Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/II.5.3
II.5.3 Aansprakelijkheid
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278804:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Hiscox en Chubb/Ace.
Chubb/Ace artikel 1.1(C).
Bijvoorbeeld AIG en Hiscox.
In Nederland kan, indien aan de vereisten wordt voldaan, met een collectieve actie slechts een verbod, gebod, of verklaring voor recht worden gevorderd (artikel 3:305a BW). Daarnaast kan via de Wet Collectieve Afwikkeling Massaschade (artikel 7:907-910 BW en 1013-1018 Rv) een getroffen schikking voor alle gedupeerden (tenzij gebruik is gemaakt van de opt-out mogelijkheid) verbindend worden verklaard.
Bijvoorbeeld Frankrijk en Duitsland sinds 2016 en België sinds 2014. Zie ook W. Sapranov, ‘Class consciousness: class action arbitration under U.S. and EU privacy laws’, Yearbook on International Arbitration, 2017/5, p. 83-92.
Vgl. Romanosky e.a 2017, p. 74-76.
Het gebrek aan bijvoorbeeld punative damages in Europa maakt bovendien de schadebedragen minder hoog.
Alle bestudeerde polissen bevatten bepalingen ten aanzien van aansprakelijkheid. In een aantal polissen wordt onderscheid gemaakt tussen privacyaansprakelijkheid, cyber/media-aansprakelijkheid en aansprakelijkheid wegens onvoldoende netwerkbeveiliging.1 In een enkele polis wordt onderscheid gemaakt tussen schade bij een privacygerelateerde onrechtmatige daad, die wordt beperkt tot personenschade, en schade voortvloeiend uit een privacyclaim.2 In de meeste polissen wordt evenwel een algemeen schadebegrip gebruikt (‘schade voortvloeiend uit een gedekte aanspraak’).3 Alle polissen bieden dekking voor de kosten van verweer, zowel tegen aansprakelijkheidsclaims als tegen een boetebesluit door de Autoriteit Persoonsgegevens.
Hiervoor is reeds uiteengezet dat het vooralsnog onduidelijk is of en in hoeverre de slachtoffers van een datalek daadwerkelijk in staat zijn om hun schade met een beroep op (schending van) de AVG vergoed te krijgen. Bovendien ontbreekt in de meeste landen in Europa, waaronder Nederland, vooralsnog de mogelijkheid om via een class action schadevergoedingen te claimen, zoals dat in de VS wel mogelijk is.4 Daarin is evenwel een veranderende trend te zien. Zo biedt artikel 80 AVG de mogelijkheid om een orgaan of vereniging als vertegenwoordiger aan te wijzen om het recht op schadevergoeding in de zin van artikel 82 AVG uit te oefenen. In steeds meer lidstaten worden wetten voorgesteld en aangenomen waarin class actions op beperkte wijze mogelijk worden gemaakt.5 In Nederland is al enige tijd een wetsvoorstel aanhangig waarmee een collectieve schadevergoedingsactie in het leven wordt geroepen.6 Dit voorstel is echter nog niet aangenomen.
Ondanks deze trend zijn de procedurele mogelijkheden om schade te verhalen in Europa beperkter dan in de VS. De druk om te schikken, zoals in de VS veelvuldig gebeurt (‘sue-and-settle’),7 is daarom wellicht ook minder groot.8 Dit neemt echter niet weg dat ook individuele aansprakelijkheidsclaims tot (kostbare) procedures en uiteindelijk een potentieel grote schade kunnen leiden. Een toename van dergelijke claims onder de AVG is, mede gezien de nadruk op de rechten van betrokkenen, bovendien te verwachten. De dekking die de thans in Nederland aangeboden cyberverzekeringen op dit punt bieden, sluit dus op zich aan bij de Europese regelgeving. Nu in Europa echter de druk van massaclaims voorlopig zal uitblijven, valt vanuit juridisch oogpunt te betwijfelen of de AVG een zodanig aansprakelijkheidsrisico creëert dat dit leidt tot een significant grotere belangstelling voor cyberverzekeringen.