De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.3.3:III.3.3.3 Incidenten bij derden: IT-leveranciers

De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.3.3

III.3.3.3 Incidenten bij derden: IT-leveranciers

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

In de praktijk heeft het overgrote deel van de bedrijven, zeker in het MKB, het beheer van ICT uitbesteed aan een externe dienstverlener. De kans dat een cyberincident plaatsvindt op de systemen van de deze derde dienstverlener en direct doorwerkt op de systemen van de verzekerde, is daarom reëel. De rol van deze ICT-dienstverlener is derhalve ook relevant voor dekking onder de cyberverzekering.

Een aantal polissen benoemt de rol van de ICT-dienstverlener expliciet en biedt ook expliciet dekking voor incidenten die bij die partij zijn ontstaan. Dit is met name bij privacy-incidenten het geval (zie ook §4.2).1 Bij bedrijfsstagnatie verschilt dit per verzekeraar.2 Een aantal verzekeraars sluit de ICT-dienstverlener in door definiëring van bepaalde begrippen, zoals het computernetwerk of operationele fout.3

Een voorbeeld van (additionele) dekking voor incidenten bij ICT-dienstverleners is:

10.1.1 Netwerkonderbreking IT outsourcer

De verzekeraar zal aan het bedrijf het verlies door netwerkonderbreking vergoeden die het bedrijf lijdt en het gevolg is van een materiële onderbreking van een computersysteem van een IT outsourcer mits verlies door netwerkonderbreking wordt geleden: […]

10.3 […] IT outsourcer

Een entiteit die geen eigendom is van, niet geëxploiteerd wordt door of onder zeggenschap staat van het bedrijf en die het bedrijf heeft ingeschakeld om specifieke ICT diensten te verlenen (waaronder maar niet beperkt tot: webhosting, betalingsverwerking en het verzamelen van IT-beveiligingsgegevens, gegevensverwerking, delegatie van gegevensverwerking, gegevensopslag en/of het wissen of vernietigen van gegevens) die anders intern zouden worden verricht, al dan niet op basis van een uitdrukkelijke overeenkomst, maar uitsluitend wat betreft de verlening van dergelijke diensten.”4

Een voorbeeld van een dergelijke bepaling bij privacy-inbreuken is:

“Ook verzekerd bij een gegevensinbreuk op het computersysteem van een dienstverlener van u.

Alleen verzekerd als u een schriftelijke overeenkomst met de dienstverlener hebt.

En dat computersysteem werd gebruikt bij aan u verleende diensten.

Alleen voor het deel van de schade dat met u te maken heeft.”5

Voor verzekerden is dit een punt van aandacht. Een uitgebreide polisomschrijving op dit punt kan van grote meerwaarde zijn. In het geval van privacy-incidenten betekent dit dat ook indien de inbreuk plaatsvindt bij een derde, bijvoorbeeld de verwerker, de verzekering dekking biedt. De cyberverzekering sluit op dit punt aan bij de Algemene verordening gegevensbescherming (‘AVG’): de verzekerde blijft als verwerkingsverantwoordelijke in de zin van de AVG verantwoordelijk voor de betreffende persoonsgegevens, ook als de fout zich bij de verwerker heeft voorgedaan.

Een uitgebreide dekking onder de cyberverzekering op dit punt zou dan ook invloed kunnen hebben op de inhoud van de verwerkingsovereenkomst die de verzekerde in dergelijke gevallen sluit. Een verwerker heeft er belang bij om contractueel te bedingen dat de verwerkingsverantwoordelijke een cyberverzekering afsluit met mededekking voor de verwerker. Dergelijke mechanismen zijn niet nieuw: in de bouw is het zeer gebruikelijk om contractueel te bedingen dat een CAR-verzekering wordt afgesloten waarin verschillende bij de bouw betrokken partijen, bijvoorbeeld de aannemer en de installateurs, als medeverzekerden worden aangemerkt.6

Deze functie is alleen te gebruiken als je bent ingelogd.