Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.5.2.7
III.5.2.7 Slijtage van data en software: eigen gebrek (7:951 BW)?
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278835:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Amlin, Chubb, Liberty en CNA.
Liberty.
H.M.B. Brouwer, ‘Eigen gebrek en causaliteit in het verzekeringsrecht’, in: Hendrikse e.a. (reds.) 2019, p. 507-527; Asser/Wansink, Van Tiggele & Salomons 7-IX 2019/236-503. Een separate bepaling over het eigen gebrek (in- of uitsluiting) heb ik in geen van de onderzochte polisvoorwaarden aangetroffen.
Zie M.M.R. van Ardenne-Dick, ‘Wettelijke uitsluitingen in titel 7.17 BW. De uitsluitingen voor ‘eigen gebrek’ en ‘eigen schuld’; een overzicht van de ontwikkelingen in de afgelopen tien jaar’, in: N. van Tiggele-van der Velde & J.H. Wansink (reds.), Bespiegelingen op 10 jaar ‘nieuw’ verzekeringsrecht, Deventer: Wolters Kluwer 2015, p. 124. Zie ook Asser/Wansink, Van Tiggele & Salomons 7-IX 2019/439.
Ibid.
H.M.B. Brouwer 2019, p. 509. Zie ook Asser/Wansink, Van Tiggele & Salomons 7-IX 2019/436 en Wansink 2006, p. 263-264.
Chubb.
Amlin.
HR 22 februari 1924, NJ 1924/488 (Gummiwaren). De jurisprudentie over slijtage in verzekeringsrechtelijke zaken zien allen op slijtage in technische/fysieke zin, vgl. bijv. Hof Den Haag 16 juli 2013, ECLI:NL:GHDHA:2013:4023 (abnormale of normale slijtage van een generator); Hof Amsterdam 7 februari 2012, ECLI:NL:GHAMS:2012:BV8189 (delamineren polyester schip is een eigen gebrek en geen uitgesloten normale slijtage); Rb. Amsterdam 29 december 2010, ECLI:NL:RBAMS:2010:BP5010 (schade biomassa door stroomuitval is geen normale, geleidelijke slijtage); Hof Den Bosch 22 maart 2011, ECLI:NL:GHSHE:2011:BP9625 (lekkage en zinken schip).
Wansink 2006, p. 49-51. Zie voor een uitgebreide goederenrechtelijke beschouwing over data en digitale objecten V. Tweehuysen, ‘Digitaal goederenrecht – een introductie’, in: C.J.H. Jansen, B.A. Schuijling & I.V. Aronstein (reds.), Onderneming en digitalisering, Deventer: Wolters Kluwer 2019, p. 133-148.
S. Rajput & R. Sharma, Software Engineering, New Dehli: Horizon 2015, p. 4.
S. Rajput & R. Sharma 2015, p. 5.
Zie in deze zin ook B. Jacobs, ‘Aftercare for the Internet of Things’, CSR Magazine 2016/2, p. 61-62.
Vgl. Jacobs 2016, p. 61.
Een klein aantal cyberverzekeraars sluit schade uit wegens slijtage van data en software:1
“De verzekeraar dekt geen schade of aansprakelijkheid direct of indirect voortvloeiende uit of op enige wijze samenhangende met: […]
elke slijtage of geleidelijke achteruitgang van en aan gegevens, software of het netwerk van verzekerde, of een onderdeel daarvan.”
⁜
“Slijtage of geleidelijke achteruitgang of het niet redelijkerwijze onderhouden van hardware, digitale eigendommen of overige roerende zaken of apparatuur van de verzekerde, dan wel van een derde Leverancier en die door die derde Leverancier ten behoeve van de verzekerde worden ingezet.
Deze uitsluiting geldt echter niet ten aanzien van software updates of patches die binnen redelijke tijd worden of zouden zijn ingevoerd.”2
Het uitsluiten van slijtage of erosie komt in traditionele verzekeringen vaker voor, bijvoorbeeld in technische (object)verzekeringen zoals werkmaterieel- of machineschadeverzekeringen. Slijtage is het gevolg van normaal gebruik van het object. Slijtage vloeit naar de normale loop van omstandigheden voort uit de aard en natuur van het object en is derhalve niet (altijd) meeverzekerd.3 Deze uitsluiting is gebaseerd op de uitsluiting van het ‘eigen gebrek’ in artikel 249 (oud) WvK, thans neergelegd in artikel 7:951 BW: “De verzekeraar vergoedt geen schade aan een verzekerde zaak indien die is veroorzaakt door de aard of een gebrek van die zaak.”4 Een gebrek gaat om eigenschappen die de verzekerde zaak niet behoort te hebben (een ‘minderwaardige’ eigenschap), bijvoorbeeld een abnormaal snelle slijtage of een constructiefout.5 De aard van de zaak betreft een eigenschap die de verzekerde zaak juist wel bezit, dus bijvoorbeeld normale slijtage.6
Artikel 7:951 BW geldt niet voor aansprakelijkheidsverzekeringen.7 De uitsluiting ziet op een gevaarlopend object, niet op een gevaarscheppend object. Artikel 7:951 BW is echter van regelend recht. De cyberverzekeringen die deze uitsluiting wegens slijtage bevatten, verschillen dan ook in de reikwijdte van de toepassing van de uitsluiting. De ene verzekeraar verklaart de uitsluiting expliciet van toepassing op enkel eigen schade van de verzekerde,8 terwijl een ander er niets over opmerkt en de clausule als algemene uitsluiting heeft opgenomen.9 De hiervoor geciteerde clausule verklaart de uitsluiting van toepassing op zowel eigen schade als aansprakelijkheid.
Gelet op het karakter van de cyberverzekering is het niet zonder meer onbegrijpelijk dat de verzekeraar de slijtage-uitsluiting ook van toepassing verklaart op de aansprakelijkheidsrubriek. Data en software vormen voor de cyberverzekering zowel het verzekerde object voor eigen schade (gevaarlopend object) als het gevaarscheppende object voor het verzekerde aansprakelijkheidsrisico.
De vraag is wel hoe deze slijtage-uitsluiting moet worden gezien in verhouding tot artikel 7:951 BW in traditionele zin. Artikel 7:951 BW kent een stoffelijkheidsvereiste: het gaat om verzekerde stoffelijke zaken.10 Data en software zijn (nog altijd) geen stoffelijke zaken (zie ook §5.2.1).11 Cyberverzekeraars die de slijtage-uitsluiting niet hanteren, kunnen bij achteruitgang van bijvoorbeeld software dan ook geen beroep doen op de wettelijke uitsluiting van artikel 7:951 BW.
Daarnaast is het de vraag wat verzekeraars die deze uitsluiting wel hanteren überhaupt verstaan onder ‘slijtage’ van data en software. Juist omdat dit geen stoffelijke zaken zijn, is niet eenvoudig voor te stellen hoe deze ‘objecten’ kunnen slijten. Vanuit technisch perspectief wordt dat ook niet op die wijze geduid. Software ‘slijt’ niet.12 Het is de omgeving om de software heen die verandert en daarmee andere prestaties van de software vraagt. Die prestaties kan de software niet altijd (meer) leveren, en dat wordt gezien als falen van de software. Dat is echter niet hetzelfde als slijtage van bijvoorbeeld hardware, waaronder mijns inziens ook bijvoorbeeld gegevensdragers kunnen worden verstaan. De onderstaande figuur maakt het verschil duidelijk:
Figuur 2.13
Hardware slijt volgens de ‘badkuip-curve’: in het begin zijn er kinderziektes, aan het eind is er slijtage. Software kent tevens kinderziektes, maar slijt in feite niet en kan in de ‘idealised curve’ oneindig werkend zijn. Door verandering in de omgeving kan software echter meermaals opnieuw met kinderziektes worden geconfronteerd, en dus met een hoger prestatiefalen. ‘Slijtage’ van software zelf, dus anders dan een prestatiefalen als gevolg van veranderende omgevingsfactoren, is vanuit bovenstaande technische benadering in feite non-existent. Indien ‘slijtage’ echter moet worden gezien als een verminderde toepasbaarheid of efficiëntie van de software, dus vanuit een meer economische benadering, dan past het voornoemde falen van de software daar wellicht wel bij.14 Gezien het karakter van de cyberverzekering en van software en data is een dergelijke benadering bij de uitleg van deze clausule op zichzelf verdedigbaar.
De vervolgvraag is dan wat dit betekent voor de omvang van de dekking. Zowel data als software kunnen verouderen (‘slijten’ in bovengenoemde economische zin) doordat zij niet worden onderhouden met bijvoorbeeld updates of, in het geval van software, niet langer worden ondersteund.15 Al vaker in dit onderzoek heb ik gewezen op het gebruik van legacy systems: netwerken van sterk verouderde systemen en software, die zodanig met elkaar samenhangen en geïntegreerd zijn in de bedrijfsprocessen, dat onderhoud in de zin van vervanging of updates vrijwel niet mogelijk is.
Dat de verzekeraar niet de kosten voor vervanging van oude software wil dragen, is natuurlijk wel logisch. Maar als uit die oude legacy systems schade voortvloeit, moet dat dan worden gezien als ‘versleten’ software waarop de slijtage-uitsluiting dus toepassing vindt? Indien dit het geval zou zijn, betekent dit een significante inperking van de dekkingsomvang, zeker ten opzichte van de cyberverzekeringen waarin deze uitsluiting ontbreekt. Dit probleem is mogelijk relatief eenvoudig op te lossen, namelijk door het begrip ‘slijtage’ op een heldere manier te definiëren in de polis.