Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/VII.1
VII.1 Beantwoording van de deelvragen
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278900:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Vgl. Rb. Amsterdam 10 juni 2015, ECLI:NL:RBAMS:2015:3542 over de vraag of schade door vuurwerk in het Olympisch Stadion binnen het polisbegrip ‘brand’ viel.
Zie bijvoorbeeld Rb. Rotterdam 4 november 2016, ECLI:NL:RBROT:2016:8456 over de vraag of neerslag in vaste vorm moest worden aangemerkt als hagel. Zie uitgebreid J.S. Overes, ‘Verzekering tegen storm en/of hagel. Naar aanleiding van de rechtspraak over de ‘supercell’ van 23 juni 2016’, AV&S 2018/26, p. 135-143.
De polisvoorwaarden bevatten echter weinig specifieke bepalingen over aan de verzekeraar te melden risicoverzwarende omstandigheden, waardoor een discussie daarover zich mogelijk minder snel zal aandienen.
Zie Wansink 2006, p. 49 e.v. en de daarin genoemde rechtspraak. Deze rechtspraak ziet op aansprakelijkheid voor verlies van gegevens (het ‘beschadigen’ van software) en is dus niet hetzelfde als slijtage of eigen gebrek.
Bijvoorbeeld in het goederenrecht, zie V. Tweehuysen, ‘Digitaal goederenrecht – een introductie’, in: C.J.H. Jansen, B.A. Schuijling & I.V. Aronstein (reds.), Onderneming en digitalisering, Deventer: Wolters Kluwer 2019, p. 133-148 en de daarin genoemde literatuur en rechtspraak.
https://cyberveilignederland.nl/persbericht-ontwikkeling-keurmerk-en-risicomodel/. Zie voor het persbericht van 6 juni 2018 https://cyberveilignederland.nl/wp-content/uploads/2018/07/20180607-persbericht-CCV.pdf.
S.Y.Th. Meijer, ‘De zorgplicht van de verzekeraar’, in: S.Y.Th. Meijer e.a. (reds.), Zicht op toezicht in de verzekeringssector, Deventer: Wolters Kluwer 2016, p. 33-34.
Meijer 2016, p. 34 en 37-40.
HR 15 maart 2013, ECLI:NL:HR:2013:BZ0170, zie met name de conclusie van A-G Wuisman bij dat arrest. Zie ook HR 9 maart 2012, ECLI:NL:HR:2012:BU9206.
Een voorbeeld is artikel 7:934 BW. Op grond van dit artikel is de verzekeraar verplicht om te waarschuwen dat de dekking zal vervallen indien de premie (na aanmaning) niet wordt betaald.
HR 9 september 1994, NJ 1995/285 m.nt. M.M. Mendel; Hof Arnhem 7 februari 2006, NJF 2006/282; Hof Den Haag 3 juli 2008, RAV 2008/92. Zie ook J.H. Wansink, ‘Over “geïnformeerde besluiten” en “verzwegen valkuilen”’, AV&S 2009/36.
HR 22 november 1996, NJ 1997, 718, m.nt. M.M. Mendel (KHTC/Generale Bank) en HR 10 januari 2003, NJ 2003, 375, m.nt. M.M. Mendel (Brals/Octant).
S.A. Talesh, ‘Data Breach, Privacy, and Cyber Insurance: How Insurance Companies Act as “Compliance Managers” for Businesess’, Law & Social Inquiry 2018/2 vol. 43, p. 417-440; VNAB Visie, Cyberrisk, 2018/1, p. 19-20, te raadplegen op https://www.vnab.nl/Pages/nl-NL/Kennis/archief-vnab-visie/cmsdropbox/?file=Website/Kennis/Visie/Archief/VNAB%20Visie%202018-01%20(Cyber).pdf; S. Buursema & C. van der Helm, ‘Als expert begrijpen wij het belang van een goede CyberHealth’, SCHADE Magazine 2020/5, p. 31-33, te raadplegen op https://www.schade-magazine.nl/magazine-media/66/1604920427_schade_5_2020-lr.pdf.
J.H. Wansink, ‘Assurance oblige: de maatschappelijk verantwoord handelende verzekeraar in de 21e eeuw’, AV&S 2003/2.
Zie ook M. Camillo, ‘Cyber risk and the changing role of insurance’, Journal of Cyber Policy 2017/2 vol. 1, p. 53-63.
Na de publicatiedatum van hoofdstuk VI in het WPNR (2017) zijn bijvoorbeeld de cyberverzekeringen van de Achmea-labels gelanceerd (2018, zie https://www.amweb.nl/schade/nieuws/2018/05/centraal-beheer-lanceert-cyberverzekering-voor-mkb-101110564), alsmede de cyberverzekeringen van Amlin (2019, zie https://www.msamlin.com/en/markets/the-netherlands/actualiteiten/ms-amlin-nederland-gaat-samenwerking-aan-met-first-response-part.html) en Liberty (2018, zie https://www.riskenbusiness.nl/nieuws/insurance/liberty-specialty-markets-lanceert-tijdens-cyber-is-art-seminar-nieuwe-polissen-voor-kunst-en-cyber/).
Deze centrale onderzoeksvraag bevat drie elementen, namelijk het (juridisch) kader, de inhoud en actoren. Binnen deze drie pijlers zijn de deelvragen geformuleerd. Deze deelvragen beantwoord ik niet uitputtend, maar slechts voor zover dit van belang is voor de beantwoording van de hoofdvraag.
Kader
Voor deze pijler stelde ik drie deelvragen:
Wat zijn de voor cyberverzekeringen relevante (juridische) kaders?
Op welke manier spelen cyberverzekeringen daarop in?
Op welke wijze is de Amerikaanse oorsprong van cyberverzekeringen daarin terug te zien?
Er zijn verschillende relevante kaders waarbinnen de cyberverzekering moet worden beschouwd. Deze kaders zijn zowel juridisch als niet-juridisch. Wat betreft de juridische kaders geldt uiteraard dat de cyberverzekering, evenals iedere andere verzekering, een overeenkomst is. In de inleiding van dit proefschrift heb ik dat kader uiteengezet (paragraaf 2.3.1). Het algemeen juridische kader is derhalve titel 7.17 BW en de vaste (deels in titel 7.17 BW neergelegde) verzekeringsrechtelijke leerstukken.
Voor cyberverzekeringen is het raamwerk evenwel breder. In hoofdstuk II van dit proefschrift heb ik laten zien dat cyberverzekeringen in de Verenigde Staten sinds de jaren ’90 als hackerpolis zijn aangeboden en sindsdien zijn doorontwikkeld tot de polis zoals deze thans, anno 2020, is. Veranderende wetgeving, met name op het gebied van het gegevensbeschermingsrecht, is daarbij een relevant kader. De vanaf 2003 in de Verenigde Staten ingevoerde meldplichten voor datalekken zijn een belangrijke drijfveer geweest voor de verdere opkomst en ontwikkeling van de cyberverzekering. Door deze meldplichten werden bedrijven en organisaties niet alleen geconfronteerd met het risico op hoge notificatiekosten, maar ook tot (nog) meer compliance-druk in het versnipperde juridische landschap van de Amerikaanse privacywetten en beveiligingsnormen.
In Europa zijn vergelijkbare ontwikkelingen te zien. Het van toepassing worden van de AVG op 25 mei 2018 is daarvan een sprekend voorbeeld. Hoewel er vele verschillen bestaan tussen het Amerikaanse en Europese gegevensbeschermingsrecht, kent ook de AVG een meldplicht voor datalekken. De AVG bestaat verder uit veel open normen, bevat een boetebevoegdheid en benadrukt accountability. Ook de AVG leidt derhalve tot een extra compliance-druk, terwijl de open normen juist resulteren in onzekere juridische risico’s.
Een ander relevant kader voor cyberverzekeringen vormen de vele discussies en rechtszaken over dekking voor ‘cyberschade’ op traditionele polissen. Ook dit is een Amerikaanse aangelegenheid: in Nederland is mij op dit punt nog geen jurisprudentie bekend. In de Amerikaanse geschillen over dekking voor deze schade op traditionele polissen, is het in het overgrote deel van de gevallen de verzekerde die aan het kortste eind trekt. Verzekeraars hebben inmiddels standaarduitsluitingen voor cyberschade op de commercial general liability (CGL) polissen en de property-polissen opgenomen.
Als gevolg van deze combinatie van een toenemende compliance-druk, onzekerheid over juridische risico’s en standaarduitsluitingen op traditionele verzekeringen, ontstond er bij bedrijven en organisaties behoefte aan een nieuw verzekeringsproduct. Verzekeraars zijn daarop ingesprongen met de stand-alone cyberpolis: een hybride verzekering die dekking biedt voor privacyschendingen, schade door cybercriminaliteit, bedrijfsstilstand en aansprakelijkheid. Bovendien bieden deze verzekeringen incident-responsediensten aan als onderdeel van de dekking. Dit dekkingselement, in de vorm van dienstverlening, is tekenend voor de Amerikaanse oorsprong van de cyberverzekering. Deze dekking voorziet direct in de behoefte van organisaties die werd en wordt gedreven door de meldplicht datalekken.
Binnen het gegevensbeschermingsrecht bewegen cyberverzekeringen zich op dit moment op een vooral reactieve wijze. De nadruk ligt op het reageren op een incident door middel van het aanbieden van response services. In hoofdstuk II heb ik beargumenteerd dat er tussen de Verenigde Staten en Europa verschillen bestaan in de perceptie van het concept ‘privacy’ en in de wettelijke voorschriften voor het melden van datalekken. Tegen die achtergrond lijkt de nadruk van de cyberverzekering op incident response services in de Verenigde Staten vooral terug te voeren op de bescherming van de reputatie van bedrijven en het voorkomen van claims. In Europa (en dus ook Nederland) lijkt de behoefte aan deze dienstverlening eerder te zijn gelegen in de snelheid van de dienstverlening, gedreven door de plicht tot compliance met de AVG.
De rol van de cyberverzekering is in potentie echter groter. Door bewoordingen en voorschriften in de polisvoorwaarden kunnen cyberverzekeringen de invulling van open normen beïnvloeden, die bijvoorbeeld in de AVG veel voorkomen. Dit effect van verzekeringen is ook te zien bij traditionele risico’s, bijvoorbeeld bij het formuleren van risicoaansprakelijkheden (zie hoofdstuk I, paragraaf 2.1). Op dit punt is de cyberverzekering evenwel (nog) te bescheiden. Verzekeraars gebruiken in de polisvoorwaarden overwegend vage en open termen, bijvoorbeeld ten aanzien van beveiligingsmaatregelen. Hoewel dergelijke formuleringen technologieneutraal en daarmee mogelijk toekomstbestendig zijn, mist de cyberverzekering hiermee haar kans om bij te dragen aan het verder vormgeven van het juridische landschap op het gebied van het gegevensbeschermingsrecht en digitale beveiliging.
De belangrijkste kaders waarbinnen de cyberverzekering moet worden beschouwd, zijn kortom juridisch en niet-juridisch: het algemene verzekeringsrecht, het gegevensbeschermingsrecht en (ongeschreven) zorgplichten voor digitale beveiliging, alsmede de ontwikkeling van het uitsluiten van cyberschade in traditionele verzekeringspolissen, een en ander bezien tegen een Amerikaanse achtergrond.
Tot slot is er nog een bijzonder kader waarbinnen de cyberverzekering moet worden beschouwd en waarin de Amerikaanse achtergrond eveneens een rol speelt. Uit hoofdstuk V volgt dat het vooralsnog onduidelijk is waar de grens ligt tussen ‘normale’ cyberrisico’s en cyberrisico’s als oorlogs- of terrorismerisico’s. Dat veel cyberaanvallen door statelijke actoren worden uitgevoerd, is inmiddels bekend. Of en wanneer een aanval echter dient te worden gekwalificeerd als oorlogshandeling of ‘geweld’ in de zin van de internationale verdragen, dan wel als terrorisme, is een openstaande vraag. Anders dan in de meeste traditionele verzekeringsvoorwaarden, waarin standaard de Nederlandse term ‘molest’ wordt gebruikt om oorlogsrisico’s uit te sluiten, kennen de cyberverzekeringsvoorwaarden op dit punt verschillende clausules. In de van ‘molest’ afwijkende clausules is de Amerikaanse oorsprong van de cyberverzekering duidelijk terug te zien: zij zijn veelal vertalingen van in de Verenigde Staten gebruikelijke clausules om oorlogsschade uit te sluiten. Dit specifieke, maar belangrijke kader illustreert de grenzen van de verzekerbaarheid van cyberrisico’s.
Inhoud
Onder deze pijler schaarde ik de volgende deelvragen:
In welke verhouding staan cyberrisico’s tot het klassieke verzekeringsrecht?
In hoeverre zijn bestaande verzekeringsrechtelijke leerstukken in te passen in een digitale context?
Welke dekking biedt de cyberverzekering?
Welke preventieprikkels gaan er van de cyberverzekering uit?
Verhouding moderne risico’s en klassiek verzekeringsrecht
Cyberrisico’s verhouden zich anders tot het klassieke verzekeringsrecht dan traditionele risico’s zoals brand, waterschade en diefstal. Deze traditionele risico’s zijn min of meer voorspelbaar, calculeerbaar en vinden tot op zekere hoogte geïsoleerd plaats. Over brand als fenomeen is bijvoorbeeld veel bekend, de schade is voorspelbaar en te calculeren en brand vindt meestal slechts op één plek tegelijk plaats. Het komt niet vaak voor dat alle bedrijven op een bedrijventerrein tegelijk in brand vliegen, laat staan dat meerdere bedrijventerreinen verspreid over het land tegelijk vlamvatten. Dat geldt ook voor aansprakelijkheidsrisico’s, waarvoor verzekeringen een open basisdekking bieden. Het maakt daarbij dus niet uit wat precies de oorzaak van de schade is, het gaat om de aansprakelijkheid van de verzekerde.
Bij cyberrisico’s werkt dit anders. Cyberrisico’s zijn niet voorspelbaar, niet goed te calculeren en vinden (mogelijk) niet geïsoleerd plaats, maar kennen juist een cumulatief en daardoor potentieel catastrofaal karakter. Waar bij traditionele aansprakelijkheidsrisico’s een open basisdekking wordt geboden, is daarvan bij cyberverzekeringen slechts beperkt sprake. Het karakter van cyberrisico’s lijkt qua verzekerbaarheid meer op terrorismerisico’s, die, zo zet ik uiteen in hoofdstuk V, een geheel eigen verzekeringsregime kennen. De aard van cyberrisico’s maakt dat het adequaat en (financieel) verantwoord verzekeren daarvan onder druk komt te staan. De grens tussen wel-verzekerbare risico’s en niet-verzekerbare risico’s is bij cyber (nog) niet helder. Zoals blijkt uit hoofdstuk V, krijgen standaardbegrippen zoals molest in de context van cyber een andere betekenis. Het begrip ‘molest’ is met de huidige definitie niet goed te hanteren in de context van digitale risico’s.
De verhouding tussen cyberrisico’s en het klassieke verzekeringsrecht is daarom problematisch, met name op het punt van verzekerbaarheid. Waar de grenzen in beeld komen, zal de dialoog en wellicht ook de samenwerking moeten worden gezocht tussen verzekeraars en de overheid. Gelet op de mate waarin digitalisering in onze maatschappij is geïnternaliseerd, is het belangrijk dat er een compensatiemechanisme voor cyberschade blijft bestaan. Cyberschade is naar mijn mening niet absoluut onverzekerbaar, mits de juiste maatregelen worden getroffen, bijvoorbeeld door middel van een vergelijkbaar systeem als de Nederlandse Herverzekeringsmaatschappij voor Terrorisme (NHT).
Bestaande verzekeringsrechtelijke leerstukken in digitale context
Klassieke verzekeringsrechtelijke leerstukken, bijvoorbeeld uitleg van verzekeringsovereenkomsten, de bereddingsplicht en eigen schuld, kunnen in beginsel allemaal in een digitale context worden toegepast. In de kern komen deze leerstukken immers neer op een bijzondere toepassing van contractenrecht. De cyberverzekering is en blijft een contract. Specifiek voor de cyberverzekering is echter te voorzien dat zich bij de daadwerkelijke uitwerking van deze leerstukken knelpunten zullen voordoen. Deze knelpunten zijn met name gelegen in het gebrek aan consensus over de betekenis van gebruikte begrippen en het ontbreken van heldere cybersecuritynormen. Dit resulteert ontegenzeggelijk in uitlegdiscussies en belemmert een heldere invulling van gedragsnormen voor verzekerden, verzekeraars en tussenpersonen.
Aangezien er geen consensus bestaat over de betekenis van de in de cyberverzekering gebruikte begrippen en definities, kunnen cyberverzekeringen tot allerlei begrippendiscussies leiden. Dergelijke discussies vinden ook in een traditionele context plaats, bijvoorbeeld over de betekenis van ‘brand’ (is dat bijvoorbeeld ook verzenging, verschroeiing?),1 of ‘storm’ (omvat dat ook schade door hagel?),2 terwijl we in principe allemaal ‘weten’ wat brand en storm is. In hoofdstuk III laat ik zien hoe moeilijk het is om op basis van de polisvoorwaarden te definiëren wat het verzekerde evenement, een ‘cyberincident’, precies inhoudt. Ongetwijfeld zal men in de praktijk via de vaste uitlegregimes (zie ook hoofdstuk I, paragraaf 2.3.1) tot een resultaat kunnen komen, maar met zo weinig ankerpunten is dat geen gemakkelijke opgave. Een scherpomlijnde, puur taalkundige betekenis hebben de meeste in de cyberverzekering gebruikte begrippen niet. Een duidelijke betekenis van begrippen in de branche, of duidelijke branchegebruiken, bijvoorbeeld op het gebied van cybersecurity, ontbreken vaak evenzeer. Dit leidt tot vertroebeling van de omvang van de door de cyberverzekering geboden dekking, wat een remmende werking heeft op de ontwikkeling van de cyberverzekeringsmarkt. Intensief overleg tussen verzekeraars en bijvoorbeeld brancheorganisaties om uniforme(re) definities te creëren, kan een eerste aanzet zijn tot een oplossing van dit probleem. Daarnaast is denkbaar dat de wijze waarop verzekeraars met het probleem van silent cyber op traditionele polissen zullen omgaan, ook een bijdrage kan leveren aan een scherpere duiding van kernbegrippen in de cyberverzekering. Het gebruik van uitsluitingen van cyberschade op traditionele verzekeringen, bijvoorbeeld op de AVB-verzekeringen, zou als effect kunnen hebben dat het juist de traditionele verzekeringen zijn die uniforme betekenis geven aan cruciale begrippen zoals aan ‘cyberincident’: wat op de traditionele polis wordt uitgesloten, zou dan gedekt moeten zijn onder de cyberverzekering. Dergelijke uitsluitingen zijn echter nog niet (definitief) op de markt geïntroduceerd en bovendien blijft het de vraag in hoeverre deze clausules dan op de uiteenlopende begrippen in de huidige cyberverzekeringsvoorwaarden zullen aansluiten.
Naast grote onduidelijkheid over de definitie van gebruikte begrippen vormt ook het gebrek aan heldere securitynormen een probleem bij de uitwerking van klassieke verzekeringsrechtelijke leerstukken. In hoofdstuk IV heb ik laten zien hoe dit bij de leerstukken eigen schuld en bereddingsplicht duidelijk naar voren komt. In beide leerstukken gaat het om een samenspel tussen de eigen verantwoordelijkheid van een verzekerde partij en de verwachtingen die een verzekeraar op dat punt heeft. Uit de rechtspraak volgt dat de verzekerde een ruime beoordelingsvrijheid heeft, bijvoorbeeld ten aanzien van de vraag of zich een onmiddellijk dreigend gevaar voordoet en welke maatregelen de verzekerde vervolgens al dan niet moet treffen. Bij gebrek aan duidelijke securitynormen is het lastig om concrete invulling te geven aan deze verantwoordelijkheid van de verzekerde. Verzekeraars zouden die invulling zelf kunnen geven, door duidelijke vraagstellingen in de aanvraagfase en concrete voorschriften in de polisvoorwaarden. In hoofdstuk IV heb ik deze aanvraagformulieren en polisbepalingen onderzocht en geconstateerd dat algemene (security)maatstaven waaraan het gedrag van de verzekerde moet worden getoetst, of minimumeisen waaraan de verzekerde dient te voldoen, moeilijk uit het geheel van voorschriften kan worden afgeleid. Dit leidt ertoe dat de vraag wat een verzekerde wist of behoorde te weten, zich niet goed laat beantwoorden. Welke voorzorgsmaatregelen dus van een verzekerde (mochten) worden verwacht, en in hoeverre een verzekerde onmiddellijk dreigende gevaren dient te herkennen en maatregelen dient te treffen, blijkt nu niet. Dit kan tot complexe discussies leiden over de samenloop van (verzekeringsrechtelijke) eigen schuld en de bereddingsplicht. Deze moeizame norminvulling maakt ook de uitwerking van bijvoorbeeld het verzwijgingsleerstuk ingewikkeld, zoals ik in hoofdstuk III (paragraaf 5.1.1) heb laten zien. Dit geldt ook voor het leerstuk risicoverzwaring, zou dat zich voordoen.3
Tot slot zorgt ook de onstoffelijke aard van cyberrisico’s voor vragen, bijvoorbeeld ten aanzien van het leerstuk ‘eigen gebrek’. In hoofdstuk III (paragraaf 5.2.7) heb ik aan de hand van de uitsluiting voor slijtage laten zien dat in het klassieke verzekeringsrecht gebruikte begrippen zoals ‘zaak’ problematisch zijn in een digitale context. De rechtspraak met betrekking tot software en zaakschade in het verzekeringsrecht is zeer schaars en biedt weinig houvast voor de toepassing van het leerstuk ‘eigen gebrek’.4 Het verzekeringsrecht staat hierin niet alleen: ook daarbuiten zorgt het onstoffelijke karakter van cyber voor problemen.5
De aard van cyberrisico’s en de relatieve onbekendheid met de beheersing van die risico’s leiden er kortom toe dat aan op zichzelf goed doordachte en uitgewerkte leerstukken naar verwachting slechts moeizaam invulling kan worden gegeven. De rechtspraak zal daaraan in voorkomend geval vorm moeten geven. De verzekeringsbranche kan echter de onderliggende problemen, namelijk het gebrek aan richtlijnen voor norminvulling op het gebied van cybersecurity en aan eenduidige definities, ook op andere wijze aanpakken. Een standaard voor cybersecurity kan daartoe een vertrekpunt vormen, al is de kanttekening noodzakelijk dat standaarden of keurmerken altijd het risico van schijnveiligheid meebrengen. Daarnaast kennen standaarden en keurmerken een zekere starheid, die mogelijk niet goed past bij de veranderlijke aard van cyberrisico’s. Dergelijke standaardisering kan echter wel leiden tot helderdere verwachtingen van verzekeraars en verzekerden over en weer met betrekking tot de invulling van de eigen verantwoordelijkheden. Bovendien kan standaardisering resulteren in een betere harmonie tussen cybersecurity, acceptatie-eisen van verzekeraars en voorschriften in de polisvoorwaarden. Op basis van een breed gedragen standaard zou immers een betere risicoclassificering kunnen worden toegepast. Vanuit het Centrum voor Criminaliteitspreventie en Veiligheid is reeds een publiek-private samenwerking gestart, waaraan ook het Verbond van Verzekeraars deelneemt, met als doel om een risicomodel en keurmerk voor cybersecurity te ontwikkelen.6 Het risicoclassificeringsmodel is reeds gelanceerd.7
Dekking van de cyberverzekering
In hoofdstuk III heb ik de omvang van de dekking van de cyberverzekering uitgebreid weergegeven. Daaruit is gebleken dat een eenduidig antwoord op de vraag welke dekking de cyberverzekering verschaft, niet goed te geven is. De exacte dekkingsomvang verschilt sterk per verzekeraar. Zoals uit hoofdstuk III volgt, kunnen kleine verschillen op detailniveau leiden tot grote verschillen in de dekkingsomvang.
In grote lijnen biedt de ‘gemiddelde’ cyberverzekering dekking voor de volgende schade:
Incident-responsediensten bij een cyberincident, waaronder IT-forensisch onderzoek, juridische experts en reputatieadviseurs;
Herstelkosten gegevens en netwerk;
Boetes opgelegd door een toezichthouder, zoals de Autoriteit Persoonsgegevens;
Bedrijfsschade;
Schade door cybercriminaliteit, waaronder betaald losgeld bij ransomware;
Schade door telefoonhacking;
PCI-DSS kosten;
Schadevergoeding vanwege een privacy-incident;
Schadevergoeding vanwege onvoldoende netwerkbeveiliging;
Schadevergoeding vanwege multimedia-aansprakelijkheid;
Kosten van verweer.
Waar het lastig is om op detailniveau de dekkingsomvang exact weer te geven, is meer op macroniveau zeker een aantal aspecten aan te wijzen dat de cyberverzekering karakteriseert. Een van deze kenmerken is het hybride karakter. De cyberverzekering biedt zowel dekking voor first-partyschade als voor third-partyschade. Daarnaast zijn kenmerkende dekkingselementen de incident-responsediensten en de dekking voor schade door criminaliteit en fraude. De cyberverzekering omvat derhalve elementen van veel verschillende traditionele verzekeringen en dat is terug te zien in de wijze waarop de polisvoorwaarden zijn opgesteld. Een voorbeeld daarvan is de polistechniek van het discovery-systeem, dat vaak in traditionele fraudepolissen is te vinden. De cyberverzekering combineert deze polistechniek met (elementen uit) het claims-madesysteem, dat vaak in traditionele AVB-verzekeringen voorkomt.
De cyberverzekering bevat twee dekkingselementen die de bijzondere aandacht van de media en de politiek hebben getrokken: de dekking voor de boete die op grond van de AVG kan worden opgelegd en de dekking voor betaald losgeld bij ransomware-aanvallen. Het bieden van dekking voor deze schadeposten, met betaald losgeld, heeft tot gefronste wenkbrauwen geleid. Vanuit juridisch perspectief zie ik, gelet op de contractsvrijheid, echter vooralsnog noch voor boetes, noch voor betaald losgeld een belemmering om deze dekking te (blijven) aanbieden. Sterker nog, voor bedrijven en organisaties vormt de AVG-boete een grote juridische onzekerheid en ransomware een reële bedreiging voor de bedrijfscontinuïteit. Een laatste vangnet door middel van een verzekering is dan ook van grote meerwaarde, mits voldoende wordt gewaarborgd dat bedrijven deze verzekeringsdekking niet gaan beschouwen als een totaaloplossing. Uiteraard dienen verzekeraars daarbij ook de sanctiewetgeving in het achterhoofd te houden.
Preventieprikkels
Verzekeringen worden verondersteld te kunnen bijdragen aan de maatschappelijke veiligheid. Verzekeraars schrijven immers vaak bepaalde beveiligingsmaatregelen voor om de kans dat het verzekerde voorval plaatsvindt en de verzekeraar tot uitkering is gehouden zoveel mogelijk te verkleinen en het moreel risico te beperken. Een voorbeeld is de diefstalverzekering die een bepaald type slot voorschrijft als voorwaarde voor dekking.
Ook de cyberverzekering heeft de potentie om bij te dragen aan het verhogen van het niveau van cybersecurity. De preventieprikkels kunnen zijn gelegen in voorschriften in de polisvoorwaarden, zoals de voornoemde diefstalverzekering doet, maar ook in de voorfase van het afsluiten van de verzekering (de aanvraagfase). De verzekeraar kan immers een bepaald instapniveau van beveiliging eisen voordat hij überhaupt een overeenkomst wil aangaan.
In hoofdstuk IV ben ik ingegaan op de eisen die verzekeraars stellen in de voorfase en op de maatregelen die zij in de polisvoorwaarden voorschrijven. Daarbij valt op dat de verschillende verzekeraars de aanvraagfase (het proces van underwriting) op uiteenlopende wijzen hebben ingericht. De mate waarin informatie wordt vergaard en het te verzekeren risico wordt beoordeeld, verschilt dus per verzekeraar. Uit de aanvraagformulieren volgt dat verzekeraars in de voorfase aandacht besteden aan zowel technische als organisatorische maatregelen. De vragen beperken zich echter veelal tot simpele basismaatregelen zoals een firewall of een virusscanner. Heel concreet worden zij niet. Een voorbeeld is het vereiste van het maken van back-ups. De frequentie daarvan wordt niet altijd gevraagd, terwijl dit belangrijke informatie is over de kracht van de getroffen beveiligingsmaatregelen, zeker tegen ransomware-aanvallen. Waar dit wel wordt gevraagd, verschilt de vereiste frequentie van dagelijks tot maandelijks. Hetzelfde geldt voor patches. Met betrekking tot organisatorische maatregelen stelt een aantal verzekeraars weliswaar vragen, maar ook die vragen blijven aan de oppervlakte. De mate waarin daadwerkelijk bruikbare informatie over het niveau van cybersecurity wordt verkregen, is daardoor discutabel. De beveiligingsvoorschriften die in de polisvoorwaarden zelf zijn opgenomen, zijn meestal nog vager geformuleerd dan de vragen in de voorfase, bijvoorbeeld het voorschrift dat de verzekerde ‘redelijke voorzorgsmaatregelen’ moet treffen. Strikte clausules, waarin beveiliging is voorgeschreven als voorwaarde voor dekking (c.q. op straffe van verval van dekking), komen opvallend weinig voor.
Actoren
Ten aanzien van deze pijler formuleerde ik de volgende deelvragen:
Welke verantwoordelijkheden met betrekking tot cyberrisico’s rusten er op de verschillende actoren binnen de verzekeringsmarkt?
In hoeverre leidt de cyberverzekering tot een andere invulling van die verantwoordelijkheden?
De actoren die ik in dit proefschrift heb onderzocht zijn de verzekeraar, de verzekerde en het intermediair. Zij spelen de hoofdrol bij de verzekeringsovereenkomst. In mindere mate heb ik gekeken naar de overheid, de IT-leverancier en de bij cyberincidenten betrokken experts. Met het oog op de beantwoording van de hoofdvraag beperk ik mij in deze deelvraag tot de verantwoordelijkheden van verzekeraar, verzekerde en intermediair. Op al deze spelers rust een verantwoordelijkheid. Juridisch vertaald vormt die verantwoordelijkheid een zorgplicht.
Op de verzekerde rust de plicht om te zorgen voor een goede cybersecurity, waaronder een adequate gegevensbescherming.8 Bedrijven en organisaties moeten zich inspannen om de beschikbaarheid, integriteit en vertrouwelijkheid van systemen en gegevens zoveel mogelijk te waarborgen. Dit is te meer het geval omdat veelal sprake is van een keten van bedrijven. Komt een bedrijf zijn zorgplicht niet na, dan lijdt een ander bedrijf daardoor mogelijk schade.
In het kader van het verzekeringsrecht rusten op de verzekerde verschillende verplichtingen, die ik niet uitputtend zal bespreken. Bij het aangaan van de verzekeringsovereenkomst heeft de verzekerde een mededelingsplicht (artikel 7:928 BW). De verzekerde moet alle feiten mededelen waarvan hij weet of behoort te weten dat de beslissing van de verzekeraar om de overeenkomst aan te gaan, afhangt. Op het moment dat het verzekerde risico zich heeft verwezenlijkt, is de verzekerde verplicht om de schade zoveel mogelijk te beperken (artikel 7:957 BW) en moet hij alle inlichtingen en bescheiden verschaffen waarmee de verzekeraar de uitkeringsplicht kan beoordelen (artikel 7:941 BW).
Op de verzekeraar rust een generieke zorgplicht ex artikel 4:24a Wft, op grond waarvan de verzekeraar op zorgvuldige wijze de gerechtvaardigde belangen van de klant in acht moet nemen of, indien wordt geadviseerd, in het belang van de klant moet handelen.9 Deze zorgplicht reikt niet verder dan de civielrechtelijke zorgplicht die op de verzekeraar rust, maar hoe die civielrechtelijke zorgplicht precies luidt, blijkt niet uit het Burgerlijk Wetboek.10 Dat op de verzekeraar een zorgplicht rust, volgt uit de jurisprudentie11 en indirect uit specifieke bepalingen in titel 7.17 BW.12 In de jurisprudentie over schadeverzekeringen is meermaals aangenomen dat, met name met betrekking tot verval van dekking, op de verzekeraar een waarschuwingsplicht rust.13 De omvang van deze zorgplicht is afhankelijk van de omstandigheden van het van geval, bijvoorbeeld van het type verzekering dat de verzekeraar aanbiedt. De informatie-asymmetrie tussen verzekeraar en verzekerde, alsmede het belang van bedrijven en organisaties dat schade daadwerkelijk gedekt is onder de afgesloten verzekering, vormen daarbij belangrijke aspecten.
Op het intermediair (assurantietussenpersonen) rust eveneens een zorgplicht. De zorgplicht van de assurantietussenpersoon heb ik uitgebreid toegelicht in hoofdstuk VI van dit proefschrift. Net als ten aanzien van verzekeraars vloeit die zorgplicht voort uit zowel publiekrechtelijke regelgeving (Wft) als uit civielrechtelijke normen (BW). De civielrechtelijke zorgplicht volgt uit de overeenkomst van opdracht die de assurantietussenpersoon heeft gesloten met zijn klant, de uiteindelijke verzekerde. De tussenpersoon dient op grond van artikel 7:401 BW de zorg van een goed opdrachtnemer in acht te nemen: hij dient zich te gedragen zoals dat van een redelijk bekwaam en redelijk handelend beroepsgenoot mag worden verlangd.14 De invulling van deze zorgplicht is een samenspel van onderzoeks-, informatie- en waarschuwingsplichten. Onbegrensd is deze zorgplicht niet. Er dient voor de tussenpersoon een concrete aanleiding te bestaan om actie te ondernemen.
De zorgplichten van deze actoren zijn ontwikkeld aan de hand van traditionele verzekeringen. Uit de voorgaande paragrafen blijkt dat de cyberverzekering zich op verschillende punten van deze traditionele verzekeringen onderscheidt. De vraagt rijst dan ook of de cyberverzekering leidt tot een andere invulling van deze zorgplichten. Dat is mijns inziens het geval en wel met name voor de verzekeraar en het intermediair.
In hoofdstuk II heb ik beargumenteerd dat er voor verzekeraars een groeimogelijkheid ligt in het aanbieden van pre-breach services. Voorbeelden daarvan zijn ‘cyber health checks’, contractmanagement, bewustwordingstrainingen, ontwikkelen van cybernoodplannen, et cetera. Met meer focus op preventie snijdt het mes aan twee kanten: verzekeraars krijgen meer inzicht in en controle over de risico’s van de verzekerde, mitigeren daarmee de kans dat het verzekerde risico zich verwezenlijkt en kunnen beter optreden indien die verwezenlijking zich onverhoopt toch voordoet. Voor de verzekerde kan deze dienstverlening bijdragen aan compliance en een betere cyberweerbaarheid. Deze verschuiving van reactief naar preventief past bij uitstek bij de aard van de cyberverzekering en sluit bovendien aan bij de maatschappelijke functie van verzekeringen. Dit vergt een actievere houding van de verzekeraar: verzekeraars worden steeds meer ‘compliance managers’ van de verzekerde bedrijven en organisaties. In de Verenigde Staten is deze trend breed gesignaleerd en ook in Nederland wordt dit opgemerkt.15 Wansink pleitte al in 2003 voor een actievere houding van de verzekeraar ter bescherming van de verzekerde.16 Gelet op het specialistische karakter van de cyberverzekering en de kennisvoorsprong die verzekeraars vaak hebben ten opzichte van hun verzekerden, geldt dat thans des te meer.
Naast deze accentverschuiving vraagt ook de in de cyberverzekering geboden dekking voor incident- responsediensten om een andere houding van de verzekeraar. De cyberverzekering vormt een toegangspoort naar allerlei dienstverlening die de verzekerde zelf wellicht niet zou inschakelen, bijvoorbeeld krediet- en identiteitsmonitoring. Met deze incident-responsedienstverlening heeft de verzekeraar een directe hand in de bedrijfsvoering van de verzekerde; de verzekeraar geeft vorm aan (een gedeelte van) de compliance van het verzekerde bedrijf. Deze taakinvulling vraagt om een intensievere samenwerking en heldere communicatie tussen verzekeraar en verzekerde. In hoofdstuk IV heb ik dan ook beargumenteerd dat verzekeraars hun verzekerden meer bij de hand zouden moeten nemen en onduidelijke polisvoorwaarden moeten concretiseren. Dit laat de eigen verantwoordelijkheid en de verplichtingen die op de verzekerde rusten onverlet. Door de aard en inhoud van de cyberverzekering trekt de verzekeraar evenwel een taak naar zich toe. Het is dan ook aan de verzekeraar om de verzekerde zoveel mogelijk sturing te geven.17
Ook bij het intermediair leidt de cyberverzekering tot een herwaardering van de taakuitvoering van de assurantietussenpersoon. In hoofdstuk VI heb ik betoogd dat, gelet op de wezenlijke rol die ICT en internet spelen in de bedrijfsvoering van bedrijven en organisaties, van de assurantietussenpersoon een actievere houding mag worden verwacht. Het enkele feit dat een bedrijf of organisatie zelf mogelijk niet weet dat bepaalde risico’s kunnen worden verzekerd, disculpeert de assurantietussenpersoon niet van diens zorgplicht. In het geval van cyberrisico’s zou ik zelfs zeggen: integendeel. Cyberrisico’s zijn reëel en de verzekeringsmogelijkheden in Nederland zijn de laatste jaren toegenomen.18 De tussenpersoon zal zich moeten verdiepen in de aard en inhoud van de cyberverzekering, actief bij zijn relaties moeten informeren naar de aanwezige risico’s en hen moeten wijzen op de verzekeringsmogelijkheden.