Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/VII.3
VII.3 Blik naar de toekomst
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278795:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
R. Böhme, S. Laube & M. Riek, ‘A Fundamental Approach to Cyber Risk Analysis’, Variance 2019/2, vol. 12, p. 161-185.
Zie bijvoorbeeld B. van der Laak, ‘Harde markt in cyberverzekeringen: ‘Maastricht heeft bij klanten wel de ogen geopend’, AMWeb 10 maart 2020, te raadplegen op https://www.amweb.nl/schade/nieuws/2020/03/harde-markt-in-cyberverzekeringen-maastricht-heeft-bij-klanten-wel-de-ogen-geopend-101121957.
J. Lemnitzer (University of South Denmark), ‘Why Cyber Security Insurance Should be Regulated and (Ultimately) Compulsory’, presentatie tijdens de Conference for Cyber Norms: Dealing with Uncertainty, 6 november 2019, The Hague Program for Cyber Norms, Den Haag en de publicatie van dezelfde auteur: J.M. Lemnitzer, ‘Why cyber insurance should be regulated and compulsory’, Journal of Cyber Policy 2021. Zie ook M.N. Trang, ‘Compulsory Corporate Cyber-Liability Insurance: Outsourcing Data Privacy Regulation to Prevent and Mitigate Data Breaches’, Minnesota Journal of Law, Science & Technology 2017/1, vol. 18, p. 389-425.
Zie M. Faure & T. Hartlief, ‘Verplichte verzekering’, in: N. van Tiggele-van der Velde, J.G.C. Kamphuisen & B.K.M. Lauwerier (reds.), De Wansink-bundel. Van draden en daden, Deventer: Wolters Kluwer 2006, p. 226.
Sterke tegenstander van verplichte cyberverzekeringen is bijvoorbeeld Insurance Europe, zie ‘Insurers’ role in EU cyber resilience’, Insurance Europe 2019, te raadplegen op https://insuranceeurope.eu/sites/default/files/attachments/Insurers%E2%80%99%20role%20in%20EU%20cyber%20resilience.pdf.
Cyberverzekeringen vinden steeds meer vaste voet aan de grond. Deze relatieve nieuwkomer in verzekeringsland beweegt zich steeds soepeler tussen de vele traditionele verzekeringen en vult die op een waardevolle wijze aan. Wordt de stand-alone cyberverzekering net zo normaal als bijvoorbeeld de brandverzekering? Het antwoord op deze vraag zal mijns inziens voor een belangrijk deel afhangen van de vraag hoe de markt zal omgaan met silent cyber of non-affirmative cyber. Veel traditionele verzekeringen ‘zwijgen’ over de dekking voor cyberschade. Mogelijk bestaat er wel dekking voor die schade, terwijl daarmee geen rekening is gehouden bij het schrijven van de polisvoorwaarden en het onderschrijven van het risico. Gelet op het mogelijk cumulatieve en systemische karakter van cyberrisico’s kan dat voor verzekeraars problematisch zijn.
Silent cyber is op te lossen door cyberschade expliciet uit te sluiten of juist expliciet in te sluiten. Het antwoord op de vraag wat de beste keuze is, hangt mede af van hoe de term cyber moet worden beschouwd: een exclusief, apart risico (‘cyber-exceptionalisme’, zie hoofdstuk I, paragraaf 2.3.3), of eenzelfde risico als alle andere risico’s. In het eerste geval is het aannemelijk dat uitsluiting van cyberschade en -risico’s op traditionele polissen zal plaatsvinden, wat waarschijnlijk leidt tot een versteviging van de stand-alone cyberverzekering. In het laatste geval zou er ook voor kunnen worden gekozen om cyberschade wel in de traditionele polissen op te nemen. Ook een gedifferentieerd model zou volgens de (schaarse) literatuur een optie kunnen zijn.1 Het omgaan met silent cyber is grotendeels een taak van de verzekeringsmarkt zelf. Door nader wetenschappelijk onderzoek kan de markt zijn beslissingen echter beter staven.
Een ander punt waarop nader wetenschappelijk onderzoek relevant is, is de vraag naar de (grenzen van de) verzekerbaarheid van deze risico’s. Op het moment van schrijven, anno 2020, is een verharding van de verzekeringsmarkt te zien: de premies stijgen, bedrijven en organisaties kunnen hun risico’s minder goed ‘kwijt’ bij verzekeraars dan een aantal jaar geleden het geval was.2 Het systemische karakter van cyberrisico’s kan ertoe leiden dat verzekeraars zich terugtrekken uit de markt, uit angst voor gecumuleerde, zeer grote cyberschades, die zelfs de grenzen van de verzekerbaarheid zouden kunnen raken. Een dergelijk systemisch risico betreft echter extreme gevallen die vooralsnog uitzonderlijk zijn. Cyberrisico’s resulteren tot nu toe doorgaans in min of meer afgebakende schadevoorvallen. Met het oog op de digitalisering van onze samenleving is verzekeringsdekking voor die gevallen gewenst en mijns inziens ook verzekerbaar. Het is dan ook zaak om tijdig te onderzoeken onder welke voorwaarden de verzekerbaarheid van cyberrisico’s zoveel mogelijk kan worden gewaarborgd. Een multidisciplinaire inzet van dergelijk onderzoek is gezien de aard van cyberrisico’s onontbeerlijk.
In het verlengde van het voorgaande punt rijst een andere vraag: moet de cyberverzekering eigenlijk niet een verplichte verzekering zijn? Ook dat is een vraag die nader onderzoek vergt. Het antwoord op deze vraag is bovendien zeer afhankelijk van het perspectief waaruit de vraag wordt onderzocht. Vanuit een oogpunt van security wordt betoogd dat een verplichte verzekering tegen cyberschade een breed gedragen ‘cyberhygiëne’ zou kunnen bewerkstelligen onder bijvoorbeeld het MKB, waardoor het algehele niveau van cybersecurity in de maatschappij zou kunnen stijgen.3 Om dat resultaat te bereiken is echter niet alleen nader onderzoek vereist, maar ook een verdere ontwikkeling van de cyberverzekeringsmarkt. (Rechts)economisch gezien is een verplichting om te verzekeren pas aan de orde bij marktfalen.4 Ten aanzien van de cyberverzekeringsmarkt kan op dat punt nog geen conclusie worden getrokken: de markt is daarvoor nog veel te veel in beweging.5 Ook het belang van slachtofferbescherming, bijvoorbeeld van betrokkenen in de zin van de AVG, dient in dit kader nader onderzocht te worden.
Digitalisering heeft onze maatschappij reeds ingrijpend veranderd en zal ons voor nieuwe vraagstukken en uitdagingen blijven stellen. Verzekeringen maken onlosmakelijk deel uit van deze maatschappij en zijn daarmee ook aan verandering onderhevig. Waar verzekeraars traditioneel vooral naar het verleden kijken om risico-inschattingen te maken, dwingen cyberrisico’s verzekeraars om ook vooruit te kijken, zoveel mogelijk te anticiperen en – mogelijk – om meer samen te werken binnen en buiten de verzekeringswereld. Ook de wijze waarop cyberrisico’s en -verzekeringen het traditionele verzekeringsrecht op de proef stellen, vraagt om intensieve(re), multidisciplinaire dialogen. Dit zijn grote uitdagingen, die evenwel essentieel zijn om het functioneren van de cyberverzekering te bevorderen en daarmee het meest wezenlijke nieuwe risico in onze moderne maatschappij zoveel mogelijk te ondervangen.