De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/V.1:V.1 Inleiding

De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/V.1

V.1 Inleiding

Documentgegevens:

mr. N.M. Brouwer, datum 01-06-2021

Datum: 01-06-2021
Auteur: mr. N.M. Brouwer
JCDI: JCDI:ADS278877:1
Vakgebied(en): Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering

Cyberincidenten kunnen grote schade veroorzaken bij een breed scala aan bedrijven. Dit blijkt bijvoorbeeld uit een rechtszaak die de snoep- en koekjesproducent Mondelez (bekend van onder andere Oreo, Milka en Toblerone) onlangs tegen haar propertyverzekeraar Zurich aanhangig heeft gemaakt in de Verenigde Staten. Op 27 juni 2017 werd Mondelez getroffen door het NotPetya-virus, dat een zeer groot aantal servers en computers van het bedrijf verwoestte.2 Mondelez meende goed te zijn verzekerd: zij beschikte over een uitbreiding op haar propertyverzekering bij Zurich, die ook dekking bood voor cyberschade.3

De schade van Mondelez bedroeg naar verluidt meer dan 100 miljoen dollar. Toen zij echter een beroep deed op haar verzekeraar tot uitkering van haar schade, ving zij op een verrassende manier bot: Zurich weigerde dekking met een beroep op de ‘act of war’-uitsluiting, omdat de CIA inmiddels meende te weten dat de Russische staat achter de aanval zat. Rusland zou de aanval hebben gepleegd in het conflict met Oekraïne. Door kwetsbaarheden in de Oekraïense systemen zou het virus zich evenwel razendsnel verder hebben verspreid.4 De aanval werd daarom door de verzekeraar als oorlogshandeling aangemerkt.

De zaak Mondelez/Zurich is uniek, maar staat niet geheel op zichzelf. Ook farmaceutisch bedrijf Merck zag haar verzoek tot uitkering na NotPetya geweigerd door (een aantal) verzekeraars en herverzekeraars. Een aantal (her)verzekeraars beriep zich op de oorlogs- en terrorisme-uitsluiting, waarop Merck zich tot de rechtbank in New Jersey wendde.5

Deze procedures zijn van belang voor de nadere afbakening van de reikwijdte van dekking onder de cyberverzekering, ook in Nederland.6 Tot nu toe is er met name in de Verenigde Staten regelmatig geprocedeerd over de vraag of schade als gevolg van een cyberincident onder een traditionele AVB- of propertypolis viel.7 Zuivere discussies over dekking van cyberschade onder een cyberpolis (stand-alone of als add-on op een traditionele polis) zijn wereldwijd nog niet vaak voor de rechter gekomen.8 Bovendien is het de eerste keer dat een verzekeraar zich beroept op de act of war-uitsluiting vanwege een gestelde statelijke actor die de cyberaanval zou hebben uitgevoerd. De zaken Mondelez en Merck behoren daarmee – ongeacht of er daadwerkelijk een rechterlijke uitspraak volgt – tot belangrijke vormgevers van het juridische cyberverzekeringslandschap.9

Daarnaast geven deze zaken te denken over de grenzen van de verzekerbaarheid van schade door cyberaanvallen. Er zijn reeds verschillende impactonderzoeken verricht naar (fictieve) extreme scenario’s bij ernstige cyberaanvallen op kritieke infrastructuur zoals dammen en elektriciteitscentrales.10 De gevolgen van dit soort aanvallen kunnen leiden tot zeer hoge claims in meer dan dertig verschillende verzekeringstakken. De schadelast wordt daarmee catastrofaal.11 Dergelijke scenario’s zijn echter van een duidelijk ander kaliber dan bijvoorbeeld NotPetya.

Hoewel de zaken Mondelez en Merck in de Verenigde Staten worden beoordeeld, geven zij ook in Nederland stof tot nadenken: in Nederland is schade door oorlog (‘molest’) standaard uitgesloten van dekking. Terrorisme is slechts onder bepaalde voorwaarden gedekt. Op deze bepalingen wordt in zo beperkte mate een beroep gedaan, dat daaraan zelden speciale aandacht wordt besteed, terwijl de hierboven beschreven polisgeschillen zich ook in Nederland kunnen (gaan) voordoen.

In dit artikel onderzoek ik dan ook hoe in Nederland molest- en terrorismeclausules zijn toe te passen op digitale incidenten en wat daarbij de knelpunten zijn. Daartoe zal ik eerst algemeen ingaan op de huidige kaders van molest en terrorisme binnen het Nederlandse verzekeringsrecht (paragraaf 2 en 3). Vervolgens geef ik een overzicht van de verschillende molestclausules in cyberverzekeringen die in Nederland worden aangeboden (paragraaf 4) en ga ik nader in op de toepasbaarheid van de molestbegrippen op digitale incidenten (paragraaf 5). Daarna bespreek ik de verschillende terrorismebepalingen van in Nederland aangeboden cyberverzekeringen en duid ik ook daarvan de knelpunten (paragraaf 6 en 7), om af te sluiten met een conclusie en aanbevelingen (paragraaf 8).12

Toon alle voetnoten

Voetnoten

Voetnoten

Dit hoofdstuk is eerder als artikel verschenen in AV&S: N.M. Brouwer, ‘Hoog tijd voor modernisering: molest en terrorisme in het kader van de cyberverzekering’, AV&S 2020/33, p. 200-210.

Zie de Trial pleading zijdens Mondelez, 2018 WL 4941760 (Ill.Cir.Ct.), No. 2018L011008, 10 oktober 2018.

“physical loss or damage to electronic data, programs or software, including physical loss or damage caused by the malicious introduction of machine code or instruction.” Zie Trial Pleading Mondelez 2018 (nt. 1).

E. Nakashima, ‘Russian military was behind ‘NotPetya’ cyberattack in Ukraine, CIA concludes’, The Washington Post 12 januari 2018.

Zie de Complaint for declaratory relief zijdens Merck, UNN-L-002682-18, ingediend op 8 februari 2018. Merck voert onder andere aan dat een aantal (cyber)verzekeraars juist wel degelijk had uitgekeerd.

Dat het in Mondelez/Zurich gaat om een uitbreiding op een propertypolis, doet niet af aan de relevantie van de procedure; ook voor de stand-alone cyberpolis is de uitkomst van dit debat relevant. Het debat gaat immers over nadere afbakening van cyberdekking.

Bijvoorbeeld: Connecticut Supreme Court 2015, 115A3dd458, Total Recall v. Fed. Ins. Co.; 4th Circuit 11 april 2016, 14-1944, 2016 WL 1399517, Travelers Indemn. v. Portal Healthcare Services; New York Supreme Court 21 februari 2014, 651982/2011, Zurich v. Sony; U.S. District Court Arizona 18 april 2000, CIV-99-185-TUC-ACM, Am. Guarantee v. Ingram Micro; Cal. App. 4th 2003, 114 Cal. App. 4th 548, 556-57, Ward Gen. Ins. Serv. v. Employers Fire Inc. Comp.

Bijvoorbeeld: 9^th Circuit, No. 16-16141, 28 juni 2016, Chang Bistro v. Fed. Insurance Co; C.D. California, 15-cv-3432, Cottage Health v. Columbia Casualty Co.

Zie ook J. Ferland, ‘Cyber insurance – What coverage in case of an alleged act of war? Questions raised by the Mondelez v. Zurich case’, Computer Law & Security Review 2019/4, vol. 35, p. 369-376.

10.

M. Honea, J. Laux e.a., Silent Cyber Scenario: Opening the Flood Gates, Aon 2018 en T. Maynard, Business Black-Out: the insurance implications of a cyber attack on the US power grid, Lloyd’s 2015. Deze onderzoeken sluiten de mogelijkheid uit van een beroep op de act of war-clausule of overheidsinterventie wegens terrorisme, met name omdat in de scenario’s wordt uitgegaan van een onbekend gebleven dader.

11.

Zie Maynard 2015, p. 38-39.

12.

Voor deze bijdrage zijn de polisvoorwaarden onderzocht van AIG (CyberEdge NL V.2.3), Allianz (1000125-178-07), Amlin (CYB2019), Avéro (ACYB19), Centraal Beheer (CYB18), Chubb (Cyber Entreprise Risk Management V2), CNA (NetProtect TCNB0216-052019), Goudse (Spelregels 1.0), HDI (Cyber+ CYB.ALG.3), Hiscox (Cyber Clear 2018), Interpolis (BCP 5.7.1 17120054 052018), XL Catlin (NLIFL/CYBER/SPS/01) en Zurich (#CyberComfort by Zurich). XL Catlin is inmiddels overgenomen door AXA.