Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/IV.4.2.1
IV.4.2.1 Herkennen van onmiddellijk dreigende digitale gevaren
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278833:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Mits uiteraard sprake is van een gedekt risico.
Het Rathenau Instituut noemt dit zelfs “de inherente onveiligheid van ICT”. G. Munnichs e.a., Een nooit gelopen race - Over cyberdreigingen en versterking van weerbaarheid, Den Haag: Rathenau Instituut 2017, p. 29.
J. Schellevis, ‘Chips in computers en smartphones vatbaar voor ernstige lekken’, NOS 4 januari 2018
H. Donkers & J. Koedijk, Maak legacy klaar voor de toekomst: Inventarisatie en aanzet tot praktische acties, rapportage KPMG, december 2015.
CBS 2018, p. 20-21. Vergelijk bijvoorbeeld de asbestsaneringsadviseur die woningcorporatie Staedion had ingeschakeld; HR 30 november 2007, NJ 2007/641 (Staedion).
HR 30 november 2007, NJ 2007/641 (Staedion) en HR 2 mei 1997, NJ 1998/281 (Forbo ‘Novilon’).
Dit voorbeeld is te vergelijken met de zaak die is beoordeeld door de rechtbank Amsterdam, 28 augustus 2013, ECLI:NL:RBAMS:2013:6781. Daarin deed zich een dergelijke situatie voor in ‘analoge’ zin: de integrale vervanging van de installatie was de enige oplossing om de installatie weer goed te laten functioneren. Van bereddingskosten was echter geen sprake wegens een herstelclausule in de polisvoorwaarden. Zie bijvoorbeeld ook de uitspraak van de Raad van Toezicht RvT II-81/19, genoemd in M.L. Hendrikse, Eigen schuld, bereddingskosten en medewerkingsplicht in het schadeverzekeringsrecht (diss.), Deventer: Kluwer 2002, p. 178.
Dit voorbeeld is niet onrealistisch, zoals de kwetsbaarheden in de chips van Intel (Spectre en Meltdown) aantonen.
HR 30 november 2007, NJ 2007/641 (Staedion).
Bijvoorbeeld Heartbleed en Shellshock 2014, Stagefright en Ghost in 2015, Drown in 2016.
Rechtbank Den Haag 30 mei 2018, ECLI:NL:RBDHA:2018:6310.
Zie bijvoorbeeld S. van Voorst, ‘Meltdown en Spectre – Q&A’, Tweakers 4 januari 2018,
Vergelijk in dit kader rechtbank Amsterdam 28 augustus 2013, ECLI:NL:RBAMS:2013:6781 ten aanzien van de kosten van vervanging van een installatie: “Voor deze herstelkosten geldt immers […] dat zij zijn gemaakt in het belang van de bedrijfsvoering van Wupperman en niet strekten ter afweer van een onmiddellijk dreigend gevaar of bestrijding van een acute schadeoorzaak.” (r.o. 2.5.3).
Supra noot 31.
Als geen sprake is van onmiddellijk dreigend gevaar, is evenmin sprake van een bereddingsplicht van de verzekerde, noch van een vergoedingsplicht van de verzekeraar. De bekendheid van de verzekerde met het onmiddellijk dreigende gevaar wordt tot op zekere hoogte geobjectiveerd. Het gaat er dus om wat de verzekerde behoorde te weten.
In traditionele situaties kan een onmiddellijk dreigend gevaar evident aanwezig zijn: als een plafond al krakend en piepend op instorten staat, mag een behoorlijke en zorgvuldige verzekerde in redelijkheid aannemen dat sprake is van een situatie waarin hij dient te beredden en waarin de daaraan verbonden kosten op de verzekeraar kunnen worden verhaald.1 Bij digitale risico’s is een dergelijk onmiddellijk dreigend gevaar minder eenvoudig vast te stellen. Hierdoor is het onduidelijk wanneer een verzekerde van een dergelijk risico op de hoogte behoort te zijn.
Het belang van (digitale) gevaarherkenning moet niet worden onderschat. Het merendeel van de bedrijfsprocessen wordt tegenwoordig automatisch (digitaal) uitgevoerd. Dat ICT nooit 100% beveiligd is, wordt als een vaststaand gegeven aangenomen2 en blijkt ook uit een lange reeks van structurele kwetsbaarheden. Spectre/Meltdown in de processors van Intel en Stagefright in het Android besturingssysteem van Google zijn daarvan sprekende voorbeelden.3 Kwetsbare systemen komen des te meer voor bij bedrijven en organisaties die gebruik maken van zogeheten legacy systems.4 Dit zijn oude systemen die lastig te vervangen zijn, bijvoorbeeld doordat de verrichte diensten permanent beschikbaar moeten blijven (denk aan de systemen van ziekenhuizen of overheden). De systemen zijn vaak in de loop der jaren gefaseerd opgebouwd en aan elkaar geknoopt, waardoor er een grote onderlinge verwevenheid bestaat en vervanging wordt bemoeilijkt. Legacy systems veroorzaken evenwel problemen, omdat nieuwe beveiligingssoftware en patches daarmee niet altijd compatibel zijn. Deze oude systemen worden dus steeds kwetsbaarder.
Daarvan uitgaande werken alle organisaties – zeker bij gebruik van legacy systems – figuurlijk gezien met een krakend en piepend plafond, waarvan het niet de vraag is of dat een keer zal instorten, maar wanneer. Indien een deel daarvan daadwerkelijk dreigt te gaan afbrokkelen of lekken, is sprake van een situatie van onmiddellijk dreigend gevaar en zal de verzekerde in actie moeten komen. Deze gevaren zijn echter virtueel en derhalve niet zomaar zichtbaar. Een gemiddelde verzekerde zal deze gevaren dan ook lang niet altijd zelf herkennen en zal daarbij afgaan op het oordeel van een deskundige.
Veel bedrijven hebben hun ICT-beheer uitbesteed aan een derde die, gezien het verschil in kennisniveau, als deskundige kan worden aangemerkt.5 De verzekerde mag zich bij het inschatten van de potentieel gevaarlijke situatie laten leiden door het advies van een deskundige.6 Als de IT-deskundige aangeeft dat zich een ernstige, kritieke kwetsbaarheid voordoet in de systemen van verzekerde, die enkel met grootschalige ‘sanering’ van de digitale systemen is op te lossen,7 mag een zorgvuldige en behoorlijk handelende verzekerde dan in redelijkheid aannemen dat sprake is van een onmiddellijk dreigend gevaar en maatregelen treffen die als bereddingskosten onder de verzekering kunnen worden gebracht?8 Een aantal cyberverzekeraars heeft de kosten die voortvloeien uit het verwijderen van fouten en kwetsbaarheden in software expliciet uitgesloten. Het merendeel benoemt dit evenwel niet.
In het Staedion-arrest uit 2007 deed zich een vergelijkbare discussie voor ten aanzien van preventieve asbestsaneringskosten en de vraag of deze als bereddingskosten onder de AVB-verzekering konden worden gebracht.9 Het gerechtshof beantwoordde die vraag bevestigend en wees daarbij onder andere op het advies dat Staedion had gekregen van de door haar ingeschakelde deskundige. De Hoge Raad liet dit oordeel in stand.
Dit arrest verruimt de reikwijdte van de bereddingskosten. In een digitale context zijn de gevolgen voor verzekeraars echter niet te overzien indien verzekerden veelvuldig ‘saneringskosten’ als gevolg van kwetsbaarheden als bereddingskosten onder de verzekering zouden weten te brengen. De voorbeelden Spectre en Meltdown, die de veiligheid van miljoenen apparaten aantasten, sluiten aan bij een lange reeks van kwetsbaarheden en zullen ook zeker niet de laatste zijn. 10 Er zal dus ergens een grens moeten worden getrokken.
Cyberverzekeraars kunnen op dit punt steun vinden in de uitspraak van de Rechtbank Den Haag in de zaak Samsung/Consumentenbond.11 De Consumentenbond vorderde daarin een verklaring voor recht dat Samsung in strijd met de wet/zorgvuldigheid handelde door smartphones niet snel en lang genoeg van updates te voorzien, zelfs niet als Google kwetsbaarheden in Android als ‘kritiek’ heeft aangemerkt (zoals Stagefright). De rechtbank wees de vorderingen van de Consumentenbond evenwel af, mede omdat de Consumentenbond onvoldoende had aangetoond dat een door Google als kritiek aangemerkte kwetsbaarheid zonder meer leidde tot een daadwerkelijk gevaar voor consumenten. Daarbij nam de rechtbank ook in aanmerking dat het niet gemakkelijk was om misbruik te maken van de kwetsbaarheid. Dit vergde volgens Samsung een grote investering in tijd, inspanning en knowhow. Bovendien was er – voor zover bekend – nog geen feitelijk misbruik van het lek gemaakt.
Deze laatste omstandigheden doen zich vaker voor bij kwetsbaarheden, bijvoorbeeld ook bij Spectre en (met name) Meltdown.12 De benadering van de rechtbank in de Samsung-zaak geeft er blijk van dat er juridisch gezien anders naar digitale risico’s wordt gekeken dan technisch gezien. Waar in technische zin sprake kan zijn van een ‘kritieke kwetsbaarheid’, bijvoorbeeld omdat apparaten van afstand zijn over te nemen of de kern van het besturingssysteem kan worden geraakt, hoeft er in juridische zin nog geen sprake te zijn van een reëel gevaar. Er zou juridisch gezien dan ook betoogd kunnen worden dat er bij kritieke kwetsbaarheden niet direct sprake is van een ‘onmiddellijk dreigend gevaar’. Maatregelen die de verzekerde in zo’n geval treft, zijn niet ten bate van de verzekeraars genomen, maar ten bate van de verzekerden zelf. Van een vergoedingsplicht zijdens verzekeraars is dan geen sprake.13
Een dergelijke risicobenadering staat echter haaks op de inspanningen van zowel private als publieke partijen om het (cyber)risicobewustzijn te verhogen.14 Daarnaast strookt dit niet met de ernst van de mogelijke gevolgen van cyberrisico’s, die – zoals in de inleiding van dit artikel geschetst – verstrekkend kunnen zijn. Gezien het bijzondere karakter van deze risico’s kan men zich dan ook afvragen of dit huidige juridische toetsingskader wel in alle gevallen tot een gewenste uitkomst leidt.