Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.5.1.2
III.5.1.2 Arbeidsrechtelijke geschillen: samenloop (7:961 BW)
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278787:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
AIG, Liberty en Chubb.
Bijv. XL Catlin en Zurich.
Zurich. Ook Liberty hanteert een dergelijke uitzondering op de uitsluiting.
In de jurisprudentie heb ik hiervan nog geen voorbeelden gevonden. Wel kan worden gewezen op de in de inleiding van dit boek genoemde zaak Morrisons (VK), waarin de medewerkers van een supermarkt hun werkgever aansprakelijk hielden voor een groot datalek, veroorzaakt door een oud-medewerker. Het Supreme Court wees deze aansprakelijkheid overigens, anders dan de eerdere instanties, af. Zie Supreme Court (Verenigd Koninkrijk) 1 april 2020, Morrisons Supermarkets v Various Claimants [2020] UKSC 12.
Avéro, AIG (gedeeltelijk), CB, Interpolis, Allianz, Chubb, CNA, Hiscox, XL Catlin, Zurich. Zie uitgebreid over non-contribution clausules Wansink 2006, p. 219 e.v.; Asser/Wansink, Van Tiggele & Salomons 7-IX 2019/500; W.C.T. Weterings, ‘Samenloop van verzekeringen’, in: N. van Tiggele-van der Velde & J.H. Wansink (reds.), Bespiegelingen op 10 jaar ‘nieuw’ verzekeringsrecht, Deventer: Wolters Kluwer 2015, p. 199 e.v.
Allianz, Hiscox, CNA, Chubb, AIG, CB, Liberty, XL Catlin.
Liberty.
Vgl. Asser/Wansink, Van Tiggele & Salomons 7-IX 2019/500.
CNA. Zie ook Hiscox voor een vergelijkbare clausule.
HDI.
AIG.
Een klein aantal van de onderzochte polisvoorwaarden bevat een specifieke uitsluiting voor arbeidsrechtelijke geschillen.1 Andere verzekeraars sluiten dit risico uit door onderlinge aansprakelijkheid uit te sluiten.2 De uitsluiting voor arbeidsrechtelijke geschillen geldt niet voor aanspraken van werknemers wegens een privacy-incident bij het verzekerde bedrijf:
“Deze uitsluiting geldt niet voor: […]
ii. een werknemer die een aanspraak indient met betrekking tot het onbevoegd openbaar maken van zijn of haar persoonsgegevens; […]”3
Indien een werknemer zijn werkgever aansprakelijk stelt voor een privacy-schending, bijvoorbeeld als gevolg van een datalek, dan zijn cyberverzekeraars dus bereid om daarvoor dekking te bieden. Mocht zich een dergelijk geval voordoen, dan is mogelijk sprake van samenloop tussen de cyberverzekering en de AVB-verzekering van de werkgever (7:961 BW). Cyberschade zal veelal niet zijn gedekt onder de AVB-verzekering, omdat de schade in de regel bestaat uit zuivere vermogensschade. Daarvoor biedt de AVB-verzekering doorgaans geen dekking. In het geval van een aanspraak van een werknemer op de werkgever wegens schending van de privacy of inbreuk op de persoonlijke levenssfeer, bijvoorbeeld uit hoofde van artikel 7:658 BW of 7:611 BW jo 6:106 lid 1 sub b BW, kan dat anders zijn.4 Van zuivere vermogensschade is dan geen sprake; het gaat dan om een aantasting in de persoon en dus om ‘ander nadeel’ (6:95 BW). Expliciete uitsluitingen in AVB-verzekeringen voor schade door privacyschendingen zijn mij niet bekend. Mogelijk bestaat er dus dekking zowel dekking onder de cyberverzekering als onder de AVB-verzekering en is er sprake van samenloop.
Artikel 7:961 BW is regelend recht, waarvan in de polisvoorwaarden kan worden afgeweken. Bijna alle cyberverzekeringen bevatten een harde na-u/‘non-contribution’-clausule.5 Indien er sprake is van een andere verzekering waaronder de schade ook is gedekt, of waaronder de schade gedekt zou zijn indien de cyberverzekering niet had bestaan, dan is er geen dekking onder de cyberverzekering. In veruit de meeste cybervoorwaarden bepaalt de clausule daarbij dat de cyberverzekering als excedent-polis geldt, dan wel dat de cyberverzekering een eventueel verschil in uitkering tussen de andere verzekering en de cyberverzekering zal dragen:6
“Indien de schade die onder deze polis gedekt is tevens gedekt is onder een andere verzekering of daarop gedekt zou zijn indien deze verzekering niet zou hebben bestaan, dan geldt deze verzekering als excedent boven die andere verzekering respectievelijk als dekking voor het verschil in voorwaarden met die andere verzekering.”7
Een klein aantal cyberverzekeraars vult deze na-u-clausule vervolgens nog aan met een ‘eerst betalen dan verhalen’-clausule.8 Indien de andere verzekering een soortgelijke na-u-clausule gebruikt, betaalt de cyberverzekeraar onder voorwaarden van cessie van de vordering die de verzekerde op de andere verzekeraar heeft:
“Indien de verzekeraar onder die andere verzekering zich beroept op analoge voorwaarden zal de verzekeraar dekking verlenen onder de voorwaarde dat de vordering op die andere verzekeraar door de verzekerde aan de verzekeraar is overgedragen ter waarde van het bedrag dat onder de onderhavige verzekering betaald had moeten worden als deze samenloopregeling niet van toepassing zou zijn geweest.”9
Slechts één cyberverzekeraar hanteert een expliciete voor-u/primaire dekkingsclausule:
“Indien de schade die onder deze verzekering is gedekt ook is gedekt onder een andere verzekering of verzekeringen, dan geldt deze verzekering, behoudens geclausuleerde bepalingen, als primaire verzekering.” 10
Een andere verzekeraar hanteert een na-u-clausule, met uitzondering van de modules waarin een primaire dekking wordt verleend.11 Deze primaire dekking ontbreekt enkel bij de module Boetes en Aansprakelijkheid, waardoor de polis grotendeels met voor-u-clausules werkt.
Welke verzekeraar er bij een eventuele samenloop van een aansprakelijkstelling de verzekeraar als werkgever na een privacyschending van (een) werknemer(s) voorgaat, hangt dus ook af van de polisvoorwaarden van de AVB-verzekering.