Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.3.2
III.3.3.2 Begrenzing in de dekkingsomschrijving: opzet en causaliteit
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278849:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Goudse.
Chubb bij de definitie van ‘kwaadaardige computerhandeling’.
Chubb ten aanzien van bedrijfsschade, alsmede – in iets mindere mate – Hiscox; Liberty ten aanzien van reputatieschade en in afgezwakte vorm ten aanzien van schade aan digitale eigendommen. Dergelijke zware causaliteitseisen zijn ook wel terug te zien in arbeidsongeschiktheidsverzekeringen en ongevallenrubrieken in reisverzekeringen, zie Van Tiggele-Van der Velde 2008, 7.2.1.
Over causaliteitsvereisten in polisbepalingen en de interpretatie daarvan zijn tal van discussies te voeren, die het bestek van dit artikel te buiten gaan. Zie bijvoorbeeld J. Overes, ‘Verzekering tegen storm en/of hagel. Naar aanleiding van de rechtspraak over de ‘supercell’ van 23 juni 2016’, AV&S 2018/26 en de daarin genoemde rechtspraak. Zie ook verder Blom 2006 en Dorhout Mees 2019.
Zie bijvoorbeeld HR 11 april 2003, ECLI:NL:HR:2003:AF7070 (gestolen auto); Rb. Rotterdam 30 juli 2008, ECLI:NL:RBROT:2008:BD9578 (transportverzekering).
Vgl. ook de noot van M.M. Mendel onder HR 11 april 2003, NJ 2004, 568, waarin hij spreekt van een bewijsdilemma. Uiteraard heeft te gelden dat een discussie pas ontstaat indien sprake is van een gemotiveerde betwisting door de verzekeraar.
De vele definities van het verzekerde evenement kennen cruciale nuanceverschillen. Een prangend verschil is te zien in het gebruik van vereisten dat de aanval opzettelijk moet zijn, of dat de derde de systemen of het netwerk van verzekerde als doelwit moet hebben gehad.1 Ook komt voor het vereiste dat de indringer het doel of oogmerk moet hebben gehad om schade toe te brengen.2 Een ander voorbeeld is een streng causaliteitsvereiste: een enkele verzekeraar vereist zelfs dat de schade een ‘uitsluitend en rechtstreeks’ gevolg is van het incident.3 Hier staan polisbepalingen tegenover die meer als ‘paraplu-bepaling’ werken: elk incident als gevolg van bijvoorbeeld een virus geldt als cyberincident onder de polis.
Voor verzekerden kunnen deze verschillen zeer relevant zijn. Bij een dekkingsomschrijving waarbij opzet, doelwit en/of een zeer nauw causaal verband zijn vereist, zal de verzekerde veel meer moeten stellen en eventueel bewijzen dan een verzekerde met een ruime polisbepaling zonder gedetailleerde eisen. Het is daarbij de vraag hoe een verzekerde überhaupt kan aantonen wat de beweegredenen van de veroorzaker zijn geweest (opzet, welbewust, doelwit).4 Uit de jurisprudentie over bijvoorbeeld diefstalverzekeringen volgt dat aan het bewijs van autodiefstal geen al te hoge eisen kunnen worden gesteld.5 Als een auto eenmaal is verdwenen, dan is lastig aan te tonen dat dit het gevolg is van diefstal, laat staan dat een verzekerde daarbij kan aantonen dat de dader het daadwerkelijk specifiek op zijn/haar auto had gemunt.
Bij cyberincidenten geldt dit des te meer, gezien de grote onderlinge verwevenheid en afhankelijkheid van systemen en het grote aantal factoren dat een causale rol kan spelen bij een incident (menselijk gedrag, beveiliging, systemen van derden). Discussies over (multi)causaliteit liggen dan voor de hand. Indien aan de verzekerde evenwel zodanig zware eisen worden gesteld om aan te tonen dat zich een verzekerd voorval heeft voorgedaan dat hij aan die eisen bijna niet kan voldoen, dan heeft een verzekerde uiteraard weinig aan de verzekering.6 In de meerderheid van de onderzochte polisvoorwaarden is dat evenwel niet het geval.