Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.5.2.1
III.5.2.1 Schadevergoedingsbegrip
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278788:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
AIG, Allianz, Chubb, CNA (impliciet), XL Catlin en Liberty.
Allianz.
Zie uitgebreider Wansink 2006, p. 49-51.
Zurich, Amlin (onder voorwaarden).
Voor de volledigheid merk ik op dat dit in de meeste gevallen een beperkende dekkingsomschrijving is en geen expliciete uitsluiting. Dit heeft gevolgen voor de bewijslastverdeling, vgl. N. van Tiggele-van der Velde, Bewijsrechtelijke verhoudingen in het verzekeringsrecht (diss.), Deventer: Kluwer 2008, paragraaf 7.2.4.
AIG, Amlin, CNA, HDI.
Chubb. Zie ook AIG, Liberty en XL Catlin.
In §4 is reeds aan de orde gekomen dat de cyberverzekering in beginsel slechts dekking biedt voor zuivere vermogensschade. Personenschade en zaakschade zijn standaard uitgesloten. Voor de discussie over de aantasting in de persoon wegens privacyschendingen verwijs ik naar §4.2.2.
Bij de uitsluiting van zaakschade maakt een aantal verzekeraars de opmerking dat schade aan data of gegevens wel is gedekt.1 Eén verzekeraar noemt tevens schade aan software.2 Dat lijkt een insluiting die puur voor de zekerheid is gemaakt. Data, gegevens en software zijn immers geen ‘zaken’, omdat zij geen voor menselijke beheersing stoffelijk objecten zijn.3 Een klein aantal verzekeraars houdt ook schade aan hardware buiten de uitgesloten zaakschade en biedt dus ook voor die schade dekking.4
Iedere cyberverzekering bevat verder een uitgebreide omschrijving van wat ‘schadevergoeding’ juist niet inhoudt.5 Opvallend is dat veel verzekeraars daarbij expliciet bepaalde vormen van schadevergoeding noemen die in Nederland niet worden gebruikt: punitive damages, examplary damages, non-compensatory damages, multiple damages, liquidated damages, aggravated damages.6
Een aantal verzekeraars dat gebruik maakt van deze niet-Nederlandse begrippen, sluit de schadesoorten echter expliciet in:
“Onder schade wordt ook verstaan ‘punitive damages’ en ‘exemplary damages’ voor zover deze schadevergoedingen verzekerbaar zijn op grond van het toepasselijk recht.”7
Zoals genoemd kennen wij deze vormen van schadevergoeding (in beginsel) niet in Nederland. De polisvoorwaarden die deze begrippen hanteren, geven daarvan geen definitie. Op dit punt toont de cyberverzekering zijn Amerikaanse wortels. Gelet op het grensoverschrijdende karakter van cyberrisico’s is deze bepaling echter wel begrijpelijk. Aanspraken kunnen immers overal ter wereld vandaan komen en in andere landen komen deze schadevergoedingen wel voor, waarvan de Verenigde Staten en Canada bekende voorbeelden zijn. Juist deze landen zijn echter veelal van het dekkingsgebied uitgesloten. De meerwaarde van de insluiting van deze schadesoorten lijkt dan ook beperkt.
Onder schadevergoeding wordt door cyberverzekeraars voorts niet verstaan:
Algemene eigen kosten (bijv. tijd en overhead);
Kosten voor de naleving van een veroordeling;
Winstafdracht;
Kortingen en coupons;
Herleveringskosten;
Terugbetaling van royalties;
Kosten van upgraden, onderhouden, verbeteren van softwaresysteem.