Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/II.2.1
II.2.1 De opkomst van de cyberverzekering in de Verenigde Staten
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278861:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Majuca e.a 2006, p. 5.
Ibid.
Ibid.
Marotta e.a. 2017, p. 38. Zie ook Camillo 2017, p. 54.
Slechts Alabama en South Dakota kennen een dergelijke wet niet; I. Jolly, Data protection in the United States: overview, Thomson Reuters Practical Law 2017, p. 4. Zie ook B. Nieuwesteeg, ‘Van Silicon Valley via Den Haag naar Brussel: de invoering van de meldplicht datalekken’, AV&S 2016/24, p. 133-134.
‘TJX Says Theft of Credit Data Involved 45.7 Million Cards’, New York Times 30 maart 2007; L. Baker, ‘Sony PlayStation suffers massive data breach’, Reuters 27 april 2011; N. Perlroth, ‘Target Struck in the Cat-and-Mouse Game of Credit Theft’, New York Times 19 december 2013; A. Peterson, ‘eBay asks 145 million users to change passwords after data breach’, Washington Post 21 mei 2014; ‘JPMorgan hack exposed data of 83 million, among biggest breaches in history’, Reuters 3 oktober 2014; R. Abelson, ‘Millions of Anthem Customers Targeted in Cyberattack’, New York Times 5 februari 2015.
A. Lorraine e.a., ‘The evolution of cyber coverage law: A survey of critical decisions and the market’s response, American Bar Association 21 november 2016
Ibid.
A. Zelle en S. Whitlead, ‘Cyber Liability: It’s Just a Click Away’, Journal of Insurance Regulation 2014, vol. 33, p. 160.
Stand-alone verzekering: een zelfstandig, op zichzelf staand verzekeringsproduct, in tegenstelling tot het integreren van aanvullende dekking in bestaande polissen.
De eerste cybergerelateerde verzekering is te vinden in de criminaliteitsverzekering van banken. Vanaf de jaren ’70 van de vorige eeuw ontstonden daarop uitbreidingen om banken te beschermen tegen criminelen die zich fysieke toegang tot de computersystemen konden verschaffen. In de jaren ’90 kwam de eerste ‘hackerpolis’ op de markt, waarbij technologiebedrijven en verzekeraars de handen ineensloegen.1
Deze verzekeringen boden als first-partypolissen dekking voor de eigen schade die bedrijven konden lijden door digitale aanvallen en inbreuken, bijvoorbeeld directe ‘hacker damage’ en bedrijfsstagnatie. Verzekerden waren verplicht om diensten zoals veiligheidsscans en monitoring af te nemen bij de technologiebedrijven waarmee hun verzekeraar samenwerkte.2 De eerste polis met zowel first party als third-partydekking verscheen in 2000.3 Onder de dekking viel bijvoorbeeld aansprakelijkheid voor inbreuken, smaad, laster, privacy-inbreuken en beroepsfouten (‘errors and omissions’).
Enige jaren later werd in de VS de wetgeving met betrekking tot het gebruik en de opslag van persoonsgegevens aangescherpt. Nadat in California in 2003 de eerste ‘meldplicht datalekken’ in werking was getreden, ontstond er een grote stijging in de vraag naar cyberpolissen.4 Inmiddels hebben vrijwel alle staten deze regelgeving overgenomen.5
Naast deze (statenrechtelijke) meldplichten kennen de VS een aantal federale wetten waarin scherpe (compliance-)eisen worden gesteld ten aanzien van de omgang met (elektronische) gegevens, zoals financiële informatie, medische informatie en andere persoonlijke gegevens.
In de jaren die volgden hebben zeer grote inbreuken plaatsgevonden die in de media breed zijn uitgemeten. Denk daarbij aan de incidenten bij TJX in 2007, Sony Playstation in 2011, Target in 2013, eBay en JP Morgan Chase in 2014 en zorgverzekeraar Anthem in 2015.6 Deze gebeurtenissen leidden tot verschillende schadeposten, zoals vergoedingen wegens aansprakelijkheid en kosten voor juridische bijstand, schade in verband met bedrijfsstilstand, boetes en reputatieschade.7 Risicobeheersing alleen bleek niet meer voldoende. De behoefte aan verzekeringen om het restrisico af te dekken, nam toe. Bovendien bleek uit verschillende juridische procedures dat deze schade door het opnemen van standaarduitsluitingen voor ‘cyberschade’ in de AVB-verzekeringen, vaak niet was gedekt onder de algemene aansprakelijkheidsverzekering voor bedrijven (AVB).8 De noodzaak om een apart verzekeringsproduct voor deze risico’s af te sluiten werd daarmee steeds groter.9
De vraag naar en ontwikkeling van de cyberverzekering in de VS is dus voor een belangrijk deel ingegeven door regelgeving en de (mede daardoor) toegenomen aandacht voor inbreuken en schade die daaruit voortvloeit. Zodoende is de cyberverzekering uitgegroeid van een eenvoudige en relatief beperkte aanvullende verzekering tot een steeds meer gespecialiseerde, in de VS volop aangeboden stand-alone verzekering.10