De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.4.2.1:III.4.2.1 Persoonsgegevens en bedrijfsgegevens

De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.4.2.1

III.4.2.1 Persoonsgegevens en bedrijfsgegevens

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Cyberverzekeringen bieden dekking voor zowel aanspraken die voortvloeien uit schending van het gegevensbeschermingsrecht, waarbij dus persoonsgegevens zijn betrokken, als voor aanspraken wegens inbreuken op de vertrouwelijkheid van bedrijfsgegevens die de verzekerde onder zich had of voor de vertrouwelijkheid waarvan de verzekerde anderszins (contractueel) verantwoordelijk was. Zie bijvoorbeeld de volgende polisbepalingen:

“Privacy- en netwerkbeveiligingsgerelateerde fout betekent een fout, onjuiste voorstelling van zaken, misleidende verklaring, handeling, nalaten, niet-nakoming van verplichtingen, dat daadwerkelijk is of vermeend te zijn gepleegd of gepoogd door verzekerde, in die hoedanigheid, dat resulteert in:

[…]

B. een tekortkoming van verzekerde of een onafhankelijke contractspartij waarvoor verzekerde wettelijk aansprakelijk is, in het gebruik, beheren, bewaren, vernietigen of op andere wijze beheren van:

i. persoonsgegevens, inclusief hetgeen dat een personenschade veroorzaakt;

ii. niet-openbare, vertrouwelijke bedrijfsinformatie van een derde verstrekt aan verzekerde, in welke vorm ook; of

iii. […]”1 (onderstrepingen NMB)

Dekking Inbreuk op Privacy en Geheimhouding

De Verzekeraar vergoedt aan of namens een Verzekerde alle Schadevergoeding en Verweerkosten die voortvloeien uit een Aanspraak die voor het eerst gedurende de Verzekeringstermijn of de Nameldingsperiode jegens een Verzekerde of een Uitbestede Dienstverlener is ingesteld wegens Inbreuk op Privacy of Inbreuk op Geheimhouding.

3.24 Inbreuk op Geheimhouding:

(a) het niet bewust of door nalatigheid openbaar maken van Vertrouwelijke Informatie door de Verzekerde of de Uitbestede Dienstverlener; of

(b) ongeoorloofde toegang tot of ongeoorloofd gebruik van in het Bedrijfscomputersysteem opgeslagen Vertrouwelijke Informatie.

3.42 Vertrouwelijke Informatie

(a) vertrouwelijke informatie die zich, in bewaring of in beheer van een Verzekerde bevindt bij de gewone uitoefening van zijn bedrijf; en

(b) informatie die aan de Verzekerde is verschaft en waar de Verzekerde schriftelijk mee akkoord gaat dat zij deze als vertrouwelijk zal behandelen.” 2 (onderstrepingen NMB)

De AVG ziet enkel op persoonsgegevens. Bedrijfsgegevens vallen dus buiten het bereik van de AVG. De reikwijdte van de dekking van de cyberverzekering voor aansprakelijkheid wegens privacy-incidenten is dus aanzienlijk ruimer dan privacy in de zin van het gegevensbeschermingsrecht.

In het kader van privacy-aansprakelijkheid wegens verlies van persoonsgegevens of anderszins inbreuken op de regelgeving, verwijzen de polissen naar de AVG en de eventueel andere toepasselijke regelgeving op het gebied van het gegevensbeschermingsrecht. Nu ook dekking wordt geboden tegen het verlies van (vertrouwelijkheid van) bedrijfsgegevens of de schending van geheimhoudingen, rijst bij mij de vraag of daar ook aanspraken uit hoofde van de Wet bescherming bedrijfsgeheimen (Wbb) onder vallen.3 Naar de Wbb of vergelijkbare wetgeving verwijzen de polissen echter niet.

De Wbb ziet op de bescherming van ‘niet-openbaar gemaakte knowhow en bedrijfsinformatie’ en beoogt dus te beschermen tegen het onrechtmatig verkrijgen, gebruik en openbaar maken van vertrouwelijke informatie.

De Wbb stelt in artikel 1 een drietal cumulatieve eisen aan het begrip ‘bedrijfsgeheim’. Het gaat daarbij om informatie die geheim is in die zin dat zij, in haar geheel dan wel in de juiste samenstelling en ordening van haar bestanddelen, niet algemeen bekend is bij of gemakkelijk toegankelijk is voor degenen binnen de kringen die zich gewoonlijk bezighouden met dergelijke informatie. De informatie moet, doordat zij geheim is, handelswaarde hebben. Tot slot dient de informatie voor degene die daarover beschikt, te zijn onderworpen aan redelijke maatregelen om de informatie geheim te houden. Daaronder vallen ook digitale beschermingsmaatregelen zoals encryptie, bijvoorbeeld ter voorkoming van het inbreken in computerbestanden of e-mail.4

Het gebruiken of openbaar maken van een bedrijfsgeheim is op grond van artikel 2 lid 2 sub a en c Wbb onrechtmatig wanneer het bedrijfsgeheim zonder de toestemming van de houder van het bedrijfsgeheim wordt gebruikt of openbaar gemaakt door een natuurlijke persoon of rechtspersoon die inbreuk maakt op een geheimhoudingsovereenkomst of een andere verplichting tot het niet openbaar maken van het bedrijfsgeheim, of inbreuk maakt op een contractuele of andere verplichting tot beperking van het gebruik van het bedrijfsgeheim.

Bij onrechtmatig gebruik of openbaarmaking van een bedrijfsgeheim kan de houder bij de voorzieningenrechter en de bodemrechter onder andere een verzoek doen tot staking van of een verbod op het gebruik of de openbaarmaking van het bedrijfsgeheim (artikel 5 lid 1 en 6 lid 1 sub a Wbb). Daarnaast biedt artikel 8 Wbb een grondslag voor een vordering tot schadevergoeding van de inbreukmaker die wist of behoorde te weten dat hij onrechtmatig een bedrijfsgeheim gebruikte of openbaar maakte. Deze bepaling staat een vordering uit hoofde van een toerekenbare tekortkoming ex artikel 6:74 BW of schadevergoeding wegens een onrechtmatige daad ex artikel 6:162 BW uiteraard niet in de weg.

De bepalingen uit de Wbb corresponderen tot op zekere hoogte met de polisbepalingen uit de cyberverzekering. Nu de cyberverzekering de Wbb expliciet noemt noch uitsluit, lijkt mij aannemelijk dat een bedrijf dat op grond van de Wbb wordt aangesproken, daarvoor onder omstandigheden dekking kan vinden onder deze verzekering. De vraag blijft dan wel of ‘vertrouwelijke informatie’, zoals genoemd in de polis, hetzelfde is als ‘geheim’ in de zin van de Wbb, maar uitgesloten lijkt me dat niet. Door niet te verwijzen naar de Wbb kan bovendien worden aangenomen dat de dekking onder de cyberverzekering op het punt van inbreuken op vertrouwelijke informatie breder is dan enkel aanspraken uit de Wbb. Daarbij moet uiteraard worden opgemerkt dat voor dekking onder de cyberverzekering wel sprake dient te zijn van een onderliggend cyberincident. Dat is een eis die in de Wbb niet wordt gesteld.

Een ander punt van aandacht bij de dekking voor een schending van de geheimhouding van bedrijfsgegevens, is het feit dat onder de definitie van het begrip ‘aanspraak’ niet altijd tevens een vordering tot een doen of laten wordt verstaan (zie ook hiervóór in §4.1.1).5 De vorderingen die uit hoofde van de Wbb kunnen worden ingediend (verzoek tot staking of verbod), zullen dus niet bij iedere cyberverzekeraar onder dekking vallen. Vorderingen tot schadevergoeding zullen, behoudens andere beperkingen in de dekking, wel onder de dekking vallen.

Tot slot moet de kanttekening worden geplaatst dat in iedere cyberverzekering een uitsluiting voor schade wegens de schending van intellectuele eigendomsrechten is opgenomen. Met het oog op de positieve dekking voor schending van geheimhouding en/of verlies van bedrijfsgegevens, alsmede de dekking voor zogenoemde ‘multimedia-aansprakelijkheid’ (zie hierna in §4.4), is deze uitsluiting interessant. Niet duidelijk is hoe deze uitsluiting zich verhoudt tot voornoemde positieve dekkingsomschrijvingen. Ik bespreek deze uitsluiting nader in §5.1.3.

Resumerend is de dekking voor inbreuken op vertrouwelijke (bedrijfs)informatie een belangrijk element in de cyberverzekering. Zowel met het oog op de Wbb als daarbuiten kan het voor bedrijven zeer waardevol zijn om niet enkel te zijn verzekerd voor aanspraken uit hoofde van de AVG, maar tevens vanwege (contractuele) vorderingen wegens inbreuken op bedrijfsgeheimen als gevolg van een cyberincident.

Deze functie is alleen te gebruiken als je bent ingelogd.