De cyberverzekering vanuit civielrechtelijk perspectief
Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/IV.5:IV.5 Conclusie en aanbevelingen
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/IV.5
IV.5 Conclusie en aanbevelingen
Documentgegevens:
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278934:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Deze functie is alleen te gebruiken als je bent ingelogd.
In deze bijdrage is onderzocht hoe in een digitale context invulling kan worden gegeven aan de verzekeringsrechtelijke leerstukken eigen schuld en bereddingsplicht.
In beide leerstukken gaat het om een samenspel tussen de eigen verantwoordelijkheid van de verzekerde en de verwachtingen die de verzekeraar op dat punt heeft. Bij gebrek aan standaarden op het gebied van cybersecurity is het moeilijk om aan deze verantwoordelijkheden van de verzekerde invulling te geven. De verzekerde heeft een ruime beoordelingsvrijheid, waarbij hij bovendien mag afgaan op advies van deskundigen.
Hoewel de polisvoorwaarden van cyberverzekeringen onderling van elkaar verschillen, gaan de meeste polissen ervan uit dat de verzekerde in zekere mate ‘redelijke voorzorgsmaatregelen’ dient te treffen om schade te voorkomen. Welke voorzorgsmaatregelen redelijk zijn, hangt af van de concrete omstandigheden van het geval. De eisen en vragen die cyberverzekeraars stellen in de aanvraagfase vormen een indicatie van het cybersecurityniveau dat verzekeraars van hun verzekerden verlangen. Hoewel er over een aantal concrete maatregelen consensus lijkt te bestaan, zijn algemene (security)maatstaven aan de hand waarvan de zorgplicht van de verzekerde moet worden getoetst, of algemene minimumeisen waaraan de verzekerde dient te voldoen, moeilijk uit het geheel van voorschriften af te leiden. Evenmin is uit het geheel van voorschriften van de verzekeraar af te leiden of van de verzekerde organisatie een alomvattend cybersecuritybeleid mag worden verwacht, of dat het voldoende is dat er ad hoc maatregelen zijn getroffen.
Ten aanzien van bijzondere maatregelen direct nadat het verzekerde risico zich heeft verwezenlijkt, hebben de cyberverzekeraars het heft in eigen hand genomen door incident response – in de kern te beschouwen als bereddingsmaatregelen – in de primaire dekking te integreren. De inschatting welke acute maatregelen de verzekerde dient te treffen bij een verwezenlijkt risico laat de cyberverzekeraar dus niet aan haar verzekerde over.
Dit geldt niet voor situaties waarin de verwezenlijking van het gevaar ophanden is. Of daarvan sprake is en welke maatregelen dan getroffen moeten worden, hangt af van wat de verzekerde wist of behoorde te weten. Het herkennen van een onmiddellijk dreigend cybergevaar is echter verre van eenvoudig. Het kennisniveau van de meeste organisaties loopt structureel achter ten opzichte van de snelheid waarmee de techniek zich ontwikkelt. Wat in een digitale wereld moet worden gezien als een daadwerkelijk gevaar en welke maatregelen dan geboden zijn, is niet helder. Evenmin is helder hoe dit juridisch dient te worden beoordeeld. Uit de eerste rechtspraak die tegen deze materie aanschurkt, blijkt dat de juridische kijk op risico’s niet gelijkloopt met de technische beoordeling daarvan.
Door de onduidelijkheden over de te treffen algemene voorzorgsmaatregelen en het ontstaan en herkennen van onmiddellijk dreigende gevaren door de verzekerde, zijn complexe samenloopdiscussies over schuld en bereddingsplicht denkbaar. De ICT-deskundige zal daarbij een belangrijke rol spelen.
Deze bevindingen leiden tot verschillende aanbevelingen voor de praktijk. Allereerst is samenwerking tussen en krachtenbundeling van verschillende disciplines van groot belang om digitale risico’s beter beheersbaar en herkenbaar te maken is. Cyberverzekeraars zouden meer richting kunnen geven aan wat zij van hun verzekerden verlangen door meer invulling te geven aan open normen, eventueel met een bijlage bij de polis. Hierin zouden in het bijzonder technische maatregelen kunnen worden uitgewerkt. Deze lijst kan jaarlijks worden herzien (zie ook onder 3.4).
Daarnaast zouden cyberverzekeraars zich meer kunnen richten op het risicomanagement van hun verzekerde en kennis kunnen delen, bijvoorbeeld door preventieve diensten aan te bieden door technici en advocaten of juridisch experts. Dit helpt de verzekerde om beter te kunnen afbakenen welke maatregelen getroffen moeten worden en om onmiddellijk dreigende digitale gevaren te herkennen. In het kader van transparantie, de professionele hoedanigheid van de verzekeraar en diens veronderstelde kennisvoorsprong, mag dat ook van de verzekeraar worden verwacht.
Tot slot kan een betere harmonie tussen bestaande beveiligingsstandaarden, acceptatie-eisen en polisvoorwaarden leiden tot meer duidelijkheid over de verwachtingen van verzekeraars en verzekerden over en weer. Een standaard of keurmerk voor cybersecurity, bijvoorbeeld te ontwikkelen vanuit een publiek-private samenwerking, kan een vertrekpunt zijn voor het cybersecurityniveau waaraan iedere verzekerde minimaal dient te voldoen. Daarmee kan de ‘voorzorgsverplichting’ van de verzekerde eenduidiger worden ingevuld.