De cyberverzekering vanuit civielrechtelijk perspectief
Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/V.5.4:V.5.4 Gevolgen voor verzekeringsdekking
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/V.5.4
V.5.4 Gevolgen voor verzekeringsdekking
Documentgegevens:
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278857:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Toon alle voetnoten
Voetnoten
Voetnoten
Wansink 2004 (Kamphuisen Bundel), p. 218.
Zie ook WRR 2019, p. 91 en meer algemeen T. Hartlief, ‘Privaatrecht in nood’, in: Crises, rampen en recht. Preadviezen (Handelingen Nederlandse Juristen-Vereniging), Deventer: Kluwer 2014, p. 65-194. Zie ook de aanbevelingen van Insurance Europe, ‘Insurers’ role in EU cyber resilience’, 9 oktober 2019, te raadplegen op https://www.insuranceeurope.eu/insurers-role-eu-cyber-resilience.
Deze functie is alleen te gebruiken als je bent ingelogd.
Het internationaal humanitair recht geeft op dit moment geen duidelijkheid over de vraag hoe cyberaanvallen moeten worden gekwalificeerd. Over cruciale begrippen en criteria bestaat geen consensus. Voor de uitleg van het begrip ‘molest’ in Nederlandse cyberverzekering geeft het internationaal humanitair recht dus geen sluitende antwoorden. Wel geeft de analyse van de discussies in het internationaal humanitair recht een bruikbaar beeld van de knelpunten bij de toepassing van de molestbegrippen in een digitale context. Verzekeraars zouden zich over deze knelpunten kunnen buigen om daaraan meer duiding te geven.
De onduidelijke status van cyberincidenten zal waarschijnlijk verhinderen dat aan de criteria van de huidige molestbegrippen in verzekeringspolissen wordt voldaan. De verzekeraar die zich op molest wil beroepen, loopt tegen verschillende obstakels aan: de vraag naar de dader, het probleem van attributie, het mogelijk ver verwijderde verband tussen doelwit en benadeelde, de interpretatie van het wapenbegrip en de mate van impact van de aanval.
De constatering dat huidige molestbegrippen lastig zijn toe te passen in een digitale context raakt direct aan de meer fundamentele vraag over de mate van verzekerbaarheid van cyberrisico’s, althans in de vorm waarin deze verzekeringen op dit moment worden aangeboden. Cyberaanvallen kunnen bij vele verzekerde bedrijven tegelijk tot grote schade leiden.1 Cyberrisico’s hebben daarmee de potentie om uit te monden in catastroferisico’s (systeemrisico’s). Vanwege de potentiële impact van ernstige cyberaanvallen lopen verzekeraars het gevaar om geconfronteerd te worden met een financieel risico waartegen de molestuitsluiting nu juist bescherming beoogt te bieden. De ratio van het uitsluiten van molest is immers het voorkomen van financiële problemen bij verzekeraars. Deze ratio geldt uiteraard ook voor schade door cyberaanvallen. Door de problematische toepasbaarheid van de huidige molestbegrippen in een digitale context, worden verzekeraars mogelijk blootgesteld aan catastroferisico’s die niet door de molestclausule zijn uitgesloten, maar tegelijkertijd eigenlijk niet – op de huidige wijze – verzekerbaar zijn.
Er zijn alternatieve compensatiemechanismen denkbaar, zoals een verzekeringsconstructie met een beperkte herverzekeringsdekking die reeds voor (conventionele vormen van) terrorisme is gecreëerd. Zo blijft schade door ernstige cyberaanvallen (beperkt) verzekerbaar en hoeven burgers en bedrijven daarvoor niet geheel zelf op te draaien. Gezien de grootschaligheid van dit soort evenementen ligt een rol voor de overheid bovendien voor de hand, bijvoorbeeld als deelnemer in een poolconstructie.2 Door de molestbegrippen te moderniseren, kunnen verzekeraars echter ook reeds zelf een slag maken in de beteugeling van het financiële risico dat zij lopen bij deze ernstigste vormen van cyberrisico’s. Een helderder duiding van molest in een digitale context – en daarmee een betere afbakening van niet-verzekerbare en wel-verzekerbare risico’s – biedt meer zekerheid dat schade als gevolg van cyberrisico’s op een verantwoorde wijze verzekerbaar blijft.