De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/I.2.3.3:I.2.3.3 Inhoud: afbakening begrippen

De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/I.2.3.3

I.2.3.3 Inhoud: afbakening begrippen

Documentgegevens:

mr. N.M. Brouwer, datum 01-06-2021

Datum: 01-06-2021
Auteur: mr. N.M. Brouwer
JCDI: JCDI:ADS278925:1
Vakgebied(en): Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering

Cyber en cyberrisico

Het begrip ‘cyber’ kent geen eenduidige definitie in de literatuur en kan vanuit verschillende perspectieven worden benaderd. Een kernvraag in de context van verzekeringen is of ‘cyber’ slechts een voorvoegsel is waarmee een bepaalde technologie wordt aangeduid, of dat ‘cyber’ echt een nieuwe, separate risicocategorie inhoudt.1 Gelet op de wijze waarop ‘cyber’ in uiteenlopende (vak)literatuur wordt behandeld, lijkt dat laatste geregeld als uitgangspunt te worden gehanteerd. Dit volgt bijvoorbeeld ook uit het feit dat cyberverzekeringen als stand-alone verzekeringsproducten worden aangeboden, als separaat product naast traditionele verzekeringen.2

Deze benadering, die Van Eeten aanduidt als ‘cyber-exceptionalisme’, is niet zonder kritiek gebleven. Van Eeten schrijft dat

“[d]it soort cyber-exceptionalisme […] de optische illusie [schept] dat er een leemte is, dat we onvoldoende responsecapaciteit zouden hebben en dat we speciaal voor cyber iets moeten inrichten.” Daarnaast stelt hij dat “[d]e termen cyber en digitalisering […] over een paar jaar potsierlijk [zullen] klinken. We spreken ook niet meer over de elektrificering van de samenleving. […] Zolang we doen alsof cyber een eigen domein is, met een eigen logica, lokt het contraproductieve interventies uit.”3

Uiteindelijk zullen de begrippen cyber en digitalisering verdwijnen, zo voorspelt Van Eeten.4

Van Eeten onderschrijft de verwevenheid van digitalisering met de bestaande maatschappij en de risico’s die zich daarin voordoen. Zijn betoog illustreert daarmee de complexe duiding van het begrip ‘cyber’. Mogelijk komt zijn voorspelling uit dat de term ‘cyber’ over een aantal jaar niet meer als zodanig wordt gebruikt. Niettemin meen ik dat de term ‘cyber’ zich in het kader van risicocalculatie en -classificatie vooralsnog wel van traditionele risico’s onderscheidt, gelet op de snelheid waarin de technologische ontwikkelingen zich voordoen en het gebrek aan breed gedragen kennis van effectieve beveiligingsmaatregelen. De specifieke discussie over de duiding van het begrip ‘cyber’ zal ik in dit onderzoek echter niet beslechten. Wel is deze relevant om in het achterhoofd te houden, bijvoorbeeld bij de vraag wat de toekomst is van cyberverzekeringen (zie vooral de conclusie van dit boek).

Hoewel een eenduidige definitie van ‘cyber’ dus ontbreekt, bestaat er consensus over twee kernelementen van dit begrip: (1) de betrokkenheid van IT en networked computers en (2) virtualiteit.5 Hiermee onderscheiden cyberrisico’s zich van traditionele risico’s – de bovenstaande discussie over exceptionalisme daargelaten. Op de eerste plaats illustreert het virtuele karakter van cyber de onstoffelijke, ontastbare aard van cyberrisico’s. Daarnaast brengt de betrokkenheid van IT en networked computers met zich dat cyber een grote mate van onderlinge samenhang en onderlinge afhankelijkheid kent en in hoge mate is onderworpen aan veranderlijkheid. Deze onderlinge afhankelijkheid maakt tevens dat cyberrisico’s deels systemisch van aard zijn.6

Waarin of hoe voornoemde elementen vervolgens zijn terug te zien in de definitie van ‘cyber’ en ‘cyberrisico’s’, is evenwel op verschillende manieren te benaderen. Zo kan de nadruk worden gelegd op de oorzaak van het risico (criminaliteit, fouten), maar ook op het gebruikte middel (malware, spam, Ddos), de bron (overheden, criminelen, terroristen) of juist het doel (gegevens of operationele processen).7 In de literatuur over cyberrisico’s komen dan ook uiteenlopende definities voor, die variëren van breed naar smal. Zo concentreert de ene auteur sterk op het criminaliteitsaspect van cyber en beperkt ‘cyberrisico’s’ daardoor tot enkel het gevolg van malafide handelingen.8 Een andere benadering is de focus op (louter) de informatietechnologie en dus op de gevolgen voor de vertrouwelijkheid, beschikbaarheid en integriteit van gegevens.9 Beide benaderingen acht ik voor dit onderzoek te beperkt. Deze laatste invalshoek sluit bijvoorbeeld immers een voor cyberverzekeringen belangrijk element uit, namelijk schade aan onderliggende processen, kritieke infrastructuur en productie- of leveringsketens met bedrijfsstagnatie als gevolg. Lloyd’s heeft dit aspect aangeduid als ‘operationele technologie’ (OT) tegenover informatietechnologie (IT).10

In Nederland heeft het Verbond van Verzekeraars in 2013 het begrip cyberrisico gedefinieerd als “het financiële nadeel dat een verzekerde oploopt door of via computer en/of IT systemen, zonder dat sprake is van materiële schade”.11 In deze definitie zijn de kernbegrippen van ‘cyber’ terug te zien, maar wordt het risico beperkt tot financieel nadeel en wordt materiële schade buiten de reikwijdte van de definitie gehouden.

Omdat in de bredere context van verzekeringen zowel de financiële schade als de mogelijke materiële schade die – al dan niet direct – door cyberrisico’s kan worden veroorzaakt relevant is, hanteer ik in dit onderzoek een brede definitie voor het begrip cyberrisico, namelijk: de risico’s die voortvloeien uit het gebruik van IT en computernetwerken.

Cyberverzekering

Een heldere afbakening van het object van dit onderzoek, de cyberverzekering, is niet onbelangrijk. Cyberverzekeringen zijn er in verschillende soorten en maten. Zo bestaan er niet alleen zelfstandige verzekeringsproducten die dekking bieden voor cyberrisico’s (stand-alone polissen), maar komt cyberdekking tevens voor als een ‘add on’ of ‘endorsement’ op traditionele polissen.12

Dit onderzoek richt zich primair op de stand-alone cyberverzekering. Slechts bij uitzondering zal ik refereren aan cyberdekking als uitbreiding op traditionele polissen, bijvoorbeeld indien bepaalde ontwikkelingen daartoe aanleiding geven.13

Cybersecurity en cyberweerbaarheid

Het begrip cybersecurity is een veelgehoorde term en wordt niet altijd met dezelfde betekenis gebruikt.14 Voor dit onderzoek sluit ik aan bij het onderscheid dat het Rathenau Instituut in een van zijn rapporten heeft gemaakt tussen cybersecurity en cyberweerbaarheid.15 De door mij gehanteerde definitie is evenwel een combinatie van de definitie in het Cybersecurity Woordenboek en de door het Rathenau Instituut gebruikte begripsomschrijving.16 Onder cybersecurity versta ik: “Alle beveiligingsmaatregelen die men neemt om schade te voorkomen door een storing, uitval of misbruik van een informatiesysteem of computer.”

Met het Rathenau Instituut ben ik het eens dat ‘cyberweerbaarheid’ een andere inhoud heeft, namelijk het vermogen om te kunnen reageren op een cyberincident, dus om de schade te kunnen beperken en de continuïteit zoveel mogelijk te kunnen garanderen. Cybersecurity is dus preventief, cyberweerbaarheid reactief.

Toon alle voetnoten

Voetnoten

Voetnoten

R. Böhme, Cyber Security and Cyber Insurance, presentatie tijdens de door CYBECO georganiseerde conferentie ‘Cyber Insurance and Its Contribution to Cyber Risk Mitigation’, 26 maart 2019. Zie tevens Böhme 2019, p. 161-185.

Of als specifieke ‘add on’ of ‘endorsement’ bovenop een traditionele verzekering.

Van Eeten 2020, p. 88 en 89.

Ibid, p. 90.

Vgl. R. Böhme, S. Laube & M. Riek, ‘A Fundamental Approach to Cyber Risk Analysis’, Variance 2019/2 vol. 12, p. 165 en Eling & Schnell 2016, p. 12.

J.E. Scheuermann, ‘Cyber Risks, Systemic Risks, and Cyber Insurance’, Penn State Law Review 2018/3 vol. 122, p. 613-643.

Böhme 2019, p. 165; Eling & Schnell 2016a, p. 12 e.v. Zie ook Appendix D bij dit rapport van Eling & Schnell voor een overzicht van gebruikte definities.

A. Mukhopadhyay e.a. ‘Cyber-Risk Decision Models: To Insure IT or Not?’, Decision Support Systems 2013/56, p. 11-26.

C. Biener, M. Eling & J. H. Wirfs, ‘Insurability of Cyber Risk: An Empirical Analysis,’ Geneva Papers on Risk and Insurance—Issues and Practice 2015/1 vol. 40, p. 131–158; H. Öğüt, S. Raghunathan & N. Menon, ‘Cyber Security Risk Management: Public Policy Implications of Correlated Risk, Imperfect Ability to Prove Loss, and Observability of SelfProtection’, Risk Analysis 2011/3, vol. 31, p. 497–512.

10.

Lloyd’s of London, Business black-out – the insurance implications of a cyber attack on the US power grid, 2015, te raadplegen op https://www.jbs.cam.ac.uk/wp-content/uploads/2020/08/crs-lloyds-business-blackout-scenario.pdf.

11.

Verbond van Verzekeraars, position paper 2013.

12.

Add ons en endorsements zijn toevoegingen aan traditionele polissen waarmee expliciet dekking wordt geboden voor cyberschade. Daarin verschillen add ons en endorsements van silent cyber of non-affirmative cyber, waarin de dekking juist in het geheel niet in de polis is opgenomen (niet positief, maar ook niet als uitsluiting). Indien dan toch sprake is van dekking, dan is die dekking niet voorzien.

13.

Zie bijvoorbeeld hoofdstuk V over molest, waarvoor de concrete aanleiding is gelegen in een discussie over cyberdekking op een property-polis.

14.

Zie bijvoorbeeld J. van den Berg, ‘Wat maakt cyber security anders dan informatiebeveiliging?’, Magazine nationale veiligheid en crisisbeheersing 2015/2, p. 4-5. Zie ook R. Brennenraedts e.a., Informatie-uitwisseling landelijk dekkend stelsel cybersecurity, WODC 14 oktober 2020.

15.

Rathenau Instituut 2020, p. 17.

16.

P. Oldengarm & L. Holterman (reds.), Cybersecurity Woordenboek. Van cybersecurity naar Nederlands, Cyberveilig Nederland 2019.