Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/IV.1
IV.1 Inleiding
1
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278911:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Dit hoofdstuk is eerder als artikel verschenen in AV&S: N.M. Brouwer, ‘‘Vlijt en naarstigheid’ in een digitale wereld: eigen schuld en beredding in de context van de cyberverzekering’, AV&S 2019/23, p. 119-128.
W. Smart, Lessons learned review of the WannaCry Ransomware Cyber Attack, Independent report NHS, London 1 februari 2018, https://www.england.nhs.uk/wp-content/uploads/2018/02/lessons-learned-review-wannacry-ransomware-cyber-attack-cio-review.pdf
F. Palazuelos, ‘How the WannaCry ransomware attack affected businesses in Spain’, El Pais 19 mei 2017,
R. Chirgwin, ‘IT ‘heroes’ saved Maersk from NotPetya with ten-day reinstallation bliz’, The Register 25 januari 2018,
J. Leyden, ‘FedEx: TNT NotPetya infection blew a $300m hole in our numbers’, The Register 20 september 2017, < https://www.theregister.co.uk/2017/09/20/fedex_notpetya_damages/>.
Redactie, ‘Nederlandse parkeergarages getroffen door cyberaanval’, Volkskrant 14 mei 2017,
NOS, ‘Nieuwe aanvallen met gijzelvirus, ook pakketbezorger TNT getroffen’, 27 juni 2017,
Zie o.a. E. van den Heuvel (red.), CSR Magazine 2018, p. 13 en 44-46.
Zie bijvoorbeeld de bevindingen van onderzoeksbureau Cybersecurity Ventures in TrendMicro, 2017 Annual Security Roundup: The paradox of Cyber Threats, Trend Micro: 2018, p. 5.
Nationaal Coördinator Terrorismebestrijding en Veiligheid, Cybersecuritybeeld Nederland 2018, Den Haag 2018, p. 5.
CSBN 2018, p. 9. Inmiddels wordt gezocht naar mogelijkheden om het aansprakelijkheidsregime jegens hard- en softwareproducten aan te scherpen, zie Regeerakkoord 2017-2021,‘Vertrouwen in de toekomst’, 10 oktober 2017, p. 3 en Rijksoverheid, ‘Roadmap Digitaal Veilige Hard- en Software’, Den Haag 2018, p. 24.
N. Vloemans, ‘Onzekerheid en verzekerbaarheid’, in: M.L. Hendrikse & J.G.J. Rinkes, Knelpunten in het verzekeringsrecht deel 2 (NTHR-serie deel 11), Paris: Zutphen 2009, p. 143.
Algemene Verordening Gegevensbescherming, (EU) 2016/679 en de Netwerk en Informatieveiligheid Richtlijn, (EU) 2016/1148. De NIB-richtlijn is geïmplementeerd in de Wet beveiliging netwerk- en informatiesystemen (Wbni), die op 9 november 2018 in werking is getreden.
In mei en juni 2017 werd wereldwijd een groot aantal bedrijven en organisaties slachtoffer van twee ernstige cyberincidenten: Wannacry en NotPetya. De gevolgen waren groot: in verschillende ziekenhuizen in het Verenigd Koninkrijk kwamen gehele afdelingen stil te liggen en werden patiënten noodgedwongen geweigerd.2 In Spanje werd het virus via telecomprovider Telefónica aan honderden computers doorgegeven.3 Containergigant Maersk kwam dagenlang tot stilstand en heeft haar complete digitale infrastructuur moeten herzien.4 Transportbedrijf FedEx kon haar diensten niet meer verrichten.5 In Nederland werkten meerdere parkeergarages van Q-park niet meer,6 konden pakketdiensten van TNT niet meer uitrijden7 en kwam zelfs een deel van de Rotterdamse haven stil te liggen.8 De totale schade van beide aanvallen wordt ver in de miljarden geschat.9
Deze gebeurtenissen maken duidelijk welke enorme gevolgen cyberincidenten kunnen hebben. De complexiteit en connectiviteit in het ICT-landschap nemen toe en er is te weinig aandacht voor digitale veiligheid.10 De digitale weerbaarheid van Nederland staat daarmee onder druk.
Voor een belangrijk deel heeft deze problematiek te maken met de verdeling van verantwoordelijkheden. Uit het Cybersecuritybeeld Nederland 2018 blijkt dat er voor producenten weinig economische drijfveren bestaan om veilige hard- en software te produceren.11 De zorg voor een veilig gebruik van de producten rust hierdoor grotendeels op de gebruiker zelf, bijvoorbeeld door het treffen van voorzorgsmaatregelen. Deze status quo beheerst eveneens de verwachtingen tussen gebruikers onderling, bijvoorbeeld in zakelijke verhoudingen en overeenkomsten.
Ook in de verzekeringswereld leiden ontwikkelingen in technologie en wetenschap tot veranderende verplichtingen over en weer, of zoals Vloemans reeds in 2009 opmerkte: “In een wereld waar steeds meer risico’s ontdekt worden en waar steeds meer onzekerheid zal bestaan, dient eenieder zijn verantwoordelijkheid te nemen, om te beginnen de verzekerde zelf.”12 Tien jaar later maken de voortschrijdende digitalisering en daarmee samenhangende nieuwe wetgeving (zoals de AVG en de NIB-richtlijn),13 alsmede de ontwikkeling van nieuwe verzekeringsproducten zoals de specifieke cyberverzekering, de verdeling van verantwoordelijkheden en daarbij behorende verwachtingen nog altijd tot een actueel en relevant vraagstuk.
De eigen verantwoordelijkheid van de verzekerde is in het verzekeringsrecht op verschillende plekken terug te zien, bijvoorbeeld in de leerstukken eigen schuld (artikel 7:952 BW) en de bereddingsplicht en -kosten (artikel 7:957 en 7:959 BW). In het oude verzekeringsrecht (283 WvK) diende de verzekerde voldoende ‘vlijt en naarstigheid’ te betrachten. In titel 7.17 BW komen deze woorden thans niet meer voor, maar wordt hetzelfde beoogd. De omvang van de eigen verantwoordelijkheid wordt mede bepaald door een maatman-criterium: de zorgvuldige en behoorlijk handelend verzekerde.14 Dit vormt tevens het kader voor hetgeen de verzekeraar op dit punt van haar verzekerde mag verwachten.
In dit tijdperk van digitale transformatie en voortschrijdende technologie is deze open norm echter moeilijk te duiden. In deze bijdrage onderzoek ik hoe in de context van de cyberverzekering invulling kan worden gegeven aan de leerstukken eigen schuld en bereddingsplicht. Hierbij ga ik ook in op de rol die verzekeraars kunnen spelen.
Daartoe zal ik eerst een korte schets geven van beide leerstukken (paragraaf 2). Vervolgens ga ik aan de hand van een polisonderzoek nader in op algemene voorzorgsmaatregelen in een digitale context (paragraaf 3) en op het criterium ‘onmiddellijk dreigend gevaar’ (paragraaf 4). Ik sluit af met een aantal concluderende beschouwingen (paragraaf 5).