Sisältö
Ladataan...
YT180 Tietoturvavakuutus
Voimassa 1.1.2024 alkaen
Vakuutusehto YT180
Tietoturvavakuutus
Tietoturvavakuutusehdot määrittelevät vakuutussopimuksen sisällön yhdessä yleisten sopimusehtojen, vakuutuskirjan ja vakuutuskirjaan merkittyjen erityisehtojen ja suojeluohjeiden kanssa. Vakuutusta tehtäessä on voitu sopia vakuutusturvaa laajentavista tai supistavista erityisehdoista. Nämä on merkitty vakuutuskirjaan.
1 Tietoturvavakuutukseen ja vahingon korvaamiseen liittyviä määritelmiä ja keskeisiä käsitteitä
Alivakuutus: jos riskin suuruuden arvioinnin ja vakuutusmaksun perusteena oleva tunnusluku (esimerkiksi palkkasumma, liikevaihto, henkilömäärä tai laskutus) on ilmoitettu Fennialle todellista pienempänä, on kyseessä alivakuutus. Tällöin vakuutuksesta korvataan vain niin suuri osa omavastuulla vähennetystä vahingon määrästä kuin Fennialle ilmoitetun tunnusluvun ja sen todellisen arvon välinen suhde osoittaa.
Asiantuntija: Fennian ja/tai tietoturvapoikkeamien hallintapalveluiden toimittajan yhdessä nimittämä henkilö tai oikeushenkilö, kuten esimerkiksi it-asiantuntija, forensiikka-asiantuntija, lakimies, pr-konsultti.
Digitaalinen media: vakuutuksenottajan verkkosivustot, sosiaalisen median tai sähköpostin kautta jaettava teksti, kuvat, videot tai ääni.
Ensivastepalvelu: palvelu, jonka tarkoituksena on vakuutustapahtuman syyn selvittäminen ja poistaminen sekä seurannaisvahinkojen välttäminen tai pienentäminen.
Haittaohjelma: järjestelmään kuulumaton ja sen toimintaa haittaava ohjelmisto tai koodi (kuten virukset, vakoiluohjelmat, madot, troijalaiset, rootkit-ohjelmat, kiristysohjelmat), jonka tarkoituksena on hankkia luvaton pääsy tietojärjestelmiin ja/tai häiritä niitä.
Henkilötiedot: kaikenlaiset tietosuojalainsäädännössä määritellyt henkilötiedot, joita voidaan käyttää yksinään tai yhdessä muiden tietojen kanssa yksittäisen henkilön tunnistamiseen (kuten sukunimi, henkilötunnus, potilastiedot, ajokortin numero, verotunnus, luotto- tai debit-kortin numero, osoite tai puhelinnumero, henkilökohtaisen käyttäjätilin tunnukset).
Infrastruktuuri: tietoliikennelaitteet, ilmastointi, keskeytymättömän virransyötön laitteistot (UPS), erilliset generaattorit, taajuudenmuuntimet, muuntajat ja muut välineet, joilla ylläpidetään tietojärjestelmiä ja tietojen käyttöä tukevia sähköisiä järjestelmiä.
Inhimillinen virhe: Vakuutuksenottajan tai vakuutuksenottajan työntekijän huolimattomuudesta tai tarkkaamattomuudesta johtuva tietotekniikan käyttövirhe (kuten virhe käytettävän ohjelmiston valinnassa, asetusvirhe tai kertaluonteinen epätarkoituksenmukainen toiminto). Palveluntoimittajan tai palveluntoimittajan työntekijän huolimattomuudesta tai tarkkaamattomuudesta johtuva tietotekniikan käyttövirhe, kun käytetään palveluntoimittajan järjestelmää. Tällä ei kuitenkaan tarkoiteta suojeluohjeiden laiminlyöntiä.
Internet: maailmanlaajuinen avoin tietoverkko, jossa voidaan siirtää tietoa.
Internet-palvelu: Palvelut, jotka mahdollistavat internetin käytön, kuten (1) internet-yhteyden muodostamisen ja internetin käytön mahdollistavat palvelun toimittajat, IT-laitteista ja teknisistä laitteista vastaavat internet-palveluiden tarjoajat; (2) verkkotunnusjärjestelmiin liittyvät palveluiden toimittajat; (3) muut internet- tai ulkoisten verkkopalveluiden tarjoajat, jotka vastaavat internetin yhdysliikenteestä ja (4) kaapeliverkkojen, satelliitti- ja radioviestintäverkkojen operaattorit.
Intranet: yksityinen tai rajoitettu sisäinen tietoverkko.
IT-laitteet: tietojärjestelmän tai laitteiston fyysiset osat, joita käytetään tietojen tallentamiseen, lähettämiseen, käsittelyyn, lukemiseen, muuttamiseen tai hallintaan, mukaan lukien sähköiset tallennusvälineet.
Johtavassa asemassa olevat henkilöt: vakuutuksenottajan ja vakuutetun entiset, nykyiset tai tulevat hallituksen jäsenet, johtajat, toimivan johdon jäsenet ja muut henkilöstön jäsenet, joilla on paljon vastuuta ja päätösvaltaa ja oikeus toimia vakuutetun puolesta.
Kolmas osapuoli: jokin muu henkilö tai oikeushenkilö kuin vakuutuksenottaja tai vakuutuksenottajan hallituksen jäsen, johtaja tai työntekijä.
Korvausvaatimus: kolmannen osapuolen vakuutuksenottajaan tai vakuutettuun kohdistama vaatimus tai väittämä, joka koskee sellaista korvausta, saatavaa, omaisuutta, vahingonkorvausta tai oikeuden täytäntöönpanoa, joka voidaan välittömästi saattaa käsiteltäväksi välimiesmenettelyssä tai tuomioistuimessa.
Kyberkiristys: 1) kolmannen osapuolen esittämä uskottava uhkaus aiheuttaa vakuutustapahtuma vakuutetun tietojärjestelmässä, ellei hänelle makseta lunnaita tai 2) kolmannen osapuolen esittämä vaatimus lunnaista, jotta tämä kolmas osapuoli lopettaa aiheuttamansa tietoturvapoikkeaman vakuutetun tietojärjestelmässä.
Kybersodankäynti: Suvereenin vieraan valtion tai tämän lukuun tai puolesta toimivan tahon tietojärjestelmien avulla toteuttama teko, jonka tarkoituksena on haitata, estää, häiritä, manipuloida tai tuhota tietojärjestelmiä tai näiden sisältämää tietoa.
Kyberterrorismi: yksittäisen henkilön tai ryhmittymän tietojärjestelmän kautta tekemä teko, jolla on poliittinen, uskonnollinen tai ideologinen motiivi ja jonka tarkoitus on vahingoittaa, tuhota, häiritä tai saada käyttöoikeus vakuutuksenottajan tietojärjestelmään. Tällä tarkoitetaan myös toimintaa, jonka tarkoitus on vaikuttaa vallanpitäjiin ja/tai aiheuttaa pelkoa kansan tai kansanosan keskuudessa.
Kyberterrorismilla ei kuitenkaan tarkoiteta sellaisia tekoja, olosuhteita tai toimia, jotka täyttävät tässä vakuutusehdossa määritetyn kybersodankäynnin tai sodan tunnusmerkistön.
Lunnaat: raha, bitcoinvaluutta tai muu virtuaalivaluutta, jota kolmas osapuoli vaatii maksettavaksi kyberkiristyksen yhteydessä.
Luottamukselliset tiedot: kaikenlaiset sähköisessä muodossa olevat kaupallisesti arkaluonteiset liikesalaisuudet, jotka eivät ole julkisesti saatavilla, riippumatta siitä, ovatko ne merkitty luottamuksellisiksi vai ei.
Luottamuksellisen tiedon vahingoittuminen tai menetys: vakuutuksenottajan tai vakuutetun tietojärjestelmiin tallennetun luottamuksellisten tietojen tai henkilötietojen muuttaminen, poistaminen tai tietojen korruptoituminen.
Ohjelmisto: digitaalinen vakio-ohjelma tai sovellus tai tilaajalle räätälöity tai varta vasten kehitetty ohjelma tai sovellus, jota pidetään tai käytetään tietojärjestelmässä ja joka käsittää joukon ohjeita, joilla saadaan tietojenkäsittelyyn kykenevä kone ilmaisemaan, suorittamaan tai saavuttamaan tietty toiminto, tehtävä tai tulos, kun ohjeet sisällytetään järjestelmään koneellisesti luettavalla välineellä.
Ohjelmistopäivitys: ohjelmiston tai laiteohjelmiston laillisen jakelijan tai kehittäjän julkaisema muutoskokonaisuus, jonka tarkoituksena on ohjelmiston tai sitä tukevien tietojen päivittäminen, korjaaminen tai parantaminen esimerkiksi toimivuuden, käytettävyyden, suorituskyvyn tai tietoturvan osalta.
Omavastuu: omavastuu on vakuutuskirjaan merkitty tai vakuutusehdoissa erikseen määritetty osuus, joka vähennetään vahingon määrästä korvauksen määrää laskettaessa.
Operatiivinen teknologia (OT; operation technology): IT laitteistojen ja ohjelmistojen muodostama kokonaisuus, jolla hallitaan mekaanisia laite-, tuotanto- ja taloteknisiä prosesseja. Operatiiviseen teknologiaan luetaan kuuluvaksi esimerkiksi tuotantohallintajärjestelmät (ICS) ja valvontajärjestelmät (SCADA).
Palvelunestohyökkäys: ilkivaltainen hyökkäys, jossa aiheutetaan tietojärjestelmien ja verkon toimintojen täydellinen tai osittainen keskeytyminen, häiriö ja/tai käytön estyminen ylikuormittamalla tietojärjestelmät suurella määrällä pyyntöjä, mukaan lukien hajautetut palvelunestohyökkäykset.
Palvelut: Vakuutuksenottajan tai vakuutetun IT-laitteiden, infrastruktuurin, sähköisen datan tai ohjelmistojen käsittelyyn, kunnossapitoon, suojaamiseen tai tallentamiseen liittyvät palvelut (kuten LaaS, PaaS, SaaS). Tällä ei kuitenkaan tarkoiteta televiestintä- ja internetpalveluita tarjoavia osapuolia.
PCI DSS: maksukortteja koskevat Payment Card Industry Data Security Standards -tietoturvastandardit.
Puolustautumiskulut: sellaiset asiantuntijoista, asianajajista, selvityksistä, oikeudenkäynneistä, tutkimuksista ja/tai menettelyistä aiheutuvat kustannukset, kulut ja palkkiot, joita tarvitaan vakuutuksenottajan puolustamiseen riita-asioissa, kaupallisissa asioissa, hallinnollisissa asioissa ja/tai rikosasioissa. Tällä ei kuitenkaan tarkoiteta vakuutuksenottajan toimintaan kuuluvia normaaleja palkkakuluja.
Sota: Sodalla tarkoitetaan mitä tahansa konfliktia (riippumatta siitä, onko sota julistettu vai ei), jota käydään aseiden ja/tai väkivallan voimalla kahden tai useamman valtion tai kansan välillä, sisällissotaa sekä maahanhyökkäyksen, kapinan, vallankumouksen tai sotilasvallankaappauksen kaltaisia sotatoimia tai puolustautumista tällaista tilannetta vastaan.
Sulautetut järjestelmät (embedded systems): Tietojärjestelmä, joka on laadittu tiettyä tarkoitusta varten ja joka on sulautettu osaksi suurempaa mekaanista tai elektronista järjestelmää.
Sähköiset tallennusvälineet: IT-laitteet, kuten ulkoiset kiintolevyt, CD- ja DVD-levyt, magneettinauhat tai -levyt, USB-muistitikut, joita käytetään tietojen tallentamiseen ja säilytykseen.
Tieto: vakuutuksenottajan omistamat tai käyttämät kaikenlaiset sähköisessä muodossa olevat tiedot, käyttöja esitystavasta riippumatta. Tällaisia voivat olla esimerkiksi teksti, kaaviot, kuvat, videot tai ohjelmistot.
Tietojärjestelmä: tietotekniikka- ja viestintäjärjestelmät, kuten IT-laitteistot ja infrastruktuuri, ohjelmistot, sähköiset tallennusvälineet ja muut laitteet, joita käytetään tietojen luomiseen, käyttöön, käsittelyyn, suojaamiseen, seuraamiseen, tallentamiseen, hakemiseen, näyttämiseen tai siirtämiseen.
Tietoturvapoikkeama: vahingonteko, haittaohjelma, inhimillinen virhe, palvelunestohyökkäys tai tietovarkaus, joka tapahtuu vakuutuksenottajan tai ulkoistetun palveluntoimittajan tietojärjestelmässä tai on suunnattu sitä kohtaan.
Tietoverkko: tietojärjestelmien ja niihin liitettyjen laitteiden muodostama kokonaisuus, jonka ansiosta verkkoon kuuluvat laitteet voivat vaihtaa tietoja ja muita resursseja.
Tuotannonhallintajärjestelmä (ICS; Industrial control system): IT-laitteisto- ja ohjelmistokokonaisuus, jota käytetään teollisuustuotantoprosessien ohjaamiseen ja/tai hallintaan.
Työntekijä: kuka tahansa henkilö, joka suorittaa vakuutuksenottajalle tai vakuutetulle palveluita tai tekee työtä vakuutuksenottajan tai vakuutetun työnjohdon alaisena. Työntekijöiksi luetaan myös vakuutuksenottajan tai vakuutetun IT-palvelujen toimittamista varten palkkaama ulkoinen henkilöstö, joka työskentelee vakuutuksenottajan tai vakuutetun työnjohdon alaisena, pois lukien johtavassa asemassa olevat henkilöt.
Ulkoistettu tietojärjestelmä: ulkoistetun palvelun toimittajan valvonnassa ja hallinnassa olevat tietojärjestelmät, jotka vakuutuksenottaja, vakuutettu tai ulkoistetun palvelun toimittaja omistaa, joiden käyttöön vakuutuksenottaja, vakuutettu tai ulkoistetun palvelun toimittaja on hankkinut lisenssit tai jotka vakuutuksenottaja tai ulkoistetun palvelun toimittaja on vuokrannut.
Ulkoistetun palvelun toimittaja: kolmas osapuoli, joka tarjoaa vakuutuksenottajan kanssa solmittuun kirjalliseen sopimukseen perustuvia palveluita, pois lukien energia-, televiestintä- ja internet-palveluita tarjoavat osapuolet.
Vahingonteko: llaiton teko, jonka tarkoituksena on aiheuttaa haittaa tiedoille, tietojärjestelmille tai tietoverkoille tai käyttää niitä luvattomasti tietojärjestelmän tai tietoverkon välityksellä.
Vahva salasana: tietojärjestelmän käyttöoikeuden osoittava merkkijono, joka koostuu vähintään 8 merkistä ja sisältää tietojärjestelmän mahdollistaessa vähintään kolme seuraavista tekijöistä: iso kirjain, pieni kirjain, erikoismerkki, numero.
Vakuutettu: se, jonka hyväksi vahinkovakuutus on voimassa.
Vakuutuksenottaja: se, joka on tehnyt Fennian kanssa vakuutussopimuksen.
Vakuutuksenottajan tietojärjestelmä: vakuutuksenottajan hallinnassa olevat tietojärjestelmät, jotka vakuutuksenottaja omistaa, joiden käyttöön vakuutuksenottaja on hankkinut lisenssit tai jotka vakuutuksenottaja on vuokrannut.
Vakuutuskausi: Vakuutuksen voimassaoloaika on vakuutuskirjaan merkitty ajanjakso.
Vakuutusmäärä: vakuutuskirjaan merkitty vakuutusmäärä on Fennian korvausvelvollisuuden ylimpänä rajana jokaisessa vakuutustapahtumassa ja yhden vakuutuskauden aikana yhteensä kaikista korvattavista kustannuksista ja vahingoista.
Vakuutustapahtuma: tietoturvapoikkeama, korvausvaatimus, kyberkiristys ja/tai kyberrikos (kuten kohdassa 3.5 Kyberrikosturva).
Valvontajärjestelmät (SCADA systems): ohjelmistoista ja IT-laitteista muodostuva keskitetty kokonaisuus, joka valvoo ja säätelee teollisuustuotantoprosesseja joko tuotantolaitoksessa tai etäyhteyden välityksellä.
Valvontaviranomainen: viranomainen, valtion organisaatio tai minkä tahansa lainkäyttöalueen lakisääteinen elin, jolla on valtuudet panna täytäntöön henkilötietojen valvontaan tai käsittelyyn liittyvät lakisääteiset velvoitteet sovellettavan tietosuojalainsäädännön mukaisesti.
Varkaus: tietojärjestelmään kohdistuva vahingonteko, jolla kopioidaan tai saadaan tietojärjestelmistä luvattomasti esimerkiksi luottamuksellisia tietoja, dataa tai henkilötietoja.
Varmuuskopio: Kaksoiskappale vakuutetun tiedoista, jonka avulla vakuutetun tietojärjestelmiin tallennetut tiedot ovat palautettavissa sellaiseen tilaan, missä ne olivat ennen tästä vakuutuksesta korvattavan vakuutustapahtuman aiheutumista.
Virtuaalivaluutat: kaikki digitaaliset- ja virtuaaliset valuutat kuten Bitcoin, Ethereum ja vastaavat sekä NFT (non-fungible token) varallisuuserät.
2 Vakuutustapahtuma, vakuutuksen voimassaoloalue ja sarjavahinko
2.1 Korvattava vahinko
Vakuutus kattaa kohtien 3–4 mukaiset vahingot ja kustannukset sen mukaan, kun vakuutuskirjaan on merkitty. Korvauksen edellytyksenä on, että vahingot ja kustannukset ovat suoranainen seuraus seuraavista tietoturvapoikkeamista: vahingonteko, haittaohjelma, inhimillinen virhe, palvelunestohyökkäys tai tietojen varastaminen, joka tapahtuu vakuutuksenottajan tietojärjestelmässä tai on suunnattu sitä kohtaan. Se, mitä ehdoissa on sanottu vakuutuksenottajan velvoitteista tai oikeudesta korvaukseen, koskevat myös vakuutettua.
Mahdolliset vakuutustapahtumat, jotka aiheutuvat ulkoistetun palvelun toimittajan palveluista, kuuluvat vakuutuksen piiriin aivan kuten ne olisivat aiheutuneet vakuutuksenottajan omista tietojärjestelmistä, ellei niitä ole rajattu vakuutuksen ulkopuolelle.
Vakuutuksesta korvataan ne kohdan 3 mukaiset vakuutetulle itselleen aiheutuneet vahingot,
- jotka todetaan vakuutuskauden aikana
- jotka ovat seurausta vakuutuskirjaan erikseen merkityn takautuvan päivämäärän (retroaktiivinen päivä) jälkeen tapahtuneesta teosta, laiminlyönnistä tai muusta olosuhteesta. Ellei takautuvaa päivämäärää ole merkitty vakuutuskirjaan, se on vakuutuksen alkamispäivä.
- joista tehdään Fennialle vahinkoilmoitus vakuutuskauden aikana tai 30 päivän sisällä vakuutuskauden päättymisestä.
Vakuutuksesta korvataan ne kohdan 4 mukaiset toiselle aiheutuneet vahingot,
- joissa kolmas osapuoli on tehnyt vakuutuksenottajalle tai vakuutetulle korvausvaatimuksen vahingosta vakuutuskauden aikana
- jotka ovat seurausta vakuutuskirjaan erikseen merkityn takautuvan päivämäärän (retroaktiivinen päivä) jälkeen tapahtuneesta teosta, laiminlyönnistä tai muusta olosuhteesta. Ellei takautuvaa päivämäärää ole merkitty vakuutuskirjaan, se on vakuutuksen alkamispäivä.
- joista tehdään Fennialle vahinkoilmoitus vakuutuskauden aikana tai 30 päivän sisällä vakuutuskauden päättymisestä.
Vakuutuksesta korvataan toiselle aiheutunut vahinko myös siinä tapauksessa, että vakuutuksenottaja saa vakuutuskauden aikana tietoonsa olosuhteen, joka myöhemmin johtaa kolmannen osapuolen esittämään korvausvaatimukseen ja tekee tästä olosuhteesta kirjallisen ilmoituksen Fenniaan vakuutuskauden aikana tai 30 päivän sisällä vakuutuksen päättymisestä. Vahingon katsotaan tällöin aiheutuneen sen vakuutuskauden aikana, jona olosuhdeilmoitus on tehty.
2.2 Voimassaoloalue
Vakuutuksen voimassaoloalue on vakuutuskirjaan merkitty alue. Vakuutuksesta korvataan vain voimassaoloalueella tapahtuneet vahingot.
Riippumatta siitä, mitä vakuutuksen voimassaoloalueeksi on vakuutuskirjaan merkitty tai edellä on mainittu,
- vakuutus ei ole voimassa eikä siitä makseta mitään korvauksia Suomen ulkopuolisissa maissa siltä osin, kuin kyseisen maan lainsäädäntö edellyttää paikallista vakuuttamista paikallisessa vakuutusyhtiössä
- vakuutus ei ole voimassa eikä siitä makseta mitään korvauksia, jos vakuutusturvan myöntäminen tai korvausten maksaminen olisi vastoin Yhdistyneiden kansakuntien päätöslauselman tai Euroopan unionin, Yhdistyneen kuningaskunnan tai Amerikan yhdysvaltojen lakien tai määräysten mukaisia kauppa- tai taloudellisia pakotteita, kieltoja tai rajoituksia.
2.3 Sarjavahinko
Saman teon, laiminlyönnin tai olosuhteen aiheuttamat vahingot katsotaan yhdeksi vakuutustapahtumaksi siitä riippumatta, onko korvausvaatimus niistä tehty tai vahinko todettu yhden tai useamman vakuutuskauden aikana. Jos tällaisista vahingoista esitetään korvausvaatimus eri vakuutuskausien aikana, katsotaan ne kohdistuneiksi siihen vakuutuskauteen, jonka aikana ensimmäisestä vahingosta on tehty kirjallinen korvausvaatimus.
3 Vakuutetulle itselleen aiheutunut vahinko
3.1 Tietoturvaloukkauksen hallinta
Vakuutuksesta korvataan seuraavat kohtuulliset ja tarpeelliset tietoturvapoikkeamasta vakuutuksenottajalle aiheutuvat ylimääräiset kulut:
- asiantuntijan tekemästä tietoturvapoikkeaman tutkimisesta ja vahingon välittömästä rajoittamisesta. Tällaista rajoittamista voi olla muun muassa haittaohjelman poistaminen tai käyttäjätilien sulkeminen.
- asiantuntijan vakuutuksenottajalle laatimasta kirjallisesta suosituksesta, jossa on otettu kantaa keinoihin, joilla pyritään estämään vastaavanlaisen tietoturvapoikkeaman tapahtuminen tulevaisuudessa.
- tietosuojalainsäädännön tai -määräyksien noudattamisesta tai määräysten mukaisten toimenpiteiden tekemisestä (kuten ilmoitukset viranomaisille tai yksittäisille henkilöille).
- henkilötietojen omistajien luottotietojen väärinkäytön estämisestä ja identiteettivarkauksien monitorointipalvelun ostamisesta ulkoiselta asiantuntijalta. Tämän turvan käytön edellytyksenä on, että kuluihin on saatu etukäteen Fennian kirjallinen hyväksyntä.
- vakuutuksesta korvataan kohtuulliset ja tarpeelliset kulut, jotka aiheutuvat Fennian etukäteen kirjallisesti hyväksymän asiantuntijan käytöstä tietoturvapoikkeamasta todennäköisesti aiheutuvien vahingollisten mainevaikutusten pienentämiseksi. Kustannuksia korvataan enintään kahden kuukauden ajalta tietoturvapoikkeaman havaitsemisesta.
- lakimiehen käytöstä silloin kun kyse on vastaamisesta viranomaisen vakuutuksenottajalle esittämään selvityspyyntöön tai puolustautumisesta viranomaisen vakuutuksenottajaa vastaan suuntaamaa toimenpidettä vastaan.
3.2 Tietojen ja ohjelmistojen palauttaminen
Vakuutuksesta korvataan kaikki kohtuulliset ja tarpeelliset kustannukset, jotka aiheutuvat tietojen ja ohjelmistojen sekä tietojärjestelmien puhdistamisesta ja palauttamisesta samaan tilaan kuin välittömästi ennen tietoturvapoikkeamaa ja jotka ovat välttämättömiä liiketoiminnan jatkuvuuden turvaamiseksi tai lainmukaisen kirjanpitovelvollisuuden täyttämiseksi. Vakuutuksesta ei kuitenkaan korvata korvaavan tietojärjestelmän kehittämisestä tai tietojen uudelleen luomisesta aiheutuvia kustannuksia, mikäli tietojärjestelmä tai tiedot eivät ole palautettavissa toimintakuntoisiksi tietoturvapoikkeaman seurauksena.
Vakuutuksesta korvataan vaihtoehtoisesti vakuutuksenottajan IT-laitteiden uusimisesta aiheutuvat tarpeelliset ja kohtuulliset kustannukset, mikäli asiantuntija on todennut, että korvaavien, entistä tasoa vastaavien IT-laitteiden hankinta on kustannuksiltaan edullisempaa, kuin olemassa olevien IT-laitteiden puhdistaminen ja palauttaminen toimivaan tilaan tietoturvapoikkeaman seurauksena. Tämä laajennus ei kuitenkaan koske IT-laitteita, jotka liittyvät operatiiviseen teknologiaan (OT) tai sulautettuihin järjestelmiin (embedded systems).
3.3 Liiketoiminnan keskeytyminen
Vakuutuksesta korvataan keskeytysvakuutuskatteen menetys, joka keskeytysaikana aiheutuu tietojärjestelmien käytön keskeytymisestä kokonaan tai osittain tietoturvapoikkeaman suoranaisena seurauksena.
Keskeytysvakuutuskate on liiketoiminnan tuotto, joka saadaan vähentämällä liikevaihdosta materiaali- ja palvelukulut. Keskeytysvakuutuskatteen vakuutusarvo on se keskeytysvakuutuskatteen määrä, jonka vakuutuksenottaja olisi saanut keskeytysaikana, jos vakuutettu liiketoiminta olisi jatkunut normaalisti, keskeytyksettä.
Keskeytysaika on vakuutuskirjaan merkittyä omavastuuaikaa seuraava ajanjakso siitä alkaen, kun vakuutuksenottajan tietojärjestelmät osittain tai kokonaan eivät ole käytettävissä siihen asti, kunnes vakuutuksenottajan tietokonejärjestelmät ovat jälleen täysin käytettävissä.
Vahingon määräksi lasketaan enintään niin suuri osa keskeytysvakuutuskatteen vakuutusarvosta, kuin tietoturvapoikkeaman aiheuttama liikevaihdon väheneminen keskeytysaikana on siitä liikevaihdosta, joka olisi keskeytysaikana toteutunut ilman tietoturvapoikkeaman tapahtumista. Korvausta suoritetaan enintään kolmen kuukauden mittaiselta ajanjaksolta, ellei vakuutuskirjaan ole toisin merkitty.
Kun arvioidaan liikevaihdon ja kateosuuden määrää, käytetään perusteena edellisten tilikausien toteutuneita arvoja ja otetaan huomioon todettavissa ollut liiketoiminnan kehitys.
Lisäksi vakuutuksesta korvataan ylimääräiset kulut Fennian kanssa kirjallisesti sovituista toimenpiteistä, joiden avulla pienennetään tietoturvapoikkeamasta aiheutuvaa keskeytysvakuutuskatteen menetystä tai estetään se kokonaan.
Ylimääräiset kulut ovat kuluja, joita ei olisi syntynyt, jos liiketoiminta olisi jatkunut normaalisti, ilman tietoturvapoikkeamasta aiheutuvaa keskeytymistä. Tällaisia kuluja voivat olla esimerkiksi tilapäisasennuksista, ylimääräisistä alihankinnoista tai ylitöistä aiheutuneet kulut.
3.4 Kyberkiristys
Vakuutuksesta korvataan kohtuulliset ja tarpeelliset kustannukset kyberkiristystapauksen selvittämiseksi. Lisäksi vakuutuksesta korvataan vakuutuksenottajan mahdollisesti maksamat lunnaat, jos kansallinen lainsäädäntö sallii lunnaiden maksamisen ja ulkopuolinen kiristysrikoksiin erikoistunut asiantuntija on lausunnossaan suosittanut lunnaiden maksamista. Korvaussuoritus lunnaista tehdään aina vakuutuksenottajalle.
Korvauksen edellytyksenä on, että vakuutuksenottaja ei ole paljastanut tämän kohdan mukaisen turvan olemassaoloa kolmansille osapuolille tai työntekijöille ja että vakuutuksenottaja on Fennian pyynnöstä ilmoittanut viranomaisille kyberkiristyksestä. Jos vakuutuksenottaja on rikkonut edellä olevaa ehtoa, Fennia voi irtisanoa tämän kohdan mukaisen vakuutuksen päättymään välittömästi siitä päivämäärästä, jolloin tieto on paljastunut.
3.5 Kyberrikosturva
Vakuutuksesta korvataan vakuutuksenottajalta laittomasti anastettu rahasumma, kun anastus on suoranainen seuraus kolmannen osapuolen tekemästä luvattomasta sähköisestä siirrosta vakuutuksenottajan pankkitililtä tai vakuutuksenottajan tietojärjestelmässä olevan tiedon muuttamisesta ja jota summaa vakuutuksenottaja tai vakuutettu ei pysty saamaan takaisin. Tämän turvan perusteella ei kuitenkaan korvata lahjakorttien, asiakashyvitysten tai bonuspisteiden eikä virtuaalivaluuttojen anastusta.
3.6 Maksukortteja koskevat tietoturvastandardit (PCI DSS)
Vakuutuksesta korvataan kohtuulliset ja tarpeelliset kulut, jotka aiheutuvat
- asiantuntijan käytöstä epäillyn PCI- DSS-loukkauksen tutkimiseen,
- PCI-DSS-uudelleensertifioinnista tai
- PCI-DSS-loukkauksesta johtuvasta luotto-, pankki- tai prepaid-korttien uusimisesta
silloin kun nämä kulut johtuvat suoraan tietoturvapoikkeamasta.
4 Toiselle aiheutuneet vahingot
4.1 Yksityisyyden suojan ja salassapitovelvollisuuden rikkoutuminen - korvausvastuu
Vakuutuksesta korvataan taloudellinen vahinko, josta vakuutuksenottaja tai vakuutettu on voimassa olevan oikeuden mukaan korvausvastuussa ja joka perustuu siihen, että kolmas osapuoli tai työntekijä esittää korvausvaatimuksen liittyen vakuutuksenottajan tai vakuutetun hallussa olevien luottamuksellisten tietojen ja/tai henkilötietojen vahingoittumiseen, menettämiseen, luvattomaan käyttöön tai paljastumiseen suoraan tietoturvapoikkeaman seurauksena.
Vakuutuksesta korvataan lisäksi henkilötietojen menettämiseen, vahingoittumiseen, luvattomaan käyttöön tai paljastumiseen liittyvä puhdas kärsimys, josta vakuutuksenottaja tai vakuutettu on voimassa olevan oikeuden mukaan korvausvastuussa tästä vakuutuksesta korvattavan tietoturvapoikkeaman seurauksena.
Tämän kohdan perusteella korvataan myös vakuutuksenottajan tai vakuutetun puolustuskulut puolustautumisesta tällaista vaatimusta vastaan.
4.2 Tietoturvallisuuden pettäminen - korvausvastuu
Vakuutuksesta korvataan taloudellinen vahinko, josta vakuutuksenottaja tai vakuutettu on voimassa olevan oikeuden mukaan korvausvastuussa ja joka perustuu siihen, että kolmas osapuoli esittää tämän tietojärjestelmissä olevien luottamuksellisten tietojen vahingoittumiseen, menettämiseen tai varkauteen tai tämän tietojärjestelmään kohdistuvaan palvelunestohyökkäykseen liittyvän korvausvaatimuksen, joka johtuu suoraan vakuutuksenottajan tietojärjestelmään kohdistuvasta vahingonteosta tai vakuutuksenottajan tietojärjestelmässä olevasta haittaohjelmasta, jota vakuutuksenottaja tai vakuutettu ei ole pystynyt estämään.
Tämän kohdan perusteella korvataan myös vakuutuksenottajan tai vakuutetun puolustuskulut puolustautumisesta tällaista vaatimusta vastaan.
4.3 Digitaalinen media - korvausvastuu
Vakuutuksesta korvataan taloudellinen vahinko, josta vakuutuksenottaja tai vakuutettu on voimassa olevan oikeuden mukaan korvausvastuussa ja joka perustuu siihen, että kolmas osapuoli esittää korvausvaatimuksen, joka liittyy
- kunnianloukkaukseen
- tekijänoikeuden, omistusoikeuden, mainoslauseen, tavaramerkin, toiminimen, ulkoasun, palvelumerkin, palvelunimen tai verkkotunnuksen loukkaukseen
- yksityisyyttä koskevien oikeuksien loukkaukseen tai niihin puuttumiseen
ja joka on seurausta vakuutuksenottajan toiminnasta digitaalisessa mediassa. Tämän turvan perusteella korvataan myös vakuutuksenottajantai vakuutetun puolustuskulut esitettyä korvausvaatimusta vastaan.
4.4 Työntekijän henkilökohtainen korvausvastuu
Kohtien 4.1–4.3. perusteella korvataan myös työntekijän henkilökohtainen vastuu siinä tapauksessa, että kolmannen osapuolen korvausvaatimus kohdistuu häneen työssä tapahtuneen teon perusteella. Vakuutuksesta ei kuitenkaan korvata työntekijän henkilökohtaista vastuuta siinä tapauksessa, että vahinkoon on syynä tahallinen tai törkeän huolimaton teko.
5 Korvausrajoitukset
Vakuutuksesta ei korvata:
5.1
vahinkoa, joka aiheutuu kolmannen osapuolen infrastruktuurin tai toimittaman palvelun toimintahäiriöstä tai keskeytyksestä (esim. televiestintä-, internet-, satelliitti- ja kaapelipalvelujen sekä sähkön, kaasun, veden ja muiden yleishyödyllisten palvelujen toimittajat);
5.2
vahinkoa, joka aiheutuu terroriteosta. Terroriteolla tarkoitetaan mitä tahansa tekoa, jolla on poliittinen, uskonnollinen, ideologinen tai muu vastaava motiivi, mukaan lukien pyrkimys vaikuttaa vallanpitäjiin ja/tai aiheuttaa pelkoa kansan tai kansanosan keskuudessa. Rajoitus ei kuitenkaan koske kyberterrorismia.
5.3
vahinkoa, joka aiheutuu lakosta, mellakasta tai muusta yhteiskuntajärjestystä horjuttavasta tapahtumasta.
5.4
vahinkoa, joka aiheutuu sodasta tai kybersodankäynnistä.
5.5
vahinkoa, joka aiheutuu vaarallisten aineiden, minkä tahansa epäpuhtauksien tai saastuttavien aineiden päästöstä, leviämisestä, suodattumisesta, kulkeutumisesta, vapautumisesta, vuotamisesta tai muusta vastaavasta tapahtumasta.
5.6
vahinkoa, joka aiheutuu vakuutuksenottajan tietojärjestelmän, tietokoneiden, ohjelmistojen tai tietojen takavarikoinnista, menetetyksi julistamisesta (konfiskaatiosta), pakkolunastuksesta, tuhoutumisesta tai vahingoittumisesta, joka johtuu valtiollisen, siviili- tai sotilasviranomaisen määräyksestä
5.7
vahinkoa, joka aiheutuu laittoman tai ilman asianmukaista lisenssiä käytettävän ohjelmiston käytöstä.
5.8
vahinkoa, joka aiheutuu vakuutuksenottajan tietojärjestelmien mitoitusvirheestä tai puutteellisesta käsittelytehosta, jonka vuoksi järjestelmä ei sovellu aiottuun tarkoitukseensa.
5.9
vahinkoa, joka aiheutuu vakuutuksenottajan, vakuutetun tai sen johtavassa asemassa olevien henkilöiden tai ulkoisen palvelun toimittajanilkivaltaisesta, törkeän huolimattomasta tai tahallisesta käytöksestä, väärinkäytöksestä tai petoksesta.
Edellä mainittua korvausrajoitusta ulkoisen palvelun toimittajan tahallaan tai törkeällä huolimattomuudella aiheuttamista vahingoista sovelletaan vain vakuutuksiin, jotka ovat alkaneet Fenniassa 31.12.2023 jälkeen.
5.10
omaisuusvahinkoa tai vahinkoa, joka syntyy omaisuusvahingon seurauksena. Omaisuusvahingolla tarkoitetaan aineellisen omaisuuden fyysistä vahingoittumista, menetystä tai tuhoutumista, mukaan lukien aineellisen omaisuuden käytön estyminen.
5.11
vahinkoa, joka aiheutuu siitä, että vakuutuksenottaja tai vakuutettu on laiminlyönyt määräyksen tai ohjeen ryhtyä kohtuullisiin toimenpiteisiin vahingon rajoittamiseksi tai ei ole tehnyt kohtuullisesti yhteistyötä viranomaisen kanssa vakuutustapahtumaa koskevan tutkinnan tai tapahtumaan liittyvien keskustelujen aikana.
5.12
sakkoa, tietoturvasakkoa, rangaistusluonteista korvausta tai mitä muuta rangaistusta tahansa, eikä vahinkoa, joka aiheutuu viranomaismääräysten rikkomisesta, kuten esimerkiksi tietosuojalakien mukaisten ilmoitusten laiminlyönti.
5.13
rahoitusmarkkina- tai kaupankäyntitappiota tai kuluja, jotka syntyvät siitä, että arvopapereita ei pystytä myymään tai siirtämään.
5.14
vahinkoa, joka aiheutuu tietojärjestelmien tai niiden osien suunnitellusta seisokista, suunnitellusta käyttökeskeytyksestä tai joutoajasta.
5.15
vahinkoa, joka aiheutuu vakuutuksenottajan tai ulkoistetun palvelun toimittajan vuokra-ajan, sopimuksen, lisenssin tai tilausten keskeytyksestä, irtisanomisesta tai umpeutumisesta.
5.16
henkilövahinkoa. Henkilövahingolla tarkoitetaan sairautta, vammaa, kuolemaa sekä näihin liittyvää haittaa, psyykkistä ahdistusta, traumaa tai harmia. Henkilövahingoksi luetaan myös olemassa olevan sairauden tai vamman pahentuminen, sekä henkilövahinkoon liittyvä seurannaisvahinko kuten ansiotulojen menetys.
Vakuutuksesta korvataan kuitenkin ehtokohdan 4.1 perusteella henkilövahinkoon liittymätön puhdas kärsimys, josta vakuutuksenottaja tai vakuutettu on voimassa olevan oikeuden mukaan korvausvastuussa.
5.17
vahinkoa, joka aiheutuu immateriaalioikeuksien, kuten patenttien, tavaramerkkien tai tekijänoikeuksien, varkaudesta, loukkauksesta tai paljastumisesta. Tämä rajoitus ei koske vakuutusturvan kohtia 4.1 Yksityisyyden suojan ja salassapitovelvollisuuden rikkoutuminen korvausvastuu ja 4.3 Digitaalinen media -korvausvastuu, paitsi patenttien osalta, joihin liittyviä vaatimuksia ei koskaan korvata.
5.18
vahinkoa, joka perustuu korvausvaatimukseen, jonka on tehnyt:
- vakuutuksenottajan määräysvaltaan kuuluva oikeushenkilö
- vakuutuksenottajan tytäryhtiö
- oikeushenkilö, joka kuuluu vakuutuksenottajan tai sen tytäryhtiön todelliseen määräysvaltaan omistus- tai äänivallan perusteella tai muutoin
- henkilö, jolla on enemmistöomistus vakuutuksenottajasta
- yhteisö, jossa vakuutuksenottajalla on osakkuus, osakkuuden määrästä riippumatta
- yhteisö, yhteenliittymä tai yhteisyritys, jossa vakuutuksenottaja on osallisena
- yhtiö tai yhteisö, jolla on määräysvalta vakuutuksenottajaan.
5.19
vahinkoa, jota koskeva korvausvastuu perustuu yksinomaan sopimukseen, sitoumukseen, lupaukseen tai takuuseen ellei tällaista korvausvastuuta olisi ilman mainittua sitoumusta.
5.20
vahinkoa, joka aiheutuu virheellisestä, puutteellisesta tai epätäydellisestä kuvauksesta, joka koskee tavaroita, tuotteita tai palveluja tai niiden hintaa.
5.21
alennuksia, palveluhyvityksiä, lisäetuja, hinnanalennuksia, kuponkeja, palkintoja, etuuksia taikka muita sopimukseen perustuvia tai perustumattomia kannustimia, myynninedistämisvälineitä tai houkuttimia.
5.22
vahinkoa, joka aiheutuu verkkosivustolla tai verkkosivuilla olevan tiedon poistamatta jättämisestä vakuutuksenottajan saatua valituksen tai pyynnön kolmannelta osapuolelta.
5.23
vahinkoa, joka aiheutuu tietoturvapoikkeamasta tai olosuhteista, jotka ovat olleet tai joiden olisi pitänyt olla vakuutuksenottajan tiedossa ennen vakuutuksen alkamispäivää.
5.24
vahinkoa, joka aiheutuu sellaisesta toiminnasta tai riskin olennaisesta muutoksesta, jota ei ole ilmoitettu Fennialle ja jota Fennia ei ole hyväksynyt.
5.25
kustannuksia, jotka aiheutuvat tietoturvapuutteiden korjaamisesta tai suojaustason tai tietojen laadun parantamisesta siitä, mitä se oli ennen tietoturvapoikkeamaa.
5.26
keskeytysvahinkoa, kun vakuutuksenottaja ei ole pitänyt vakuutetusta liiketoiminnasta kirjanpitolain edellyttämää kirjanpitoa.
5.27
vahinkoa, joka johtuu vakuutuksenottajan tai vakuutetun yhtiön johtavassa asemassa olevan henkilön antamasta yhtiöön liittyvästä lausunnosta, informaatiosta, yhtiön edustajana toimimisesta tai muusta yhtiöön liittyvästä toimenpiteestä.
5..28
vahinkoa tai vaatimusta, joka miltään osin perustuu virtuaalivaluuttojen menettämiseen tai vahingoittumiseen.
6 Vakuutustapahtuman havaitseminen ja ilmoittaminen
Vakuutuksenottajan on
- viipymättä ilmoitettava Fennialle korvausvaatimuksesta tai olosuhteista, jotka voivat johtaa korvausvaatimukseen
- viipymättä ilmoitettava Fennian ilmoittamalle ensivastepalvelun toimittajalle ja Fennialle todetusta tai epäillystä tietoturvapoikkeamasta, kyberkiristyksestä ja/tai kyberrikoksesta, joka todennäköisesti johtaa korvaukseen tämän vakuutussopimuksen perusteella
- sallittava Fennian ilmoittaman ensivastepalvelun toimittajan tai muun asiantuntijan pääsy vakuutuksenottajan tietojärjestelmiin ja tietoverkkoon vahingon rajoittamistoimia ja tutkintaa varten.
Fennian osoittamilla ensivastepalvelun ja/tai tietoturvapalvelun toimittajilla on oikeus luovuttaa palvelun tuottamisen yhteydessä keräämiänsä vahingon selvittämiseksi ja korvaamiseksi tarvittavia tietoja Fennialle. Palvelun toimittajien tuottamiin palveluihin sovelletaan kulloinkin voimassa olevia kyseisen palvelun toimittajan omia sopimusehtoja.
7 Vahingon määrä
Vahingon määrä lasketaan kohtien 3.1–4.4 mukaisesti. Kustannukset lasketaan vahingon määrään enintään sen suuruisina kuin ne olisivat toteutuneet käyttämällä Fennian osoittamia palveluntoimittajia.
8 Korvauksen määrä
Korvauksen määrä saadaan vähentämällä kohdan 7 mukaisesta vahingon määrästä omavastuu ja ottamalla huomioon kohdan 9 säännökset, mahdollinen alivakuutus sekä suojeluohjeiden mahdollisen laiminlyönnin ja yleisten sopimusehtojen perusteella tehtävät korvauksen vähennykset mainitussa järjestyksessä.
Fennian korvausvelvollisuuden ylimpänä rajana on vakuutuskirjaan merkitty vakuutusmäärä.
8.1 Omavastuu
Jokaisesta vahinkotapahtumasta vähennetään vakuutuskirjaan merkitty omavastuuosuus.
Jos korvausta maksetaan useamman kuin yhden turvan perusteella, vähennetään korvauksesta suurin omavastuu. Keskeytysturvan omavastuuaikaa sovelletaan muun omavastuun lisäksi aina kun korvausta maksetaan keskeytysturvan perusteella.
9 Muita säännöksiä
9.1 Vahingon selvittämiseksi tarvittavat tiedot ja toimet
Vakuutuksenottajan on omalla kustannuksellaan
- toimitettava Fennian pyytämät vahingon selvittämiseksi tarvittavat asiakirjat ja muut tiedot,
- ryhdyttävä kaikkiin tarvittaviin ja kohtuullisiin toimenpiteisiin vakuutustapahtuman rajoittamiseksi,
- annettava tehdä kaikki kohtuudella mahdolliset toimenpiteet vakuutustapahtuman syyn ja laajuuden selvittämiseksi,
- säilytettävä kaikki IT-laitteet, ohjelmistot ja tiedot ja annettava ne Fennian ja/tai Fennian ilmoittaman ensivastepalvelun toimittajan käyttöön ja
- noudatettava kaikkia Fennian ja/tai Fennian ilmoittaman ensivastepalvelun toimittajan antamia ohjeita.
Vakuutuksenottajan on Fennian pyynnöstä
- luovuttava asianajosalaisuudesta
- puolustettava laillisia oikeuksia, joita vakuutuksenottajalla tai Fennialla voi olla sellaisen osapuolen suhteen, joka voi olla tietoturvapoikkeaman vuoksi korvausvelvollinen vakuutuksenottajaa kohtaan
- laadittava tai toimitettava kaikki asiakirjat, joita Fennia pitää tarpeellisina tämän vakuutussopimuksen mukaisten oikeuksien turvaamiseksi ja vahinkotapahtuman selvittämiseksi
- oltava läsnä kuulusteluissa ja oikeudenkäynneissä avustettava sovintoratkaisujen täytäntöönpanossa, todisteiden turvaamisessa ja antamisessa, todistajien läsnäolon varmistamisessa taikka oikeudenkäynnissä puolustautumisessa tai syyttämisessä.
9.2 Vakuutuksenottajalle esitetyt korvausvaatimukset
Vakuutuksenottaja ei saa ilman Fennian etukäteen antamaa suostumusta myöntää vastuuta, suorittaa maksua, tehdä sopimusta tai hyväksyä vakuutuksenottajalle esitettyjä korvausvaatimuksia. Vakuutuksenottajan on autettava Fenniaa korvausvaatimuksen tutkinnassa, puolustuksessa ja/tai sopimisessa, käytettävä Fennian nimeämää asianajajaa ja maksettava omavastuu mille tahansa Fennian osoittamalle kolmannelle osapuolelle sovintoratkaisun noudattamiseksi.
Vakuutuksenottajan on myös annettava Fennialle oikeudet ja valtuudet hoitaa sovintoneuvottelut kolmannen osapuolen kanssa tai oikeudenkäynti tätä vastaan. Fennialla on oikeus päättää toimenpiteistä ja asiamiehen valinnasta oikeudenkäyntiin liittyen. Jos vakuutuksenottaja ei ilmoita oikeudenkäynnistä etukäteen Fennialle, ei Fennialla ole velvollisuutta korvata oikeudenkäynnistä aiheutuneita kustannuksia.
Jos Fennia on ilmoittanut vakuutuksenottajalle olevansa valmis tekemään sopimuksen vahingonkärsineen kanssa tämän vahinkojen korvaamisesta, eikä vakuutuksenottaja tähän suostu, ei Fennia ole velvollinen korvaamaan sen jälkeen aiheutuneita kuluja eikä suorittamaan enempiä selvittelyjä asiassa.
9.3 Palveluiden ja tuotteiden tilaaja
Vakuutuksenottajan pitää olla kaikkien vahinkoon liittyvien palveluiden ja tuotteiden tilaaja ja merkitty laskun maksajaksi.
10 Yleiset sopimusehdot
Yritysturvan yleisten sopimusehtojen lisäksi noudatetaan seuraavia ehtoja
10.1
Vakuutettu toiminta. Vakuutuksesta korvataan vakuutuskauden alkaessa määritellyssä toiminnassa aiheutuneita vahinkoja. Jos vakuutetun toiminta muuttuu vakuutuskauden aikana siitä, mitä vakuutuskauden alkaessa on määritelty, vakuutuksenottajan on informoitava Fenniaa muutoksesta mahdollisimman pian. Uudet toiminnot voidaan sisällyttää vakuutusturvaan, jos vakuutuksenottaja ilmoittaa asiasta Fennialle kirjallisesti ja Fennia hyväksyy lisäyksen.
10.2
Fuusio ja yritysosto. Vakuutuksenottajan on ilmoitettava Fennialle kirjallisesti 30 päivän kuluessa fuusiosta tai yritysostosta siitä, että vakuutuksenottaja on fuusioitunut toisen oikeushenkilön kanssa tai hankkinut enemmistöomistuksen toisesta oikeushenkilöstä vakuutuskauden aikana. Vakuutuksenottajan on maksettava Fennialle lisävastuuseen perustuva lisävakuutusmaksu fuusion tai yritysoston päivämäärästä alkaen vakuutuskauden loppuun asti.
10.3
Muut vakuutukset. Jos vakuutustapahtuman varalta on muu vakuutus, tämä vakuutussopimus katsotaan toissijaiseksi vakuutukseksi eikä tämän vakuutussopimuksen perusteella korvata vahinkoa tai kustannuksia, joista on tai olisi mahdollista saada korvausta muun vakuutuksen perusteella tai jotka sisältyvät muun vakuutuksen omavastuuseen.
10.4
Jos vakuutuksenottaja on ilmoittanut vakuutustapahtumasta, vakuutusmaksua ei palauteta miltään osin.
10.5
Luottamuksellisuus. Vakuutuksenottaja ei saa paljastaa tämän vakuutussopimuksen olemassaoloa, paitsi jos lainsäädäntö edellyttää paljastamista tai siihen on Fennian antama kirjallinen lupa.
10.6
Vakuutuksenottaja ei saa siirtää tähän vakuutussopimukseen liittyviä laillisia oikeuksia tai etuja ilman Fennian antamaa kirjallista lupaa.
10.7
Muutokset. Vakuutuksenottajan on ilmoitettava toivomistaan vakuutussopimukseen tehtävistä muutoksista kirjallisesti tai sähköisesti.
10.8
Lait ja määräykset. Jos jokin tämän vakuutussopimuksen vakuutusehdoista on kansallisen lainsäädännön, voimassa olevan oikeuden tai muiden määräysten vastainen, noudatetaan kansallista lainsäädäntöä.
10.9
Tämän vakuutussopimuksen mahdollisesti soveltamiskelvoton ehto ei vaikuta muihin vakuutusehtoihin ja, mikäli käytännöllistä, se korvataan soveltamiskelpoisella ehdolla, jolla on sama tai samankaltainen tarkoitus kuin kyseisellä soveltamiskelvottomalla ehdolla.
10.10
Kolmannen osapuolen oikeudet. Kolmannella osapuolella, joka ei ole tämän vakuutussopimuksen osapuoli, ei ole oikeutta panna täytäntöön mitään tämän vakuutussopimuksen osaa. Tämä ei kuitenkaan vaikuta kolmannella osapuolella muuten oleviin oikeuksiin tai oikeussuojakeinoihin.
11 Suojeluohjeet
11.1 Suojeluohjeen velvoittavuus
Vakuutuksenottajan ja vakuutetun on noudatettava tätä suojeluohjetta sekä vakuutuskirjaan merkittyjä muita suojeluohjeita ja valvottava, että suojeluohjeita noudatetaan kaikessa toiminnassa, joka vaikuttaa vakuutettuun omaisuuteen tai toimintaan. Kaikkea, mikä tässä suojeluohjeessa on asetettu vakuutuksenottajan velvollisuudeksi, sovelletaan myös kaikkiin vakuutettuihin. Vakuutettu on se, jonka hyväksi vahinkovakuutus on voimassa.
Vakuutuksenottajan on saatettava suojeluohjeet kaikkien toiminnasta vastuussa olevien henkilöiden tietoon. Jos vakuutettua omaisuutta on annettu vuokralle tai toimintaa on ulkoistettu, suojeluohjeet on saatettava vuokralleottajien ja palveluntoimittajien tietoon ja kirjallisesti edellytettävä, että nämä noudattavat suojeluohjeita. Suojeluohjeet on saatettava myös kaikkien vakuutettujen tietoon.
Tämän lisäksi on noudatettava muita Fennian antamia velvoittavia ohjeita vahinkojen torjumiseksi ja toteutettava Fennian erikseen edellyttämät, turvallisuutta parantavat toimet ja järjestelmät. Jos suojeluohjeita ei noudateta ja noudattamatta jättäminen vaikuttaa vahingon syntyyn tai sen laajuuteen, korvausta voidaan vähentää tai se voidaan evätä.
11.2 Varmuuskopiointi ja tietojärjestelmien suojaus
Vakuutuksenottajan on määritettävä tiedostojen ja ohjelmistojen varmuuskopiointi. Liiketoiminnan jatkuvuuden kannalta merkityksellisten tietojen, tiedostojen ja ohjelmistojen varmuuskopiointi on tehtävä kuitenkin vähintään seuraavasti:
- Tiedostojen muuttuneet tiedot on varmuuskopioitava päivittäin.
- Kaikki tiedot varmistava täysvarmistus on tehtävä vähintään viikon välein.
- Varmuuskopioitavissa olevat ohjelmistot on varmuuskopioitava ennen tietojärjestelmään asentamista ja aina muutosten yhteydessä.
- Varmuuskopiot, alkuperäistuotteet ja asentamiseen oikeuttavat tunnukset on säilytettävä siten, etteivät ne voi tuhoutua samassa vahingossa tietojärjestelmään asennettujen tiedostojen ja ohjelmiston kanssa.
- Varmuuskopioinnin onnistuminen ja varmistusten palauttaminen laitteistojen ja ohjelmistojen kanssa toimivaksi kokonaisuudeksi on testattava säännöllisesti, kuitenkin vähintään kahdesti vuodessa.
Turvalliseksi säilytystavaksi katsotaan säilyttäminen eri palo-osastossa vähintään S 120 DIS luokan dataturvakaapissa tai kokonaan eri rakennuksessa tai pilvipalvelussa. Alkuperäistuotteiden ja asentamiseen oikeuttavien tunnusten lisäksi varmuusarkistossa pitää olla vähintään kaksi viimeistä tiedostojen täysvarmistusta ja ohjelmistojen muutosvarmistusta.
Tietojärjestelmä on kokonaisuudessaan pidettävä niin ajantasaisena, eheänä, yhteensopivana ja varmistettuna, että ohjelmisto- ja tiedostovarmistukset voidaan esinevahingon jälkeen palauttaa korjattuihin tai jälleen hankittuihin laitteistoihin ja että koko tietojärjestelmä voidaan palauttaa vahinkohetkeä edeltävään tasoon kohtuullisella työmäärällä.
Saatavilla olevat ohjelmistopäivitykset on asennettava dokumentoidusti ilman aiheetonta viivästystä, kuitenkin viimeistään seuraavien aikamääreiden kuluessa ohjelmistopäivityksen julkaisemisesta laskettuna:
- Internetiin yhteydessä olevat tietojärjestelmät: 30 päivää
- Sulautetut järjestelmät (embedded systems) ja operatiivinen teknologia (OT): 90 päivää tai ohjelmisto-/laitetoimittajan suositusten mukaisessa aikamääreessä
- muut tietojärjestelmät: 60 päivää
Vakuutuksenottajan tietojärjestelmissä on oltava riittävä, ammattilaistasoinen haittaohjelmien torjunta- ja poisto-ohjelmisto, jonka on oltava pysyvästi aktivoituna ja automaattisesti päivittyvä. Tietojärjestelmät on suojattava vahvalla salasanalla. Vakuutuksenottajan tietojärjestelmän ja tietoverkon on oltava suojattu tietoturvapoikkeamilta, esimerkiksi päivittämällä salasanat, järjestelmäkokoonpanot ja palomuurit.
Jos tietojenkäsittelyyn liittyviä palveluita on ulkoistettu, vakuutuksenottajan on kirjallisesti edellytettävä ja mahdollisuuksiensa mukaan käytännössä varmistettava, että kaikki palvelun toimittajat noudattavat vähintään edellä mainittuja vaatimuksia.
Fennian yhteystietoja
Vakuutuksenantaja: Keskinäinen Vakuutusyhtiö Fennia
Y-tunnus: 0196826-7
Kotipaikka: Helsinki
Postiosoite: 00017 FENNIA
Yrityspalvelukeskus:
Puhelinpalvelumme 010 503 8818
www.fennia.fi
Sähköposti etunimi.sukunimi@fennia.fi