De cyberverzekering vanuit civielrechtelijk perspectief
Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.5.1.1:III.5.1.1 Bekende omstandigheden en aanspraken / precontractuele mededelingsplicht (7:928 BW)
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.5.1.1
III.5.1.1 Bekende omstandigheden en aanspraken / precontractuele mededelingsplicht (7:928 BW)
Documentgegevens:
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278828:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Toon alle voetnoten
Voetnoten
Voetnoten
XL Catlin.
Rapport Fox-IT d.d. 5 februari 2020, te raadplegen op https://www.maastrichtuniversity.nl/file/foxitrapportreactieuniversiteitmaastrichtpdf, p. 4 en 20.
Deze functie is alleen te gebruiken als je bent ingelogd.
Op grond van artikel 7:928 BW – en tevens voortvloeiend uit het onzekerheidsvereiste van artikel 7:925 BW – heeft de verzekerde reeds wettelijk de verplichting om vóór het sluiten van de verzekeringsovereenkomst alle feiten mede te delen die hij kent of behoort te kennen en waarvan hij begrijpt of behoort te begrijpen dat deze feiten van invloed zijn op de beslissing van de verzekeraar of, en zo ja onder welke voorwaarden, de verzekering zal worden afgesloten.
Cyberincidenten kennen een potentieel lange aanloop. Zij kunnen voortvloeien uit omstandigheden die reeds geruime tijd vóór het afsluiten van de verzekering in de systemen of de organisatie van de verzekeringnemer aanwezig waren. In iedere Nederlandse set cyberverzekeringsvoorwaarden is een met deze wettelijke verplichting vergelijkbare uitsluitingsclausule opgenomen, bijvoorbeeld:
“Deze verzekering biedt geen dekking en is niet tot enige uitkering gehouden in verband met, voortvloeiende uit of verband houdende met:
BEKENDE OMSTANDIGHEDEN
omstandigheden die al bekend waren bij een verantwoordelijke vóór de aanvang van de
verzekering, respectievelijk feiten of omstandigheden waarvan de verantwoordelijke wist of behoorde te weten dat deze konden leiden tot een aanspraak, cyberafpersing, datalek of
netwerkincident of voorzag of behoorde te voorzien dat deze tot een aanspraak, datalek,
cyberafpersing of netwerkincident zouden leiden.”1
Deze contractuele uitsluiting wegens bekende omstandigheden en de wettelijke precontractuele mededelingsplicht zijn niet helemaal hetzelfde, maar hangen wel sterk met elkaar samen. In beide gevallen gaat het bijvoorbeeld om de geobjectiveerde vraag naar kennis: met welke feiten en omstandigheden behoorde de verzekeringnemer bekend te zijn? Bij de precontractuele mededelingsplicht geldt daarbij als maatstaf de ‘behoorlijke en zorgvuldige verzekeringnemer’.2 Het ligt voor de hand om deze maatstaf tevens toe te passen bij de beoordeling van de uitsluiting wegens bekende omstandigheden.
Bij artikel 7:928 BW speelt tevens het kenbaarheidsvereiste een belangrijke rol. Het moet de verzekeringnemer kenbaar zijn dat deze feiten voor de verzekeraar relevant zijn bij de beslissing of de verzekering wordt afgesloten en zo ja, onder welke voorwaarden. Het door de verzekeraar gebruikte aanvraagformulier of de vragenlijst zijn daarbij zeer relevant: de kenbaarheid van de daarin genoemde omstandigheden zijn voor de verzekeringnemer een gegeven.
In hoofdstuk IV van dit boek heb ik onder andere de aanvraagformulieren van cyberverzekeraars onderzocht. Daarbij heb ik bekeken welke technische en organisatorische maatregelen cyberverzekeraars van hun verzekerden verwachten. Dit onderzoek vond plaats in het kader van de bereddingsplicht en eigen schuld van de verzekeringnemer, maar is ook relevant voor de vraag wanneer sprake is van bekende omstandigheden. Het zegt immers iets over de kenbare omstandigheden die de verzekeringnemer bekend hadden behoren te zijn.
In hoofdstuk IV constateerde ik dat uit het geheel van vragen en voorschriften die door de verschillende cyberverzekeraars worden gesteld respectievelijk voorgeschreven, lastig een minimumeis aan securitymaatregelen valt af te leiden. Er is geen consensus over het antwoord op de vraag wat gemiddeld genomen als goede beveiliging heeft te gelden. Dit gebrek aan een standaardniveau aan (vereiste) kennis op het gebied van cybersecurity roept ook ten aanzien van zowel de uitsluiting wegens bekende omstandigheden als van de precontractuele mededelingsplicht vragen op wat een behoorlijke en zorgvuldige verzekeringnemer op dit gebied behoort te weten en wat hij (dus) moet melden. Moet een verzekeringnemer zich er bijvoorbeeld van bewust zijn dat zij werkt met verouderde systemen en dat dit mogelijk een risico vormt, terwijl zij wel up-to-date firewalls gebruikt? In welke gevallen behoort een verzekerd bedrijf of verzekerde organisatie een sluimerend virus op te merken? Bij de ransomware-aanval op de Universiteit Maastricht ‘sloop’ al wekenlang een hacker in de systemen rond, zonder dat dit werd opgemerkt, onder meer doordat de hacker zelf de antivirussoftware kon uitschakelen.3 In die gevallen lijkt het mij lastig voor een verzekeraar om aan te tonen dat de verzekerde dit allemaal had moeten weten en had moeten mededelen. Dit kan anders liggen indien sprake is geweest van een datalek, de organisatie dat weet maar dit niet aan de verzekeraar heeft gemeld. Indien persoonsgegevens (mogelijk) zijn buitgemaakt, bestaat immers de mogelijkheid dat deze zullen worden misbruikt en dat dit kan leiden tot een verzekerde aanspraak of een cyberincident.
De bewijslast om dekking te weigeren rust zowel bij een beroep op de schending van de precontractuele mededelingsplicht als de uitsluiting wegens bekende omstandigheden op de verzekeraar. Bij gebrek aan eenduidigheid op het gebied van cybersecurity wacht de verzekeraar op dit punt in veel gevallen een pittige taak.