Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.4.3
III.4.3 Aansprakelijkheid voor onvoldoende netwerkbeveiliging
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278931:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Te raadplegen op https://www.nldigital.nl/nldigital-voorwaarden/. Zie uitgebreider over de mogelijke aansprakelijkheid van cybersecurityleveranciers B. Nieuwesteeg, M. Faure & L. Visscher, Aansprakelijkheid voor digitale onveiligheid in b2b-relaties, Erasmus Universiteit Rotterdam, Centre for Law and Economics of Cyber Security, 2020. Zie ook B. Nieuwesteeg e.a., ‘Aansprakelijkheid voor digitale onveiligheid in b2b-relaties’, AV&S 2020/22 p. 129-135.
NLDigital 2020, artikel 16.4.
Zie ook Lubin 2019, p. 63.
Zie bijvoorbeeld de Handreiking van de Cybersecurity Raad: P.T.J. Wolters & C.J.H. Janssen, Ieder bedrijf heeft digitale zorgplichten. Een handreiking voor bedrijven op het gebied van cybersecurity, Nijmegen: CSR 2017.
Privacy- en netwerkincidenten hangen vaak met elkaar samen. De meeste cyberverzekeringen maken evenwel onderscheid tussen aansprakelijkheid wegens privacyschendingen (overtredingen van de AVG) en wegens onvoldoende netwerkbeveiliging of beveiligingsfouten door verzekerde (operationele processen). Prangende verschillen in de polisvoorwaarden onderling, anders dan de verschillen die bestaan in definities van veelgebruikte begrippen zoals ‘cyberincident’ (reeds besproken in §3.2), komen bij deze dekkingsrubriek niet in opvallende mate naar voren.
In grote lijnen bestaat de dekking uit schadevergoeding en kosten voor aansprakelijkheid van de verzekerde voor schade van een derde wegens:
het doorgeven van schadelijke software (virussen, wormen, malware etc.) door verzekerde aan een derde;
een Ddos-aanval via het systeem van verzekerde op het systeem van een derde;
het niet kunnen gebruiken van de systemen van verzekerde door een derde;
onbevoegde verkrijging/verspreiding van of toegang tot gegevens van derden.
Het gaat hierbij dus om aanvallen op en schade door digitale ketenconstructies. Voorbeelden zijn situaties dat het verzekerde bedrijf een virus of malware doorgeeft aan een ander bedrijf, of dat een hacker zich via het systeem van verzekerde toegang verschaft tot het systeem van een derde. Denkbaar is ook dat een derde geen toegang meer heeft tot het netwerk van verzekerde en daardoor schade lijdt. Tevens is het verlies van bedrijfsgegevens van een derde wegens een netwerkincident bij de verzekerde een reëel scenario.
De vraag is echter in hoeverre deze dekking aansluit bij het juridische kader ten aanzien van (buitencontractuele) aansprakelijkheid wegens onvoldoende netwerkbeveiliging. Hierover is in Nederland nog geen rechtspraak verschenen. Toch komt dit risico in alle cyberverzekeringen als verzekerde rubriek terug.
Dat er vooralsnog geen jurisprudentie is verschenen, is mogelijk te verklaren doordat partijen veelal contractueel met elkaar zullen zijn verbonden en aansprakelijkheid wegens schade aan netwerken, data, soft- en hardware vrijwel standaard in vergaande mate in de algemene voorwaarden is uitgesloten. Dit geldt in ieder geval voor softwareleveranciers, die regelmatig gebruikmaken van branchevoorwaarden zoals de NLDigital-voorwaarden (voorheen de ICT-Office voorwaarden).1 Daarin is bijvoorbeeld opgenomen:
“16.4 Indirecte schade, gevolgschade, gederfde winst, gemiste besparingen, verminderde goodwill, schade door bedrijfsstagnatie, schade als gevolg van aanspraken van afnemers van klant, schade verband houdende met het gebruik van door klant aan leverancier voorgeschreven zaken, materialen of programmatuur van derden en schade verband houdende met de inschakeling van door klant aan leverancier voorschreven toeleveranciers is uitgesloten. Eveneens is uitgesloten de aansprakelijkheid van leverancier verband houdende met verminking, vernietiging of verlies van gegevens of documenten.”2
Bedrijven en organisaties die (de levering van) ICT en automatisering niet als core business hebben, maar slechts als middel voor de kernactiviteiten gebruiken, zijn voor de mate van beveiliging (deels) afhankelijk van externe partijen. Veel onderhandelingsruimte in de contracten hebben zij daarbij in de regel niet; van equality of arms is in die zin geen sprake.3
Dat er op ieder bedrijf een (ongeschreven) zorgplicht rust tot het nemen van voldoende beveiligingsmaatregelen, staat op zichzelf wel vast.4 De inkleuring van die zorgplicht zal echter afhangen van de afspraken die partijen daarover met elkaar hebben gemaakt of, waar die afspraken ontbreken, van de omstandigheden van het geval. In hoeverre en op welke wijze het aansprakelijkheidsrecht een bruikbaar instrument zal blijken om de zorgvuldigheidsverplichting tot adequate netwerkbeveiliging te stimuleren, althans of het bij schade een route naar compensatie zal vormen, is een op zichzelf staande vraag. Deze vraag leent zich voor separaat onderzoek en zal ik dan ook in dit boek niet verder uitwerken.
In de context van dit proefschrift volsta ik derhalve met de constatering dat de cyberverzekering een aparte dekking biedt voor schade als gevolg van een specifiek risico dat in de Nederlandse jurisprudentie en (rechts)praktijk nog nauwelijks is ontwikkeld. Dat neemt niet weg dat de schade van derden wegens onvoldoende netwerkbeveiliging door een verzekerde uiteraard groot kan zijn. Mocht aansprakelijkheid worden aangenomen, is verzekeringsdekking voor de verschuldigde schadevergoeding (en de kosten van verweer) waardevol.