Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.4.2.2.4
III.4.2.2.4 Betekenis voor verzekeringsdekking
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278806:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Rb. Amsterdam 2 september 2019, ECLI:NL:RBAMS:2019:6490.
HR 13 maart 1981, ECLI:NL:HR:1981:AG4158 (Haviltex) resp. HR 20 februari 2004, ECLI:NL:HR:2004:AO1427 (DSM/Fox).
Verheij 2020 en Engelhard 2019.
Rb. Noord-Nederland 15 januari 2020, ECLI:NL:RBNNE:2020:247 en ABRvS 1 april 2020, ECLI:NL:RVS:2020:898.
Zie ook §3.3.3.
Stb. 2019/447. Zie ook Kamerstukken II 2016/17, 34608, nr. 3 en Stb. 2019/130. De eerste procedures op grond van de collectieve actie zijn reeds gestart: de Consumentenbond tegen Facebook resp. The Privacy Collective tegen Oracle en Salesforce. Zie https://www.consumentenbond.nl/acties/facebook en de dagvaarding van The Privacy Collective op https://www.rechtspraak.nl/SiteCollectionDocuments/RBAMS-dagvaarding-collectieve-vordering-Oracle-Nederland-BV-SFDC-Netherlands-BV-Oracle-Corporation-Oracle-America-Inc-Salesforce.pdf.
Zie T.E. van der Linden & T.F. Walree, ‘De collectieve procedure als oplossing voor het privaatrechtelijk handhavingstekort bij een datalek?’, AV&S 2018/20, p. 105-113. Dit artikel dateert van vóór het EBI-arrest en de nadien gewezen lagere jurisprudentie. Zie ten aanzien van het schadebegrip ook D.J. Solove & D.K. Citron, ‘Risk and Anxiety: A Theory of Data-Breach Harms’, Texas Law Review 2018, Vol. 96, p. 736-786.
Zie uitgebreid over de serieschadeclausule Wansink 2006, par. 2.9.
AIG.
CNA.
E.F.D. Engelhard NTBR 2019, p. 200; T.F. Walree, ‘Het Cambridge Analytica-schandaal: wat kan de Nederlandse Facebook-gebruiker claimen’, TvI 2018, p. 134-142.
Uit het voorgaande volgt dat voor het verkrijgen van immateriële schadevergoeding niet langer als uitgangspunt geldt dat sprake dient te zijn van objectief vastgesteld geestelijk letsel. Ook zonder geestelijk letsel kan sprake zijn van een aantasting in de persoon die op grond van artikel 6:106 lid 1 sub b BW grond voor schadevergoeding geeft. In theorie verruimt dit de mogelijkheden voor benadeelden om hun schade te verhalen. Ten aanzien van schadevergoeding als gevolg van schendingen van de AVG blijkt dit in de praktijk alsnog lastig. Schade dient reëel en zeker te zijn, en het is aan de benadeelde om zijn schade concreet te maken. Juist dat vereiste is bij privacyschendingen geen gemakkelijke opgave.
Zoals ik in §4.2.2.1 heb uiteengezet, bieden cyberverzekeringen dekking voor verschuldigde schadevergoeding voor – kort gezegd – emotioneel leed als gevolg van een privacy-inbreuk. Deze polisbepalingen zijn allemaal geschreven in het pre-EBI-tijdperk, waarin geobjectiveerd geestelijk letsel nog de norm was voor het toewijzen van schadevergoeding wegens een aantasting in de persoon. Het is de vraag wat ‘emotioneel leed’ precies betekent en hoe dit zich verhoudt tot de aantasting in de persoon in EBI-categorie 2, waarbij van geestelijk letsel geen sprake is. Mogelijk is aanscherping van de dekkingsomschrijving op dit punt noodzakelijk.
De casus die zich voordeed in de zaak UWV/X vormt een goed voorbeeld van de polisvragen die zich op dit punt kunnen voordoen.1 De betrokkene om wiens gegevens het ging, had een burn-out gehad en was daardoor langdurig ziek geweest. Bij haar nieuwe werkgever had zij een tijdelijk contract. Rondom de tijd dat besloten zou worden of dit contract zou worden verlengd, maakte het UWV een fout en stuurde informatie over haar burn-out naar de nieuwe werkgever. Dat de werkneemster hierdoor in een nadelige positie kwam te verkeren en zich daarover ernstige zorgen maakte, is goed voorstelbaar. Objectiveerbaar is het evenwel niet.
Stel dat het UWV een cyberverzekering zou hebben afgesloten, waarin personenschade was uitgesloten, tenzij sprake is van emotioneel leed als gevolg van een schending van de privacy. Zou deze verzekering dan dekking hebben moeten bieden voor de schadevergoeding die aan de werkneemster werd toegewezen? Met andere woorden: is ‘emotioneel leed’ hetzelfde als het nadeel waarvoor de werkneemster uiteindelijk de schadevergoeding heeft gekregen? Ik meen van wel, ondanks dat het emotionele leed van de betrokkene niet is geobjectiveerd. De tekst van de polisclausule vereist geen objectivering van het leed, en het enkele feit dat de voorwaarden zijn geschreven in een tijd dat aantoonbaar geestelijk letsel de norm was voor toewijzing van immateriële schadevergoeding wegens een ‘aantasting in de persoon’, acht ik onvoldoende voor afwijzing. Partijen die een cyberverzekering afsluiten, hebben duidelijk de bedoeling om dekking te krijgen in geval zij aansprakelijk zijn en schadevergoeding dienen te betalen in geval van een privacyschending.2 Een vergoeding zoals werd toegewezen aan de werkneemster wegens de privacyschending door het UWV, is bij uitstek een schadevergoeding waarvoor bedrijven en organisaties een cyberverzekering afsluiten.
Wordt dit nu anders bij de in §4.2.2.1 genoemde polisbepaling die personenschade door ernstige schendingen van de persoonlijke levenssfeer insluit, maar vervolgens schade door geestelijk letsel, dat – volgens de polisbepaling – in de wet wordt aangeduid als ‘persoonsaantasting’, expliciet uitsluit? Juist niet, zou ik denken. Hiervoor is gebleken dat de mogelijke discussie is gelegen in de vraag of ‘emotioneel leed’ hetzelfde is als het leed op grond waarvan de betrokkene uiteindelijk recht heeft op een immateriële schadevergoeding. Door schade wegens geestelijk letsel uit te sluiten, maar ernstige schendingen van de persoonlijke levenssfeer in te sluiten, geeft deze verzekeraar er blijk van juist dekking te willen bieden voor immateriële schade die valt onder EBI-categorie 2b: de ernst en aard van de normschending brengen mee dat de relevante nadelige gevolgen voor de benadeelde zodanig voor de hand liggen, dat een persoonsaantasting kan worden aangenomen. Het feit dat de verzekeraar in de uitsluiting voor geestelijk letsel heeft opgenomen “de wet noemt dit een persoonsaantasting”, doet daaraan niet af. Uit het EBI-arrest – en overigens ook reeds uit eerdere jurisprudentie – volgt dat een ‘persoonsaantasting’ meer omvat dan enkel geestelijk letsel.
De verwachting in de literatuur over de toewijzing van schadevergoeding wegens het schenden van de AVG is dat het moeilijk zal zijn om aan de EBI-criteria te voldoen.3 In de jurisprudentie is een voorzichtige beweging te zien naar toewijzing van beperkte bedragen aan immateriële schade die onder EBI-categorie 2600b geschaard kunnen worden, hoewel daarnaar niet altijd expliciet wordt verwezen.4 Gelet op de polisomschrijvingen in de verschillende cyberverzekeringen, die allemaal dekking bieden voor emotioneel leed, verwacht ik dat deze schadevergoedingen onder de dekking vallen. De ruime dekkingsomschrijving voor deze schadepost is daarmee voor verzekerden gunstig en adequaat, zeker daar waar de polis tevens dekking biedt voor privacy-schendingen die niet bij verzekerde zelf, maar bij een gecontracteerde derde plaatsvinden, bijvoorbeeld de IT-leverancier of een verwerker.5 Een punt van aandacht blijft uiteraard dat de thans in de rechtspraak toegewezen schadebedragen zodanig laag zijn dat het eigen risico waarschijnlijk niet zal worden overschreden. Met uitzondering van de kosten van verweer (zie hierna) zal de verzekerde de schade uiteindelijk zelf dienen te dragen.
Schade als gevolg van schendingen van de AVG heeft in potentie een cumulatief karakter: één ernstig datalek kan een zeer aanzienlijk aantal benadeelden (of in AVG-terminologie: ‘betrokkenen’) treffen. Zouden deze benadeelden hun schade op de verzekerde willen verhalen, dan hebben zij in feite twee opties: zelfstandig een vordering tegen de verzekerde instellen, of zich aansluiten bij een collectieve actie in de zin van de Wet afwikkeling massaschade collectieve actie (WAMCA).6 De WAMCA neemt de vraagstukken rondom het schadebegrip niet weg, maar door een collectieve actie kan het geldelijk belang van de vordering op verzekerde veel groter worden.7
Het is dan ook niet ondenkbaar dat een verzekerde partij na een datalek wordt geconfronteerd met een groot aantal individuele vorderingen tot schadevergoeding en/of een collectieve actie. Om deze cumulatierisico’s te beheersen, bevat de cyberverzekering net als traditionele aansprakelijkheidsverzekeringen een serieschadeclausule.8 Voorbeelden daarvan zijn:
“Een of meer aanspraken of evenementen voor zover deze aanspraken of evenementen voortkomen uit, gebaseerd zijn op, verband houden met of anderszins toerekenbaar zijn aan dezelfde oorzaak of bron. Al deze aanspraken of evenementen worden beschouwd als een enkele aanspraak, ongeacht of deze aanspraken of evenementen betrekking hebben op dezelfde of verschillende eisers, verzekerden of gronden voor vorderingen.”9
“Aanspraken die voortkomen uit dezelfde of een vergelijkbare handeling, fout of nalatigheid met dezelfde of samenhangende oorzaak, worden beschouwd als één aanspraak die wordt geacht ingediend te zijn op de datum waarop de eerste van deze aanspraken is ingediend, dan wel op de datum waarop verzekeraar voor het eerst op de hoogte werd gesteld van de omstandigheden waarop de aanspraak gebaseerd is.”10
Door alle aanspraken die voortvloeien uit één en hetzelfde privacy-incident te beschouwen als één aanspraak, begrenst de verzekeraar het cumulatierisico. Enerzijds betekent het feit dat alle claims worden gezien als één aanspraak voor de verzekerde dat slechts eenmaal het eigen risico is verschuldigd. Anderzijds brengt dit met zich dat per aanspraak het maximaal in de polis verzekerde bedrag wordt vergoed. Indien het totaalbedrag dat aan schadevergoeding dient te worden betaald aan al deze benadeelden de maximale som overtreft, dient de verzekerde het meerdere dus zelf te dragen.
Volledigheidshalve merk ik op dat de vordering tot schadevergoeding na het schenden van de AVG mogelijk ook gebaseerd kan worden op zuivere vermogensschade in de zin van artikel 6:96 lid 1 BW in plaats van op immateriële schade in de zin van artikel 6:106 lid 1 sub b BW. Zowel Engelhard als Walree wijzen daarop; de schade bestaat dan uit het verlies van controle of mogelijkheid tot exclusief gebruik van persoonsgegevens, die een economische waarde vertegenwoordigen.11 Beide auteurs merken evenwel op dat ook in dat geval de benadeelde de schade concreet zal moeten maken, wat een buitengewoon lastige opgave zal blijken, terwijl de financiële waarde van de persoonsgegevens slechts gering zal zijn.
Vanuit de polisvoorwaarden van de cyberverzekering beschouwd, betekent een vordering van een derde tot vergoeding van zuivere vermogensschade echter dat discussies over de vraag of en in hoeverre sprake is van emotioneel leed zoals bedoeld in de polis zich in dat geval niet voordoen.