Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/VI.4.1
VI.4.1 Reële risico’s
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278858:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Spier heeft dezelfde vraag gesteld omtrent de aansprakelijkheidsrisico’s wegens een te hoge CO2-uitstoot en meent dat een ontkennend antwoord op die vraag heel wat minder vanzelfsprekend is dan men op het eerste gezicht zou denken (ECLI:NL:PHR:2012:BW1720 sub 3.9b en voetnoot 14).
Zie bijvoorbeeld BIT, Internet Eigenwijs: veilig internetten met behoud van privacy, onderzoeksrapport 2016, p. 6 e.v. en ‘Eén op de vijf werknemers is bereid om wachtwoord te verkopen’, Infosecurity Magazine 24 maart 2016.
J.G.C. Kamphuizen 1994, p. 7. Voor kleine tussenpersonen zal dit eerder aan de orde zijn dan voor grote(re) tussenpersonen die over een grote(re) mate van expertise beschikken.
Zie over de bewijsrechtelijke aspecten van de assurantietussenpersoon F. van der Woude, E.M. van Orsouw & J.S. Overes, ‘Kroniek zorgplicht assurantietussenpersoon’, AV&S 2017/6, p. 42 en M. Pluymen, ‘De zorgplicht van de assurantietussenpersoon bij dekkingsclausules, TAV 2017/3.
Het enkele bestaan van risico’s zegt weinig over de mate waarin een dergelijk risico voor de betreffende verzekeringnemer ook daadwerkelijk reëel is. Hierbij dient zich direct een vervolgvraag aan: in hoeverre moet een assurantietussenpersoon de cyberrisico’s van zijn cliënt in kaart brengen, zeker indien een groot deel van het bedrijfsleven zich daar eigenlijk nog niet concreet mee bezighoudt?1 Het is daarbij bovendien de vraag in hoeverre de tussenpersoon daartoe überhaupt in staat is. Het in kaart brengen van cyberrisico’s vergt een zekere mate van technische kennis waarover niet iedere tussenpersoon beschikt. Hierin verschillen cyberrisico’s van bijvoorbeeld brand- of diefstalrisico’s: het is niet moeilijk om te bedenken wat de meest brand- of diefstalgevoelige onderdelen van een gebouw zijn, wat de gevolgen zijn van deze risico’s en hoe zij adequaat kunnen worden beperkt. Waar digitaal gezien de zwakste plekken zitten, zal voor veel tussenpersonen niet duidelijk zijn. Wat de gevolgen zijn van een digitale inbraak, malware, ransomware, een ddos-aanval, dataverlies, of het om wat voor reden dan ook uitvallen van computer- of ICT-systemen, is evenmin eenvoudig in kaart te brengen, zeker gezien de vaak hoge mate van interconnectiviteit van systemen. Hetzelfde geldt voor de (mate van) beveiliging van digitale zaken. Bovendien bevat de beheersing van cyberrisico’s ook organisatorische aspecten, die meer met management, communicatie en gedrag dan met techniek te maken hebben. De menselijke factor vormt bij cyberrisico’s een van de grootste kwetsbaarheden.2
Voor een tussenpersoon is het niet mogelijk om deze aspecten allemaal te overzien. Niet alleen met het oog op het zorgen voor een passende verzekering, maar ook bijvoorbeeld om te voorkomen dat de verzekeraar in een later stadium een beroep doet op verzwijging, is het voor de tussenpersoon zaak dat hij de relevante factoren toch zo scherp mogelijk in beeld krijgt. Bij complexe(re) risico’s zal de tussenpersoon moeten terugvallen op de expertise van de verzekeraar zelf.3 De verzekeraar moet immers adequate informatie over het product verstrekken en voldoende informatie verzamelen om het risico te accepteren. Als een tussenpersoon voldoende kan onderbouwen4 dat hij er alles aan heeft gedaan om de relevante gegevens te vergaren, dan is goed verdedigbaar dat hij als redelijk handelend en redelijk bekwaam vakgenoot heeft gehandeld.