De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/IV.3:IV.3 Voorzorgsmaatregelen in een digitale samenleving

De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/IV.3

IV.3 Voorzorgsmaatregelen in een digitale samenleving

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Algemene voorzorgsmaatregelen, zoals een slot op de deur, dient iedere verzekerde op eigen kosten te treffen.1 In een digitale context is dit niet anders. Op iedere organisatie rust de verplichting om te zorgen voor een gedegen cybersecurity.2 De beschikbaarheid, integriteit en vertrouwelijkheid van systemen en gegevens dienen te worden gewaarborgd. Daarmee wordt niet alleen de beveiliging en stabiliteit van de eigen systemen versterkt. Gezien de grote mate van verwevenheid en onderlinge afhankelijkheid van systemen is ook de beveiliging van anderen daarmee gebaat.3

Welke maatregelen precies genomen moeten worden, is echter niet duidelijk. Er bestaan weliswaar beveiligingsstandaarden die zijn gebaseerd op best practice, zoals de ISO27000 serie.4 Deze zijn echter technologieneutraal geformuleerd en bevatten daarom geen concrete voorschriften.5 De invulling daarvan kan dus per organisatie sterk verschillen. Bovendien is het hebben van een ISO-certificaat geen (standaard)vereiste voor dekking onder een cyberverzekering.

Deze onduidelijkheid doet zich ook voor bij de in het kader van de bereddingsplicht te nemen bijzondere maatregelen. Wil de verzekerde de bereddingskosten vergoed krijgen, dan dienen de bijzondere maatregelen redelijk en doelmatig te zijn: zij moeten voldoen aan de eisen van proportionaliteit (staan de kosten van de maatregelen wel in verhouding tot de te verwachten verzekerde schade?) en subsidiariteit (kon er geen andere, goedkopere maatregel worden getroffen die hetzelfde effect zou hebben?).6

Of dit het geval is, dient de verzekerde naar eigen kennis en wetenschap in te schatten. Deze kennis wordt tot op zekere hoogte geobjectiveerd. Daarbij wordt als maatstaf gehanteerd de behoorlijke en zorgvuldige verzekerde, waarbij met alle omstandigheden van het geval rekening moet worden gehouden.7 Het gaat er dus niet enkel om waarvan een verzekerde op de hoogte is, maar ook waarvan hij op de hoogte behoort te zijn. Door het gebrek aan standaarden en certificeringen op het gebied van cybersecurity heeft de verzekerde daarbij een zekere eigen beoordelingsruimte voor de te treffen maatregelen.8

Met het oog op de leerstukken schuld en bereddingsplicht is het voor een verzekerde belangrijk om zowel vóór als direct na een incident juiste keuzes te maken over de te treffen maatregelen. Het eigen handelen van de verzekerde kan er immers toe leiden dat hij geen of een verminderde uitkering krijgt. Anders dan bij veel traditionele verzekeringen (denk aan voorgeschreven sprinklers bij brand of gecertificeerde sloten bij scooters) zijn cyberverzekeraars niet duidelijk in wat zij van hun verzekerden op dit punt verwachten. De vraag is ook of dat wel mogelijk is, nu cyberrisico’s in hoge mate afhankelijk zijn van de specifieke kenmerken van organisaties, zoals omvang, type, sector en mate van digitalisering.9

IV.3.1 MethodeIV.3.2 Indicaties in de aanvraagfaseIV.3.3 Zorgvuldigheidsnormen in polisvoorwaardenIV.3.4 Contouren van de algemene zorgplicht van de verzekerde; taak voor de verzekeraar

Deze functie is alleen te gebruiken als je bent ingelogd.