Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.8.1
III.3.8.1 Definitie
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278927:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Een bekend en recent voorbeeld is het de aanval op Universiteit Maastricht, zie bijvoorbeeld https://nos.nl/artikel/2316120-universiteit-maastricht-kampt-met-ransomware-aanval.html.
Zoals in paragraaf 3.5 besproken, biedt de cyberverzekering dekking voor reputatieschade. Dit valt echter veelal onder incident response. Het gaat dus eerder om dekking voor beperking en beheersing van de reputatieschade, dan om vergoeding van de werkelijk geleden reputatieschade.
Hiscox en AIG. Liberty eist een ‘rechtstreeks’ gevolg.
Hiscox.
Allianz, Amlin, Chubb, HDI, XL Catlin.
Chubb.
HDI.
Dat als gevolg van cyberincidenten bedrijven volledig stil kunnen komen te liggen, is al geruime tijd de realiteit.1 Als gevolg van cyberincidenten kunnen bestellingen niet worden verwerkt, kunnen medewerkers niet in hun systemen en vallen productie- en/of distributieprocessen stil. Daarnaast speelt reputatie een grote rol bij bedrijfsschade. Zelfs een enkel privacy-incident, waarbij niet noodzakelijkerwijs ook schade optreedt aan het netwerk, kan een bedrijf vele klanten en dus inkomsten/omzet kosten.2
Zoals brand niet altijd hoeft te zijn aangestoken door een pyromaan, hoeft de oorzaak van het intreden van bedrijfsstagnatie in de context van cyber niet altijd te zijn gelegen in een ‘aanval’ van buitenaf. Dit kan ook ontstaan door bijvoorbeeld een onopzettelijke bedieningsfout van een eigen medewerker of een IT-leverancier, of door een technische storing zoals stroomuitval. Een bedrijf kan bovendien zelfs worden belemmerd in zijn activiteiten door een aanwijzing van de AP in verband met een privacy-incident.3 Het is daarom van belang hoe het verzekerd voorval, de bedrijfsschade, in de polis is omschreven. In cyberverzekeringen bestaat ook ten aanzien van dit begrip grote variatie. Zo hanteert een aantal verzekeraars een smalle definitie, door op te nemen dat de bedrijfsstagnatie dient te zijn ontstaan als gevolg van directe handelingen van derden of hackers of uitsluitend als gevolg van een beveiligingsfout.4
“Van een verzekerd evenement is sprake zodra gedurende de looptijd van deze verzekering de internet- en/of bedrijfsactiviteiten van verzekerde voortdurend worden onderbroken of ernstig belemmerd. De onderbreking of ernstige belemmering moet een direct gevolg zijn van de handelingen van een derde of hacker. Deze handelingen bestaan uit het opzettelijk elektronisch blokkeren van de toegang tot:
de website
intranet
netwerk
machines
computersysteem
computerprogramma’s
data van verzekerde.”5
Daarmee wordt het intreden van het verzekerd evenement beperkt tot ‘aanvallen’ van buitenaf. Daar staan (veel) ruimere omschrijvingen tegenover, bijvoorbeeld door ook onopzettelijke fouten, mislukte systeemupgrades en softwarefouten als oorzaken te aan te merken.6 Een voorbeeld van een ruimere definitie is de volgende bepaling:
“De verzekeraar vergoedt aan verzekerde:
[…] Bedrijfsschade
schade door bedrijfsonderbreking, na het verstrijken van de wachttijd, tijdens de schadevergoedingstermijn die voortvloeit uit een bedrijfsonderbrekingsincident ontdekt tijdens de verzekeringstermijn; […]
Bedrijfsonderbrekingsincident betekent de onderbreking of ontregeling van of onmogelijkheid om toegang te krijgen tot een verzekerd computersysteem of het wegnemen, beschadigen of vernietigen van data van verzekerde uitsluitend en rechtstreeks veroorzaakt door:
A. een kwaadaardige computerhandeling;
B. ongeoorloofd gebruik of ongeoorloofde toegang;
C. een menselijke fout;
D. falen van de netwerkbeveiliging;
E. programmeerfout;
F. de redelijke en noodzakelijke uitschakeling van het gehele of een gedeelte van het verzekerde computersysteem om de gevolgen van een van de onderdelen A - E te voorkomen of beperken; of
G. stroomuitval, spanningspiek of spanningsdaling van een elektrisch systeem dat door verzekerde wordt beheerd als gevolg van onderdeel A, B of D van dit artikel.”7
Een enkele verzekeraar biedt ook dekking voor bedrijfsstilstand als gevolg van het voldoen aan een bevel van de AP:
“Verzekerde gebeurtenis
De gedeeltelijke of volledige onderbreking of belemmering van de gebruiksmogelijkheid van gegevens en/of software als gevolg van een:
[…]
d. onmiddellijke aanwijzing tot staking van de bedrijfsactiviteiten afkomstig van een toezichthouder in verband met een privacy incident; […]”8
Nadat het verzekerde evenement is ingetreden, biedt de cyberverzekering dekking voor verschillende kosten. Naast de incident-responsekosten bestaat de dekking veelal uit onderzoekskosten, extra operationele kosten en bedrijfsschade. Op het element bedrijfsschade ga ik in de volgende subparagrafen nader in.