Den nya dataskyddslagen som är på väg från EU tvingar företagen att rigga sina it-system, sin organisation och sina processer så att de klarar kraven för personuppgiftsbehandling. En effekt av det är ett ökat intresse för att försäkra sig till ett bättre skydd.

– Företagen vill visa de reglerande myndigheterna att de vidtar rätt åtgärder och att man kan agera vid ett intrång. Att de agerar professionellt, säger Mattias Fritz, Nordenansvarig för affärsområdet finans på försäkringsbolaget AIG.

Konstruktionen av den här typen av försäkringar ser annorlunda ut än traditionella försäkringar. I stället för att fokusera enbart på ersättning för skador efter att något inträffat så erbjuds tjänster för att begränsa en eventuell skada.

Mattias Fritz
Mattias Fritz, AIG.

– Om det sker något så har vi advokater, it-experter och pr-byråer som rycker in för att åtgärda skadan och hjälpa till med kommunikationen. Se till att en krisplan kommer på plats.

I försäkringen ingår också tjänster för att minska riskerna.

– Där samarbetar vi med it-säkerhetsexperter som gör penetrationstester, kollar igenom darknet för att se vilken information som flyter runt där och analyserar risker, säger Mattias Fritz.

Läs också: EU:s nya datalagar är klara – miljardböter för it-företag som missköter sig

I samband med den nya datalagen har mycket uppmärksamhet riktats mot de stora viten som kan dömas ut mot företag som inte följer lagen – upp till fyra procent av ett företags globala omsättning. Men Mattias Fritz tror inte det är den kostnaden man ska stirra sig blind på.

– Min erfarenhet från USA, där det finns möjlighet att döma ut liknande viten, är att det snarare är andra kostnader som man ska oroa sig för. Kostnader för att ta kontakt med alla som drabbats om personuppgifter läckt, eventuell grupptalan för skadestånd och framför allt – kostnaderna för skadan på varumärket, säger han.

Som exempel på hur det kan slå nämner han hur tre miljoner patientjournaler på Karolinska sjukhuset för tre år sedan låg öppet tillgängliga efter att en brandvägg felmonterats.

– Nu kostade det dem ett antal utredningar men inte så mycket mer. Men med den nya dataskyddslagen skulle de vara skyldiga att informera alla drabbade – det är tre miljoner gånger porto. Sedan skulle de drabbade kunna göra en grupptalan om skadestånd också. Och den kanske största kostnaden skulle vara skadan på varumärket.

Läs också: Så anpassar du ditt företag till EU:s nya dataskyddsregler

När försäkringsbolaget AIG introducerade en cyberförsäkring i Sverige för fem år sedan var intresset stort – men däremot tog inte särskilt många steget att verkligen teckna en sådan försäkring. Då låg det största fokuset på avbrottsriskerna.

– Där blir konsekvenserna stora för dagens företag som är så beroende av information, säger Mattias Fritz.

– Dagens försäkringar täcker inte den typen av bortfall så intresset var stort när vi kom in på marknaden, men det har ändå gått ganska trögt – det har inte varit någon ketchupeffekt.

Sedan dess har det accelererat kraftigt det senaste dryga året.

– Förra året ökade området med 50 procent på AIG, om än från låga nivåer och i år räknar vi med minst lika mycket. Det här är överlägset det område som får mest intresse. Vi har träffat hundratals företag.

Läs också: Dataskyddslagen hotar att skapa kaos för svenska företag

Mattias Fritz ser det också som en naturlig utveckling – it-hot har legat på topp tre i alla riskanalyser sedan flera år.

Det absolut största intresset i branschen handlar om ansvarsförsäkringar och egendomsförsäkringar och där har man börjat förstå att it är en del av ekvationen.

– Medvetenheten om risken har klättrat. Ett stopp i produktionen skulle kunna bero på ett virus i ett fläktsystem. Avbrott som orsakas av virus ersätts inte av nuvarande försäkringar. Dessutom skulle det kunna leda till brand och då blir egendomsrisken till viss del också en it-risk. Och då skulle personskador eller skador på föremål troligen heller inte omfattas.

Fakta

Här är de kostnader kring cyberattacker som AIG råder företagen att titta på:

  • Pr- och varumärkesarbete – vad skall vi ha för strategi gentemot media, vad informerar vi våra kunder om, hur säkerställer vi att vi är transparenta?
  • Utredning och förebyggande åtgärder av it-experter
  • Juridisk rådgivning
  • Notifieringskostnader till kunder – behöver detta ges per vanlig post? 
  • Telefonkedja – vilka behöver man ringa till, hur hanteras inkommande samtal, ska vi sätta upp ett kriscenter?
  • Eventuella skadeståndsanspråk mot bolaget.
  • Viten – ej försäkringsbara. Påverkas av hur man hanterar intrånget.
  • PCI-utvärdering – ”Payment card industry data security standard”. För att man ska få hantera kreditkortsuppgifter.
  • I slutet av förra året kom EU-kommissionen, Europaparlamentet och EU:s ministerråd överens om förslaget till ny EU-förordning om dataskydd. Formellt väntas den antas i april eller maj i år. Efter det dröjer det två år innan den ersätter den nuvarande svenska personuppgiftslagen, pul. 
  • Lagen innebär bland annat höjda krav på företag, myndigheter och organisationer som samlar in personuppgifter. Bland annat handlar det om att deras it-system ska utformas med integriteten som utgångspunkt, så kallad privacy by design. Det innebär att exempelvis crm-system konfigureras så att exempelvis personuppgifter som lagras gallras ut efter den tid som lagen föreskriver.
  • Skulle ett företag bli utsatt för dataintrång eller på något annat sätt tappa kontroll över personuppgifter så måste det informera både de drabbade personerna och Datainspektionen om incidenten är allvarlig. Det är den till exempel om uppgifterna som läckt ut kan leda till att personer utsätts för diskriminering, id-stölder, bedrägeri eller finansiella förluster.
  • Riskfyllda typer av personuppgiftsbehandling som exempelvis storskaliga register med genetiska eller biometriska uppgifter eller uppgifter om barn måste föregås av en noggrann konsekvensanalys. Om risken är hög måste företaget kontakta Datainspektionen som kontrollerar om det hela är lagligt. 
  • Det som framför allt hamnat i fokus är de höga vitesbelopp som dataskyddsmyndigheterna får döma ut om någon bryter mot lagen – det kan handla om upp till fyra procent av ett företags globala omsättning.