VII.2 Beantwoording van de hoofdvraag

Nu de kaders, inhoud en actoren in kaart zijn gebracht, keer ik terug naar de hoofdvraag. Het functioneren van de cyberverzekering heb ik onderzocht aan de hand van drie belangen die verzekeringen dienen: het individueel belang, maatschappelijk belang en juridisch belang.

Voor bedrijven en organisaties kan de cyberverzekering een onzekerheid wegnemen, namelijk een risico dat bedrijven en organisaties niet zelf kunnen dragen. Om dat afwentelmechanisme te laten slagen, is van belang dat de verzekerde bij verwezenlijking van het risico daadwerkelijk wordt gecompenseerd en dat hij daar voldoende op kan vertrouwen. Op dit punt heeft de cyberverzekering een grote potentie, die reeds deels wordt benut. Bij de verwezenlijking van cyberrisico’s is niet alleen behoefte aan compensatie om continuïteit te kunnen waarborgen, bijvoorbeeld door vergoeding van bedrijfsschade, maar ook – en wellicht nog temeer – aan hulp bij het daadwerkelijk ‘blussen van de brand’, dus de oplossing van een acuut probleem. Cyberverzekeringen voorzien daarin door de incident-responsediensten. De meerwaarde daarvan is groot, zeker bij afwezigheid van een reguliere dienst, zoals een ‘cyberbrandweer’. De opzet van de cyberverzekering past bovendien bij de complexe aard van het risico: een hybride verzekering, met dekking voor verschillende schadesoorten: privacyschendingen, cybercriminaliteit, notificatiekosten, bedrijfsschade, kosten van verweer en aansprakelijkheid. In deze opzichten functioneert de cyberverzekering dus goed.

Daar staat echter tegenover dat er nog grote verbeterpunten bestaan met betrekking tot de helderheid en uniformiteit van de polisvoorwaarden. Door de vele verschillen in voorwaarden, onduidelijke definities en de deels informatietechnische aard van de onderliggende risico’s komt de zekerheidsfunctie van verzekeringen in het gedrang. Het antwoord op de vraag of de verzekering daadwerkelijk een onzekerheid wegneemt – of anders gezegd: wat de cyberverzekering precies dekt en onder welke omstandigheden wordt uitgekeerd – is niet glashelder. Verzekeraars maken bijvoorbeeld onvoldoende duidelijk welk gedrag van de verzekerden wordt verwacht (bijvoorbeeld voorzorgsmaatregelen, zie hoofdstuk IV), of wanneer bepaalde oorzaken zijn uitgesloten (bijvoorbeeld social engineering, zie paragraaf 3.9.2 en 5.2.3 van hoofdstuk III). Daar komt bij dat de verzekerbaarheid van cyberrisico’s ook grenzen kent. Het is echter onduidelijk waar die grens precies ligt. Dat kan leiden tot complexe dekkingsdiscussies, bijvoorbeeld over de vraag of het cyberincident niet eigenlijk een oorlogshandeling was (zie hoofdstuk V). Cyberverzekeringen bieden daarmee nog niet het optimale comfort om zonder onacceptabele risico’s te kunnen ondernemen en innoveren. Eenduidiger definities en duidelijke dekkingsomschrijvingen zijn daarom gewenst. Daar waar daadwerkelijk de grens van de verzekerbaarheid wordt bereikt, ligt bovendien een rol voor de overheid voor de hand.

De ruimte om te kunnen innoveren en de zekerheid om de continuïteit van bedrijven en organisaties te behouden, dienen niet alleen een individueel belang, maar ook een maatschappelijk belang. Een ander maatschappelijk belang van een goed functionerende cyberverzekering is de bijdrage die deze verzekering kan leveren aan betere cybersecurity. De cyberverzekering draagt daaraan bij doordat zij risicobewustwording stimuleert. Bedrijven worden reeds bij de aanvraag van de verzekering immers gedwongen om na te denken over de inrichting van hun cybersecuritymaatregelen. De dekking voor incident-responsediensten verhoogt bovendien de cyberweerbaarheid van verzekerde bedrijven.

Ook op dit punt valt er echter nog grote winst te behalen. Cyberverzekeraars maken op dit moment onvoldoende gebruik van de mogelijkheden die zij hebben om door middel van polissystematiek, securityvoorschriften en uitsluitingen een betere cybersecurity af te dwingen. Een mogelijke verklaring daarvoor is de wens om de polisvoorwaarden zoveel mogelijk technologieneutraal te formuleren. Bovendien kan het hanteren van strikte beveiligingseisen en het veelvuldig gebruik van uitsluitingen juist leiden tot meer wantrouwen van bedrijven en organisaties, wat weer een remmende werking heeft op de verdere ontwikkeling van de cyberverzekering. Uit het oogpunt van cybersecurity is het gebrek aan voorschriften niettemin een gemiste kans.

Daarbij komt dat het proces van underwriting niet uniform is. Met het oog op cybersecurity is dat problematisch: indien de ene verzekeraar compleet andere maatregelen eist dan de andere, worden de cybersecurity en cyberweerbaarheid niet sterker. De meeste bedrijven bevinden zich immers in een ketenverhouding. Cyberveiligheid is zo sterk als de zwakste schakel. Cyberverzekeringen zouden dus meer kunnen bijdragen aan het verbeteren van cybersecurity door de underwriting-processen verder te uniformeren en definities van veelgebruikte begrippen gelijk te trekken. Dat dient het maatschappelijk belang van de verzekering. Bovendien draagt de cyberverzekering als neveneffect bij aan een nadere vormgeving van het juridische landschap. Polisvoorwaarden en preventievoorschriften kunnen invulling geven aan open normen en onzekere juridische risico’s, zoals de normen uit de AVG. Zoals ik in de inleiding heb beschreven, hebben we dit effect eerder gezien bij traditionele verzekeringen (zie paragraaf 2.1 van hoofdstuk I).

De voorgaande punten werken door in het juridische belang van de cyberverzekering. De cyberverzekering biedt dekking voor schadevergoedingen wegens aansprakelijkheid op gronden waar juridisch gezien de discussies nog (lang) niet zijn uitgekristalliseerd. Een voorbeeld daarvan is de vraag naar het schadebegrip bij privacyschendingen, waarover inmiddels mondjesmaat rechtspraak verschijnt (zie paragraaf 4.2.2.3 van hoofdstuk III). Over het dekkingselement aansprakelijkheid wegens onvoldoende netwerkbeveiliging bestaat voor zover mij bekend in het geheel nog geen jurisprudentie (zie paragraaf 4.3 van hoofdstuk III). Indien verzekerde bedrijven en organisaties evenwel aansprakelijk zouden worden gehouden voor deze schade, dan is die schade in principe onder de cyberverzekering gedekt. Het heikele punt is mijns inziens echter gelegen in de moeizame verhouding tussen cyberrisico’s en de traditionele verzekeringsrechtelijke leerstukken. De invulling van deze leerstukken beantwoordt immers de vraag of er in het concrete geval wel of geen uitkeringsverplichting op de verzekeraar rust.

Kortom, de cyberverzekering functioneert weliswaar op een aantal punten al goed (bijvoorbeeld door verzekerden van onontbeerlijke incident response te voorzien), maar op meerdere vlakken bestaat ruimte voor verbetering. Duidelijker definities, heldere afbakening van de dekking en uniformere voorwaarden zijn noodzakelijke prioriteiten. Daarnaast wachten nog vele uitdagingen, bijvoorbeeld daar waar de cyberverzekering tegen de grenzen van de verzekerbaarheid aanloopt. Om cyberrisico’s ook in de toekomst adequaat te kunnen verzekeren, zullen deze grenzen verder moeten worden verkend. Daartoe zal de dialoog moeten worden aangegaan tussen verzekeraars onderling, maar ook met de overheid, die als eventueel uiterste achtervang kan (zo niet moet) functioneren.