injured”. Het belooft een lange zaak te worden. Ter vergelijking: Mondelez International en Zuerich Insurance procederen al langer dan een jaar over de vraag wat een cyber insurance dekt.
Doorvragen
Iedereen die een cyberverzekering of een uitbreiding van de bestaande verzekering met een “cyber” component overweegt heeft baat bij deze update. Leg de case maar voor aan de verzekeraar met de vraag of zoiets door de polis wordt gedekt. Doorvragen is vereist, want in het geval van datalekken kan de afgeleidde schade waarmee de ondernemer wordt geconfronteerd groter zijn dan de primaire schade.
