Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.1
III.1 Inleiding
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278826:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Zie bijv. Ward Gen. Ins. Servs., Inc. v. The Employers Fire Inc. Comp., 114 Cal. Court of App. 4th Circ. 17 december 2003 (nrs. 556-557); Ashland Hosp. Corp. v. Affiliated FM Ins. Co., Civ. Action No. 11-16-DLB-EBA, 2013 U.S. D.C. East. Kentucky, 14 augustus 2013.
Payment Card Industry Data Security Standard, beveiligingsregels opgesteld door de betaalkaart industrie. Zie uitgebreid paragraaf 3.11.
Zie nader over voorzorgsmaatregelen hoofdstuk IV.
P.F. Chang’s China Bistro Inc. v. Fed. Insurance Co., No. 16-16141 (9th Cir. June 28, 2016) resp. Columbia Cas. Co. v. Cottage Health Sys., No. 15-cv-03432 (C.D. Cal. May 7, 2015) resp. Mondelez v. Zurich, 2018 WL 4941760 (Ill.Cir.Ct.), No. 2018L011008. Zie over de laatste (aanhangige) rechtszaak hoofdstuk V.
J. Schellevis, ‘Schade door phishing blijft toenemen, ook meer bankpasfraude’, NOS 26 november 2019; J. Schellevis, ‘Vaker gijzelsoftware, ‘betalen is goedkoper dan bedrijf stil te laten liggen’’, NOS 28 oktober 2019.
Een fout in een computerprogramma waardoor de beoogde functie niet goed wordt uitgevoerd.
Zie specifiek over molest en terrorisme uitsluitingen hoofdstuk V.
Voor dit onderzoek zijn de polisvoorwaarden onderzocht van AIG (CyberEdge NL V.2.3), Allianz (1000125-178-07), Amlin (CYB2019 versie 04042019), Avéro (ACYB19), Centraal Beheer (CYB18), Chubb (Cyber Entreprise Risk Management V2), CNA (NetProtect TCNB0216-052019), Goudse (Spelregels 1.0), HDI (Cyber+ CYB.ALG.3), Hiscox (Cyber Clear 2018), Interpolis (BCP 5.7.1 17120054 052018), Liberty (Cyber Suite V4 NLCYBERPOL01012019) XL Catlin (NLIFL/CYBER/SPS/01) en Zurich (#CyberComfort by Zurich, Security en Privacy Verzekering 2019). XL Catlin is inmiddels overgenomen door AXA.
Cyberverzekeringen bieden dekking tegen risico’s die met de steeds verdere digitalisering van onze samenleving gepaard gaan. Deze cyberrisico’s kenmerken zich door een continue verandering en een hoog gehalte van abstractie en ongrijpbaarheid.
In tegenstelling tot de Verenigde Staten is er in Nederland nog geen rechtspraak verschenen over dekkingsgeschillen ten aanzien van cybergerelateerde schade onder traditionele verzekeringen, zoals de aansprakelijkheidsverzekering voor bedrijven (AVB-verzekering). In de VS zijn dergelijke discussies wel gevoerd, maar hebben de rechters wisselend geoordeeld.1
Door standaarduitsluitingen in AVB-verzekeringen en het feit dat het steeds gangbaarder is om een cyberverzekering te hebben, beginnen in de VS de eerste ‘zuivere’ cyberverzekeringsdiscussies te ontstaan, bijvoorbeeld over de vraag of een PCI-DSS2 claim (een contractuele vordering op basis van afspraken in de betaalkaartindustrie) onder de in de cyberverzekering opgenomen uitsluiting van een contractuele boete valt, wanneer een verzekerde voldoende voorzorgsmaatregelen heeft getroffen,3 en of een cyberaanval kwalificeert als ‘oorlog’ in de zin van de polis.4
Ook in Nederland is de cyberverzekeringsmarkt groeiend. Schade als gevolg van de verwezenlijking van cyberrisico’s doet zich steeds vaker voor en staat in toenemende mate in de aandacht van de media.5 Hoewel cyberverzekeringen steeds eenduidiger worden, blijft deze verzekering een nieuw product waarvan de polisvoorwaarden nog niet in de rechtspraak aan de orde zijn gekomen. Mede door het gebruik van nieuwe begrippen bestaat de mogelijkheid dat er in dit verzekeringsproduct de nodige ‘bugs’6 zijn aan te treffen. Dit kan dekkingsconflicten tot gevolg hebben.
In dit hoofdstuk analyseer ik hoe de dekking onder de cyberverzekering is vormgegeven, wat de voorwaarden voor dekking zijn en welke uitsluitingen de cyberverzekering bevat.7
In paragraaf 2 geef ik een overzicht van de globale structuur van de gemiddelde cyberverzekering.8 Vervolgens ga ik gedetailleerder in op de polisbepalingen uit de cyberverzekeringen in Nederland. Ik houd daarbij de volgorde aan van een ‘gemiddelde; cyberpolis en zal achtereenvolgens ingaan op first-partydekking (paragraaf 3), third-partydekking (paragraaf 4) en uitsluitingen (paragraaf 5). Paragraaf 6 bevat de conclusie.