Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/VI.1
VI.1 Inleiding
1
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278886:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Dit hoofdstuk is eerder als artikel verschenen in het WPNR: N.M. Brouwer, ‘Cyberverzekeringen en de zorgplicht van de assurantietussenpersoon’, WPNR 2017/7160, p. 568-576.
In dit artikel gaat het louter om de onafhankelijke tussenpersoon die in een opdrachtverhouding staat tot zijn cliënt, de (aspirant-)verzekeringnemer. Andere vormen van intermediairs, bijvoorbeeld de – slechts in beperktere mate voorkomende – gevolmachtigd agent, laat ik buiten beschouwing.
Zie bijvoorbeeld Rechtbank Midden-Nederland 3 februari 2016, ECLI:NL:RBMNE:2016:420, r.o. 2.4 en Gerechtshof ’s-Hertogenbosch 11 januari 2011, ECLI:NL:GHSHE:2011:BP3896, welk oordeel door de Hoge Raad in stand werd gelaten (HR 8 juni 2012, ECLI:NL:HR:2012:BW1720).
HR 10 januari 2003, NJ 2003, 375, m.nt. M.M. Mendel (Brals/Octant) r.o. 3.4.1; zie ook R. van den Berg, ‘De zorgplicht van de assurantietussenpersoon’, VR 2011/55, p. 137.
R. de Lange, ‘Aantal cyberpolissen stijgt hard’, Het Financieele Dagblad, 17 mei 2017.
Zie bijvoorbeeld het persbericht van het Verbond van Verzekeraars, ‘Meer bewustwording nodig rond cybercrime’, 29 september 2016 (https://www.verzekeraars.nl/actueel/nieuwsberichten).
‘Virtuele risico’s, echte schade’, Den Haag: -Verbond van Verzekeraars 2013 (position paper).
Ibid. Zie ook C.M.C. van Tetterode, ‘Het verzekeren van cybersecurity’, Bb 2015/16-54, p. 186-187 en W.C.T. Weterings, ‘Verzekering van cyberschade en -aansprakelijkheid. Voorziet de cyberverzekering (voldoende) in een behoefte van organisaties?’, AV&S 2015/2, p. 4-14.
Zie bijvoorbeeld ‘Cybersecuritybeeld Nederland’ 2015 en 2016, Nationaal Cyber Security Centrum: Den Haag 2015 en 2016.
‘Half of UK SMES claim their broker fails to discuss cyber’, CFC Underwriting, 8 mei 2017. (http://www.cfcunderwriting.com/media).
Dit is ook het beeld van de praktijk dat ik na gesprekken met tussenpersonen, brancheverenigingen en verzekeraars heb opgedaan.
Op de Nederlandse verzekeringsmarkt spelen intermediairs een belangrijke rol. Aspirant-verzekeringnemers kunnen zich bij het vinden en afsluiten van een passende verzekering wenden tot een assurantietussenpersoon die voor hen bemiddelt bij de verzekeraar.2 Wat een ‘passende’ verzekering is, hangt af van de wensen van de (aspirant-)verzekeringnemer. Soms zijn (aspirant-)verzekeringnemers zich er echter niet van bewust dat zij bepaalde risico’s lopen en dat er verzekeringsproducten bestaan om deze risico’s af te dekken. Onder omstandigheden is de intermediair verplicht om ‘spontaan’ te adviseren.3 Van tussenpersonen mag immers een actieve houding worden verwacht.4
Een voorbeeld van risico’s waarvan het bewustzijn weliswaar groeit (zeker sinds de mondiale WannaCry ransomware-aanval in mei 2017),5 maar waarvan veel bedrijven (met name in het MKB) zich nog niet altijd bewust zijn,6 zijn de risico’s die de steeds verdergaande digitalisering van onze samenleving met zich meebrengt. Het Verbond van Verzekeraars definieert deze ‘cyberrisico’s’ als ‘het financiële nadeel dat een verzekerde oploopt door of via computer- en/of ICT-systemen, zonder dat sprake is van materiële schade’.7
Anders dan veel bedrijven denken, bieden de traditionele verzekeringen veelal geen of onvoldoende dekking voor de schade die uit cyberrisico’s voortvloeit.8 Het risico op dergelijke schade wordt evenwel steeds groter, zeker gezien de snelheid waarmee de techniek zich ontwikkelt en de groeiende afhankelijkheid van ICT- en computersystemen.9 Verzekeraars bieden sinds een aantal jaren aparte verzekeringsproducten aan om deze risico’s te ondervangen. Uit recent onderzoek van een Brits verzekeringsbedrijf blijkt echter dat meer dan de helft van het Britse MKB aangeeft dat hun tussenpersoon hen nog nooit heeft geattendeerd op de mogelijkheid van het afsluiten van een cyberverzekering.10
Deze relatief nieuwe en onbekende risico’s roepen in combinatie met de eveneens relatief nieuwe en onbekende verzekeringsproducten de vraag op in hoeverre zij tot nieuwe of andere (zorg)verplichtingen leiden voor de bij verzekeringen betrokken actoren, zoals de assurantietussenpersoon. De bestaande literatuur en jurisprudentie over traditionele risico’s en verzekeringen maken niet direct duidelijk onder welke omstandigheden een assurantietussenpersoon met betrekking tot cyberrisico’s een plicht heeft om de (aspirant-)verzekeringnemer te adviseren.11 In dit artikel onderzoek ik (de reikwijdte van) de zorgplicht van de assurantietussenpersoon in de context van cybersecurity. De nadruk ligt daarbij op de privaatrechtelijke zorgplicht. Tevens komt aan de orde tegen welke problemen de tussenpersoon op dit gebied mogelijk aanloopt. Tot slot geef ik een voorzet hoe de zorgplicht op dit punt in de toekomst meer gestalte kan krijgen.