Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.6
III.3.6 Onderzoeks- en herstelkosten: indemniteitsbeginsel
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278800:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Niet alle cyberverzekeraars rubriceren dit punt apart. Bij een aantal verzekeraars valt dit onder incident response.
Bij Chubb zijn verbeteringskosten als uitbreiding op de standaarddekking te verzekeren.
Zie bijv. AIG. Niet alle verzekeraars definiëren het begrip ‘verbetering’ (bijv. CB). Een aantal verzekeraars biedt de optie om verbeteringskosten wel te vergoeden, indien deze minder dan of gelijk zijn aan de kosten die anders door de verzekeraar zouden worden gemaakt (CNA en Chubb).
Vgl. E.R. Hardy Ivamy, General Principles of Insurance Law, London: Butterworths 1993, p. 9 en A. McGee, The Modern Law of Insurance, London: Lexis Nexis Butterworths 2011, p. 47.
Vgl. Ph.H.J.G. van Huizen, ‘Het indemniteitsbeginsel’, in: M.L. Hendrikse, Ph.H.J.G. van Huizen & J.G.J. Rinkes (reds.), Verzekeringsrecht, Deventer: Wolters Kluwer 2019, p. 231 e.v. Zie ook F. Th. Kremer, Het indemniteitsprincipe (diss. Rotterdam), Zwolle: W.E.J. Tjeenk Willink 1988.
Zie ook J.H. Wansink, N. van Tiggele-van der Velde & F.R. Salomons, Mr. C. Asser’s Handleiding tot de beoefening van het Nederlands Burgerlijk recht. 7. Bijzondere overeenkomsten. Deel IX. Verzekering, Deventer: Wolters Kluwer 2019, p. 355-356.
Zie ten aanzien van herbouwwaarde HR 2 maart 1972, ECLI:NL:HR:1972:AB2597 (Maring) en HR 17 februari 1978, ECLI:NL:HR1978:AC6195 (Kraaijbeek); ten aanzien van nieuwwaarde van machines/inventaris HR 10 december 1993, ECLI:NL:HR:1993:ZC1176 (Bruinisse).
Ibid.
Of dat enkele feit voldoende is om te spreken van een ‘verbetering’, is de vraag. Waar cyberverzekeraars dit begrip niet hebben gedefinieerd (bijvoorbeeld Avéro en CB), rust de bewijslast daarvan bij hen. Het gaat immers om een uitsluiting.
Zie bijvoorbeeld P. Kakebeeke, ‘Meer dan de helft van de pc-software is verouderd, NRC Handelsblad 25 januari 2019; R. Giebels, ‘Verstrikt geraakt in een Gordiaanse ict-knoop’, De Volkskrant 18 augustus 2017, over de verouderde systemen van de Belastingdienst.
Het bestaan van methodes om de (markt)waarde van netwerken, computersystemen en data te kwantificeren heb ik niet onderzocht; dit valt buiten het bestek van dit hoofdstuk.
Liberty.
Naast het IT-forensisch onderzoek dat onder incident response valt, bieden cyberverzekeringen ook dekking voor het daadwerkelijke herstel van data, netwerken en systemen.1 Voorbeelden hiervan zijn het terugzetten van back-ups, het vervangen of herstellen van de website, het intranet, netwerk of computersysteem van verzekerde, het opnieuw invoeren van gegevens of het vervangen en opnieuw installeren van software.
De kosten van herstel zijn door bijna iedere verzekeraar begrensd tot ‘verbeteringen’.2 Daar waar het herstel een verbetering oplevert ten opzichte van de situatie vóór het cyberincident, zijn de kosten dus niet gedekt. Onder verbetering moet ook worden verstaan updates en upgrades van systemen, alsmede het verwijderen van fouten of kwetsbaarheden in softwareprogramma’s.3
Deze beperking vloeit waarschijnlijk voort uit het indemniteitsbeginsel, dat ook in het Anglo-Amerikaanse verzekeringsrecht bestaat.4 In Nederland is dit beginsel dwingendrechtelijk voorgeschreven in artikel 7:960 BW: de verzekerde ontvangt geen verzekeringsuitkering indien hij daardoor in een duidelijk voordeliger positie zou geraken.
Ik vraag mij af of het vergoeden van herstelkosten, indien verbeteringen aan bijvoorbeeld het netwerk of de software niet zouden zijn uitgesloten, in strijd komt met het indemniteitsbeginsel. Het belang van de verzekerde bij de herstelwerkzaamheden is immers niet zozeer gelegen in compensatie voor het verlies van het systeem (vermogensbelang), maar veeleer in herstel van de functie van het getroffen systeem, met andere woorden: de functiewaarde/gebruikersbelang.5 Herstel van de functie van computersystemen vereist dikwijls een bijwerking van de beveiliging of een andere ‘verbetering’ van het systeem. Het verzekeren van de functiewaarde of het gebruiksbelang is niet in strijd met het indemniteitsbeginsel.6
Uit vaste jurisprudentie volgt dat indien de schadelijke gevolgen van een voorval enkel kunnen worden weggenomen door een uitkering op basis van nieuwwaarde of herbouwwaarde, van strijd met het indemniteitsbeginsel geen sprake is.7 Dat zal zich met name voordoen in geval de functie die de verzekerde objecten voor verzekerde hebben, meebrengt dat zij bij tenietgaan of beschadiging noodzakelijkerwijs moeten worden vervangen, ook al overtreffen de kosten daarvan de dagwaarde aanzienlijk, aldus meermaals de Hoge Raad.8 Dat een verzekerde als gevolg van een uitkering in een duidelijk voordeliger positie is geraakt, wordt dus niet snel aangenomen.
Bij herstelwerkzaamheden na cyberincidenten is het zeker niet ondenkbaar dat de systemen niet kunnen worden hersteld zonder dat de economische waarde daarvan toeneemt.9 Computersystemen van bedrijven draaien niet zelden deels nog op verouderde systemen of gebruiken verouderde software.10 Het terugbrengen van de situatie zoals die was vóór het cyberincident is dan bijna niet mogelijk. Het volledig uitsluiten van kosten om data of systemen te updaten, upgraden, vervangen of verbeteren tot een niveau dat verder gaat dan de situatie vóór het cyberincident, kan dan ook een flinke hap nemen uit de omvang van de dekking. Hoe verzekeraars dit precies zullen begroten en afbakenen van de wel gedekte herstelkosten, valt overigens nog te bezien.11 Een enkele verzekeraar lijkt zich dit te hebben gerealiseerd en heeft als uitzondering op de uitsluiting bepaald dat deze uitsluiting niet geldt indien het hogere functionaliteitsniveau het natuurlijke gevolg is van het herstel, dan wel – kort gezegd – indien de kosten om het systeem naar een hoger functionaliteitsniveau te brengen lager zijn dan de kosten waarmee het systeem hetzelfde functionaliteitsniveau als vóór de schade krijgt.12
Zowel met betrekking tot de vraag of en wanneer sprake is van een ‘verbetering’ en hoe dit zich verhoudt tot het indemniteitsbeginsel, als met betrekking tot de vraag hoe de gedekte schade moet worden begroot, zijn in de praktijk discussies te verwachten.