Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/I.1.1.4
I.1.1.4 Cyberverzekeringen
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278924:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Zie uitgebreid over de opkomst en achtergrond van de cyberverzekering hoofdstuk II. Voor een uiteenzetting over de inhoud en voorwaarden van de cyberverzekering zie hoofdstuk III.
OECD 2017, p. 60.
Ibid.
‘Markt cyber verdubbeld’, Verbond van Verzekeraars 21 maart 2018, te raadplegen op https://www.verzekeraars.nl/publicaties/actueel/markt-cyber-verdubbeld. Afgezet tegen de totale premieomzet uit schadeverzekeringen van 13,2 miljard euro blijft ook in Nederland de omvang van de cyberverzekeringsmarkt bescheiden. Zie Verbond van Verzekeraars, Financieel Jaarverslag Verzekeringsbranche 2019, Centrum voor Verzekeringsstatistiek: Den Haag 2019, p. 13.
Munich Re, ‘Cyber insurance: Risks and trends 2020’, 14 april 2020, te raadplegen op https://www.munichre.com/topics-online/en/digitalisation/cyber/cyber-insurance-risks-and-trends-2020.html.
Ibid.
Vgl. M. Eling & W. Schnell, ‘What do we know about cyber risk and cyber risk insurance?’, The Journal of Risk Finance 2016, vol. 17-5, p. 474-491. Zie voor een kritische blik op dit uitgangspunt M. van Eeten, ‘Blussen met nullen en enen. Cyber-rampen, cyber-exceptionalisme en de rol van de overheid’, Bestuurskunde 2020/1, p. 80-90.
Er zijn kortom op zowel bestuurlijk vlak als in de wetgeving de nodige ontwikkelingen te zien om de met digitalisering gepaard gaande risico’s zoveel mogelijk te beheersen. Op macroniveau is dat natuurlijk belangrijk, maar op het niveau van bedrijven en instellingen leidt bijvoorbeeld nieuwe wetgeving niet direct tot minder risico’s. Integendeel: met name de verplichtingen uit de AVG vormen voor veel bedrijven juist een extra compliance-risico, zeker gelet op de vergaande handhavingsbevoegdheden van de Autoriteit Persoonsgegevens. De uitbreiding van de rechten van betrokkenen en de aansprakelijkheidsbepaling in de AVG leiden bovendien tot een groter aansprakelijkheidsrisico. Daarnaast blijft voor bedrijven en instellingen het risico bestaan op stagnatieschade (bedrijfsschade) en andere vermogensschade als gevolg van cyberincidenten en cybercriminaliteit.
Risico’s van digitalisering en veranderende wetgeving hebben derhalve ook tot de ontwikkeling van nieuwe verzekeringsproducten geleid. Deze trend is aangejaagd vanuit de Verenigde Staten, waar de introductie van de meldplicht bij datalekken een belangrijke rol heeft gespeeld bij de vraag naar verzekeringsdekking voor cyberrisico’s. Deze cyberverzekeringen bieden dekking voor vermogensschade die de verzekerde lijdt als gevolg van cyberincidenten, zoals virussen, malware, ransomware, digitale diefstal of afpersing. Daarnaast wordt dekking geboden voor mogelijke aansprakelijkheid van de verzekerde partij, bijvoorbeeld wegens schendingen van privacywetgeving zoals de AVG. Veelal zijn een eventueel door de Autoriteit Persoonsgegevens opgelegde boete en betaald losgeld bij ransomware ook meeverzekerd.1
Cyberverzekeringen zijn relatief jonge verzekeringsproducten die ook een relatief beperkt marktaandeel beslaan. In 2016 bedroeg de bruto premieomzet van cyberverzekeringen wereldwijd tussen de 2,5 en 3,5 miljard dollar.2 Afgezet tegen bijvoorbeeld brand- en propertyverzekeringen (277 miljard dollar) en aansprakelijkheidsverzekeringen (171 miljard dollar) is de cyberverzekeringsmarkt dus nog bescheiden.3 De cyberverzekeringsmarkt groeit echter snel. In 2018 zijn de premie-inkomsten uit cyberverzekeringen in Nederland ten opzichte van 2015 verdubbeld naar 20 miljoen euro.4 Dat past in het wereldwijde beeld: de mondiale premieomzet steeg in 2018 tot 5 miljard dollar en groeide in 2020 door tot 7 miljard dollar.5 Herverzekeraar Munich Re verwacht dat dit zal toenemen tot 20 miljard dollar in 2025.6
Cyberrisico’s en daarop aansluitende verzekeringsproducten zijn dus in opkomst, maar roepen ook juridische vragen op. Het verzekeringsrecht is gebaseerd op traditionele risico’s met tastbare schade: letsel of overlijden door ongelukken, schade door brand, inbraak, overstromingen, menselijke fouten, verkeerde adviezen et cetera. Cyberrisico’s hebben een fundamenteel ander karakter dan traditionele risico’s: zij zijn virtueel, dus niet waarneembaar of tastbaar, en kennen een grote mate van onderlinge verwevenheid (zie voor een nadere duiding en afbakening van onder andere het begrip ‘cyberrisico’ paragraaf 3).7 Hoe het door traditionele risico’s gevormde verzekeringsrecht, dat ik in dit boek aanduidt als ‘klassiek’ verzekeringsrecht, zich verhoudt tot deze nieuwe risico’s, is een openstaande vraag. Dat geldt ook voor het aansprakelijkheids- en schadevergoedingsrecht, bijvoorbeeld rondom schendingen van het gegevensbeschermingsrecht.
Verzekeringen, schade en aansprakelijkheid hangen met elkaar samen en hebben invloed op elkaar. Ook voor dit specifieke rechtsgebied bevinden wij ons derhalve in boeiende tijden. Wat daarin de stand van zaken is en welke uitdagingen wachten, bespreek ik in de volgende paragraaf.