De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.7:III.3.7 Boetes

De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.7

III.3.7 Boetes

Documentgegevens:

mr. N.M. Brouwer, datum 01-06-2021

Datum: 01-06-2021
Auteur: mr. N.M. Brouwer
JCDI: JCDI:ADS278801:1
Vakgebied(en): Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering

Sinds de inwerkingtreding van de AVG heeft de AP een forse boetebevoegdheid gekregen. Op grond van artikel 83 AVG kan de AP boetes opleggen van maximaal twintig miljoen euro, of vier procent van de wereldwijde omzet. De omvang van deze boetes heeft voor nogal wat reuring gezorgd. Vooralsnog vallen de frequentie en de omvang van de opgelegde boetes echter te overzien.1 De opgelegde boetes zijn bovendien in beroep niet altijd houdbaar gebleken.2

Vrijwel alle cyberverzekeringen op de Nederlandse markt bieden dekking voor deze boetes.3 Deze clausules zijn bij de meeste verzekeraars terug te vinden onder de rubriek ‘aansprakelijkheid’.4 In vrijwel alle gevallen is opgenomen dat dekking voor boetes wordt verleend, ‘voor zover dit wettelijk is toegestaan’ of ‘voor zover wettelijk verzekerbaar’:

“Boetes

Voor zover deze wettelijk verzekerbaar zijn, zijn bestuurlijke boetes en bijbehorende kosten gedekt in verband met een bestuurlijke maatregel die een verzekerde wettelijk verplicht is te betalen.”5

Een voorbeeld van een wat meer cryptische omschrijving van een dergelijke polisbepaling is de volgende bepaling:

“De verzekeraar dekt, binnen het verzekeringsgebied aangegeven op het polisblad:

[…]

6. Wettelijke vergoedingen en boetes

de aansprakelijkheid van verzekerde in verband met:

a. wettelijke vergoedingen, (bestuursrechtelijke-) boetes, maar alleen voor zover wettelijk verzekerbaar; […]”6

De overgrote meerderheid van de cyberverzekeraars op de Nederlandse markt is op dit moment dus bereid om de door de AP opgelegde boete te vergoeden (uiteraard binnen de maximaal verzekerde som en in een enkel geval binnen de sublimiet).

Of dat wettelijk is toegestaan, blijft de vraag. Het verzekeren van boetes is mogelijk in strijd met de integriteitsnormen zoals genoemd in artikel 4:11 Wft. Daarnaast kan sprake zijn van strijd met de goede zeden of de openbare orde in de zin van artikel 3:40 BW.7 Indien dat het geval is, is de overeenkomst nietig.8

Artikel 3:40 BW vormt een begrenzing van het uitgangspunt van contractsvrijheid. Dit artikel wordt derhalve met terughoudendheid toegepast.9 Een overeenkomst kan naar inhoud of strekking in strijd zijn met de goede zeden of openbare orde. Noch het begrip ‘goede zeden’, noch ‘openbare orde’ laat zich gemakkelijk concretiseren. De invulling daarvan kan immers naar tijd en plaats verschillen.10 Of een overeenkomst naar inhoud of strekking daarmee strijdig is, dient te worden beoordeeld naar de specifieke omstandigheden van het geval.11 Dit gegeven maakt een sluitende analyse van dit vraagstuk complex.12 Niettemin zijn in dit kader wel enkele overwegingen te geven.

Het verzekeren van civielrechtelijke boetes is in de regel (vaak tegen extra premie) toegestaan, terwijl het verzekeren van strafrechtelijke boetes niet wordt geduld. Toen de Zweedse verzekeraar Bisso in 2006 een verkeersboeteverzekering introduceerde, hield de Minister van Justitie dat tegen onder dreiging met een kort geding.13 Het verzekeren van strafrechtelijke boetes druist in tegen het punitieve karakter van deze boetes. Verzekeringsdekking neemt de prikkel om dergelijk ongewenst niet te vertonen weg en doorkruist de bestraffing die plaatsvindt bij overtreding van wettelijke voorschriften. De partijen bij de verzekeringsovereenkomst zijn zich daar bovendien van bewust. De belangen van – in het geval van Bisso – verkeersveiligheid die met wettelijke verkeersregels worden beschermd, zijn zodanig dat het afschrikwekkend effect van de handhaving daarvan, onder andere door middel van boetes, dient te worden gewaarborgd.

Bij bestuursrechtelijke boetes, zoals de boetes onder de AVG, ligt dat anders. Van een zuiver punitief karakter is daarbij immers geen sprake.14 De boete uit hoofde van de AVG dient ‘doeltreffend, evenredig en afschrikwekkend’ te zijn om de naleving van AVG te handhaven.15 De AVG schrijft verschillende verplichtingen voor, waaronder de verplichting tot het treffen van passende technische en organisatorische maatregelen.16 Het is geen gegeven dat verzekeringsdekking voor (een deel van) de boete deze prikkel wegneemt of doorkruist. Zowel in de acceptatiefase als tijdens de looptijd van de verzekering kan de verzekeraar dezelfde of zelfs nog strengere eisen stellen aan het gedrag van de verzekerde als de AVG voorschrijft. Verzekeringen dragen daarmee in potentie bij aan een hoger niveau van gegevensbescherming en cybersecurity. Hoewel uit hoofdstuk IV zal blijken dat verzekeraars op dit punt nog stappen kunnen zetten, acht ik verzekeringsdekking voor deze bestuurlijke boete niet zonder meer in strijd met artikel 3:40 BW. Dit zal per geval moeten worden beoordeeld.

Op dit moment is er geen jurisprudentie over de mate waarin bestuursrechtelijke boetes rechtsgeldig zijn te verzekeren.17 Ook de jurisprudentie uit andere landen, zoals de Verenigde Staten en het Verenigd Koninkrijk, biedt daarbij weinig aanknopingspunten. In de Verenigde Staten is bijvoorbeeld veelvuldig geprocedeerd en geschreven over de vraag of punitive damages verzekerbaar zijn, maar het beeld daarvan is zeer wisselend.18 In het Verenigd Koninkrijk is geprocedeerd over de vraag of een boete onder de Competition Act kon worden afgewenteld op de (aansprakelijkheidsverzekeraars van de) bestuurders van het beboete bedrijf.19 Dit (negatief luidende) oordeel is echter zodanig verweven met specifieke common law beginselen,20 dat dit weinig bruikbare handvatten biedt voor de Nederlandse situatie.21

Zolang er geen jurisprudentie bestaat of openbare statements van bijvoorbeeld de regering waaruit het tegendeel blijkt, is het uitgangspunt op dit moment, gelet op het beginsel van contractsvrijheid, dat de AVG-boete in Nederland rechtsgeldig is gedekt onder de cyberverzekering.

Uiteraard is dit niet het geval indien sprake is van opzet van de verzekerde. Op grond van artikel 7:952 BW kan schade die door opzet van de verzekerde is ontstaan, niet worden verzekerd. Ook in de polisvoorwaarden is dekking in die gevallen veelal uitgesloten.22 Verzekerden kunnen de AVG echter ook zonder opzet en soms zelfs onbewust overtreden. De AVG bevat zodanig veel open normen dat dit voor veel bedrijven en organisaties onzekerheid oplevert, zeker nu op overtreding van deze open normen een boete staat. Bedrijven die een AVG-boete opgelegd krijgen, zijn niet altijd bewust in overtreding. Een voorbeeld is de boete van € 525.000,- die in december 2019 door de Autoriteit Persoonsgegevens werd opgelegd aan de tennisbond KNLTB.23 De KNLTB heeft beroep ingesteld tegen dit boetebesluit, omdat hij altijd conform het advies van meerdere (privacy)deskundigen stelt te hebben gehandeld en er onder andere daardoor van uitging dat aan de voorschriften uit de AVG werd voldaan.24

In dit voorbeeld is sprake van een hoge boete voor een organisatie die niet bewust laakbaar stelt te hebben gehandeld, maar ‘slachtoffer’ stelt te zijn geworden van een onduidelijke wet en een strikte handhaver. In die gevallen is opzet in de zin van artikel 7:952 BW, enigszins afhankelijk van de concrete omstandigheden, waarschijnlijk niet aan de orde. Dit maakt de AVG-boete een dermate onzeker risico, dat een verzekeringsmogelijkheid een wenselijke – en naar mijn mening wettelijk toegestane – oplossing kan vormen en die mede daarom ook niet in strijd komt met artikel 3:40 BW. Dit is temeer het geval nu de cyberverzekering ook dekking biedt voor kosten van verweer bij een bestuurlijke maatregel. In §4.2.3 ga ik daarop nader in.

Meer helderheid op dit punt is evenwel gewenst. De Europese Organisatie voor Economische Samenwerking en Ontwikkeling (‘OESO’) heeft inmiddels een terechte oproep gedaan aan overheden en toezichthouders om meer duidelijkheid te verschaffen over de verzekerbaarheid van boetes, waarbij rekening moet worden gehouden met de mogelijkheid dat een verzekerde partij niet altijd bewust nalatig is geweest.25

Toon alle voetnoten

Voetnoten

Voetnoten

Zie voor een uitgebreid overzicht van de stand van zaken rondom de boetes in 2019: H.W. Roerdink & C.A.M. van der Bunt, ‘Boetes onder het regime van de AVG’, P&I 2019/6, p. 252-263.

Zie bijvoorbeeld de vernietiging van het boetebesluit van de Autoriteit Persoonsgegevens tegen VoetbalTV (€ 575.000,-), Rb. Midden-Nederland 23 november 2020, ECLI:NL:RBMNE:2020:5111. Eenzelfde lot lijkt de aan de KNLTB opgelegde boete beschoren, zie M. Jansen, ‘KNLTB-boete: wie kaatst kan de bal verwachten of toch een misslag?’, Computerrecht 2020/180, p. 312-322.

Op het moment van schrijven (2020) niet: Avéro, Interpolis, Centraal Beheer (allen Achmea).

Helemaal zuiver lijkt mij dat niet. Boetes en aansprakelijkheid zijn twee zeer verschillende dingen. De boetes zoals bedoeld in de cyberverzekeringen hangen sterk samen met privacy-inbreuken. Bovendien zijn boetes m.i. first-partyschades. Om die twee redenen heb ik de paragraaf over boetes onder first-party geplaatst.

Amlin.

CNA. Een kritische beschouwing van deze laatste bepaling laat de lezer in verwarring achter: wat is hier nu gedekt? Aansprakelijkheid wegens een bestuurlijke boete, voor zover wettelijk verzekerbaar? Er lijkt te zijn beoogd om dekking te bieden voor het bedrag aan boete dat door een toezichthouder is opgelegd, maar dat staat er in feite niet.

Zie ook W.C.T. Weterings, ‘Voorziet de cyberverzekering (voldoende) in een behoefte van organisaties?’, AV&S 2015/2, p. 4-14.

Op artikel 3:40 BW ga ik tevens uitgebreid in bij de bespreking van ransomware (§3.9.1.3).

HR 1 juni 2012, NJ 2013/172, m.nt. T.F.E. Tjong Tjin Tai.

10.

Vgl. Asser/Sieburgh 6-III/330.

11.

Vgl. HR 7 april 2000, NJ 2000/652; HR 11 mei 2001, NJ 2002/364 en HR 1 juni 2012, NJ 2013/172. Zie uitgebreid S.D. Lindenbergh, ‘Leidt een bij wet verboden strekking zonder meer tot nietigheid?’, AA 2012/0740, p. 740-743.

12.

Dit (principiële) vraagstuk leent zich derhalve voor separaat onderzoek, eventueel aan de hand van een rechtsvergelijking. Dergelijk onderzoek valt echter buiten de reikwijdte van dit boek.

13.

Zie Aanhangsel Handelingen II 2006/07, nr. 1172 en bijv. ‘Donner wil einde aan boeteverzekering’, De Volkskrant 21 april 2008.

14.

Zie ook Groep Gegevensbescherming Artikel 29, Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679, WP253 17/NL, 3 oktober 2017 en aangenomen door EDPB in Endorsement 1/2018 van 25 mei 2018.

15.

Artikel 83 lid 1 AVG. Zie uitgebreid: WP29, Richtsnoeren voor de toepassing en vaststelling van administratieve geldboeten in de zin van Verordening (EU) 2016/679, WP253 17/NL, 3 oktober 2017.

16.

Artikel 32 en 24 AVG.

17.

Een schaars voorbeeld is te vinden in een arrest van het gerechtshof Den Haag uit 1968 (NJ 1969/326). Daarin ging het echter niet om een direct verzekerde boete, maar om een fiscale boete aan een derde partij die als aansprakelijkheidsclaim op de verzekerde werd afgewenteld. Zie ook Wansink 2006, p. 157. Dat is dus een andere situatie dan die zich voordoet onder de cyberverzekering, waar de boete direct onderdeel van de dekking vormt.

18.

A. Lubin, The Insurability of Cyber Risk, 12 september 2019 (SSRN: https://ssrn.com/abstract=3452833), p. 58-59 en de daarin genoemde literatuur en rechtspraak.

19.

EWCA Civ 1472, 2010.

20.

In dit geval het beginsel van ‘illegality defence’ (ex turpi causa non oritur actio).

21.

Een uitgebreid, rechtsvergelijkend onderzoek op dit punt zou zinvol kunnen zijn voor een beter begrip van de dekking van boetes onder de cyberverzekering. Dergelijk onderzoek valt echter buiten de reikwijdte van dit onderzoek.

22.

Zie uitgebreid over opzet in de cyberverzekering hoofdstuk IV.

23.

Boetebesluit Autoriteit Persoonsgegevens d.d. 20 december 2019, te raadplegen op https://autoriteitpersoonsgegevens.nl/sites/default/files/atoms/files/boetebesluit_knltb.pdf. Laatst bezocht 20 maart 2020.

24.

Zie het bericht op de website van de KNLTB: ‘KNLBT in beroep tegen uitspraak AP; tennisbond wil sport toegankelijk en betaalbaar houden’, 3 maart 2020 https://www.knltb.nl/nieuws/2020/03/knltb-in-beroep-tegen-uitspraak-ap/ (laatst bezocht op 20 maart 2020) en het interview met hoogleraar M. Olfers voor de NOS, ‘Hoogleraar sportrecht Olfers: ‘Boete KNLTB is disproportioneel’’, https://nos.nl/video/2325598-hoogleraar-sportrecht-olfers-boete-knltb-is-disproportioneel.html (laatst bezocht op 20 maart 2020). Op het moment van schrijven is het beroep nog aanhangig. Het besluit van de AP is ook in de literatuur kritisch beschouwd, zie Jansen 2020.

25.

OECD, Encouraging Clarity in Cyber Insurance Coverage: The Role of Public Policy and Regulation, OECD: Parijs 2020, p. 25. De oproep tot duidelijkheid ziet tevens op het verzekeren van losgeld.