Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/VI.4.2
VI.4.2 De beschikbaarheid en gangbaarheid van het verzekeringsproduct
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278859:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
ECLI:NL:RBMNE:2016:420, r.o. 2.4. Vergelijk daarnaast Gerechtshof Arnhem-Leeuwarden 8 oktober 2013, ECLI:NL:GHARL:2013:7467.
N. van der Meulen, Investeren in cybersecurity, Santa Monica (Cal.): RAND Europe 2015, p. 31.
C. Driessen, ‘Cyberincidenten kosten 10 miljard euro, maar niemand verzekert zich’, NRC Handelsblad 4 januari 2017 en L. de Boer, ‘Zo fris als een hoentje het nieuwe jaar in’, VVP 2016-7, p. 14-17. De mondiale ‘WannaCry’ ransomware aanval lijkt de afname van cyberpolissen overigens verder aan te wakkeren, zie R. de Lange, ‘Aantal cyberpolissen stijgt hard’, Het Financieele Dagblad 16 mei 2017.
Zie bijvoorbeeld de uitspraken van verzekeraar Chubb in ‘Veel onduidelijkheid over cyberverzekeringen’, Computable-Magazine 2017-2 (https://www.computable.nl/artikel/5952463). Vergelijk ook Van der Meulen 2015.
Rapport OECD, Supporting an effective cyber insurance market, OECD 2017; I.A. Téndel & P.H. Meland, ‘Using Cyber-Insurance as a Risk Management Strategy: Knowledge Gaps and Recommendations for Further Research’, Sintef ICT, Norway, 11-11-2015, p. 6. Zie ook N. van der Meulen 2015.
Bijvoorbeeld de verschillende termijnen waarover bedrijfsschade wordt vergoed.
R.P. Hartwig, Cyberrisk: Threat and opportunity, New York: Insurance Information Institute 2016. Zie ook The Betterley Report, A Tough Market for Larger Insureds, but Smaller Insureds Finding Eager Insurers, Cyber/Privacy insurance market survey, Massachusetts: Betterley Risk Consultants Inc. 2016.
Software as a Service, een van de bekendste vormen van cloud-hosting.
HR 10 januari 2003, NJ 2003, 375, m.nt. M.M. Mendel (Brals/Octant).
Zie bijvoorbeeld HR 8 juni 2012, ECLI:NL:HR:2012:BW1720l; Gerechtshof Leeuwarden 8 november 2011, ECLI:NL:GHLEE:2011:BU3585; Gerechtshof Arnhem 10 november 2009, ECLI:NL:GHARN:2009:BL8047.
Een andere relevante factor die volgens Spier de omvang van de zorgplicht beïnvloedt, is de mate waarin de cyberverzekering beschikbaar is (paragraaf 3). Een soortgelijke overweging is te vinden in de uitspraak van de Rechtbank Midden-Nederland van 3 februari 2016, waarin de rechtbank laat meewegen wat de voor- en nadelen van de gewenste verzekering zijn en of dit een zo gangbaar product is dat het afsluiten daarvan een reële optie was geweest.1
Cyberverzekeringen zijn weliswaar beschikbaar, maar ‘gangbaar’ zijn zij in Nederland nog niet.2 Ondanks een stijging sinds de inwerkingtreding van de Wet Meldplicht Datalekken wordt de verzekering nog niet massaal afgenomen.3 Ook over de concrete invulling van de cyberverzekeringen bestaat nog de nodige onduidelijkheid.4 Dat maakt het voor een tussenpersoon moeilijker om zijn cliënt adequaat te adviseren en voor te lichten over de uiteindelijke inhoud van de verzekering; hij is in grotere mate afhankelijk van de informatie die de verzekeraar hem verschaft dan bij traditionele verzekeringen met inmiddels uitgekristalliseerde begrippen het geval is. Cyberverzekeringen, die vrijwel allemaal afkomstig zijn uit de Verenigde Staten, staan in die zin nog altijd in de kinderschoenen.5 Daarbij doet zich bovendien de situatie voor dat er grote verschillen bestaan tussen de verschillende polisvoorwaarden, waarbij het venijn vaak in de details zit.6 De begrippen die in de polisvoorwaarden worden gebruikt, zijn nog niet genormaliseerd. Hoe dit zijn uitwerking zal hebben in de Nederlandse verzekeringsmarkt en het Nederlandse rechtsstelsel, is de vraag. Van een ‘gangbaar product’ is derhalve (nog) niet zonder meer sprake. Dit vormt een begrenzing van de zorgplicht van de intermediair.
De verwachting is dat dit, naar Amerikaans voorbeeld, in de toekomst anders zal zijn en de verzekering gebruikelijker zal worden.7 Dit zal leiden tot een verzwaring van de zorgplicht. Daar staat echter tegenover dat grotere bekendheid van de risico’s en de verzekeringsmogelijkheden ook zorgt voor een vergroting van de eigen verantwoordelijkheid van de cliënt. De informatieasymmetrie tussen beide partijen is dan kleiner.
Ook tijdens de looptijd van de (cyber)verzekering kunnen zich situaties voordoen waarin de tussenpersoon zich moet afvragen hoe hij in het kader van zijn zorgplicht dient te handelen. Bij een verzekeringnemer kunnen op ICT-gebied wijzigingen plaatsvinden die niet altijd even spectaculair lijken, maar verzekeringstechnisch wel gevolgen kunnen hebben. Te denken valt aan het overgaan naar een SaaS-omgeving,8 het wijzigen van (beveiliging)software of het verplaatsen van data. Deze veranderingen kunnen de omvang van de verzekerde cyberrisico’s beïnvloeden. Of en wanneer dergelijke zaken aan de verzekeraar moeten worden gemeld, is niet altijd duidelijk. Wanneer van risicoverzwaring – en dit geldt evenzeer voor verzwijging – bij de cyberverzekering sprake zal zijn, is bovendien een op zichzelf staande vraag. De tussenpersoon kan dit echter niet altijd beoordelen. Mede gezien de jurisprudentie over risicoverzwaring9 en onderverzekering10 zal een tussenpersoon echter ook tijdens de looptijd scherp moeten zijn op eventuele wijzigingen en daar gerichte vragen over moeten stellen. Doet zich toch een situatie voor waarin de verzekeringnemer bij het ontbreken van verzekeringsdekking de tussenpersoon aansprakelijk stelt, dan zal gezien de onduidelijkheden over de concrete invulling en werking van de cyberverzekering, niet zonder meer sprake zijn van een schending van de zorgplicht.