Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.4.1.1
III.4.1.1 Verzekerd evenement
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278808:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
De Avezedo 2019, p. 141. Liberty lijkt echter wel een onderscheid te maken tussen de ‘verzekerde oorzaak’ bij first-partyschade en een ‘onrechtmatige daad’ bij third-partyschade.
Chubb. Ook Hiscox hanteert verschillende terminologie in de first- en third-partyrubriek.
Allianz, Chubb, CNA, XL Catlin. Separate dekking voor onderzoek toezichthouders: HDI.
Wel: Chubb, al blijft ook de verdere definiëring niet geheel sluitend. Niet: Allianz. Mogelijk vallen de kosten van verweer daar onder de aparte clausule voor kosten van verweer, maar geheel duidelijk is dat niet.
XL Catlin.
Bijv. AIG en XL Catlin.
Bijv. Amlin.
Centraal Beheer Achmea resp. Hiscox, Chubb.
De meeste cyberverzekeraars hanteren ten aanzien van de rubrieken aansprakelijkheid dezelfde begrippen als voor de bepalingen ten aanzien van eigen schade (zie ook §3.2), dus bijvoorbeeld het begrip ‘cyberincident’. Op dit punt heeft de cyberverzekering reeds een aantal slagen gemaakt om de polis leesbaarder te maken. In eerdere (Amerikaanse) polisvoorwaarden werd voor de third-partyrubriek niet zelden een andere definitie van het verzekerde evenement gehanteerd dan bij de first-partyrubriek.1 Dit leidt tot verwarring en vertroebelt de werkelijke omvang van de dekking van de cyberverzekering. Inmiddels hanteren cyberverzekeraars dus veelal één definitie van het verzekerde evenement, of dit nu de eigen schade betreft of de aansprakelijkheid van de verzekerde. Door hetzelfde begrip te gebruiken is ook bij third-partyschade dezelfde grove verdeling te zien tussen datagerelateerde incidenten (privacy-incidenten) en beveiligingsincidenten (netwerkincidenten).
Toch bestaan er nog steeds verschillen. Zo hanteert een enkele verzekeraar bijvoorbeeld een bredere definitie van het verzekerd evenement bij eigen schade dan in de aansprakelijkheidsrubriek.2 Van eigen schade is sprake bij een ‘cyberincident’. Daaronder wordt – kort gezegd – verstaan verschillende vormen van kwaadaardige computerhandelingen (inbreuken op de netwerkbeveiliging zoals hacking, malware etc.), en privacy- en netwerkbeveiligingsgerelateerde fouten. In de aansprakelijkheidsrubriek van deze set polisvoorwaarden is het verzekerde evenement echter niet omschreven als bijvoorbeeld ‘aanspraken voortvloeiend uit cyberincidenten’, maar is het beperkt tot ‘aanspraken voortvloeiende uit een privacy- en netwerkbeveiligingsgerelateerde fout’. De definitie van dat laatste begrip mondt vervolgens uit tot een ware hersenkraker:
“Privacy- en netwerkbeveiligingsgerelateerde fout betekent een fout, onjuiste voorstelling van zaken, misleidende verklaring, handeling, nalaten, niet-nakoming van verplichtingen, dat daadwerkelijk is of vermeend te zijn gepleegd of gepoogd door verzekerde, in die hoedanigheid, dat resulteert in:
het falen van de netwerkbeveiliging, inclusief een tekortkoming in het tegengaan, beletten of opsporen van of het beveiligen tegen een kwaadaardige computerhandeling of ongeoorloofd gebruik of ongeoorloofde toegang, inclusief hetgeen dat personenschade veroorzaakt;
een tekortkoming van verzekerde of een onafhankelijke contractspartij waarvoor verzekerde wettelijk aansprakelijk is, in het gebruik, beheren, bewaren, vernietigen of op andere wijze beheren van:
persoonsgegevens, inclusief hetgeen dat een personenschade veroorzaakt;
niet-openbare, vertrouwelijke bedrijfsinformatie van een derde verstrekt aan verzekerde, in welke vorm ook; of
een onopzettelijke schending van het privacybeleid van verzekerde dat in een schending van privacywetgeving resulteert, inclusief maar niet beperkt tot het onopzettelijk onrechtmatig verzamelen of gebruiken van persoonsgegevens door verzekerde.”
Onder A verwijst deze verzekeraar terug naar de kwaadaardige computerhandeling, die wel deel uitmaakt van het begrip ‘cyberincident’, maar niet van het verzekerde evenement aansprakelijkheid. Dit oogt als een onnodig ingewikkelde omweg naar dezelfde uitkomst: de cyberverzekering biedt dekking voor schade als gevolg van hacking, waarbij zowel de eigen schade van verzekerde als de schade van derden waarvoor verzekerde aansprakelijk is onder de dekking valt.
Het begrip ‘aanspraak’ heeft bovendien niet bij iedere verzekeraar dezelfde betekenis. Dit heeft ook te maken met de verschillende basisstructuren die de verschillende verzekeraars hanteren (zie ook §2). Zo verstaat een aantal verzekeraars onder ‘aanspraak’ niet alleen een civielrechtelijke vordering tot schadevergoeding, maar ook (expliciet) een onderzoek door de Autoriteit Persoonsgegevens.3 Of daaronder dan ook direct een bestuursrechtelijke procedure tegen besluiten van de AP moet worden verstaan, is niet duidelijk. Een ‘onderzoek’ is uiteraard niet hetzelfde als een ‘procedure’. Niet iedere verzekeraar lost dit op met verdere definiëring, bijvoorbeeld van het begrip ‘onderzoek’.4 Daarnaast komt ook een zeer beperkte omschrijving van ‘een onderzoek’ door de Autoriteit Persoonsgegevens voor, namelijk enkel een onderzoek wegens het niet (tijdig) naleven van de meldplicht in de zin van artikel 33 en 34 AVG.5
Een aantal verzekeraars benoemt dat ook bestuurs- en strafrechtelijke procedures onder ‘aanspraken’ worden gedekt,6 terwijl een ander dit juist buiten het begrip ‘aanspraak’ houdt en daarvoor separate dekking aanbiedt.7 Daarnaast sluit de ene verzekeraar vorderingen tot een doen of laten van de verzekerde expliciet uit, terwijl dit bij andere verzekeraars wel in het begrip ‘aanspraak’ is ingesloten.8
In grote lijnen kan evenwel worden geconcludeerd dat de third-partydekking in iedere cyberverzekering min of meer hetzelfde is: aansprakelijkheid voor schade van derden door privacyschendingen, door nalatigheid in netwerkbeveiliging en door mediafout. Deze laatste categorie bespreek ik nader in §4.4.