De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/I.1.2:I.1.2 Status quaestionis en relevantie

De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/I.1.2

I.1.2 Status quaestionis en relevantie

Documentgegevens:

mr. N.M. Brouwer, datum 01-06-2021

Datum: 01-06-2021
Auteur: mr. N.M. Brouwer
JCDI: JCDI:ADS278923:1
Vakgebied(en): Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering

De invloed van nieuwe risico’s op het aansprakelijkheids- en verzekeringsrecht is op zichzelf geen nieuw vraagstuk. Zo ontstond in de jaren ‘90 ongerustheid over toenemende werkgeversaansprakelijkheid als gevolg van beroepsziekten en arbeidsongevallen en werd bijvoorbeeld de invoering van het claims-madedekkingssysteem geïntroduceerd.1 Vervolgens dienden ook andere risico’s zich aan, zoals voedingsgerelateerde risico’s (bijvoorbeeld de BSE-crisis), risico’s van infectieziekten (legionella) en overheidsaansprakelijkheid bij (natuur)rampen (vuurwerkramp Enschede, cafébrand Volendam).2

Dit soort maatschappelijke gebeurtenissen zorgen voor bewegingen in het aansprakelijkheidsrecht en daarmee ook in verzekeringen. Naar aanleiding daarvan zijn dan ook in de literatuur veelvuldig vragen gesteld over grotere, overkoepelende vraagstukken zoals claimcultuur, uit de Verenigde Staten overwaaiende trends waaronder aansprakelijkheid voor inadequate security (‘secundaire’ aansprakelijkheid), en vragen over voorzorgsverplichtingen, de uitdijing van het aansprakelijkheidsrecht als gevolg van al deze ontwikkelingen en de verzekerbaarheid daarvan.3

Nieuwe risico’s worden vaak gedreven door innovatie. Ook risico’s als bijwerkingen van digitale technologieën zijn in de afgelopen twintig jaar langzamerhand prominenter naar voren gekomen als onderwerp in de Nederlandse rechtswetenschappelijke literatuur. Wetenschappers en juristen vanuit uiteenlopende disciplines schrijven over bijvoorbeeld software in het kader van productaansprakelijkheid,4 de zelfrijdende auto,5 klimaatverandering,6 nanotechnologie,7 de 3D-printer,8 drones,9 robotisering,10 kunstmatige intelligentie11 en cybersecurity.12

Wat echter nog grotendeels ontbreekt in de Nederlandse (rechts)wetenschappelijke literatuur, zijn privaatrechtelijke, verzekeringsrechtelijke beschouwingen over het middel om cyber(rest)risico’s op te vangen: cyberverzekeringen. Vanaf 2013 – vóór die tijd trof ik geen enkele Nederlandstalige publicatie aan – zijn er negen artikelen verschenen over deze materie, waarvan vier van mijn hand na 2017 (zie hoofdstukken II, IV, V en VI van dit boek). In 2015 schreef Weterings een veelomvattend artikel over de vraag in hoeverre de cyberverzekering voorziet in een behoefte van organisaties, waaruit onder andere volgt dat schade door cyberrisico’s onder de meeste traditionele verzekeringen niet is gedekt en een separate verzekering dus een goede aanvulling kan vormen.13 Drie andere publicaties schetsen de inhoud van de cyberverzekering in grote lijnen en in een interview met de directeur van een verzekeringsmakelaar wordt een aantal knelpunten rondom de cyberverzekering geduid.14 Voorts komt de cyberverzekering in meer rechtseconomische zin aan de orde in de dissertatie van Nieuwesteeg uit 2018, die daarover tevens separaat heeft gepubliceerd.15 Van Tiggele-van der Velde bespreekt tot slot de (afwezigheid van de) polisvoorwaarden van de cyberverzekering van verzekeraar De Goudse.16

Waar binnen de Nederlandse landsgrenzen de rechtswetenschappelijke aandacht voor cyberverzekering nog bescheiden is, wordt in andere delen van de wereld, met name in de Verenigde Staten, in de academische literatuur veelvuldig over dit onderwerp gepubliceerd. Er bestaan talloze publicaties die de cyberverzekering vanuit verschillende perspectieven en disciplines analyseren, zoals rechtswetenschappelijk, rechtseconomisch, technisch en gedragswetenschappelijk perspectief, al dan niet uitgevoerd in multidisciplinair onderzoeksverband.17 Een verklaring voor dit verschil is mogelijk te vinden in het feit dat cyberverzekeringen in de Verenigde Staten al wat langer op de markt zijn dan in Nederland en er, ook gelet op bijvoorbeeld de meldplichten in het Amerikaanse gegevensbeschermingsrecht, in de Verenigde Staten reeds behoorlijk wat juridische procedures hebben plaatsgevonden waarin de verzekeringsdekking voor cyberrisico’s het litigieuze onderwerp was.18

Toch is de beperkte aandacht voor het verzekeren van cyberrisico’s in Nederland opmerkelijk, temeer nu in de niet-academische verzekeringswereld veel debat is over het fenomeen cyberverzekering en er veel vragen bestaan. De Vereniging Nederlandse Assurantie Beurs (VNAB) wijdde in 2018 een editie van haar magazine, de VNAB Visie, geheel aan cyberrisico’s. Het voorwoord in die uitgave geeft een aaneenschakeling van citaten uit de verschillende interviews met personen uit het veld, waaruit de behoefte aan meer kennis en informatie duidelijk spreekt:

“[…] “Kennis over dit onderwerp en opleidingen is waar de markt behoefte aan heeft”; “Het gaat om risico’s die onzeker, onvoorspelbaar en cumulatief zijn”; “Als de hele maatschappij digitaliseert, zal bijna elk risico een cyber component hebben”; “We moeten een duidelijke definitie van een cyberincident hebben” en “Laten we samen nadenken en werken aan coassurantie-oplossingen om de risico’s te verdelen.” […]”.19

Meer op macroniveau zijn de belangrijkste vragen rondom dit thema het gebrek aan actuariële gegevens en de daarmee samenhangende problemen in underwriting en pricing, de grote diversiteit in polisvoorwaarden waardoor onduidelijkheid bestaat over de omvang van de dekking en de verhouding van de cyberverzekering tot traditionele verzekeringen.20 Om in die behoefte aan informatie te voorzien, zijn ook de brancheverenigingen actief. Sinds 2015 faciliteert bijvoorbeeld de VNAB het marktinitiatief Cyber Platform. Dit Platform is in 2019 overgegaan in een officiële Technische Commissie Cyber van de VNAB, die zich specifiek bezighoudt met de ontwikkelingen op het gebied van cyber en de (zakelijke coassurantie)markt.21

Deze vraag naar meer en eenduidiger informatie over het verzekeren van cyberrisico’s is ook terug te zien in omvangrijke publicaties van Europese instanties zoals de Organisatie voor Economische Samenwerking en Ontwikkeling (OESO/OECD), ENISA, de European Insurance and Occupational Pensions Authority (EIOPA), het World Economic Forum en de internationale denktank Geneva Association.22

In al deze rapporten komt in grote lijnen hetzelfde beeld naar voren. Er bestaan veel vragen en uitdagingen rondom de ontwikkeling van de cyberverzekering en de cyberverzekeringsmarkt, die veelal zijn gelegen in onder meer het gebrek aan data en aan samenwerking om die data te verkrijgen, de onduidelijkheid in polisvoorwaarden, het karakter van cyberrisico’s en de rol van cyberverzekeringen bij cybersecurity. Door al deze verschillende instanties wordt hard gewerkt om meer duidelijkheid en overzicht te creëren.

Zoals genoemd blijft in Nederland een (rechts)wetenschappelijk debat op dit punt achter. Gelet op het grote aantal vragen dat leeft op het gebied van cyberverzekeringen, kan een academische, rechtswetenschappelijke analyse een relevante bijdrage leveren aan (een begin van) de beantwoording van een aantal van deze vragen. In dit proefschrift onderzoek ik de cyberverzekering vanuit een verzekeringsrechtelijk perspectief. Een beter begrip van cyberverzekeringen en van de wijze waarop het verzekeringsrecht al dan niet bij moderne risico’s aansluit, stimuleert de verdere (rechts)ontwikkeling van dit belangrijke vangnet. Dit onderzoek is derhalve in eerste instantie relevant voor het verzekeringsrecht als discipline binnen de rechtswetenschap. Gelet op het bredere kader van cyberverzekeringen en cybersecurity zijn bij dit onderzoek tevens gebaat de actoren binnen de verzekeringspraktijk (verzekeraars, makelaars en tussenpersonen), riskmanagers en (bestuurders van) bedrijven en organisaties.

Toon alle voetnoten

Voetnoten

Voetnoten

M.G. Faure & T. Hartlief, Verzekering en de groeiende aansprakelijkheidslast: een juridisch, gezondheidskundig en economisch onderzoek naar ontwikkelingen met betrekking tot de aansprakelijkheidslast en de consequenties voor verzekeraars naar aanleiding van de werkgeversaansprakelijkheid voor bedrijfsongevallen en beroepsziekten, Deventer: Kluwer 1995.

M.G. Faure & T. Hartlief, Nieuwe risico’s en vragen aansprakelijkheid en verzekering, Deventer: Kluwer 2002, p. 2-3. Zie ook A.L.M. Keirse e.a., Nieuwe risico’s, nieuwe claimgebieden, Den Haag: Sdu uitgevers 2007.

Ibid. Zie ook T. Hartlief, Anno 2010. Beschouwingen over Aansprakelijkheid en Verzekering, Amsterdam: Uitgeverij deLex, 2010; R. Rijnhout e.a., ‘Beweging in het aansprakelijkheidsrecht’, NTBR 2013/20; A.Ch.H. Franken & I. Giesen, ‘Het voorzorgsbeginsel: over nieuwe en onzekere risico’s’, AV&S 2010/21; E.R. de Jong, Voorzorgverplichtingen. Over aansprakelijkheidsrechtelijke normstelling voor onzekere risico’s (diss. UU), UCALL Reeks deel 5, Den Haag: Boom Juridische Uitgevers 2016.

Bijvoorbeeld R.J.J. Westerdijk, Produktenaansprakelijkheid voor software. Beschouwingen over de aansprakelijkheid voor informatieprodukten (diss. Amsterdam VU), Deventer: Kluwer 1995.

Bijvoorbeeld N. Vellinga, Legal Aspects of Automated Driving: On Drivers, Producers and Public Authorities (diss. RUG), open access: http://hdl.handle.net/11370/4459304c-deb4-43df-99a8-7a677ea69530. Zie als apart artikel van dezelfde auteur ‘Met autonome auto’s de weg op: enkele vragen van aansprakelijkheid’, MvV 2020/5, p. 196-203. Voor een overzicht van literatuur op dit gebied zie C.J.J.M. Stolker, ‘Zelfrijdende’ auto’s,Groene Serie Onrechtmatige daad, artikel 6:187 BW, aant. 1.8.2.

Bijvoorbeeld het themanummer van het NJB, 2007/45-46; W.Th. Braams, ‘De aansprakelijkheid voor klimaatverandering als last resort’, NTBR 2008/29, p. 219 e.v.; J. Spier & E.R. de Jong, Shaping the law for global crises, Den Haag: Eleven International Publishing 2012.

Bijvoorbeeld E.R. de Jong, ‘Tussen fabel en feit, over aansprakelijkheidsrechtelijke normstelling aan de hand van nanotechnologie’, NJB 2011/2146, p. 2836-2843; L. Vogelezang-Stoute, J. Popma & M. Aalders, ‘Is onze regelgeving ‘nanoproof’?’, NJB 2011/1258, afl. 25, p. 1608-1615. Zie ook Rijnhout e.a. 2013.

E.N. Spijkerman, ‘3D-printen: het nieuwe doe-het-zelven. Een eerste verkenning van de aansprakelijkheids- en verzekeringsaspecten’, AV&S 2015/27, p. 164-169; P.R. van der Vorst & J.R. Wildeboer, ‘Van poeder tot product’, TAV 2015/20.

B.H.M. Custers, ‘Aansprakelijkheid voor drones. Technologische ontwikkelingen en de toepasbaarheid van het aansprakelijkheidsrecht’, MvV 2018/7-8, p. 235-242.

10.

S. de Schrijver & R. van den Hoven van Genderen, ‘I, Robot: realiteit of fictie? Inleiding op het thema Robotrecht’, Computerrecht 2015/197, p. 307-312; T.F.E. Tjong Tjin Tai, ‘Aansprakelijkheid voor robots en algoritmes’, NTHR 2017-3, p. 123-132.

11.

M. Vetzo & J.H. Gerards, ‘Algoritme-gedreven technologieën en grondrechten’, Computerrecht 2019/3.

12.

Bijvoorbeeld T.F.E. Tjong Tjin Tai & B. Koops, ‘Zorgplichten tegen cybercrime’, NJB 2015/742, p. 1065-1072; P. Verbruggen e.a., ‘Towards Harmonised Duties of Care and Diligence in Cybersecurity’, Cyber Security Council, European Foresight Cyber Security Meeting 2016, p. 78-107; E.M.L. Moerel e.a., Homo Digitalis. Preadviezen (Handelingen Nederlandse Juristen-Vereniging, deel 2016-I), Deventer: Wolters Kluwer 2016/1; P.W.J. Verbruggen & P.T.J. Wolters, ‘Consument en cybersecurity - Een agenda voor Europese harmonisatie van zorgplichten’, TvC 2017/1, p. 20-29.

13.

W.C.T. Weterings, ‘Voorziet de cyberverzekering (voldoende) in een behoefte van organisaties?’, AV&S 2015/2, p. 4-14. Tevens benoemt Weterings de cyberverzekering met betrekking tot bestuurdersaansprakelijkheid in W.C.T. Weterings, Persoonlijke aansprakelijkheid bestuurders voor onvoldoende IT-governance’, AV&S 2016/42, p. 209-211.

14.

C.M.C. van Tetterode, ‘Het verzekeren van Cybersecurity’, Bb 2015/54, p. 186-187; E.M.I. Wolper, ‘Privacyrisico’s verzekerd’, P&I 2015/1, p. 2-5; E.P.M. Thole, M.C.S. Gräfin zu Solms-Sonnenwalde & C.R.M. Moll, ‘De algemene meldplicht datalekken en de cyberverzekering’, TAV 2015/2; E.P.M. Thole & H. Gardeniers, ‘Het portret: Freek Warmelink directeur AON. De (on)mogelijkheid van het verzekeren van datalekken’, Privacy & Compliance 2013/4-5, p. 36-38.

15.

B.F.H. Nieuwesteeg, The Law and Economics of Cyber Security (diss. EUR), 2018; B.F.H. Nieuwesteeg, L.T. Visscher & B.J.R. de Waard, ‘De rechtseconomie van verzekeringen’, VA 2017/3, p. 155-160.

16.

N. Van Tiggele-van der Velde, ‘Verzekering van cyberrisico’s. Geen voorwaarden, toch voorwaarden’, AV&S 2018/6, p. 25-26.

17.

Belangrijke publicaties zijn bijvoorbeeld: S. Romanosky, ‘Content analysis of cyber insurance policies: how do carriers price cyber risk?’, Journal of Cybersecurity 2019/1 vol. 5, p. 1-19 (een eerdere versie van dit artikel uit 2017 is te vinden op https://ssrn.com/abstract=2929137); D.W. Woods & T. Moore, ‘Does insurance have a future in governing cybersecurity?’, IEEE Security & Privacy 2020/1, vol. 18, p. 21-17; D.W. Woods & A. Simpson, ‘Policy measures and cyber insurance’, Journal of Cyber Policy 2017/2 vol. 2, p. 209-226; M. Camillo, ‘Cyber risk and the changing role of insurance’, Journal of Cyber Policy 2017/1, vol 2, p. 52-63; S.A. Talesh, ‘Data breach, privacy, and cyber insurance: How insurance companies act as “compliance managers” for businesses’ Law & Social Inquiry 2018/43(2), p. 417–440; A. Marotta e.a., ‘Cyber insurance survey’, Computer Science Review 2017/24, p. 35-61; D.W. Woods e.a., ‘Mapping the coverage of security controls in cyber insurance proposal forms’, Journal of Internet Services 2017/8, p. 1-13; G.D. Podolak, ‘Insurance for Cyber Risks: A Comprehensive Analysis of the Evolving Exposure, Today’s Litigation, and Tomorrow’s Challenges, Quinnipiac Law Review 2013/369, p. 370-409; C. De Azevedo, Cyber Risks Insurance. Law and Practice, Thomson Reuters: London 2019; R. Böhme & G. Schwartz ‘Modeling Cyber-insurance: Towards a Unifying Framework.’ Proceedings of the Workshop of Economic Information Security (WEIS) 2010; N. Vassileiadis e.a. ‘CYBECO: Supporting Cyber-Insurance from a Behavioural Choice Perspective’, in: J.B. Bernabe & A. Skarmeta (reds.), Challenges in Cybersecurity and Privacy - the European Research Landscape, River Publishers: Gistrup (DK) 2019, p. 103-116; K. Labunets, Cyber risk and insurance, presentatie ACIS Symposium 22 september 2017, UvA Amsterdam (te raadplegen op https://acis.uva.nl/binaries/content/assets/subsites/amsterdam-centre-for-insurance-studies/2017/09/presentaties-22-sept/acis---2017-09-22---klabunets---cyber-risk-and-insurance.pdf).

18.

Bijvoorbeeld: Connecticut Supreme Court 2015, 115A3dd458, Total Recall v. Fed. Ins. Co.; 4th Circuit 11 april 2016, 14-1944, 2016 WL 1399517, Travelers Indemn. v. Portal Healthcare Services; New York Supreme Court 21 februari 2014, 651982/2011, Zurich v. Sony; U.S. District Court Arizona 18 april 2000, CIV-99-185-TUC-ACM, Am. Guarantee v. Ingram Micro; Cal. App. 4th 2003, 114 Cal. App. 4th 548, 556-57, Ward Gen. Ins. Serv. v. Employers.

19.

VNAB Visie, Cyberrisk, 2018/1, te raadplegen op https://www.vnab.nl/Pages/nl-NL/Kennis/archief-vnab-visie/cmsdropbox/?file=Website/Kennis/Visie/Archief/VNAB%20Visie%202018-01%20(Cyber).pdf. Bij deze editie van dit magazine ben ik gastredacteur geweest. In die hoedanigheid heb ik meegedacht over de te benaderen personen voor de interviews, binnen de bestaande kaders en vaste rubrieken van dit magazine. Verder heb ik geen inhoudelijke rol gehad. Ik heb dus geen interviews afgenomen of meegeschreven aan de artikelen.

20.

Zie bijvoorbeeld ook de publicaties van de Europese brancheverenigingen voor verzekeraars, tussenpersonen en risk managers, zoals het gezamenlijke rapport van de Federation of European Risk Management Associations (FERMA) FERMA, Insurance Europe en BIPAR (European Federation of Insurance Intermediairies), Preparing for Cyber Insurance, oktober 2018, te raadplegen op https://www.ferma.eu/app/uploads/2019/02/preparing-for-cyber-insurance-web-04-10-2018.pdf.

21.

Verbond van Verzekeraars, Virtuele risico’s, echte schade (position paper), Den Haag: Verbond van Verzekeraars 2013. Zie voor de TC Cyber van de VNAB https://www.vnab.nl/Pages/nl-NL/Technische-Commissies/technische-commissie-cyber.

22.

OECD, Supporting an effective cyber insurance market, gepresenteerd op de G7 Finance Ministers and Central Bank Governors meeting op 11-13 mei 2017; OECD, Enhancing the role of insurance in cyber risk management, Parijs: OECD Publishing 2017. OECD, Encouraging clarity in cyber insurance coverage, Parijs: OECD Publishing 2020. OECD, Enhancing the availability of data for cyber insurance underwriting, Parijs: OECD Publishing 2020; ENISA, Incentives and barriers of the cyber insurance market in Europe, Heraklion: ENISA 2012; ENISA, Cyber insurance: recent advances, good practices and challenges, Heraklion: ENISA 2016; ENISA: Commonality of risk assessment language in cyber insurance. Recommendations on cyber insurance, Heraklion: ENISA 2017; EIOPA, Understanding Cyber Insurance, Luxemburg: Publications Office of the European Union, 2018; World Economic Forum, Cyber Insurance, te raadplegen op http://reports.weforum.org/cyber-resilience/cyberinsurance/; M. Eling & W. Schnell, Ten Key Questions on Cyber Risk and Cyber Risk Insurance, Zurich: The Geneva Association – International Assocation for the Study of Insurance Economics 2016.