III.6 Conclusie

In dit hoofdstuk heb ik de belangrijkste dekkingselementen van de cyberverzekeringen die in Nederland worden aangeboden in kaart gebracht. Alleen al uit de diverse wijzen waarop de polisvoorwaarden zijn opgebouwd (§2), blijkt dat cyberverzekeringen onderling (sterk) elkaar uiteenlopen.

In de verschillende sets polisvoorwaarden zijn zekere rode draden en gemeenschappelijke grote lijnen zijn aan te wijzen. Alle polissen bieden dekking voor eigen schade van de verzekerde wegens privacy-incidenten, bedrijfsschade en cybercriminaliteit. Voor aansprakelijkheid voor schade van derden bestaat dekking bij privacy-incidenten, netwerkincidenten en multimedia-gebeurtenissen.

Toch bestaan er op detailniveau verschillen die niet alleen de omvang van de dekking in sterke mate kunnen beperken of juist uitbreiden, maar die het ook lastig maken om de inhoud van de cyberverzekering goed te doorgronden. De definitie van het verzekerde evenement (§3.2) is daarvan een sprekend voorbeeld. Cyberincidenten kennen een scala aan onderliggende oorzaken, die in de verschillende cyberverzekeringen op uiteenlopende wijze naar voren komen. Het verzekerd evenement is vanzelfsprekend een kernbegrip in iedere verzekering. Als niet duidelijk is wat het verzekerde evenement precies inhoudt, is de inhoud van de verzekering – en dus de omvang van de dekking – al aan de bron vertroebeld. Dit leidt tot onzekerheid over de reikwijdte van de dekking van de cyberverzekering.

Daarnaast bevatten veel polisvoorwaarden ook andere begrippen en clausules waarvan de betekenis niet direct duidelijk is, bijvoorbeeld cyberdiefstal en social engineering. Een ander geval is dat op zichzelf het gebruikte begrip wel helder is, maar de toepassing daarvan binnen een cybercontext niet. Een voorbeeld daarvan is de berekening van bedrijfsschade, dat in de context van cyber gelijkenissen kent met schade door natuurrampen. De potentiële grootschaligheid en het cumulatieve karakter van cyberrisco’s komt bij dit dekkingselement naar voren.

Opvallend is verder dat ook in de polisvoorwaarden zelf niet altijd duidelijk blijkt hoe de dekkingsomvang wordt bepaald en hoe positieve dekkingsomschrijvingen zich verhouden tot uitsluitingen. Bij het third-partygedeelte van de cyberverzekering is op zichzelf sprake van een brede dekking: aansprakelijkheid wegens privacy-incidenten die niet alleen persoonsgegevens, maar ook bedrijfsgegevens/-geheimen omvatten, aansprakelijkheid voor onvoldoende netwerkbeveiliging en schade wegens multimedia-activiteiten. Deze relatief open basisdekking wordt beperkt door het vereiste van een onderliggend cyberincident. Onduidelijk is echter in hoeverre dat onderliggende cyberincident nu daadwerkelijk is vereist voor dekking. De rubriek multimedia-aansprakelijkheid is daarvan een voorbeeld. Door dit gebrek aan uniformiteit en duidelijkheid van de polisvoorwaarden zijn dekkingsgeschillen geenszins uitgesloten.

De bepalingen in de cyberverzekeringen en de aard van het risico roepen bovendien verzekeringsrechtelijke vragen op. Klassieke verzekeringsrechtelijke leerstukken lijken niet altijd goed werkbaar in de context van digitale risico’s en de cyberverzekering. Voorbeelden daarvan zijn het ‘eigen gebrek’ in de zin van artikel 7:951 BW (zie §5.2.7), waarbij de onstoffelijke aard van cyberrisico’s voor toepassingsproblemen zorgt, en het indemniteitsbeginsel (§3.6).

De cyberverzekering leidt niet alleen tot uitlegdiscussies, maar ook tot ethische, morele vragen doordat ook dekking wordt geboden voor boetes en losgeld. Boetes worden in de regel opgelegd wegens een eigen kwalijke gedraging van de verzekerde. Losgeld vloeit rechtstreeks naar criminelen. Beide dekkingselementen zijn ethisch gezien ogenschijnlijk discutabel. Een enkele verzekeraar dekt deze schade derhalve uit principe niet.1 Uit paragrafen 3.7 en 3.9.1.3 volgt evenwel dat verzekeraars juridisch gezien de ruimte hebben om deze dekking te verlenen.

De vele vragen die de cyberverzekering oproept, vloeien dus grotendeels voort uit onduidelijk taalgebruik in de polisvoorwaarden, grote onderlinge verschillen in terminologie en dekkingsomvang en de problematische verhouding tot het klassieke verzekeringsrecht. Deze onduidelijkheden remmen de ontwikkeling van de cyberverzekeringsmarkt. De polisvoorwaarden zijn niet alleen voor afnemers, dus bedrijven en organisaties, moeilijk te doorgronden. Dit geldt ook voor verzekeringstussenpersonen, die om te beginnen het fenomeen ‘cyberrisico’ aan hun relaties dienen uit te leggen, maar vervolgens ook duidelijk moeten maken dat er verzekeringen bestaan om deze risico’s te ondervangen. De moeilijke leesbaarheid van de polisvoorwaarden en de grote onderlinge verschillen maakt het bijna onbegonnen werk om de voorwaarden goed met elkaar te vergelijken. Dit belemmert een goede distributie van deze polissen.

Al geruime tijd klinkt dan ook internationaal de oproep tot het verduidelijken en met name harmoniseren van (begrippen uit) de polisvoorwaarden.2 Uit dit hoofdstuk blijkt dat ook in de Nederlandse cyberverzekeringen een slag kan – en wellicht moet – worden geslagen. Hier ligt een rol voor verzekeraars zelf, eventueel via brancheverenigingen zoals het Verbond van Verzekeraars en/of de Vereniging Nederlandse Assurantie Beurs (VNAB). Dit hoeft niet direct te resulteren in modelvoorwaarden, zoals bijvoorbeeld in Duitsland zijn ontwikkeld. Een begin van duidelijkheid kan ook worden gegeven door bijvoorbeeld een lijst van definities van kernbegrippen te ontwikkelen.