Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.2
III.2 Globale structuur van de gemiddelde cyberverzekering
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278907:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Uitzonderingen zijn daarbij zeker mogelijk, bijvoorbeeld ten aanzien van boetes en telefoonhacking.
Zie hiervoor nader paragraaf 3.10.
Zie hiervoor nader paragraaf 3.11.
In Duitsland is inmiddels een niet-bindende set modelvoorwaarden beschikbaar, zie N. Hellberg (German Insurance Association) tijdens de OECD-conferentie Unleashing the Potential of the Cyber Insurance Market (22-23 februari 2018), https://www.oecd.org/daf/fin/insurance/Presentations-Conference-cyber-insurance-market.pdf, slides 39-43 (laatst bezocht 6 december 2019).
AIG, Centraal Beheer.
HDI en Allianz.
Amlin.
De polisvoorwaarden van de Achmea-labels Avéro, Interpolis en Centraal Beheer zijn inhoudelijk vrijwel identiek en daarom hier niet separaat weergegeven.
De cyberverzekering biedt dekking voor zowel eigen schade (first-party) als schade van derden (third-party). Typische elementen voor dekking van eigen schade zijn:1
Crisismanagement, waaronder kosten voor forensische diensten, juridische experts en reputatieadviezen;
Boetes door een toezichthouder, bijvoorbeeld de Autoriteit Persoonsgegevens;
Kosten voor reconstructie van gegevens en herstel van het netwerk;
Bedrijfsschade;
Schade door cybercriminaliteit, zoals digitale afpersing (ransomware) of digitale diefstal;
Telefoonhacking,2
Kosten en boetes na overtredingen van de Payment Card Industry Data Security Standards (PCI-DSS).3
De dekking voor schade van derden is in de regel onderverdeeld in een drietal categorieën:
Schade als gevolg van een privacy-incident, bijvoorbeeld schadeclaims van betrokkenen in de zin van de Algemene verordening gegevensbescherming (AVG);4
Schade als gevolg van onvoldoende netwerkbeveiliging, bijvoorbeeld het verspreiden van virussen of malware; en
Multimedia-aansprakelijkheid, bijvoorbeeld smaad, laster en inbreuken op auteursrecht.
Anders dan bij veel traditionele verzekeringen is er in Nederland voor de cyberverzekering geen standaard- of modelpolis beschikbaar.5 Integendeel, binnen de cyberpolissen die thans op de markt zijn, bestaat een grote verscheidenheid in opbouw en systematiek van de polis en in de definiëring van begrippen. Niet iedere verzekeraar maakt bijvoorbeeld even scherp onderscheid in eigen schade en schade van derden. Dit volgt dan impliciet uit de afzonderlijke polisbepalingen.
De ene verzekeraar werkt met verschillende specifieke modules (bijvoorbeeld first response, boetes en aansprakelijkheid, netwerkonderbreking, systeemfalen, computercriminaliteit en cyberafpersing).6 Een ander gebruikt algemenere rubrieken (bijvoorbeeld aansprakelijkheid, bedrijfsschade, en eigen schade; soms met een aparte rubriek crisismanagement).7 Een bijzondere variant lijkt te zijn gebaseerd op een model voor risicoanalyse bij informatiebeveiliging: beschikbaarheid, integriteit en vertrouwelijkheid.8
In figuur 1 zijn de structuren van de polissen weergeven. Alleen al deze verschillen maken het voor potentiële verzekerden en hun adviseurs geen gemakkelijke opgave om de precieze dekking onder de cyberverzekering goed te analyseren. In de volgende paragrafen bespreek ik een groot aantal van deze verschillen. In de andere hoofdstukken van dit boek licht ik een aantal relevante punten meer op detailniveau uit.
Achmea (CB)9
AIG
Allianz
Amlin
1. Algemeen
2. Gegevensinbreuk
3. Herstel
4. Bedrijfsschade
5. Cyberafpersing
6. Privacy aansprakelijkheid
7. Aansprakelijkheid netwerkbeveiliging
8. Cyberdiefstal
9. Media-aansprakelijkheid
10. PCI-DSS
11. Telefoonhacking
Eigen schade
- First response
- Incident management
- Cyberafpersing
- Telefoonhacking
- Computercriminaliteit
- Elektronisch data incident
Aansprakelijkheid
- Boetes & aansprakelijkheid
- Digitale media
Bedrijfsschade
- Netwerk-onderbreking
- Netwerk-onderbreking IT outsourcer
A. Aansprakelijkheid
B. Bedrijfsschade
C. Crisismanagement
D. Eigen schade
1. Aanvullende begripsomschrijvingen
2. Omvang van de dekking
● First Response
● Beschikbaarheid
● Integriteit
● Vertrouwelijkheid
● Overige risico’s
3. Dekkingsgebied
4. Aanvullende uitsluitingen
5. Schade
6. Algemene bepalingen
Chubb
CNA
HDI
Hiscox
1. Dekkingomschrijvingen
1.1. Cyberincident kosten
1.2. Bedrijfsschade
1.3. Herstel van data en systemen
1.4. Cyberafpersing
1.5. Privacy- en netwerkbeveiligings-aansprakelijkheid
1.6. Media-aansprakelijkheid
2. Uitbreidingen
3. Definities
4. Uitsluitingen
5. Algemene bepalingen
6. Klachtenregeling
7. Verwerking persoonsgegevens
1. Rubriek Eigen Schade: Dekking voor Cyber-, Technologie en Communicatie-schade
2. Rubriek Cyberaansprakelijkheid: dekking voor aanspraken van derden
1. Rubriek I: Aansprakelijkheid en regelgevingsacties
2. Rubriek II: Eigen schade
3. Rubriek III: Bedrijfsschade
1 Aanspraken derden
1.1 Privacy aansprakelijkheid
1.2 Cyber en/of multimedia-aansprakelijkheid
2 Eigen schade
2.1 Data Inbreuk
2.2 Bedrijfsschade
2.3 Hacker schade
2.4 Cyberafpersing
2.5 Hacking telefoonsysteem
2.6 Verlies van geld op rekening
Liberty
XL Catlin
Zurich
I. Eigen schade
a. Schade aan digitale eigendommen
b. Bedrijfsschade en extra kosten
c. Cyberafpersing
d. Reputatieschade
e. Computer Crime
f. Telefoonhacking
II. Aansprakelijkheid privacy, geheimhouding en beveiliging
III. Verweer, schadevergoedingen en boetes privacyregelgeving
IV. Services
V. Aansprakelijkheid inzake professionele IT-diensten en multimedia
a. Professionele IT-diensten
b. Dekking Multimedia
VI. Beperking aansprakelijkheid
VII. Voorwaarden en bepalingen
VIII. Uitsluitingen
a. Alle onderdelen
b. Rubriek D
c. Rubriek B en D
d. Rubriek A
IX. Waarborgen
X. Definities
XI. Algemene informatie Bedrijfsgegevens
A. Rubriek aansprakelijkheid
B. Rubriek Incident management en bedrijfsstilstand
C. Uitsluitingen
D. Verzekerd bedrag, eigen risico en serieschade
E. Schade afwikkeling, schikking en verdeling
F. Algemene bepalingen
G. Wijziging van het risico
H. Definities
I. Overige bepalingen
1. Definities
2. Aard en omvang van de dekking
a. Aansprakelijkheid
b. Eigen schade
c. Fraude
3. Uitsluitingen
4. Verzekerd bedrag
5. Schadeberekening
6. Schademelding en overige verplichtingen
7. Schaderegeling
8. Premiebetaling
9. Wijziging premie en/of voorwaarden
10. Duur en einde verzekering
11. Overige bepalingen
Figuur 1: verschillen in polisopbouw