Gå till innehållet

Innehåll

Laddar...

FS180 Cyberförsäkring

Gäller från och med 1.1.2024

Försäkringsvillkor FS180

Cyberförsäkringsvillkoren fastställer innehållet i försäkringsavtalet tillsammans med de allmänna avtalsvillkoren, försäkringsbrevet och de specialvillkor och säkerhetsföreskrifter som anges i försäkringsbrevet. När försäkringen tecknas kan man avtala om specialvillkor som utvidgar eller begränsar försäkringsskyddet. Dessa anges i försäkringsbrevet.

Arbetstagare: Vilken som helst person som utför tjänster för försäkringstagaren eller försäkrade eller arbetar under försäkringstagarens eller försäkrades arbetsledning. Som arbetstagare räknas även extern personal som försäkringstagaren eller försäkrade har anställt för att leverera IT-tjänster och som arbetar under försäkringstagarens arbetsledning, frånsett personer i ledande ställning.

Avvikelse i datasäkerheten: skadegörelser, skadeprogram, mänskliga fel, överbelastningsattacker eller informationsstölder som drabbar eller riktas mot försäkringstagarens eller en extern tjänsteleverantörs datasystem.

Cyberkrigföring: en åtgärd som en suverän främmande stat eller en aktör som agerar för en sådan stats räkning eller på en sådan stats vägnar har vidtagit med hjälp av datasystem i syfte att skada, förhindra, störa, manipulera eller förstöra datasystem eller data i datasystem

Cyberterrorism: en gärning som utförs av en enskild person eller en grupp via datasystemet och som har ett politiskt, religiöst eller ideologiskt motiv och avser att skada, förstöra, orsaka störningar i eller få tillgång till försäkringstagarens datasystem. Detta avser också gärningar för att påverka makthavare och/eller framkalla rädsla hos ett folk eller en befolkningsgrupp.

Med cyberterrorism avses dock inte gärningar, omständigheter och åtgärder som uppfyller de kännetecken för cyberkrigföring eller krig som fastställs i dessa försäkringsvillkor.

Cyberutpressning: 1) ett trovärdigt hot av en tredje part om att orsaka ett försäkringsfall i den försäkrades datasystem om lösen inte betalas eller 2) ett krav om lösen som framställs av en tredje part för att tredje parten i fråga avslutar avvikelsen, som denna orsakat, i datasäkerheten i den försäkrades datasystem.

Data: alla slags uppgifter i elektroniskt form, som ägs eller används av försäkringstagaren oberoende av hur de används och presenteras. Exempel på sådana är text, diagram, bilder, videor eller program.

Datanät: en helhet som bildas av datasystem och till det anslutna apparater och genom vilket apparater som hör till nätet kan utbyta information och andra resurser.

Datasystem: IT- och kommunikationssystem (som IT-utrustning och infrastrukturer, program, elektroniska lagringsapparater och övriga apparater) som används för att skapa, använda, behandla, skydda, följa, spara, söka, visa eller flytta filer.

Datoriserade styrsystem (SCADA systems): en centraliserad enhet som består av programvaror och IT-utrustning och som övervakar och reglerar industriella produktionsprocesser antingen på en produktionsanläggning eller via fjärranslutning.

Digital media: försäkringstagarens webbplatser samt texter, bilder, videor eller ljud som delas på sociala medier eller per e-post.

Elektroniska lagringsapparater: IT-apparater (som externa hårddiskar, CD- och DVD-skivor, magnetband eller -skivor, USB-minnen) som används för att spara och förvara data.

Ersättningskrav: ett krav eller påstående som en tredje part riktat mot försäkringstagaren eller försäkrade och som gäller en sådan ersättning, fordran, egendom, skadestånd eller verkställande av rätten som direkt kan avgöras vid skiljeförfarande eller behandlas av en domstol för administrativa eller kommersiella ärenden eller tviste- eller brottmål.

Expert: en person eller en juridisk person som Fennia och/eller leverantören av tjänster för hantering av avvikelser i datasäkerheten tillsammans har utnämnt, som IT-expert, forensisk expert, jurist, PR-konsult.

Försvarskostnader: utgifter, kostnader och arvoden för experter, advokater, redogörelser, rättegångar, undersökningar och/eller förfaranden som är nödvändiga för försvarande av försäkringstagaren i tvistemål, kommersiella ärenden, administrativa ärenden och/eller brottmål. Med detta avses dock inte normala lönekostnader i försäkringstagarens verksamhet.

Försäkrad: den till vars förmån en skadeförsäkring gäller.

Försäkringsbelopp: Det belopp som anges i försäkringsbrevet utgör övre gräns för Fennias ersättningsskyldighet vid varje försäkringsfall. Beloppet är också övre gräns för samtliga kostnader och skador som ersätts under en försäkringsperiod.

Försäkringsfall: avvikelser i datasäkerheten, ersättningskrav, cyberutpressning och/eller cyberbrott (som i punkt 3.5 Cyberbrottsskydd).

Försäkringsperiod: Försäkringens giltighetstid är den period som anges i försäkringsbrevet.

Försäkringstagare: den som ingått ett försäkringsavtal med Fennia.

Försäkringstagarens datasystem: datasystem som administreras av försäkringstagaren och som försäkringstagaren äger och för vilka försäkringstagaren har skaffat licenser eller vilka försäkringstagaren har hyrt.

Inbyggda system (embedded systems): Ett datasystem som har tagits fram för ett visst syfte och som är inbyggt i ett större mekaniskt eller elektroniskt system.

Industriellt styrsystem (ICS, Industrial control system): ett paket som omfattar IT-utrustning och programvaror och som används för att styra och/eller hantera industriella produktionsprocesser.

Infrastruktur: datakommunikationsanordningar, ventilation, apparaturer med avbrottsfri kraftförsörjning (UPS), fristående generatorer, frekvensomformare, transformatorer och övriga apparaturer med vilka man upprätthåller datasystem och elektroniska system som stöder användning av data.

Internet: ett globalt öppet datanät, i vilket man kan förflytta data.

Internettjänst: Tjänster som möjliggör användning av internet och som produceras av tjänsteleverantörer som är i direkt avtalsförhållande med försäkringstagaren. Sådana tjänsteleverantörer är till exempel (1) tjänsteleverantörer som möjliggör anslutning till och användning av internet, leverantörer av internettjänster som ansvarar för IT-apparater och tekniska apparater, (2) tjänsteleverantörer i anknytning till domänsystem, (3) övriga leverantörer av internettjänster eller externa nättjänster och som ansvarar för internetknutpunkter och (4) operatörer av kabelnät, satellit- och radiokommunikationsnät.

Intranet: ett privat eller begränsat internt datanät.

IT-apparater: fysiska delar i datasystemet eller utrustningen som används för att spara, skicka, behandla, läsa, ändra på eller hantera data, inklusive elektroniska lagringsapparater.

Konfidentiella uppgifter: alla slags kommersiellt ömtåliga affärshemligheter i elektronisk form, vilka inte är offentligt tillgängliga, oberoende om de har markerats som konfidentiella eller inte.

Krig: Med krig avses vilken som helst konflikt (oberoende av om krig har förklarats eller inte) som förs med vapen och/eller våld mellan två eller flera stater eller folk, inbördeskrig och krigsoperationer som liknar invasion, uppror, revolution eller militärkupp eller försvarsåtgärder i en sådan situation.

Leverantör av outsourcade tjänster: en tredje part som erbjuder tjänster enligt ett skriftligt avtal som ingåtts med försäkringstagaren eller försäkrade, frånsett parter som erbjuder energi-, telekommunikations- och internettjänster.

Lösen: pengar, bitcoin eller en annan virtuell valuta, som en tredje part kräver som betalning vid cyberutpressning.

Mänskligt fel: Felaktig användning av IT till följd av att försäkringstagaren eller en anställd hos försäkringstagaren agerar oaktsamt eller ouppmärksamt (som fel vid val av det program som används, inställningsfel eller oändamålsenlig verksamhet av engångskaraktär). Felaktig användning av IT till följd av att en tjänsteleverantör eller en anställd hos tjänsteleverantören agerar oaktsamt eller ouppmärksamt i fall då tjänsteleverantörens system används. Med detta avses dock inte försummelse av säkerhetsföreskrifter.

Operativ teknik (OT, operation technology): ett paket som består av IT-utrustning och programvaror och som används för att hantera mekaniska utrustnings-, produktions- och hustekniska processer. Operativ teknik omfattar till exempel industriella styrsystem (ICS) och datoriserade styrsystem (SCADA).

Outsourcat datasystem: datasystem som övervakas och kontrolleras av en leverantör av outsourcade tjänster och som ägs av försäkringstagaren, försäkrade eller den outsourcade tjänsteleverantören, för vilka försäkringstagaren, försäkrade eller leverantören av outsourcade tjänster har skaffat licenser eller vilka försäkringstagaren eller leverantören av outsourcade tjänster har hyrt.

PCI-DSS: Datasäkerhetsstandarden Payment Card Industry Data Security Standards som gäller betalningskort.

Personer i ledande ställning: försäkringstagarens och försäkrades tidigare, nuvarande eller kommande styrelsemedlemmar, direktörer, medlemmar i den operativa ledningen och andra personalmedlemmar med mycket ansvar och hög beslutandemakt och rätt att agera å den försäkringstagarens och försäkrades vägnar.

Personuppgifter: alla slags personuppgifter som definieras i dataskyddslagstiftningen och som kan användas ensamma eller tillsammans med andra uppgifter för att identifiera en enskild person (som efternamn, personbeteckning, patientuppgifter, körkortsnummer, skatteregistreringsnummer, numret på ett kredit- eller debit-kort, adress, telefonnummer, koder till ett personligt användarkonto).

Primärtjänst: en tjänst som är avsedd för att reda ut och avlägsna orsaken till försäkringsfallet och för att undvika och minska på följdskador.

Programvara: ett digitalt standardprogram eller en digital standardapplikation eller ett program eller en applikation som har skräddarsytts eller utvecklats för beställaren och som omfattar en samling av instruktioner, med vilka man får en maskin som kan behandla data att uttrycka, genomföra eller uppnå en specifik funktion, uppgift eller ett specifikt resultat när instruktionerna sparas på ett verktyg som maskinellt kan läsas in i systemet.

Självrisk: den andel som dras av från skadebeloppet vid beräkning av ersättningsbeloppet och som anges i försäkringsbrevet eller som separat fastställs i försäkringsvillkoren.

Skada eller undergång av konfidentiella uppgifter: ändring, korrumpering eller radering av konfidentiella uppgifter eller personuppgifter som har sparats i försäkringstagarens eller försäkrades datasystem.

Skadegörelse: en olaglig gärning som har som syfte att orsaka skada på data, datasystem eller datanät eller att använda dem olagligt via ett datasystem eller datanät.

Skadeprogram: ett program eller en kod (som virus, spionprogram, internetmaskar, trojaner, rootkitprogram, utpressningsprogram) som inte hör till ett system och som stör dess funktion och som har som avsikt att få ett olovligt tillträde till datasystem och/eller orsaka störningar i dem.

Stöld: en skadegörelse som riktar sig mot ett datasystem och med vilken man från datasystemet kopierar eller får olovligt t.ex. konfidentiella uppgifter, personuppgifter eller konfidentiell data.

Säkerhetskopia: En kopia av uppgifterna om den försäkrade så att den försäkrades uppgifter som är lagrade i datasystemet kan återställas i den status där uppgifterna hade varit innan ett försäkringsfall som ersatts från denna försäkring inträffade.

Säkert lösenord: en teckensträng som visar behörighet för ett datasystem, består av minst 8 tecken och, om datasystemet möjliggör, innehåller tre av följande tecken: en stor bokstav, en liten bokstav, ett specialtecken, en siffra.

Tillsynsmyndighet: en myndighet, statlig organisation eller vilken som helst lagstadgad organ inom jurisdiktionsområdet som enligt datasskyddslagstiftningen är behörig att verkställa lagstadgade förpliktelser som gäller övervakning eller handläggning av personuppgifter.

Tjänster: tjänster i anknytning till hantering, underhåll, skyddande eller sparande av försäkringstagarens eller försäkrades IT-apparater, infrastruktur, elektroniska data eller program (som LaaS, PaaS, Saas). Med detta avses dock inte parter som tillhandahåller telekommunikations- och internettjänster.

Tredje part: någon annan person eller juridisk person än försäkringstagaren eller en styrelsemedlem, direktör eller anställd hos försäkringstagaren.

Underförsäkring: Om det nyckeltal (t.ex. lönesumman, personantalet, omsättningen eller faktureringen) som utgör grunden för försäkringspremien och bedömningen av riskens omfattning har meddelats Fennia till ett mindre belopp än det faktiska beloppet, är det fråga om underförsäkring. Från försäkringen ersätts då, efter att självrisken dragits av, endast en så stor del av skadebeloppet som motsvarar proportionen mellan det nyckeltal som anmälts till Fennia och dess verkliga värde.

Uppdatering av programvara: ett ändringspaket som en laglig distributör eller utvecklare av programvara eller fast programvara har lanserat och vars syfte är att uppdatera, korrigera eller förbättra programvaran eller de data som stöder programvaran, till exempel när det gäller funktion, användbarhet, prestanda eller datasäkerhet.

Överbelastningsattack: en vandalistisk attack som leder till ett totalt eller delvist avbrott i datasystem eller nätfunktioner, störning och/eller förhindrad användning genom att överbelasta datasystem med ett stort antal anrop, inklusive distribuerade överbelastningsattacker.

Virtuella valutor: alla digitala och virtuella valutor som Bitcoin, Ethereum och motsvarande samt NFT-tillgångsposter (non-fungible token).

2.1 Skada som ersätts

Försäkringen omfattar skador och kostnader som avses i punkterna 3 4 enligt vad som anges i försäkringsbrevet. Förutsättningen för ersättning är att skadorna och kostnaderna är en direkt följd av följande avvikelser i datasäkerheten: skadegörelser, skadeprogram, mänskliga fel, överbelastningsattacker eller informationsstölder som sker i försäkringstagarens datasystem eller som har riktats mot det. Det som i villkoren har angetts om försäkringstagarens skyldigheter eller rättigheter till ersättning gäller även den försäkrade.

Eventuella försäkringsfall som orsakas av tjänster som outsourcade tjänsteleverantörer erbjuder omfattas av försäkringen som om de skulle ha orsakats av försäkringstagarens egna datasystem, om de inte har avgränsats från försäkringens ersättningsområde.

Försäkringen ersätter skador enligt punkt 3 som har drabbat den försäkrade och som

  • konstateras under försäkringsperioden
  • är en följd av en handling, försummelse eller en annan omständighet som inträffat efter det datum (retroaktivt datum) som separat anges i försäkringsbrevet. Om ett retroaktivt datum inte anges i försäkringsbrevet, är det försäkringens begynnelsedatum.
  • anmäls till Fennia under försäkringsperioden eller inom 30 dagar från det att försäkringsperioden har upphört.

Försäkringen ersätter skador enligt punkt 4 som har drabbat en annan och

  • för vilka den tredje parten har lämnat ett ersättningskrav skadan till försäkringstagaren eller försäkrade under försäkringsperioden
  • som är en följd av en handling, försummelse eller en annan omständighet som inträffat efter det datum (retroaktivt datum) som separat anges i försäkringsbrevet. Om ett retroaktivt datum inte anges i försäkringsbrevet, är det försäkringens begynnelsedatum.
  • som anmäls till Fennia under försäkringsperioden eller inom 30 dagar från det att försäkringsperioden har upphört.

Från försäkringen ersätts skador som vållats en annan också i sådana fall, där försäkringstagaren under försäkringsperioden får veta om en omständighet som senare leder till ett ersättningskrav från en tredje part och lämnar ett skriftligt meddelande till Fennia om omständigheten under försäkringsperioden eller inom 30 dagar från det att försäkringsperioden har upphört. Då anses skadan ha vållats under den försäkringsperiod inom vilken meddelandet om omständigheten lämnades.

2.2 Giltighetsområde

Försäkringens giltighetsområde är det område som anges i försäkringsbrevet. Försäkringen ersätter endast skador som inträffat inom försäkringens giltighetsområde.

Oavsett vilket giltighetsområde som anges för försäkringen i försäkringsbrevet eller vad som anges ovan,

  • gäller försäkringen inte i länder utanför Finland och inga ersättningar betalas ut till den del lagstiftningen i landet i fråga kräver lokal försäkring hos ett lokalt försäkringsbolag
  • gäller försäkringen inte och inga ersättningar betalas ut om beviljande av försäkringsskyddet eller utbetalning av ersättningar strider mot Förenta nationernas resolution, eller mot handelssanktioner, ekonomiska sanktioner, förbud eller begränsningar enligt Europeiska unionens, Förenade konungariket eller Förenta staternas lagar och bestämmelser.

2.3 Serieskada

Skador orsakade av samma handling, försummelse eller omständighet betraktas som ett och samma försäkringsfall oberoende av om ersättningskravet framställts och skadan konstaterats under en eller flera försäkringsperioder. Om ett ersättningsanspråk framställs om sådana skador under olika försäkringsperioder, anses de hänföra sig till den försäkringsperiod under vilken man framställt ett skriftligt ersättningsanspråk om den första skadan

3.1 Hantering av kränkning av datasäkerheten

Från försäkringen ersätts till följd av en avvikelse i datasäkerheten skäliga och nödvändiga extra kostnader för följande:

  • Att anlita en expert för att reda ut avvikelsen i datasäkerheten och för att omedelbart begränsa skadan. Sådan begränsning kan bland annat vara att man tar bort skadeprogram eller stänger användarkonton.
  • En skriftlig rekommendation som en expert har utarbetat för försäkringstagaren och som tar ställning till metoderna för att försöka förebygga en liknande avvikelse i datasäkerheten i framtiden.
  • Att följa dataskyddslagstiftningen- eller bestämmelserna eller utföra åtgärder som förutsätts i bestämmelserna (som anmälningar till myndigheter eller enskilda personer)
  • Att förhindra missbruk av kredituppgifter om personuppgifternas ägare och att köpa tjänster för uppföljning av identitetsstölder av en extern expert. Förutsättningen för att använda skyddet är att Fennia har godkänt kostnaderna skriftligen på förhand.
  • Från försäkringen ersätts skäliga och nödvändiga kostnader för anlitande av en expert som Fennia på förhand skriftligen har godkänt för att minska skadlig ryktespåverkan som sannolikt uppstår till följd av avvikelsen i datasäkerheten. Kostnader ersätts i högst två månader från att avvikelsen i datasäkerheten upptäcktes.
  • Att anlita en jurist när det är fråga om att svara på en utredningsbegäran som en myndighet har lämnat till försäkringstagaren eller för att försvara sig mot en åtgärd som en myndighet riktar mot försäkringstagaren.

3.2 Återställning av uppgifter och program

Från försäkringen ersätts alla skäliga kostnader som uppstår till följd av återställning och rengöring av data och program och datasystem till samma läge som direkt före avvikelsen i datasäkerheten och som är nödvändiga för kontinuiteten av affärsverksamheten och enligt lagstadgad bokföringsskyldighet. Försäkringen ersätter dock inte kostnader för att utveckla ett ersättande datasystem eller för att på nytt skapa data, om datasystemet eller data inte kan återställas i funktionsdugligt skick till följd av avvikelsen i datasäkerheten.

Försäkringen ersätter alternativt nödvändiga och skäliga kostnader för byte av IT-utrustning, om en expert har konstaterat att kostnaderna för att skaffa ersättande IT-utrustning som motsvarar den tidigare nivån blir lägre än kostnaderna för att rengöra och återställa befintlig IT-utrustning i ett funktionsdugligt skick till följd av avvikelsen i datasäkerheten. Denna utvidgning gäller dock inte IT-utrustning som har koppling till en operativ teknik (OT) eller inbyggda system (embedded systems).

3.3 Avbrott i affärsverksamheten

Från försäkringen ersätts förlust av avbrottsförsäkringsbidraget som en direkt följd av en avvikelse i datasäkerheten på grund av avbrott helt eller delvis i användningen av datasystem under avbrottstiden.

Ett avbrottsförsäkringsbidrag är rörelseintäkter, som fås när material- och tjänstekostnader dras av från omsättningen. Försäkringsvärdet på avbrottsförsäkringsbidraget är beloppet för det avbrottsförsäkringsbidrag som försäkringstagaren skulle ha fått under avbrottstiden om den försäkrade affärsverksamheten hade fortsatt normalt utan avbrott.

Avbrottstiden är den tidsperiod som följer på den självrisktid som anges i försäkringsbrevet från att försäkringstagarens datasystem helt eller delvis inte är tillgängliga fram till att försäkringstagarens datasystem igen är tillgängliga.

Som skadebelopp beräknas högst en så stor del av försäkringsvärdet för avbrottsförsäkringsbidraget som minskningen av omsättningen till följd av avvikelsen i datasäkerheten under avbrottstiden är av den omsättning som skulle ha uppnåtts under avbrottstiden utan avvikelsen i datasäkerheten. Ersättning betalas ut för högst en period på tre månader om annat inte anges i försäkringsbrevet.

Vid beräkning av beloppet för omsättningen och bidragsandelen används realiserade värden från föregående räkenskapsperioder som grund med beaktande av konstaterad utveckling av affärsverksamheten.

Dessutom ersätts från försäkringen extra kostnader för åtgärder som skriftligen har avtalats med Fennia och med vilka man minskar på eller helt och hållet hindrar förlusten av avbrottsförsäkringsbidraget till följd av avvikelsen i datasäkerheten.

Extra kostnader är kostnader som inte skulle ha uppstått om affärsverksamheten hade fortsatt normalt utan avbrott till följd av avvikelsen i datasäkerheten. Sådana kostnader kan uppstå t.ex. till följd av tillfälliga installeringar, extra anskaffningar från underleverantörer eller övertid.

3.4 Cyberutpressning

Från försäkringen ersätts skäliga och nödvändiga kostnader för att reda ut ett cyberutpressningsfall. Dessutom ersätter försäkringen lösen som försäkringstagaren eventuellt har betalt, om den nationella lagstiftningen tillåter betalning av lösen och om en extern expert på utpressningsbrott i sitt utlåtande har rekommenderat betalning av lösen. Ersättningen för lösen betalas alltid till försäkringstagaren.

Förutsättningen för att ersättning betalas ut är att försäkringstagaren inte har avslöjat det skydd som avses i denna punkt till en tredje part eller arbetstagare och att försäkringstagaren på begäran av Fennia har anmält cyberutpressningen till myndigheterna. Om försäkringstagaren har brutit mot villkoret ovan, kan Fennia säga upp försäkringen enligt denna punkt att upphöra direkt från det datum då uppgiften avslöjades.

3.5 Cyberbrottsskydd

Från försäkringen ersätts ett penningbelopp som olagligt har stulits av försäkringstagaren och som försäkringstagaren eller försäkrade inte kan få tillbaka när stölden är en direkt följd av att en tredje part olagligt har gjort en elektronisk girering från försäkringstagarens bankkonto eller ändrat på uppgifter i försäkringstagarens datasystem. Med stöd av detta skydd ersätts dock inte stöld av presentkort, kundgottgörelse och bonuspoäng och inte heller stöld av virtuella valutor.

3.6 Datasäkerhetsstandard för betalningskort (PCI DSS)

Från försäkringen ersätts skäliga och nödvändiga kostnader till följd av

  • anlitande av en expert för att undersöka en misstänkt kränkning av PCI-DSS
  • en återcertifiering av PCI-DSS
  • förnyande av kredit-, bank- eller prepaidkort på grund av en kränkning av PCI-DSS

om dessa kostnader är en direkt följd av en avvikelse i datasäkerheten.

4.1 Förbrytelse mot integritetsskydd och sekretessplikt ersättningsskyldighet

Från försäkringen ersätts ekonomiska skador som försäkringstagaren eller försäkrade enligt gällande rätt är ersättningsskyldig för och som grundar sig på att en tredje part eller en anställd lägger fram ett ersättningskrav som gäller direkta följder av avvikelser i datasäkerheten, som skador på, förlust, olovlig användning eller avslöjande av konfidentiella uppgifter och/eller personuppgifter som försäkringstagaren eller försäkrade innehar.

Dessutom ersätter försäkringen rent lidande som beror på förlust, skada, obehörig användning eller avslöjande av personuppgifter och som försäkringstagaren eller den försäkrade enligt gällande rätt är ersättningsskyldig för till följd av en sådan avvikelse i datasäkerheten som ersätts från denna försäkring.

Med stöd av denna punkt ersätts också försäkringstagarens eller den försäkrades kostnader för att försvara sig mot sådana krav.

4.2 Om datasäkerheten brister – ersättningsskyldighet

Från försäkringen ersätts ekonomiska skador som försäkringstagaren eller försäkrade enligt gällande lagstiftning är ersättningsskyldig för och som grundar sig på att en tredje part lägger fram ett ersättningskrav, som gäller skador på, förlust eller stöld av konfidentiella uppgifter i dennas datasystem eller ett ersättningskrav som gäller en överbelastningsattack som riktar sig mot dennas datasystem och som direkt beror på en skadegörelse som riktar sig mot försäkringstagarens datasystem eller ett skadeprogram i försäkringstagarens datasystem som försäkringstagaren eller försäkrade inte lyckats förhindra.

Med stöd av denna punkt ersätts också försäkringstagarens eller den försäkrades kostnader för att försvara sig mot sådana krav.

4.3 Digital media – ersättningsskyldighet

Från försäkringen ersätts ekonomiska skador som försäkringstagaren eller den försäkrade enligt gällande rätt är ersättningsskyldig för och som grundar sig på att en tredje part lägger fram ett ersättningskrav som gäller

  • ärekränkning
  • kränkning av upphovsrätt, äganderätt, slogan, varumärke, firmanamn, utseende, servicevarumärke, servicenamn eller webbadress
  • kränkning av eller ingripande i integritetsrättigheter

på grund av försäkringstagarens verksamhet i digital media.

Utifrån detta skydd ersätts också försäkringstagarens eller den försäkrades kostnader för att försvara sig mot krav som lagts fram.

4.4 Arbetstagarens personliga ersättningsskyldighet

Med stöd av punkterna 4.1 4.3 ersätts också en arbetstagares personliga ansvar sådana fall där en tredje parts ersättningskrav riktas mot arbetstagaren till följd av en handling i dennas arbete. Försäkringen ersätter dock inte en arbetstagares personliga ansvar om skadan vållats uppsåtligen eller av grov oaktsamhet.

Försäkringen ersätter inte följande:

5.1

Skador till följd av funktionsstörningar eller avbrott i en tredje parts infrastruktur eller en tjänst som de levererar (t.ex. leverantörer av telekommunikations-, internet-, satellit- och kabeltjänster samt leverantörer av el, gas, vatten och andra allmännyttiga tjänster).

5.2

Skador till följd av terrordåd. Med terrordåd avses vilken som helst gärning som har ett politiskt, religiöst, ideologiskt eller ett annat motsvarande motiv, inklusive strävan efter att påverka makthavare och/eller framkalla rädsla hos ett folk eller en befolkningsgrupp. Begränsningen gäller dock inte cyberterrorism.

5.3

Skador till följd av strejk, upplopp eller en annan händelse som rubbar samhällsordningen.

5.4

Skador till följd av krig eller cyberkrigföring.

5.5

Skador till följd av att farliga ämnen, vilka som helst orenheter eller förorenande ämnen släpps, sprids, filtreras, hamnar, frigörs eller läcker ut eller en annan motsvarande händelse.

5.6

Skador till följd av att försäkringstagarens datasystem, datorer, program eller data beslagtas, förklaras förverkade (konfiskering), tvångsinlöses, förstörs eller skadas till följd av förordnande av en statlig, civil eller militär myndighet.

5.7

Skador till följd av användning av ett olagligt program eller ett program som används utan behövlig licens.

5.8

Skador till följd av dimensioneringsfel i försäkringstagarens datasystem eller brister i datahanteringens prestanda, som gör att systemet inte fungerar för det ändamål som avsetts.

5.9

Skador till följd av vandalistiskt, grovt oaktsamt eller avsiktligt beteende, missbruk eller bedrägeri från försäkringstagaren, försäkrade, personer i ledande ställning hos dessa eller från en extern tjänsteleverantör.

Ovannämnda ersättningsbegränsning för skador som en extern tjänsteleverantör har orsakat uppsåtligen eller genom grov oaktsamhet tillämpas endast på försäkringar som har börjat gälla på Fennia efter den 31 december 2023.

5.10

Egendomsskador eller skador till följd av egendomsskador. Med egendomsskador avses fysiska skador på materiell egendom, förlust eller undergång av materiell egendom, inklusive förhindrad användning av materiell egendom.

5.11

Skador till följd av att försäkringstagaren eller försäkrade har försummat en föreskrift eller anvisning att vidta skäliga åtgärder för att begränsa en skada eller att försäkringstagaren inte i tillräcklig grad har samarbetat med myndigheterna under utredningen som gäller försäkringsfallet eller diskussioner om fallet.

5.12

Böter, dataskyddsböter, avgifter av straffkaraktär eller vilket som helst annat straff och inte heller skador till följd av att man bryter mot myndighetsföreskrifter, till exempel försummelse att göra anmälningar enligt dataskyddslagarna.

5.13

Finansmarknads- eller handelsförluster eller kostnader, som uppstår av att värdepapper inte kan säljas eller överlåtas.

5.14

Skador till följd av ett planerat driftstopp i datasystemen eller delar av dem, ett planerat driftavbrott eller spilltid.

5.15

Skador till följd av att försäkringstagarens eller den outsourcade tjänsteleverantörens hyrestid, avtal, licens eller beställning avbryts, sägs upp eller löper ut.

5.16

Personskador. Med personskada avses sjukdom, skada, dödsfall och därtill hörande men, psykisk ångest, trauma eller harm. Som en personskada betraktas även förvärring av en befintlig sjukdom eller skada och följdskada efter en personskada, till exempel inkomstbortfall.

Utifrån villkorspunkt 4.1 ersätter dock försäkringen rent lidande som inte har samband med en personskada och som försäkringstagaren eller den försäkrade enligt gällande rätt är ersättningsskyldig för.

5.17

Skador till följd av stöld, kränkning eller avslöjande av immateriella rättigheter som patent, varumärken, upphovsrätt. Denna begränsning gäller inte försäkringsskyddets punkt 4.1 Förbrytelse mot integritetsskydd och sekretessplikt ersättningsskyldighet och punkt 4.3 Digital media ersättningsskyldighet, förutom i fråga om patent, där krav aldrig ersätts.

5.18

Skador som grundar sig på ett ersättningskrav som ställts av

  • en juridisk person som omfattas av försäkringstagarens bestämmanderätt
  • försäkringstagarens dotterbolag
  • en juridisk person som omfattas av försäkringstagarens eller dess dotterbolags egentliga bestämmanderätt på basis av rösträtt eller i övrigt
  • en person som har majoritetsinnehav i försäkringstagaren
  • en organisation där försäkringstagaren har delägarskap, oberoende av storleken på delägarskapen
  • en organisation, sammanslutning eller ett joint venture där försäkringstagaren är delägare
  • ett bolag eller en organisation, som har bestämmanderätt över försäkringstagaren.

5.19

Skador där ersättningsskyldigheten grundar sig enbart på ett avtal, en förbindelse, utfästelse eller garanti om det utan nämnda förbindelse inte skulle finnas någon sådan ersättningsskyldighet.

5.20

Skador till följd av en felaktig, bristfällig eller ofullständig beskrivning av varor, produkter eller tjänster eller priset på dem.

5.21

Rabatter, kompensationer, tilläggsförmåner, prissänkningar, kuponger, priser, förmåner eller andra incitament, säljfrämjande produkter eller lockelser som grundar eller inte grundar sig på avtal.

5.22

Skador till följd av att uppgifter på en webbsida eller en webbplats inte raderas efter att försäkringstagaren har fått ett klagomål eller en begäran av en tredje part.

5.23

Skador till följd av en avvikelse i datasäkerheten som försäkringstagaren har varit eller borde ha varit medveten om före försäkringens begynnelsedatum.

5.24

Skador till följd av sådan verksamhet eller sådan väsentlig förändring i risken som inte har meddelats Fennia och som Fennia inte har godkänt.

5.25

Kostnader till följd av reparering av brister i datasäkerheten eller förbättring av skyddsnivån eller uppgifternas kvalitet från den nivå som gällde före avvikelsen i datasäkerheten.

5.26

Avbrottsskador när försäkringstagaren inte fört bok över den försäkrade affärsverksamheten enligt bokföringslagen.

5.27

Skador, som beror på ett uttalande eller information som hänför sig till bolaget, som givits av försäkringstagaren eller person i ledande ställning i det försäkrade bolaget eller på att sådan person agerat som representant för bolaget eller vidtagit annan åtgärd som hänför sig till bolaget.

5.28

Skador eller krav som till någon del bygger på förlust av eller skador på virtuella valutor.

Försäkringstagaren ska

  • omedelbart underrätta Fennia om ett ersättningskrav eller omständigheter som kan leda till ett ersättningskrav
  • omedelbart underrätta Fennia och leverantören av primärtjänsten som Fennia utsett om en konstaterad eller misstänkt avvikelse i datasäkerheten, cyberutpressning och/eller ett cyberbrott som sannolikt leder till ersättning med stöd av detta försäkringsavtal
  • ge tillträde till leverantören av primärtjänsten som Fennia utsett eller en annan expert till försäkringstagarens datasystem och datanät för att begränsa och undersöka skadan.

Leverantörer av primärtjänsten som Fennia utsett och/eller leverantörer av datasäkerhetstjänster har rätt att överlåta till Fennia uppgifter som de samlat i samband med att de erbjudit tjänster och som behövs för att reda ut och ersätta skadan. På tjänsteleverantörers tjänster tillämpas tjänsteleverantörers egna avtalsvillkor som gäller vid respektive tidpunkt.

Skadebeloppet beräknas i enlighet med punkterna 3.1– 4.4 . Kostnaderna räknas in i skadebeloppet högst till det belopp som de skulle ha varit om man hade använt tjänsteleverantörer som Fennia utsett.

Ersättningsbeloppet fås genom att från skadebeloppet enligt punkt 7 dra av självrisken och sedan beakta bestämmelserna i punkt 9, eventuell underförsäkring och göra avdrag från ersättningen på grund av eventuell försummelse att följa säkerhetsföreskrifterna och de allmänna avtalsvillkoren i angiven ordning.

Den högsta gränsen för Fennias ersättningsskyldighet är det försäkringsbelopp som anges i försäkringsbrevet.

8.1 Självrisk

För varje skadefall dras självrisken som anges i försäkringsbrevet av.

Om ersättning betalas ut med stöd av fler än ett skydd, görs avdrag för den största självrisken. Självrisktiden i avbrottsskyddet tillämpas alltid utöver en annan självrisk när ersättning betalas ut med stöd av avbrottsskyddet.

9.1 Uppgifter och åtgärder som behövs för utredning av skada

Försäkringstagaren ska på egen bekostnad

  • lämna in de dokument och övriga uppgifter som Fennia begärt och som behövs för utredning av en skada
  • vidta alla behövliga och skäliga åtgärder för att begränsa försäkringsfallet göra och
  • låta göra alla skäliga åtgärder för att reda ut försäkringsfallets orsak och omfattning
  • spara alla IT-apparater, program och uppgifter och ge dem till Fennia och/eller leverantören av primärtjänsten som Fennia utsett
  • följa alla anvisningar av Fennia och/eller leverantören av primärtjänsten som Fennia utsett.

Försäkringstagaren ska på Fennias begäran

  • avstå från advokatsekretessen
  • försvara sådana lagliga rättigheter som försäkringstagaren eller Fennia kan ha beträffande en sådan part som kan vara ersättningsskyldig gentemot försäkringstagaren på grund av en avvikelse i datasäkerheten
  • upprätta eller lämna in samtliga dokument som Fennia anser behövliga för att trygga rättigheterna enligt detta försäkringsavtal och för att reda ut skadefallet
  • närvara vid förhör och rättegångar
  • bistå med verkställande av uppgörelse i godo, tryggande och givande av bevis, säkerställande av närvaro av vittnen samt med försvarande eller åtalande vid rättegångar.

9.2 Ersättningskrav som framställs försäkringstagaren

Försäkringstagaren får inte utan samtycke av Fennia på förhand erkänna ansvar, betala, ingå avtal eller godkänna ersättningskrav som lagts fram till försäkringstagaren. Försäkringstagaren ska bistå Fennia med att undersöka ersättningskravet, försvara och/eller avtala, använda en advokat som Fennia utsett samt betala självrisken till vilken som helst tredje part som Fennia utsett för att följa en uppgörelse i godo.

Försäkringstagaren ska också ge Fennia rättigheter och befogenheter för att sköta förhandlingarna om en lösning med en tredje part eller rättegången mot denna. Fennia har rätt att besluta om åtgärder och välja ombud i anknytning till en rättegång. Om försäkringstagaren inte på förhand meddelar Fennia om rättegången, är Fennia inte skyldigt att ersätta kostnaderna för rättegången.

Om Fennia har meddelat försäkringstagaren att bolaget är redo att avtala med den skadelidande om ersättning av skadorna och försäkringstagaren inte samtycker till detta, är Fennia inte skyldigt att ersätta kostnader som uppstår efter det eller att göra vidare utredningar i ärendet.

9.3 Beställare av tjänster och produkter

Försäkringstagaren ska vara beställare av samtliga tjänster och produkter som gäller skadan och anges som betalare på räkningen.

Utöver de allmänna avtalsvillkoren i företagsskyddet tillämpas följande villkor:

10.1

Försäkrad verksamhet. Från försäkringen ersätts skador som inträffat under försäkringsperioden i den fastställda verksamheten. Om den försäkrades verksamhet förändras under försäkringsperioden från det som fastställdes i början av försäkringsperioden, ska försäkringstagaren informera Fennia snarast möjligt. Nya verksamheter kan inkluderas i försäkringsskyddet om försäkringstagaren informerar Fennia skriftligen och Fennia godkänner tillägget.

10.2

Fusion och företagsköp. Försäkringstagaren ska skriftligen meddela Fennia om en fusion eller ett företagsköp inom 30 dagar från att försäkringstagaren har fusionerats med en annan juridisk person eller skaffat majoritetsinnehav i en annan juridisk person under försäkringsperioden. Försäkringstagaren ska betala Fennia en tilläggspremie som grundar sig på extra ansvar från datumet för fusionen eller företagsköpet fram till slutet av försäkringsperioden.

10.3

Övriga försäkringar. Om det i händelse av ett försäkringsfall finns en annan försäkring, anses detta försäkringsavtal vara en sekundär försäkring och från detta försäkringsavtal ersätts inte skador eller kostnader för vilka man kan eller skulle kunna få ersättning från en annan försäkring eller vilka ingår i självrisken för en annan försäkring.

10.4

Om försäkringstagaren har anmält ett försäkringsfall, återbetalas premien inte till någon del.

10.5

Konfidentialitet. Försäkringstagaren får inte avslöja existensen av detta försäkringsavtal, förutom om lagstiftningen förutsätter det eller om det finns ett skriftligt tillstånd av Fennia.

10.6

Försäkringstagaren får inte utan ett skriftligt tillstånd av Fennia överföra lagliga rättigheter eller förmåner som gäller detta försäkringsavtal.

10.7

Ändringar. Försäkringstagaren ska skriftligt eller elektroniskt i skriftlig form meddela om önskade ändringar på försäkringsavtalet.

10.8

Lagar och föreskrifter. Om något av försäkringsvillkoren i detta försäkringsavtal strider mot den nationella lagstiftningen, den gällande rätten eller andra föreskrifter, följs den nationella lagstiftningen.

10.9

Sådana villkor i det här försäkringsavtalet som eventuellt inte kan tillämpas påverkar inte övriga försäkringsvillkor, och om det är praktiskt ersätts villkoret med ett annat villkor som kan tillämpas och som har samma eller liknande betydelse som villkoret i fråga som inte kan tillämpas.

10.10

Tredje partens rättigheter. En tredje part som inte är en avtalspart i detta försäkringsavtal har inte rätt att verkställa någon del i detta försäkringsavtal. Detta påverkar dock inte de rättigheter eller rättsmedel som den tredje parten annars har.

11.1 Skyldighet att följa säkerhetsföreskriften

Försäkringstagaren och den försäkrade ska följa denna säkerhetsföreskrift samt övriga säkerhetsföreskrifter som anges i försäkringsbrevet och se till att säkerhetsföreskrifterna följs inom samtlig verksamhet som påverkar den försäkrade egendomen eller verksamheten. Allt som i denna säkerhetsföreskrift ålagts som försäkringstagarens plikt tillämpas också på samtliga försäkrade. En försäkrad är den till vars förmån en skadeförsäkring gäller.

Försäkringstagaren ska se till att alla personer som ansvarar för verksamheten får kännedom om säkerhetsföreskrifterna. Om försäkrad egendom har hyrts ut eller verksamhet har lagts ut på entreprenad, ska man se till att hyrestagarna och tjänsteleverantörerna får kännedom om säkerhetsföreskrifterna och skriftligen kräva att de följer säkerhetsföreskrifterna. Säkerhetsföreskrifterna ska också lämnas för kännedom till samtliga försäkrade.

Därtill ska andra förpliktande anvisningar som Fennia gett om förebyggande av skador följas och de åtgärder och system som Fennia separat krävt för förbättring av säkerheten genomföras. Om säkerhetsföreskrifterna inte följs och försummelsen att följa dem bidrar till att en skada uppstår eller till dess omfattning, kan ersättningen sänkas eller förvägras.

11.2 Säkerhetskopiering och skyddande av datasystem

Försäkringstagaren ska fastställa säkerhetskopiering av filer och program. Säkerhetskopiering av uppgifter, filer och program som är av betydelse för affärsverksamhetens kontinuitet ska dock göras åtminstone enligt följande:

  • Uppgifter som förändrats i filer ska säkerhetskopieras varje dag.
  • En fullständig säkerhetskopiering som säkerställer alla uppgifter ska göras minst en gång i veckan.
  • Program som kan säkerhetskopieras ska säkerhetskopieras innan de installeras i ett datasystem och alltid i samband med förändringar.
  • Säkerhetskopior, originalprodukter och koder som berättigar till installation ska förvaras på ett sådant sätt att de inte kan förstöras vid samma skada som filer och program som installerats i datasystemet.
  • Att säkerhetskopieringen lyckas och att säkerhetskopiorna kan återställas till en fungerande helhet med anordningarna och programmen ska regelbundet testas, dock åtminstone två gånger om året.

Som ett tryggt förvaringssätt betraktas förvaring i en annan brandsektion i ett dataskyddsskåp som är åtminstone av klass S 120 DIS eller i en helt annan byggnad eller molntjänst. Utöver originalprodukter och koder som berättigar till installation ska det i säkerhetsarkivet finnas åtminstone de två senaste fullständiga säkerhetskopiorna av filer och de två senaste säkerhetskopiorna av programändringar.

Hela datasystemet ska hållas så uppdaterat, komplett och kompatibelt och säkerställt att säkerhetskopior av program och filer kan återställas efter en sakskada i reparerade eller återanskaffade anordningar och att hela datasystemet kan återställas med en rimlig arbetsinsats till den nivå som föregick skadetidpunkten.

Tillgängliga programuppdateringar ska installeras på ett dokumenterat sätt utan obefogat dröjsmål, men senast inom följande tidsramar räknat från den dag som en programuppdatering har lanserats:

  • Datasystem som är anslutna till internet: 30 dagar
  • Inbyggda system (embedded systems) och operativ teknik (OT): 90 dagar eller inom den tidsram som program-/utrustningstillverkaren har rekommenderat
  • Övriga datasystem: 60 dagar

Datasystemen ska ha ett tillräckligt program på proffsnivå för bekämpning och avlägsnande av skadeprogram, och de ska vara permanent aktiverade och de ska uppdateras automatiskt. Datasystemen ska skyddas med ett säkert lösenord. Datasystemet och datanäten ska vara skyddade mot datasäkerhetsavvikelser t.ex. genom att uppdatera lösenord, systemkonfigureringar och brandväggar.

Om tjänster som hänger samman med databehandling har lagts ut på entreprenad, ska försäkringstagaren skriftligen kräva och om möjligt säkerställa i praktiken att alla leverantörer av tjänsten uppfyller åtminstone de ovannämnda kraven.

Kontaktinformation

Försäkringsgivare: Ömsesidiga Försäkringsbolaget Fennia
FO-nummer: 0196826-7
Hemort: Helsingfors
Postadress: 00017 FENNIA
Företagsservice:
Vår telefontjänst 010 503 8813
www.fennia.fi
E-post: förnamn.efternamn@fennia.fi