Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/II.1
II.1 Inleiding
1
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278945:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Dit hoofdstuk is eerder als artikel eerder verschenen in AV&S: N.M. Brouwer, ‘Cyberverzekeringen vanuit rechtsvergelijkend perspectief: privacyregelgeving in de VS en de Europese AVG’, AV&S 2018/19, p. 92-104.
R.P. Majuca e.a., ‘The Evolution of Cyberinsurance’, ACM Computing Res. Repository (http://arxiv.org/abs/cs/0601020), 2006. Zie ook A. Marotta e.a., ‘Cyber-insurance survey’, Computer Science Review 2017-24, p. 35-61.
R. Betterley, ‘Cyber/privacy insurance market survey – 2017’, The Betterley Report 2017, p. 8-9. Zie ook O. Ralph, ‘Cyber insurance market expected to grow after WannaCry attack’, Financial Times16 mei 2017 en ENISA, Cyber insurance: recent advances, good practices and challenges, november 2016.
In dit artikel wordt met ‘compliance’ bedoeld: het (treffen van maatregelen om te) voldoen aan de vereisten in de toepasselijke regelgeving.
K. Middleton & M. Kazamia, ‘Cyber Insurance: Underwriting, Scope of Cover, Benefits and Concerns’, in: P. Marano e.a. (eds.), The dematerialized insurance: distance selling and cyber risk form an international perspective, Switzerland: Springer, 2016, p. 187-191; M. Camillo, ‘Cyber risk and the changing role of insurance’, Journal of Cyber Policy 2017-2 (1), p. 54; A. Marotta 2017, p. 39. In dit artikel wordt de term ‘datalek’ gebruikt als verzamelterm voor verschillende aanduidingen van hetzelfde: data breach, data security breach, en inbreuk in verband met persoonsgegevens.
Bijvoorbeeld door AIG, Chubb (Ace), CNA Hardy, Catlin XL, Hiscox, Axa en Allianz. Zie uitgebreid over de verschillen in (een aantal van) deze polissen: B.F.H. Nieuwesteeg, L.T. Visscher & B.R.J. de Waard, ‘De rechtseconomie van cyberverzekeringen’, Verzekeringsarchief 2017/3, p. 155-160.
P. Hartman, ‘Cyberrisico’s bieden ongekende kansen!’, TAV 2017/6-141. Zie ook W.C.T. Weterings, ‘Verzekering van cyberschade en – aansprakelijkheid: voorziet de cyberverzekering (voldoende) in een behoefte van organisaties?’, AV&S 2015/2, p. 4-14.
OECD, Enhancing the Role of Insurance in Cyber Risk Management, OECD Publishing: Paris 2017 p. 60.
Ibid. Zie ook bijvoorbeeld M. Camillo 2017, p. 60; ENISA 2016, p. 5. Tevens ENISA, Commonality of risk assessment language in cyber insurance, ENISA Europe november 2017, p. 7. ENISA spreekt deze verwachting ook uit als effect van de NIB-richtlijn, waarin meldplichten voor ernstige inbreuken op de digitale veiligheid zijn opgenomen. Deze meldplichten gelden echter voor een beperkt aantal sectoren (overheden en kritieke infrastructuur). Ik deel deze visie van ENISA ten aanzien van de cyberverzekering derhalve niet zonder meer en betrek de NIB-richtlijn verder ook niet in dit artikel.
Dit onderzoek richt zich op (informationele) privacyregelgeving en cybersecurity. Andere aspecten van cybersecurity, zoals de bedrijfscontinuïteit en bescherming van bedrijfsprocessen, worden buiten beschouwing gelaten.
Cyberverzekeringen zijn in de Verenigde Staten al tientallen jaren op de markt.2 In de VS is de privacyregelgeving met haar meldplichten en boetes voor een belangrijk deel de motor achter de vraag naar verzekeringsdekking voor cyberrisico’s.3 De voornaamste reden om deze verzekering af te sluiten is gelegen in (compliance)4 kosten rondom een ‘datalek’.5
Inmiddels zijn cyberverzekeringen ook in Europa op de markt gebracht.6 De Amerikaanse oorsprong is daarin in sterke mate terug te zien.7 De afname van de cyberverzekering blijft in Europa evenwel achter ten opzichte van de VS.8 De verwachting is dat de Europese Algemene verordening gegevensbescherming (‘AVG’), die sinds 25 mei 2018 van toepassing is, een aanzienlijke stijging van de vraag naar cyberverzekeringen in Europa zal veroorzaken.9 Deze verordening bevat immers, net als de Amerikaanse privacyregelgeving, een meldplicht bij datalekken en forse handhavingsboetes.
Het Amerikaanse privacyrecht verschilt evenwel sterk van de Europese regelgeving. Dit artikel zal aan hand van een rechtsvergelijking tussen beide stelsels in kaart brengen of de AVG in dezelfde mate als in de Amerikaanse privacyregelgeving een juridische stimulans vormt voor het afsluiten van een cyberverzekering. De vragen die in dit onderzoek centraal staan, luiden derhalve: (1) creëert de inhoud van de AVG dezelfde behoefte aan specifieke cyberverzekeringsdekking als de Amerikaanse privacyregelgeving10 en (2) in hoeverre sluit de thans in Nederland aangeboden cyberverzekering op de AVG aan?11
Om deze vragen te beantwoorden geef ik een beknopt overzicht van de achtergrond van de cyberverzekering (paragraaf 2). Daarnaast ga ik in op de specifieke Amerikaanse regelgeving die de behoefte aan een cyberverzekering oproept en geef ik de inhoud van de cyberverzekering beknopt weer (paragraaf 3). In paragraaf 4 geef ik een overzicht van de voor de cyberverzekering relevante aspecten van het Europese privacyrecht en onderzoek ik op welke punten de AVG met de Amerikaanse regelgeving overeenkomt en/of verschilt. Aan de hand van die bevindingen kan het antwoord op bovenstaande onderzoeksvragen worden geformuleerd (paragraaf 5 en 6).