Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/II.3.5
II.3.5 De cyberpolis in het licht van de Amerikaanse privacy- en dataprotectie regelgeving
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278821:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
OECD 2017 p. 61.
Ibid; S. Romanosky e.a., ‘Content Analysis of Cyber Insurance Policies. How do carriers write and price cyber risk?’, RAND Justice, Infrastructure, and Environment, september 2017; Marotta e.a 2017; Betterley 2017.
Romanosky e.a. stellen dit uitgangspunt overigens ter discussie: uit hun onderzoek blijkt dat er juist een grote overlap bestaat tussen verschillende cyberpolissen. Dat strookt niet met het beeld dat thans bestaat, namelijk dat er zo veel verschil in polissen is dat dit het afsluiten van de verzekering in sterke mate bemoeilijkt (vgl. bijv. Betterley 2017, p. 3).
Marotta e.a. 2017. Ik merk hierbij op dat de polissen op detailniveau nog verschillen vertonen, bijvoorbeeld in de definities van kernbegrippen. Dit kan ertoe leiden dat schade onder de ene polis wel, maar onder de andere polis niet is gedekt.
De polis bakent af wat onder ‘claims’ wordt verstaan. Deze worden vaak onderverdeeld in claims wegens inbreuken op de privacy, onvoldoende netwerkbeveiliging of multimedia aansprakelijkheid.
Betterley 2017, p. 9.
Ibid.
Een voorbeeld van een dergelijke beperkende omschrijving is: “such services shall not be covered if notification is not required under applicable Breach Notification Laws”. Freedom Specialty Cyber Insurance Policy CYF-P-1 (12-15), section II, D.2.
Betterley 2017, p. 9 en Romanosky 2017, p. 14-15. Uit andere onderzoeken blijkt dat boetes in veel gevallen juist wel onder de dekking vallen. Zie bijvoorbeeld het rapport van OECD, Enhancing the role of insurance in cyber risk management, OECD Publishing: Paris 2017, p. 62 en de daarin genoemde bronnen. Een verklaring voor dit verschil kan zijn dat Romanosky enkel Amerikaanse polissen bij zijn onderzoek heeft betrokken, terwijl de OECD zich tevens lijkt te hebben gericht op onder andere de Europese markt, waar de situatie anders is dan in de VS.
Betterley 2017, p. 8.
Het niet-nakomen van de verplichtingen uit de hiervoor besproken regelgeving kan leiden tot verschillende vormen van schade en aansprakelijkheid. Deze schade kan bestaan uit door de handhavende autoriteiten opgelegde boetes, reputatieschade, claims van betrokkenen en alle daarbij komende kosten (zoals verdedigingskosten).
In deze paragraaf zet ik uiteen hoe de cyberverzekering voor deze risico’s dekking biedt. In de VS wordt de cyberverzekering door tientallen maatschappijen aangeboden.1 Naar de inhoud daarvan is een aantal uitgebreide onderzoeken gedaan.2 Deze paragraaf is op die onderzoeken gebaseerd.
De (stand-alone) cyberverzekering bevat een aantal kenmerkende vormen van dekking die, ondanks de vele verschillen in polissen,3 in elke polis – in meer of mindere mate – voorkomen.4 De verzekering heeft een hybride vorm en biedt dus dekking voor zowel first- als third-party schade. First party schade bestaat bijvoorbeeld uit verlies, beschadiging of diefstal van eigen digitale assets, schade wegens bedrijfsstagnatie, notificatiekosten en schade door digitale afpersing. Third party schade omvat de kosten die samenhangen met aansprakelijkheidsclaims van derden die schade hebben geleden als gevolg van een cyberincident bij de verzekeringnemer. De cyberverzekering biedt dekking voor kosten van verweer tegen dergelijke claims, kosten van deskundigen en voor de eventueel verschuldigde schadevergoeding of schikkingen.5
Daarnaast bestaat de dekking uit bepaalde vormen van dienstverlening: crisismanagement, technische en/of juridische ondersteuning, en communicatiediensten. Dergelijke response-diensten zijn vooral wenselijk ter beperking van de eigen schade, al kan ook compliance een rol spelen. Een voorbeeld daarvan is het (al dan niet wettelijk verplicht) aanbieden van schadebeperkende diensten zoals credit monitoring, wat in veel polissen is gedekt.6 Betterley schrijft dat dergelijke diensten ook onverplicht kunnen worden ingezet als middel om de eigen reputatieschade te beperken.7 Dat uitgangspunt is juist, maar als de dienst louter met dat doel wordt aangeboden, zal niet iedere verzekeraar die kosten dekken.8
Schending van de regelgeving creëert het risico op boetes. Gezien de omvang van de boetes die bijvoorbeeld onder de FTCA en de HIPAA kunnen worden opgelegd, is verzekeringsdekking op dit punt zeer waardevol. In veel Amerikaanse polissen blijken fines, penalties and fees echter van dekking te worden uitgesloten.9 De kosten van de juridische verdediging tegen deze boetes zijn vaak wel gedekt.
Een ander opvallend element uit de cyberzekering, dat evenwel nog in ontwikkeling is,10 is de mogelijkheid van ‘pre-breach services’. (Cyber)verzekeraars beschikken bij uitstek over de kennis en contacten om de verzekeringnemers bij het afsluiten van de verzekering te voorzien van informatie en diensten of producten. Dit kan aantrekkelijk zijn voor de verzekeringnemers, omdat het kan helpen om aan de regelgeving te voldoen. Ook voor de verzekeraars biedt dit echter een kans. Zij houden immers meer controle over de wijze waarop de verzekeringnemers hun processen inrichten, weten bijvoorbeeld beter wat hun incident response plannen inhouden en kunnen derhalve de risico’s beter inschatten.
Zetten we de inhoud van de gemiddelde cyberverzekering af tegen de risico’s die rechtstreeks uit de Amerikaanse privacyregelgeving voortvloeien, dan is te zien dat de cyberverzekering goed bij die risico’s aansluit. De verzekering biedt in de meeste gevallen dekking bij aansprakelijkheid wegens datalekken en de daaraan verbonden kosten van verweer. Bovendien kan een verzekering helpen bij het beperken van de eigen schade en het voorkómen van aansprakelijkheid door het verlenen van incident response services, zoals ondersteuning bij notificaties aan betrokkenen. Een uitgebreide verzekering kan zelfs dekking bieden voor boetes (of de kosten van verweer daartegen). De cyberverzekering voorziet daarmee in een specifieke behoefte van verzekeringnemers die uit Amerikaanse privacyregelgeving voortvloeit.