III.4.1.2 Begrenzing naar tijd: claims made

In paragraaf 3.3.1 is reeds aan de orde gekomen dat er verschillende vormen van dekkingssystematiek bestaan die de omvang van de dekking begrenzen naar tijd. In aansprakelijkheidsverzekeringen zijn drie vormen te onderscheiden: act committed, loss occurrence en claims made.

De meeste traditionele aansprakelijkheidsverzekeringen zijn tegenwoordig gebaseerd op het claims-madesysteem: er is dekking voor zover de aanspraak (de vordering tot schadevergoeding) tijdens de duur van de contracttermijn bij de verzekerde, dan wel de verzekeraar, is ontvangen. Daarmee is inloop in beginsel gedekt en uitloop in beginsel volledig uitgesloten.1

Ook in de cyberverzekering wordt voor de aansprakelijkheidsrubriek dekking geboden aan de hand van het claims-madesysteem.2 Meestal levert de formulering van deze bepalingen weinig interpretatieproblemen op, al is de volgende bepaling toch verwarrend:

Het verschil tussen ‘aanspraken’ en ‘evenementen’ blijft ook na bestudering van de in deze polisvoorwaarden opgenomen definities onduidelijk. Onder ‘evenement’ wordt verstaan “elke kwestie of gebeurtenis die verzekerde recht geeft op een verzekeringsdekking uit hoofde van deze module Boetes & Aansprakelijkheid.” Wat de verzekerde in de betreffende rubriek recht geeft op verzekeringsdekking lijkt me nu juist een ‘aanspraak’ tot schadevergoeding of – in deze specifieke polis – kosten van verweer bij een onderzoek van de toezichthouder of een opgelegde AVG-boete. Wanneer er nu welke melding moet worden gedaan, blijkt niet duidelijk uit de tekst van de polis.

Alle cyberpolissen hanteren de voorwaarde dat de aanspraak gedurende de looptijd van de verzekering tegen de verzekerde is ingesteld én op de juiste wijze aan de verzekeraar is gemeld. De melding dient binnen de looptijd van de verzekering te zijn gedaan en in ieder geval niet later dan 30 dagen na de beëindiging daarvan.

Met de claims-madedekkingssystematiek is het voorrisico in beginsel volledig meeverzekerd. Slechts een klein aantal cyberpolissen bevat een clausule om dit voorrisico te beperken, zoals een retroactieve datum.4 In een aantal polissen is bepaald dat slechts die aanspraken zijn gedekt die voortvloeien uit gebeurtenissen die gedurende of na de (op het polisblad opgenomen) inloopperiode hebben plaatsgevonden.5

Uiteraard is het voorrisico evenmin gedekt indien de aanspraak reeds bij verzekerde bekend was voorafgaand aan het sluiten van de verzekeringsovereenkomst, of indien de aanspraak voortvloeit uit de verzekerde reeds vóór de verzekeringsovereenkomst bekende omstandigheden (artikel 7:925 en artikel 7:928 BW). Alle cyberverzekeraars hebben tevens een expliciete clausule opgenomen waarin dekking in die gevallen wordt uitgesloten (zie hierover nader §5.1.1).

Uitloop is bij het claims-madesysteem in beginsel volledig uitgesloten. De meeste cyberverzekeringen bieden echter een beperkte automatische uitloop van bijvoorbeeld 60 dagen of een optionele uitloop van bijvoorbeeld 3 jaar.6

De dekkingssystematiek voor het third-partygedeelte van de cyberverzekering verschilt dus vaak van de systematiek voor first-partyschade. Het kan voorkomen dat er geruime tijd verstrijkt tussen het ontdekken van het schadeveroorzakende evenement (eigen schade) en het ontvangen van een aanspraak (schade van derden). Een bedrijf dat bijvoorbeeld een datalek ontdekt en de noodzakelijke maatregelen treft voor het oplossen van het lek (eigen schade), kan maanden later nog geconfronteerd worden met claims van betrokkenen (schade van derden). Zowel verzekerden als verzekeraars dienen zich daarbij bewust te zijn van de maximaal verzekerde som. De kosten voor eigen schade bij cyberincidenten kunnen al snel hoog oplopen, bijvoorbeeld door forensische onderzoekskosten en bedrijfsschade, waardoor de in het kader van de third-partyschade te bieden dekking mogelijk niet langer toereikend is.7 Sublimieten op de verschillende rubrieken zouden dit probleem kunnen voorkomen, maar leiden tot een beperking van de dekking op de separate rubrieken.