Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.5.1.3
III.5.1.3 Bedrijfsgeheimen en IE-rechten
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278789:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Bijv. Amlin, HDI, Hiscox, XL Catlin en Zurich.
Bijvoorbeeld Allianz en Chubb.
CNA.
Chubb.
CNA.
Bijvoorbeeld Amlin, Hiscox, XL Catlin.
Telkens Hiscox.
HR 13 maart 1981, ECLI:NL:HR:1981:AG4158, NJ 1981/635 m.nt. C.J.H. Brunner (Haviltex); HR 17 september 1993, NJ 1994, 173 (CAO-norm); HR 20 februari 2004, NJ 2005/493 (DSM/Fox); HR 16 januari 2015, ECLI:NL:HR:2015:83, NJ 2015/263 (TVM); HR 17 februari 2006, ECLI:NL:HR:2006:AU9717, NJ 2006/378 m.nt. M.M. Mendel (Royal/Polygram); HR 16 mei 2008, ECLI:NL:HR:2008:BC2793, NJ 2008/284 (Chubb/Dagenstaed). Zie ook hoofdstuk I.
Ik realiseer mij dat er discussie denkbaar is over de definitie van het begrip ‘positieve dekkingsomschrijving’, mede in verhouding tot uitsluitingen, zie bijvoorbeeld de conclusie van A-G Hartlief bij Hoge Raad 9 juni 2017, ECLI:NL:HR:2017:1055 (Oven corrosie) en D.A. Pronk, ‘Dekkingsystematiek: de primaire dekkingsomschrijving nader gedefinieerd’, NTHR 2017/6, p. 349-353. Dit geldt temeer voor de vraag of sprake is van een primaire dekkingsomschrijving en de eventuele gevolgen daarvan, zie o.a. wederom Pronk 2017; D.B. Holthinrichs & M.H.P. Leijendekker, ‘HR 9 juni 2017, ECLI:NL:HR:2017:1055: ‘plotseling en onvoorzien’ als onzekerheidscriterium in de dekkingsomschrijving’, AV&S 2018/2, p. 3-8. Een nader onderzoek daarnaar is noodzakelijk, maar valt buiten het bestek van dit – voornamelijk descriptieve – hoofdstuk.
De term ‘intern’ gebruik ik om het onderscheid te duiden met spiegelbeelddekking tussen verschillende verzekeringen (‘extern’). Hoge Raad 9 juni 2017, ECLI:NL:HR:2017:1055 (Ovencorrosie), JA 2017/115 m.nt. M. Oudenaarden. Zie ook Pronk 2017; Holthinrichs & Leijendekker 2018; J.S. Overes, ‘Uitleg van tegenstrijdige verzekeringsvoorwaarden: valt abnormale corrosie onder ‘plotselinge en onvoorziene’ beschadiging?’, Bb 2017/67, p. 224-227.
In elke onderzochte set polisvoorwaarden komt de uitsluiting van schade wegens de schending van bedrijfsgeheimen en intellectuele eigendomsrechten voor. Voor zover deze uitsluiting ziet op schade wegens schendingen van octrooien en patenten, is de uitsluiting duidelijk.1 Daarvoor bestaat ook onder de positieve dekkingsomschrijvingen van de cyberverzekering geen dekking.
De cyberverzekering biedt echter expliciet dekking voor schade door ‘multimedia-aansprakelijkheid’ (zie §4.4). Bovendien wordt onder ‘privacy’ veelal ook verstaan geheimhoudingen van bedrijfsgegevens (zie §4.2.1). Hoe de uitsluiting voor inbreuk op intellectuele eigendomsrechten en schendingen van bedrijfsgeheimen zich precies tot deze dekkingselementen verhoudt, blijkt niet altijd even duidelijk. De wijze waarop deze uitsluitingsclausules zijn geformuleerd, verschilt in sterke mate per verzekeraar.
Een aantal verzekeraars zondert multimedia-aansprakelijkheid uit van deze uitsluiting.2 Dit geldt ook voor de dekking voor schending van geheimhouding van bedrijfsgegevens:3
“4.16 Intellectueel eigendom
in verband met, voortvloeiende uit of als gevolg van een inbreuk, schending of misbruik door verzekerde van een auteursrecht, dienstmerk, handelsnaam, handelsmerk of ander intellectueel eigendom van een derde behoudens patenten. Deze uitsluiting geldt echter niet voor een privacy- en netwerkbeveiligingsgerelateerde fout of media-gerelateerde fout die onder dekkingsomschrijvingen 1.5 of 1.6 is gedekt;”4
⁜
“5. Intellectuele eigendomsrechten
a. elke daadwerkelijke of vermeende schending van patentrechten;
b. alle overige intellectuele eigendomsrechten en handelsgeheimen en goodwill, behalve zoals gedekt op grond van artikel 1 Cybermedia-aansprakelijkheid en artikel 3 Geheimhoudingsplicht.”5
Deze uitzondering op de uitsluiting verduidelijkt de verhouding tussen de uitsluiting en de positieve dekking. Niet iedere cyberverzekeraar hanteert evenwel een dergelijke uitzondering.6 In die polisvoorwaarden ligt een uitlegpuzzel op de loer. Ik illustreer dit met een voorbeeld.
Stel dat een verzekerd bedrijf in opdracht van een derde mengverf maakt. De opdrachtgever heeft voor de uitvoering daarvan onder strikte geheimhouding het recept aan het verzekerde bedrijf verstrekt. Dit recept is digitaal opgeslagen in het netwerk van het verzekerde bedrijf en ingevoerd in de machine waarmee de verf wordt gemengd. Het verzekerde bedrijf wordt getroffen door een cyberincident waardoor het recept van de verf openbaar wordt gemaakt. De opdrachtgever stelt het bedrijf aansprakelijk voor de geleden schade en baseert haar vordering onder andere op een schending van de contractuele geheimhoudingsplicht. Het verzekerde bedrijf zoekt dekking onder de cyberverzekering.
Deze verzekering bevat de volgende clausules:7
“[Gedekt is een aanspraak vanwege; NMB]:
Schending van een uit wet- of regelgeving voortvloeiende plicht of verplichting om de veiligheid of vertrouwelijkheid in acht te nemen of te bewaren van gegevens die een persoon identificeren of die vertrouwelijke bedrijfsinformatie bevatten.
Schending van een geheimhoudingsplicht, inclusief geheimhouding van persoonsgegevens en geheimhoudingsplicht vertrouwelijke bedrijfsinformatie.”
“Vertrouwelijke bedrijfsinformatie
Vertrouwelijke bedrijfsinformatie of gegevens die verzekerde al dan niet in elektronische vorm in bezit heeft, waarvoor verzekerde verantwoordelijk is, die zich niet in het publieke domein bevinden en die als deze informatie openbaar wordt gemaakt, financiële schade aan verzekerde zal toebrengen.”
“De verzekeraar biedt verzekerde geen vergoeding voor aanspraken of eigen schade met betrekking tot: […] Een inbreuk op een octrooi, of het gebruik, de schending, de openbaarmaking of wederrechtelijke toe-eigening van handelsgeheimen.”
Het begrip ‘handelsgeheimen’ wordt in deze polisvoorwaarden niet gedefinieerd.
De verzekerde stelt zich op het standpunt dat sprake is van een schending van de contractuele geheimhoudingsplicht en dient er dekking te worden verleend. De verzekeraar wijst de dekking echter af met een beroep op de uitsluiting wegens de openbaarmaking van een handelsgeheim.
Hier doet zich een uitlegvraag voor, waarbij de positieve dekkingsomschrijving en de uitsluiting tegenover elkaar komen te staan. Voor beide standpunten valt iets te zeggen; het antwoord op de vraag wie (van de rechter) gelijk zal krijgen, hangt mede af van de te hanteren uitlegmethode, het contra-proferentem beginsel (als gezichtspunt) en de overige omstandigheden van het geval.8 De bron van de discussie ligt in het niet-gedefinieerde begrip ‘handelsgeheim’ in de uitsluiting tegenover het begrip ‘vertrouwelijke bedrijfsinformatie’ in de positieve dekkingsomschrijving. Een heldere definiëring van dat begrip zou dus reeds helderheid kunnen verschaffen.
Ook ten aanzien van de polisvoorwaarden die wel een algemene uitzondering op de uitsluiting wegens schending van bedrijfsgeheimen en intellectuele eigendom hanteren, komt bij mij de vraag op welke schade de verzekeraar – anders dan schending van octrooien en patenten, waarvoor steevast een duidelijke uitsluiting is opgenomen – precies heeft willen uitsluiten. De formulering van de uitzondering op deze uitsluiting is vaak ruim, en dat geldt ook voor de formulering van de positieve dekkingsomschrijving van multimedia-aansprakelijkheid en de definitie van ‘vertrouwelijke bedrijfsinformatie’. De verhouding tussen de positieve dekkingsomschrijving en de uitsluiting is kortom niet helder.9 Beide clausules hebben invloed op elkaar, maar het is niet zo dat ieder voorval dat buiten de uitsluiting zou vallen, dan automatisch binnen de positieve dekkingsomschrijving (en dus onder de dekking) valt. De Hoge Raad heeft deze te gemakkelijke toepassing van ‘interne’ spiegelbeelddekking in 2017 verworpen.10 De bewoordingen in de positieve dekkingsomschrijving behouden zelfstandige betekenis.
Een dekkingsgeschil bij aanspraken wegens schending van geheimhouding van bedrijfsgegevens, dan wel bij multimedia-aansprakelijkheid, is gelet op het voorgaande zeker niet uitgesloten. Hier ligt een taak voor cyberverzekeraars: verduidelijk de verhouding tussen de positieve dekkingsomschrijving en de uitsluiting. In voornoemd voorbeeld zou een definitie van het begrip ‘handelsgeheim’ in verhouding tot ‘vertrouwelijke informatie’ al een goed begin kunnen zijn.