Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/IV.4.1
IV.4.1 Risico heeft zich verwezenlijkt: incident response
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278936:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Uit HR 10 oktober 2003, ECLI:NL:HR:2003:AI0828 (’t Witte Paerdje) volgt dat kosten van hulppersonen – zelfs als die hun taak niet goed uitvoeren – onder de door de verzekeraar te vergoeden bereddingskosten kunnen worden gebracht.
Vergelijk in dit kader de bepalingen ten aanzien van de schaderegeling bij klassieke AVB-polissen, zie Wansink 2006, p. 381.
European Insurance and Occupational Pensions Authority (EIOPA), Understanding Cyber Insurance – A Structured Dialogue with Insurance Companies, Luxemburg: Publications Office of the European Union, 2018, p. 10.
Bij bereddingskosten in een digitale context kan in ieder geval worden gedacht aan incident response. Dat houdt in dat direct na bijvoorbeeld een privacy-inbreuk of beveiligingsincident (al dan niet door een externe partij) wordt gewerkt aan het achterhalen van de oorzaak, het beoordelen van de ernst van de gebeurtenis in het licht van de privacyregelgeving en het zoveel mogelijk beperken van verdere (reputatie)schade door op de juiste wijze met de juiste partijen te communiceren.1
In elke cyberverzekering vormen deze diensten een van de hoofdelementen van de dekking. De verzekeraar heeft dus lijn aangebracht in de uitvoering en kosten van wat in feite bereddingsmaatregelen zijn, door deze diensten zelf in de primaire dekking te integreren en op voorhand zelf de uitvoerende partijen aan te wijzen. Daarmee is het op dit punt niet meer de verzekerde die naar eigen kennis en kunde beslist welke bereddingsmaatregelen getroffen moeten worden, maar de verzekeraar.2
Nu in de polisvoorwaarden echter ook aparte, algemene bereddingskostenclausules zijn opgenomen, moet kennelijk ook nog aan andere maatregelen worden gedacht dan incident response. Cyberverzekeraars signaleren bovendien een verschuiving in de vraag naar verzekeringsdekking voor privacyaansprakelijkheid (waarop incident response veelal betrekking heeft) naar dekking voor bedrijfsstilstand, reputatieschade en boetes, waarvoor de cyberverzekering ook dekking biedt.3 De bereddingsplicht kan derhalve ook buiten incident response van belang zijn. Door het algemene karakter van de clausule speelt de eigen inschatting van de verzekerde dan een grote rol.