Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/V.8
V.8 Conclusies en aanbevelingen
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278939:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
In de Verenigde Staten is deze ontwikkeling ook wel aangeduid als “A moment of truth for cyber insurance”, zie A. Levite en W. Hoffman, ‘A Moment of Truth for Cyber Insurance’, Lawfareblog 7 februari 2019. Te raadplegen op
Verbond van Verzekeraars, Een gezonde sector, betrokken bij de klant. Maatschappelijk en ondernemend in 2017, Beleidsplan 2017, p. 24 en Verbond van Verzekeraars, Samen werken aan complexe uitdagingen. Maatschappelijk en ondernemend in 2018, Beleidsplan 2018, p. 31. Te raadplegen op https://samenwerken.verzekeraars.nl/overhetverbond/jaarverslagen/Publicaties/Beleidsplan%202017.pdf en https://www.verzekeraars.nl/media/6217/beleidsplan-2018-samen-werken-aan-complexe-uitdagingen.pdf, beide laatst bezocht 5 december 2019.
Beleidsplan Verbond van Verzekeraars 2018, p. 31.
Het standpunt van bijvoorbeeld het Britse Pool RE was gebaseerd op een tweejarig onderzoek door het Centre for Risk Studies van de University of Cambridge Judge Business School, zie T. Evan, E. Leverett, S. Ruffle e.a., Cyber Terrorism: Assessment of the Threat to Insurance, (Cambridge Risk Framework series), Centre for Risk Studies, University of Cambridge, 2017.
De cyberverzekeringsmarkt is nog altijd in ontwikkeling en heeft op verschillende punten verduidelijking nodig. De zaken Merck en Mondelez, die in de Verenigde Staten nog steeds aanhangig zijn, vormen een belangrijke stap in dat proces en hebben ook internationaal in potentie grote gevolgen.1 Het belang van de uitkomst van deze procedures, waarin in feite de grenzen van de verzekerbaarheid van cyberrisico’s worden verkend, moet dan ook niet worden onderschat.
De problematiek van molest en terrorisme in een digitale context beperkt zich in het kader van verzekeringen strikt genomen tot een uitlegvraag tussen private partijen. De in deze discussie relevante vraagstukken maken echter deel uit van een veel groter geheel. Bij het bepalen wanneer sprake is van cyberoorlog en wanneer sprake is van statelijke betrokkenheid bij cyberaanvallen is (ook) een rol weggelegd voor de overheid en de internationale gemeenschap. Het blijkt tot nu toe echter zeer moeilijk om op internationaal niveau tot afspraken te komen over het al dan niet reguleren van ‘cyberspace’. De realiteit heeft deze moeizame discussie op internationaal niveau inmiddels ingehaald. Het zijn nu dan ook private partijen die worden genoodzaakt om zich over deze ingewikkelde vraagstukken te buigen.
In dit artikel heb ik onderzocht hoe molest- en terrorismeclausules in het Nederlandse verzekeringsrecht zijn toe te passen op digitale incidenten en wat daarbij de knelpunten zijn.
Bepalend in de definitie van molest zijn de uit het internationaal humanitair recht afkomstige begrippen ‘geweld’ en ‘gewapend conflict’. De complexe discussie die zich thans op het niveau van het internationaal humanitair recht voordoet, illustreert dat de huidige molestbegrippen zeer moeilijk toepasbaar zijn in een digitale context. Bij gebrek aan andere aanknopingspunten over de betekenis van de huidige molestbegrippen bij cyberincidenten, is het welhaast onontkoombaar dat dit debat tevens zal worden gehouden bij de uitlegvraag tussen verzekeraar en verzekerde. Het antwoord op een dergelijke uitlegvraag laat zich op dit moment door de vele betrokken aspecten moeilijk voorspellen. Dit maakt de problematiek echter niet minder relevant. Het is belangrijk om reeds nu het speelveld in kaart te brengen en mogelijke herzieningen van definities te onderzoeken.
Gelet op de vele vraagstukken en discussies die zich voordoen bij de toepasselijkheid van de huidige molestbegrippen in een context van de steeds verdergaande digitalisering van onze maatschappij, zijn de molestbegrippen aan modernisering toe. Op welke wijze dat dient te geschieden, hangt af van wat de verzekeringsmarkt wil en, bovenal, kan met cyberschade als gevolg van molest-achtige oorzaken: in welke mate kan daarvoor op verantwoorde wijze dekking worden geboden? Uit de Beleidsplannen van het Verbond van Verzekeraars uit 2017 en 2018 blijkt dat modernisering van de begrippen molest en terrorisme reeds op stapel staat.2 De (niet-gepubliceerde) adviezen die daarover zijn uitgebracht, zijn nog niet geïmplementeerd.3 Er zijn geen aanwijzingen dat deze modernisering is ingegeven door digitalisering. Gelet op de potentieel grote gevolgen van cyberrisico’s zou digitalisering naar mijn mening echter wel degelijk bij de vernieuwingsslag moeten worden betrokken.
Verzekeraars dienen – mede vanuit het oogpunt van verzekerbaarheid – heldere keuzes te maken over de definitie van molest in een digitale context. De ratio van het uitsluiten van molest dient daarbij als uitgangspunt te worden genomen. Er is meer richting nodig over:
(de wijze van vaststelling van) daderschap;
de mate van causaliteit in het licht van doelwit en intentie;
de kwalificatie van de gebruikte middelen (‘wapens’);
de vereiste mate van impact van de aanval en de wijze waarop dat wordt vastgesteld.
Om een wirwar aan definities van ‘digitaal molest’ te voorkomen, is uniformiteit van belang. Een herleving van de Molestcommissie van het Verbond, zoals ook in 1981 bestond, zou daarin kunnen voorzien. Deze commissie kan op de hiervoor genoemde punten de benodigde richting geven en kan op die manier het molestbegrip in een digitale context nader afbakenen en definiëren. Vervolgens kunnen alle cyberverzekeraars het herziene molestbegrip op dezelfde wijze in de polisvoorwaarden integreren, zoals dat ook thans gebeurt met de verwijzing naar de molestbegrippen van het Verbond. Indien een definitie van ‘cybermolest’ niet zou kunnen worden bereikt, bijvoorbeeld omdat dit te veel afhangt van de concrete omstandigheden van het geval, dan zou ten minste consensus kunnen worden gecreëerd over een uniforme methode om te bepalen of het betreffende cyberincident al dan niet kan worden gekwalificeerd als molest en dus van dekking is uitgesloten. Zo zou bijvoorbeeld een gezichtspuntencatalogus kunnen worden opgesteld, zodat duidelijk en uniform is aan welke criteria digitaal molest wordt getoetst.
Daarnaast is een duidelijker afbakening tussen molest en terrorisme van belang. Onderscheidend daarbij zijn de dader en het motief. Het is zaak dat de NHT cyberrisico’s in het vizier heeft en zich realiseert dat een aantal cyberverzekeringen dekking biedt voor cyberterrorisme. De NHT dient, al dan niet na nader wetenschappelijk onderzoek,4 een standpunt in te nemen over de reikwijdte van de definitie van terrorisme in het Protocol bij digitale incidenten, alsmede over de verhouding van de NHT tot specifieke cyberverzekeringen waarin dekking wordt geboden voor cyberterrorisme. Dit creëert zowel voor verzekerden als verzekeraars duidelijkheid over de omvang van de thans geboden dekking.
Tot slot is met het oog op verzekerbaarheid van cyberrisico’s is een intensieve dialoog en samenwerking tussen de overheid en verzekeraars hoe dan ook van belang. Uit het rapport van de WRR is af te leiden dat verzekeringsdekking als compensatiemechanisme voor cyberschade wel degelijk wenselijk wordt geacht. Naar mijn mening dienen verzekeraars dan echter wel te worden beschermd tegen de ernstigste vormen van cyberrisico’s. Waar de grens van de verzekerbaarheid in beeld komt, zouden verzekeraars en overheid – waar mogelijk op Europees niveau – moeten samenwerken en tot een werkbare verzekeringsconstructie moeten komen om dit risico toch (beperkt) verzekerbaar te houden. Welke constructie het meest passend is, bijvoorbeeld een soortgelijk mechanisme als de NHT, zal nader onderzoek moeten uitwijzen.