Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/I.2.1
I.2.1 Centrale onderzoeksvraag
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278847:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Door mij schematisch in kaart gebracht aan de hand van de tekst in Marotta e.a. 2017.
Dorhout Mees in 1928, geciteerd door Wansink in J.H. Wansink, ‘Assurance oblige: de maatschappelijk verantwoord handelende verzekeraar in de 21e eeuw’, AV&S 2003/2. Zie ook N. Vloemans, ‘Inleiding. De overeenkomst van verzekering’, in: M.L. Hendrikse e.a. (red.), Verzekeringsrecht, Deventer: Kluwer 2015, p. 2.
Aansprakelijkheidsverzekering voor particulieren. Zie voor meer voorbeelden Asser/Sieburgh 6-IV 2019/31-34.
Een bekende zaak waarin de aanwezigheid van een verzekering een grote rol lijkt te hebben gespeeld bij het aannemen van aansprakelijkheid – waarover Hartlief zich kritisch heeft uitgelaten in zijn noot – is het Hangmat-arrest, HR 8 oktober 2010, NJ 2011/465 m.nt. T. Hartlief.
HR 1 februari 2008, ECLI:NL:HR:2008:BB4767 (Taxicentrale Nijverdal); HR 1 februari 2008, ECLI:NL:HR:2008:BB6175 (Maasman/Akzo Nobel) en HR 19 december 2008, ECLI:NL:HR:2008:BG7775 (Autoster Bergen).
Asser/Maeijer & Kroeze 2–I* 2015/206 en W.C.T. Weterings, ‘Persoonlijke aansprakelijkheid bestuurders voor onvoldoende IT-governance’, AV&S 2016/42, p. 209-211. Zie ook Rb. Den Haag 29 augustus 2011, NJF 2011/326, waarin een bestuurder aansprakelijk werd gehouden omdat geen AVB-verzekering was afgesloten en hof Den Bosch 13 oktober 2020, ECLI:NL:GHSHE:2020:3156, waarin het nalaten van het betalen van premies waardoor uiteindelijk dekking ontbrak tevens als persoonlijk ernstig verwijt werd aangemerkt.
Court of Appeal UK 22 oktober 2018, EWCA Civ 2339, Case No: A2/2018/0090, section 78.
T. Hartlief & M.M. Mendel, ‘Verzekering en maatschappij. Een korte inleiding’, in: T. Hartlief & M.M. Mendel (red.), Verzekering en maatschappij, Deventer: Kluwer 2000, p. 1. Zie over de sociale functie van verzekeringen ook N. Vloemans, ‘Inleiding. De overeenkomst van verzekering’, in: M.L. Hendrikse e.a. (red.), Verzekeringsrecht, Deventer: Kluwer 2019, p. 2.
Om de hiervoor genoemde onderzoeksvraag te kunnen beantwoorden, is nadere definiëring en afbakening vereist. Allereerst is het van belang om de functie van verzekeringen in het algemeen te duiden. Verzekeringen vormen een middel om risico’s te verplaatsen naar een collectief, waardoor belemmerende onzekerheden worden ondervangen. Daardoor ontstaat bijvoorbeeld voor bedrijven de ruimte om te kunnen ondernemen en innoveren.
Verzekeringen zijn daarmee een onderdeel van een overkoepelend systeem van risicomanagement. Risicomanagement is het proces van identificatie en beheersing van risico’s. Dit proces valt dan ook uiteen in twee hoofdtaken: (1) het analyseren en (2) het omgaan met risico’s. Risico’s kan men mitigeren, accepteren, negeren of verplaatsen. Dit laatste, het verplaatsen van risico’s naar een andere partij, gebeurt (meestal) via verzekeringen. Het onderstaande schema maakt deze systematiek helder:1
Figuur 1
Bij verzekeren gaat het dus om het verplaatsen van risico’s naar een andere partij en wel naar het collectief. Door risico’s van het individu op het collectief af te wentelen worden risico’s draagbaar en acceptabel. Bovendien kunnen verzekeringen door middel van preventievoorschriften en gedragsbeïnvloeding bewerkstelligen dat risico’s worden verkleind, bijvoorbeeld door middel van polissystematieken zoals een bonus/malus-systeem. Het belang van verzekeringen is dus niet enkel op individueel niveau te vinden in zekerheid en compensatie bij schade, maar ook op breder, maatschappelijke niveau in het waarborgen van continuïteit en het creëren van ruimte voor innovatie bij bedrijven en organisaties:
“Schadeverzekering is het middel waardoor de verzekerde de risico’s van het dagelijks leven of van zijn bedrijf, welker mogelijke financiële gevolgen hij zelf niet kan of niet wil dragen, op de schouders van een ander, de verzekeraar, kan leggen. Daardoor maakt de verzekering bedrijven en ondernemingen mogelijk, die men anders niet op touw zou durven zetten.”2
Naast de maatschappelijke functie die verzekeringen hebben voor bedrijven en organisaties, spelen verzekeringen ook een juridische rol. Verzekeringen hebben invloed op het aansprakelijkheids- en schadevergoedingsrecht. De rol van verzekeringen is bijvoorbeeld terug te zien in de invoering van kwalitatieve en risicoaansprakelijkheden, zoals de aansprakelijkheid van ouders voor daden van hun kinderen (artikel 6:169 BW), waarvoor bij de invoering aansluiting is gezocht bij de bestaande praktijk van de dekking onder de AVP-verzekering.3 Het invoeren van een risicoaansprakelijkheid wordt in het algemeen slechts aanvaardbaar geacht indien die risico’s door verzekeringen kunnen worden gedekt.4
Ook spelen verzekeringen een rol bij de invulling van open normen zoals ‘de in het verkeer geldende opvattingen’ of ‘hetgeen volgens het ongeschreven recht in het maatschappelijke verkeer betaamt’. De aanwezigheid van een verzekering bij de schadetoebrengende partij vormt echter uitdrukkelijk geen aansprakelijkheidsgrond; de verzekering is slechts een gezichtspunt bij de invulling van de verkeersopvattingen.5
Waar de aanwezigheid van een verzekering slechts een factor is bij de invulling van de verkeersopvattingen, kan de afwezigheid van een verzekering wel de inhoud van een verwijt vormen op grond waarvan een partij aansprakelijk kan worden gehouden. Een tekenend voorbeeld is de werkgeversaansprakelijkheid ex artikel 7:611 BW indien in specifieke gevallen is nagelaten om een ‘adequate’ verzekering af te sluiten voor de werknemer.6 In dat kader is ook artikel 2:9 BW relevant, waarop de persoonlijke aansprakelijkheid van de bestuurder kan worden gegrond. Het nalaten om (gebruikelijke) verzekeringen af te sluiten is daarvan een voorbeeld.7
In de context van cyberrisico’s zijn in de Nederlandse jurisprudentie nog nauwelijks aanknopingspunten te vinden. Een Britse procedure vormt echter een goede illustratie van de rol van verzekeringen bij het aansprakelijkheidsrecht. De Britse supermarktketen Morrisons werd slachtoffer van een rancuneuze ex-medewerker die klaarblijkelijk over goede computervaardigheden beschikte: de ex-medewerker hackte de computersystemen van Morrisons en openbaarde de persoonsgegevens van honderden werknemers. Deze oud-medewerker werd strafrechtelijk veroordeeld, maar de medewerkers wendden zich vervolgens collectief tot Morrisons en vorderden schadevergoeding wegens de schending van het gegevensbeschermingsrecht.
Morrisons verdedigde zich onder andere met een ‘Armageddon’-argument, namelijk dat toewijzing van dit soort vorderingen bij grootschalige datalekken catastrofaal zou zijn voor bedrijven en organisaties. Het Britse Court of Appeal overwoog in dat kader:
“There have been many instances reported in the media in recent years of data breaches on a massive scale caused by either corporate system failures or negligence by individuals acting in the course of their employment. These might, depending on the facts, lead to a large number of claims against the relevant company for potentially ruinous amounts. The solution is to insure against such catastrophes; and employers can likewise insure against losses caused by dishonest or malicious employees. We have not been told what the insurance position is in the present case, and of course it cannot affect the result. The fact of a defendant being insured is not a reason for imposing liability, but the availability of insurance is a valid answer to the Doomsday or Armageddon arguments put forward […] on behalf of Morrisons.”8 (onderstrepingen NMB)
Het Court of Appeal veegde dit argument van Morrisons dus van tafel door te wijzen op de mogelijkheid tot verzekeren. Daaruit spreekt de veronderstelling dat er adequate verzekeringsmogelijkheden bestaan om dit risico het hoofd te bieden. De vraag is, zeker bij een nieuw product zoals de cyberverzekering, of die veronderstelling klopt.
Deze casus illustreert de laatste functie dan wel het laatste doel van verzekeringen: een goede werking van het aansprakelijkheidsrecht. Het argument van Morrisons houdt in feite in dat zij de gevorderde schade vanwege de omvang niet kan dragen en dat de benadeelden derhalve niet gecompenseerd kunnen worden. Verzekeringen vormen daartoe echter een vangnet. Terecht merken Hartlief en Mendel dan ook op dat ook het aansprakelijkheidsrecht zonder verzekeringen weinig nut zou hebben. Zonder verzekeringen zou de vergoedings-/compensatiefunctie van het aansprakelijkheidsrecht immers wegvallen.9 Uit Asser/Wansink, Van Tiggele & Salomons volgt tevens dat een goede afwikkeling van een aanspraak op uitkering bij de verwezenlijking van het gedekte risico “cruciaal [is] voor het ‘succes’ van een verzekeringsproduct”.10
In het licht van het voorgaande duid ik voor dit onderzoek de functie van verzekeringen met betrekking tot drie belangen:
Individueel belang: Verzekeringsdekking geeft een bedrijf of organisatie zekerheid dat het bij schade wordt gecompenseerd. Dit waarborgt de bedrijfscontinuïteit en geeft de ondernemer ruimte tot innovatie, omdat belemmerende onzekerheden worden weggenomen.
Maatschappelijk belang: De onder (1) genoemde individuele zekerheid leidt op macroniveau tot een klimaat waarin branches en sectoren goed kunnen opereren en kunnen doorontwikkelen. Ook consumenten en burgers hebben daar baat bij. Verzekeraars kunnen deze processen nog verder ondersteunen en bevorderen door best practices in beveiligingsmaatregelen en risicobeperking te implementeren. Verzekeringen dienen derhalve ook een collectief, maatschappelijk belang.
Juridisch belang: Waar de onder (1) en (2) genoemde aspecten vrij concreet zijn, dienen verzekeringen ook een meer abstract belang: ze waarborgen de compensatiefunctie van het aansprakelijkheidsrecht, dat (zoals hierboven betoogd) zonder het bestaan van verzekeringsdekking voor schade weinig effectief zou zijn. Hoewel de wisselwerking tussen verzekeringen en het aansprakelijkheidsrecht deels een zelfstandig juridisch belang dient, hangt dit belang tevens sterk samen met de individuele en maatschappelijke aspecten van verzekeren.
In dit onderzoek zal ik deze drie belangen als toetsingskader gebruiken aan de hand waarvan ik het functioneren van de cyberverzekering in kaart zal brengen. Onder ‘functioneren’ versta ik de mate waarin de cyberverzekering belemmerende onzekerheden wegneemt door risico’s te verplaatsen, waardoor de voornoemde belangen worden gediend: hoe minder belemmerende onzekerheden er zijn, hoe meer deze belangen worden gediend, en hoe beter de verzekering dus functioneert.
Een laatste belangrijke kanttekening is dat het onderzoek is gericht op de huidige cyberverzekeringen en de huidige stand van de markt en techniek. Gelet op de aard van het te verzekeren risico, dat aan continue verandering onderhevig is, vormt het onderzoeksobject een moving target. Het begrip ‘functioneren’ dient dan ook tegen die achtergrond te worden geïnterpreteerd, wat in het licht van de snelle technologische ontwikkelingen onvermijdelijk is.