II.6 Conclusie

Het sluiten van een cyberverzekering blijft in Europa achter ten opzichte van de VS. De verwachting is dat de AVG daarin verandering zal brengen. In deze studie heb ik onderzocht of deze verwachting gezien de inhoud van de AVG terecht is.

De vraag naar de cyberverzekering in de VS wordt grotendeels gedreven door zeer specifieke privacyregelgeving, waarin een grote nadruk ligt op het voldoen aan die regelgeving (compliance), meldplichten na datalekken en grote schades door boetes en aansprakelijkheid. Dit creëert een verzekeringsbehoefte waar de cyberverzekering op aansluit, bijvoorbeeld door dekking te verlenen voor aansprakelijkheid, kosten van verweer en kosten rondom datalekken, zoals notificatiekosten.

In de AVG is in grote lijnen een beweging naar het Amerikaanse model te zien. De AVG roept daarmee deels dezelfde behoefte aan specifieke verzekeringsdekking op. De in Nederland aangeboden cyberverzekeringen sluiten daar in beginsel goed op aan. Er bestaat echter een aantal nuanceverschillen, met name rondom (het melden van) datalekken.

In de fase voorafgaand aan een datalek dwingt de AVG door het accountability-beginsel tot aantoonbare compliance. Zowel in de VS als in Europa bestaat er op dit punt een groeimogelijkheid voor cyberverzekeraars, door ondersteuning te bieden door middel van pre-breach services.

Indien sprake is van een datalek, schrijft de AVG een risicoanalyse voor die de onderneming in zeer korte tijd dient uit te voeren. Niet ieder datalek hoeft immers te worden gemeld. Cyberverzekeringen bieden hierin ondersteuning door middel van incident response services. Met het oog op compliance kunnen deze diensten voor verzekeringnemers zeer waardevol zijn. De verzekeringsbehoefte in de VS is op dit punt niet zozeer gelegen in compliance met de regelgeving, maar in beperking van de eigen (reputatie)schade. De Amerikaanse verzekeringnemer heeft daarin dus een keuze die de Europese verzekeringnemer niet heeft. Doordat in de VS bovendien geen meldingsdrempel bestaat en altijd aan alle betrokkenen moet worden gemeld in plaats van enkel aan de toezichthoudende autoriteit, heeft de Amerikaanse verzekeringnemer vanuit compliance meer behoefte aan vergoeding van notificatiekosten. De Europese verzekeringnemer zal meer waarde hechten een snelle incident response.

De gevolgen van een datalek kunnen bestaan uit aansprakelijkheidsclaims van derden en boetes van handhavende instanties. Door de nadruk op accountability, meer verplichtingen en een sterkere positie van betrokkenen valt onder de AVG een stijging van het aantal aansprakelijkheidsclaims te verwachten. Of dit daadwerkelijk tot schadevergoeding zal leiden, is de vraag. Cyberverzekeringen bieden dekking voor deze claims en kosten van verweer. Door de afwezigheid van een mogelijkheid tot een class action is de kans dat verzekeringnemers met dezelfde massaclaims zullen worden geconfronteerd als organisaties in de VS echter minder groot.

De dekking die op dit moment in Nederland voor boetes wordt geboden, is waardevol. Deze dekking ontbreekt vaak in Amerikaanse polissen. De kans dat deze boetes in Nederland daadwerkelijk zullen worden opgelegd – zeker in de orde van grootte waarin dit in de VS gebeurt – lijkt vooralsnog echter minder reëel.

Gezien al het voorgaande sluit ik zeker niet uit dat de AVG inderdaad een stijging in de vraag naar cyberverzekeringen in Europa zal veroorzaken. Er bestaan echter cruciale verschillen in de Amerikaanse en Europese privacyregelgeving die maken dat de behoefte van de Europese verzekeringnemer niet dezelfde zal zijn als die van de Amerikaanse. Het verschil in benadering van gegevensbescherming speelt daarbij een grote rol: bescherming van consumentenrechten tegenover bescherming van individuen tegen schendingen van een fundamenteel recht. Voor cyberverzekeraars op de Europese markt valt dan ook nog winst te behalen door beter op deze verschillen in te spelen.