III.5.2.6 Illegaal gebruik software

Een aantal verzekeraars hanteert een begrijpelijke, maar mogelijk venijnige uitsluiting voor schade die wordt veroorzaakt door het illegaal gebruik van software, bijvoorbeeld vanwege het ontbreken van licenties:1

Software wordt beschermd door het auteursrecht. Om gebruik te kunnen maken van software, is toestemming van de rechthebbende nodig. De rechthebbende geeft dan een licentie uit, een gebruiksrecht. Deze licenties worden bijvoorbeeld uitgegeven voor medewerkers met een bepaalde functie of voor een bepaald aantal medewerkers.

Het gebruik van software zonder licentie gebeurt niet altijd bewust. Denk bijvoorbeeld aan een jaren geleden aangeschaft softwarepakket waarvoor voor tien medewerkers een licentie is afgegeven, terwijl het aantal personen dat inmiddels van het programma gebruikmaakt tot ver boven dat aantal is gestegen. Of medewerkers die ‘handige’ programma’s installeren op hun computer die de werkzaamheden eenvoudiger of efficiënter maken. Dergelijke programma’s kunnen inderdaad heel handig en behulpzaam zijn, maar vaak ontbreekt de licentie en is het gebruik van de software dus illegaal. Het komt ook voor dat bedrijven in het verleden wel met een geldige licentie gebruik maakten van een bepaald softwareprogramma, maar dat de licentie inmiddels is verlopen. De software wordt dan niet meer ondersteund en niet meer geüpdatet. Daaruit kan schade voortvloeien, bijvoorbeeld een privacy- of netwerkincident.

Onder de verzekering die de bovengenoemde uitsluiting hanteert, is dergelijke schade niet gedekt – ervan uitgaande dat de verzekeraar, op wie de bewijslast van de uitsluiting rust, het in de polisvoorwaarde opgenomen vereiste causaal verband tussen het illegaal gebruik van de software en het ontstaan van de schade heeft kunnen aantonen.3

De uitsluiting in verband met het illegaal gebruik van software of het ontbreken van licenties is niet in alle cyberverzekeringen waarin deze uitsluiting voorkomt zo ruim geformuleerd als in het hierboven genoemde voorbeeld. Uit andere clausules blijkt dat de verzekeraar rekening heeft gehouden met het feit dat bedrijven zich er niet altijd van bewust zijn dat zij software illegaal gebruiken:

⁜

Deze uitsluitingsclausules bevatten het extra criterium dat de verzekerde wist dat de software illegaal werd gebruikt. Ook tussen deze clausules is weer een belangrijk verschil aan te wijzen. Het vereiste van ‘stilzwijgende instemming’ verruimt de clausule ten opzichte van het vereiste van daadwerkelijke bekendheid. Stilzwijgende instemming houdt in mijn ogen ook in een gedoogconstructie of een situatie waarin de verzekerde het heeft laten gebeuren dat bijvoorbeeld veel meer medewerkers van de software gebruik maakten dan waarvoor de licentie was uitgegeven. De verzekeraar kan bij deze ruimere formulering sneller volstaan met het aanwijzen van objectieve factoren waaruit geen andere conclusie kan volgen dan dat de verzekerde stilzwijgend met het illegale gebruik heeft ingestemd. De verzekeraar die een daadwerkelijk bekendheidscriterium hanteert, heeft een moeilijkere bewijspositie.

Een kritisch licentiebeleid en tussentijdse evaluatie van de werkelijke situatie ten opzichte van hetgeen met betrekking tot het gebruik van software is overeengekomen met de licentiegever, was altijd al belangrijk. Deze uitsluitingen in de cyberverzekering geven verzekerde bedrijven en organisaties evenwel temeer reden om serieuze uitvoering te geven aan het licentiebeleid en de controle daarvan.