De cyberverzekering vanuit civielrechtelijk perspectief
Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.9.1.1:III.3.9.1.1 Definitie verzekerd evenement
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.9.1.1
III.3.9.1.1 Definitie verzekerd evenement
Documentgegevens:
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278803:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Toon alle voetnoten
Voetnoten
Voetnoten
HDI, Chubb, Amlin.
Centraal Beheer.
Hiscox. Vergelijkbare clausules zijn te vinden in de polissen van Allianz, Amlin, en CNA.
Rb. Rotterdam 26 juli 2018, ECLI:NL:RBROT:2018:6153.
HDI, Chubb, Amlin, Liberty (onder ‘kwaadaardige code’).
Bijvoorbeeld door de vertegenwoordiger van AIG tijdens een interview op BNR op 3 februari 2020. https://www.bnr.nl/podcast/digitaal/10399508/cyberverzekeringen-goed-voor-erbij-of-noodzakelijk (laatst bezocht 15 maart 2020).
Chubb.
Sophos 2020, p. 6.
Deze functie is alleen te gebruiken als je bent ingelogd.
Hiervoor benoemde ik al dat ransomware een van de bekendste vormen van cyberafpersing is. Ransomware komt in een aantal cyberpolissen voor als voorbeeld van schadelijke software of malware.1 Als zelfstandig verzekerd evenement wordt ransomware echter niet genoemd. Cyberverzekeraars gebruiken de term ‘cyberafpersing’.
In de definities van cyberafpersing komt dit uitgangspunt van afpersing naar voren. Verzekeraars lijken niet zozeer van versleuteling uit te gaan, maar van de dreiging van openbaarmaking van (persoons)gegevens of aantasting van het netwerk van verzekerde, bijvoorbeeld:
“Wat is verzekerd?
Hulp bij cyberafpersing.
• Cyberafpersing = een ander dreigt een verzekerde schade te veroorzaken op uw computersysteem, tenzij u geld betaalt.”2
⁜
“Het evenement [cyberafpersing; NMB]
Van een verzekerd evenement is sprake zodra gedurende de looptijd van de verzekering verzekerde direct of indirect een onrechtmatige bedreiging van een derde zijnde afperser ontvangt om:
de website, intranet, netwerk, computersysteem, programma’s of data die verzekerde (elektronisch) houdt te beschadigen, te vernietigen of aan te tasten;
al dan niet vertrouwelijke informatie die verzekerde in elektronische vorm houdt, openbaar te maken, te verspreiden of te gebruiken en die verzekerde schade zal toebrengen, als deze informatie openbaar wordt gemaakt. Deze informatie dient niet bij voorbaat openbaar beschikbaar te zijn.
Voorwaarde is dat de derde zijnde afperser onbevoegd buiten het computersysteem van verzekerde om, elektronische toegang tot die informatie heeft verkregen, waarna de derde zijnde afperser losgeld vraagt om die dreiging niet uit te voeren.”3
Deze polisclausules sluiten meer aan bij klassieke vormen van afpersing, waarbij het gaat om door middel van geweld of de bedreiging met geweld uitgeoefende dwang, met het oogmerk zichzelf wederrechtelijk te bevoordelen (zie ook artikel 317 Sr). Deze dwang kan in het strafrecht ook worden uitgeoefend door ‘de bedreiging dat gegevens die door middel van een geautomatiseerd werk zijn opgeslagen, onbruikbaar of ontoegankelijk zullen worden gemaakt of zullen worden gewist’ (artikel 317 lid 2 Sr). Ransomware valt hier ook onder, zo oordeelde de rechtbank Rotterdam in een strafzaak.4
Hoewel ransomware wordt gezien als een vorm van digitale afpersing, zijn deze twee vormen van digitale criminaliteit mijns inziens niet hetzelfde. Doorgetrokken naar een analoge situatie gaat het om twee verschillende scenario’s: in het geval van afpersing staat het slachtoffer bijvoorbeeld zijn auto of portemonnee af onder dreiging van geweld door de dader. In het geval van ‘ransomware’ heeft de dader de auto of portemonnee reeds gestolen zonder dat het slachtoffer dat heeft gemerkt, en biedt de auto of portemonnee vervolgens tegen betaling weer aan. Ransomware heeft dus meer weg van gijzeling of kidnapping dan van afpersing.
Uit de beschrijvingen van cyberafpersing in de verschillende cyberverzekeringen lijkt een beperkte dekking te volgen. Het lijkt mij echter waarschijnlijk dat cyberverzekeraars hebben beoogd om ook ransomware onder ‘cyberafpersing’ te doen vallen. Ransomware is niet expliciet uitgesloten en wordt ook genoemd als voorbeeld van malware (een gedekte vorm van hacking).5 Indien verzekeraars in het geheel niet de bedoeling zouden hebben gehad om dekking te bieden voor aanvallen met ransomware, dan had het voor de hand gelegen dat dit het eerste argument was geweest in de discussie die zich voordeed over de vergoeding van losgeld na de aanval op de Universiteit Maastricht (zie nader §3.9.1.3).6 Dit argument is echter in het geheel niet aangevoerd.
Een gedetailleerde, strikte lezing van voornoemde polisbepalingen kan tot verwarring leiden. Bij een ransomware-aanval zoals bijvoorbeeld bij de Universiteit Maastricht plaatsvond, is van een dreiging geen sprake meer. De schade zit bovendien ook niet zozeer in het computersysteem, maar in de bedrijfsstilstand. Daarnaast is het de vraag of ransomware wel kwalificeert als ‘aantasting’ of ‘beschadiging’ van het netwerk of computersysteem.
Een enkele cyberverzekeraar laat er geen misverstand over bestaan dat ransomware onder de dekking valt:
“Cyberafpersingsincident betekent een geloofwaardig dreigement of reeks van geloofwaardige dreigementen tegen verzekerde waarin de intentie wordt geuit om het volgende uit te voeren of te veroorzaken of het daadwerkelijk uitvoeren of veroorzaken van:
A. de publicatie, openbaarmaking, verspreiding, vernietiging of gebruik van vertrouwelijke of gevoelige informatie, bedrijfseigen informatie of persoonsgegevens, opgeslagen op een verzekerd computersysteem;
B. falen van de netwerkbeveiliging op een verzekerd computersysteem;
C. het invoeren of toebrengen van een kwaadaardige computerhandeling op een verzekerd computersysteem;
D. de wijziging, beschadiging, vernietiging, verduistering, manipulatie van of schade aan data, instructies of elektronische informatie doorgegeven door of opgeslagen op een verzekerd computersysteem; of
E. het verhinderen of beperken van toegang tot een verzekerd computersysteem, met als doel geld of cryptogeld van verzekerde te eisen of dat verzekerde aan een andere eis voldoet, in ruil voor het beperken of wegnemen van dit dreigement of reeks van dreigementen, of het terugdraaien of beëindigen van de daadwerkelijke uitvoering van deze dreigementen of reeks van dreigementen.”7 (onderstrepingen NMB)
Deze polisbepaling maakt duidelijk dat het niet enkel gaat om de dreiging tot het veroorzaken van schade, tenzij wordt betaald, maar ook om het daadwerkelijk veroorzaken van schade en verhinderen van toegang, waarmee wordt gestopt na betaling. Daarnaast is duidelijk dat ook het blokkeren van de toegang tot het systeem (de ‘gijzeling’ daarvan) een verzekerd evenement is.
Duidelijkheid met betrekking tot dit dekkingselement is gewenst. Uit onderzoek blijkt dat slechts 3% van de getroffen bedrijven te maken had met ‘afpersing’ (systemen niet versleuteld, maar afgeperst met de dreiging daartoe) in plaats van met ‘gijzeling’ (systemen wel versleuteld, sleutel verkrijgbaar tegen losgeld).8 Indien slechts afpersing zou zijn gedekt en ransomware niet, doet dit voor bedrijven en organisaties afbreuk aan de waarde van de cyberverzekering.