De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.3.1:III.3.3.1 Begrenzing dekking naar tijd: loss occurrence en discovery-systeem

De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.3.1

III.3.3.1 Begrenzing dekking naar tijd: loss occurrence en discovery-systeem

Documentgegevens:

mr. N.M. Brouwer, datum 01-06-2021

Datum: 01-06-2021
Auteur: mr. N.M. Brouwer
JCDI: JCDI:ADS278930:1
Vakgebied(en): Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering

Het schadeproces bestaat uit verschillende fasen. Wansink heeft deze fasen helder omschreven in het kader van de aansprakelijkheidsverzekering.1 Met uitzondering van stap (e) is deze beschrijving van het schadeproces ook voor de first-partyverzekering relevant:

a.: een gedraging van de verzekerde (of, bij first-partyverzekeringen, van een derde; NMB) die onrechtmatig is of wanprestatie oplevert;
b.: de bloot feitelijke gebeurtenis waarvan letsel of zaakbeschadiging het rechtstreeks gevolg is;
c.: de inwerking van geweld of schadelijke omstandigheden op de persoon of de zaak;
d.: het manifest worden van letsel of zaakbeschadiging;
e.: de aansprakelijkstelling van de verzekerde door de benadeelde;
f.: de melding van de aansprakelijkstelling door de verzekerde aan zijn verzekeraar.

De manier waarop dit proces plaatsvindt, en met name de tijd die tussen de verschillende stappen kan verstrijken, is (lang) niet bij ieder schadevoorval hetzelfde. Bij veel risico’s die gedekt zijn door first- partyverzekeringen, bijvoorbeeld brand en bedrijfsschaderisico’s, vallen stappen a t/m d in tijd samen. Er zijn echter ook gevallen denkbaar waarbij het lange tijd duurt voordat de schade manifest wordt, bijvoorbeeld bij lang inwerkende oorzaken (zoals geleidelijk inwerkende waterschade)2 of – bij de aansprakelijkheidsverzekering – ziektes die zich pas na lange tijd openbaren (bijvoorbeeld door blootstelling aan asbest).

Om oneindige dekking te voorkomen, bakenen verzekeraars de dekking af naar tijd. Daarvoor worden in het algemeen drie systemen gebruikt: (a) act committed, (b) loss occurrence en (c) claims made.3 Bepalend voor de dekking bij het act-committedsysteem is dat de schade tijdens de looptijd van de verzekeringsovereenkomst is veroorzaakt. Bij het loss-occurrencesysteem gaat het erom dat de schade gedurende de looptijd van de verzekeringsovereenkomst is ontstaan. In het claims-madesysteem is bepalend dat de aanspraak (de vordering tot schadevergoeding) tijdens de looptijd van de verzekeringsovereenkomst door de verzekerde is ontvangen en tijdig bij de verzekeraar is gemeld.

Deze verschillende vormen van dekkingssystematiek zijn ontwikkeld voor aansprakelijkheidsverzekeringen (zie hiervoor nader paragraaf 4.1) en werden gedreven door schadevoorvallen waarbij het een (zeer) lange tijd duurde voordat de schade zich manifesteerde. Verzekeraars werden daardoor geconfronteerd met onacceptabele uitlooprisico’s.4 Nu zoals genoemd bij first-partyschade de fasen in het schadeproces vaak in tijd samenvallen,5 zijn de meeste traditionele first-partyverzekeringen gebaseerd op een loss-occurrencesysteem.6

Ook een aantal cyberverzekeringen gebruikt deze systematiek voor dekking van eigen schade: gedekt is de schade als gevolg van een cyberincident dat gedurende de looptijd van de verzekering plaatsvindt, waarbij onder ‘cyberincident’ doorgaans wordt verstaan het gevolg van een inbreuk (zie ook §3.2).7 De meeste cyberverzekeraars hanteren echter een afwijkende opzet, die ik aanduid als het ‘discovery’-systeem: de verzekering biedt enkel dekking voor cyberincidenten die tijdens de verzekeringstermijn zijn ontdekt (of kunnen dan wel behoren te worden ontdekt) en conform de polisvoorwaarden aan de verzekeraar zijn gemeld.8

Anders dan bij meeste traditionele gevallen van eigen schade, verloopt het schadeproces bij cyberincidenten vaak sluimerend of sluipend. Er kan bij cyberincidenten dus een flink tijdsverloop bestaan tussen de feitelijke inbreuk en het moment van openbaring (manifestatie) van de gevolgen. Het incident dat de verzekerde ontdekt, bijvoorbeeld een inbreuk op de privacy of een aantasting van het netwerk, kan een manifestatie zijn van een handeling van een handeling die reeds geruime tijd daarvóór heeft plaatsgevonden. De infectie van een netwerk of het binnendringen van systemen kan al maanden vóór het moment van ontdekking zijn gebeurd.9

Een voorbeeld daarvan is de ransomware-aanval waarvan de Universiteit Maastricht eind 2019 slachtoffer werd. Dit incident startte met twee phishingmails op 15 en 16 oktober 2019, waardoor de daders toegang tot het netwerk verkregen. Vanaf 16 oktober 2019 ‘liepen’ de daders vervolgens ongemerkt ‘rond’ in de systemen van de universiteit, waarbij zij steeds grotere delen daarvan compromitteerden. Na de volledige rechten op de infrastructuur te hebben verkregen, rolden zij op 23 december 2019 de ransomware uit, waarna de universiteit de aanval ontdekte.10 Het tijdsverloop tussen de initiële handeling/het feitelijke incident (het binnendringen op 16 oktober 2019 en de verdere compromittering van de systemen) tot de ontdekking (23 december 2019) is dus aanzienlijk.

Het gebruik van het discovery-systeem ondervangt dit tijdsverloop. Het is daarbij immers niet relevant of de initiële handeling strikt genomen vóór de looptijd van de verzekeringsovereenkomst heeft plaatsgevonden. Dit discovery-systeem komt in traditionele verzekeringen vooral voor in criminaliteits-/fraudeverzekeringen. Ook daarbij speelt het probleem van tijdsverloop: een werknemer kan bijvoorbeeld al langere tijd kleine bedragen van zijn werkgever stelen, zonder dat de werkgever dit in de gaten heeft. Onder deze polissen is evenmin relevant dat de diefstal of de fraude feitelijk plaatsvond vóór de verzekeringstermijn; het gaat erom dat de diefstal gedurende de looptijd is ontdekt (en tijdig is gemeld). Met het discovery-systeem is inloop dus in beginsel gedekt – uiteraard met inachtneming van de regels van verzwijging (artikel 7:928 e.v. BW).11 Uitloop is daarentegen in beginsel niet gedekt.12 Het discovery-systeem lijkt daarmee op het claims-madesysteem.

Ook op het punt van de tijdige melding aan de verzekeraar is het discovery-systeem vergelijkbaar met claims made. Cyberverzekeraars die het discovery-systeem hanteren, stellen meestal als extra eis dat de schade ook tijdens de looptijd van de verzekering wordt gemeld en soms zelfs binnen een vooraf bepaald aantal dagen.13 Gezien de aard van het verzekerd risico, waarbij vaak sprake is van een crisissituatie en waarbij crisismanagement deel uitmaakt van de dekking, zal dat niet vaak een probleem zijn. Ontdekt de verzekerde evenwel dat er iets aan de hand is op het moment dat hij rond een overgang zit van verzekeringen, dan zal hij scherp in de gaten moeten houden met welk systeem zijn huidige en zijn nieuwe verzekering werkt. Stapt hij over van een discovery-systeem met een strikte meldplicht naar een occurrence systeem zonder inloopdekking of retroactieve datum, dan kan er een hiaat in de dekking ontstaan.

Toon alle voetnoten

Voetnoten

Voetnoten

J.H. Wansink, De algemene aansprakelijkheidsverzekering, Deventer: Kluwer 2006, p. 95. Vgl. ook T.J. Dorhout Mees, De CAR-verzekering (Recht en Praktijk nr. VR27a), Deventer: Wolters Kluwer 2019, p. 356.

Zie Hof Amsterdam 26 juni 2008, ECLI:NL:GHAMS:2008:BF1812.

Ook combinaties komen voor, zie bijvoorbeeld Hof Den Haag 17 september 2013, ECLI:NL:GHDHA:2013:3392.

Zie uitgebreid Wansink 2006, p. 95 e.v.

Zie ook L.H. Rijpkema en J.M. Bruidegom, ‘Schadeverzekering – Algemeen’, in: W.M.A. Kalkman, W.G.A. van Gerner & K.J.L. Verschoor (red.), Compendium Verzekeringsrecht, Den Haag: Sdu 2019, p. 340. Zie ook A. Blom, Causaliteit in het verzekeringsrecht (diss.), Deventer: Kluwer 2006.

C. de Azevedo, Cyber Risks Insurance, London: Thomson Reuters 2019, p. 86.

Achmea, Hiscox en (expliciet) CNA: “Deze rubriek is op ‘loss occurrence’ basis en alleen van toepassing op cyberincidenten die tijdens de verzekeringsperiode plaatsvinden, mits deze in overeenstemming met de Algemene Polisvoorwaarden aan de verzekeraar worden gemeld.” Zie ook Zurich, die een combinatie gebruikt van loss occurrence, discovery en claims made.

AIG, Allianz (ontdekken of behoren te ontdekken), Amlin, Chubb, HDI, XL Catlin (kunnen ontdekken). Liberty gebruikt de term ‘constateren’.

Volgens het Ponemon Instituut duurde dit in 2016 gemiddeld 191 dagen, zie Ponemon Institute, 2017 Cost of Data Breach Study, juni 2017, p. 3.

10.

Zie de reactie van de Universiteit Maastricht op het rapport van Fox-IT d.d. 5 februari 2020, te raadplegen op https://www.maastrichtuniversity.nl/file/foxitrapportreactieuniversiteitmaastrichtpdf.

11.

De Azevedo merkt op dit punt op dat het discovery-systeem enger is dan een polis op occurence-basis, omdat de verzekerde ieder cyberincident dat zich voorafgaand aan de looptijd van de verzekeringsovereenkomst heeft voorgedaan, hoe klein ook en óók als daaruit op het moment van plaatsvinden geen schade is voortgevloeid, aan de verzekeraar moet melden op straffe van verval van dekking (De Azevedo 2019, p. 86). Mij komt voor dat de verzekerde dergelijke incidenten in het licht van artikel 7:928 BW sowieso aan de verzekeraar moet melden, zeker indien daarnaar wordt gevraagd. Ik zie het discovery-systeem dan ook juist als een verbredend in plaats van versmallend.

12.

Allianz: geen uitloop, wel nameldingsperiode; AIG: automatische uitloop 90 dagen bij eigen schade; Amlin: geen uitloop, wel nameldingsperiode; Chubb: automatische uitloop 60 dagen en optionele uitloop 12 maanden; Liberty: voorwaardelijke uitloop van 12, 24 of 36 maanden; XL Catlin: automatische uitloop 90 dagen en optionele uitloop van maximaal 3 jaar.

13.

Bijvoorbeeld binnen 30 dagen na de ontdekking (XL Catlin).