De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.9.1.2:III.3.9.1.2 Vereisten voor dekking

De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.9.1.2

III.3.9.1.2 Vereisten voor dekking

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

Voor dekking van cyberafpersing vereist de meerderheid van de cyberverzekeraars dat sprake is van een geloofwaardige of serieuze dreiging.1 De achterliggende gedachte van deze bepaling is niet direct helder. Mogelijk willen verzekeraars hiermee voorkomen dat reeds bij een enkele spammail, waarin slechts wordt gesteld dat de systemen zijn geblokkeerd, recht op uitkering bestaat. Een andere reden kan evenwel zijn gelegen in de fraudegevoeligheid van dit dekkingselement. De mogelijkheid bestaat immers dat het verzekerde bedrijf zichzelf hackt of laat hacken, om vervolgens het losgeld als verzekeringsuitkering op te strijken. Een enkele verzekeraar heeft hiermee zelfs rekening gehouden door een uitsluiting op te nemen: niet verzekerd is losgeld indien de afpersing is gepleegd door of in vereniging met een vertegenwoordiger, bestuurder, iedere andere functionaris of werknemer van verzekerde, of enig ander persoon aan wie het losgeld wordt betaald.2 Een andere verzekeraar ondervangt dit frauderisico in de definitie:

“Onder cyberafpersingsincident wordt niet verstaan wanneer er sprake is van een dreigement of reeks van dreigementen tegen verzekerde indien gedaan met toestemming of in opdracht van een lid van de controlegroep.”3

Toch roept het criterium van ‘de geloofwaardige of serieuze dreiging’ vragen op naar de praktische uitwerking daarvan. Wanneer is immers sprake van een geloofwaardige dreiging? Het zal de verzekerde zijn die dit dient aan te tonen, maar wanneer is dat voldoende?

Een enkele verzekeraar biedt de verzekerde hierin enige handvatten, bijvoorbeeld door te specificeren dat de verzekerde aantoont dat het losgeld onder dwang is overgedragen, of dat het dreigement technologisch mogelijk was:

“Voorwaarde is dat verzekerde kan aantonen dat het losgeld is overgedragen onder dwang, en dat verzekerde, alvorens akkoord te gaan met betaling, al het redelijke heeft gedaan om vast te stellen dat de bedreiging reëel is. Ook dient verzekerde ervoor te zorgen dat ten minste één van haar statutaire bestuurders heeft ingestemd met betaling van het losgeld.”4

“Deze verzekering vergoedt (voor zover wettelijk toegestaan) het losgeld […] indien de verzekerde aantoont dat het dreigement geloofwaardig was, schade aan de verzekerde kon toebrengen en het technologisch mogelijk was op het moment dat het dreigement werd geuit.”5

Voorstelbaar is dat de verzekerde minimaal zal moeten aantonen dat er verdachte activiteit op haar netwerk heeft plaatsgevonden. Hoe verzekeraars zullen beoordelen dat de dreiging voldoende realiteitsgehalte heeft, zal bij gebrek aan jurisprudentie echter moeten worden afgewacht.

Naast het vereiste dat de dreiging geloofwaardig is, vereist een aantal verzekeraars geheimhouding van de dekking voor cyberafpersing6 en/of verplichte melding aan en samenwerking met de politie of autoriteiten.7 Een aantal verzekeraars hanteert, net als bij de dekking voor de AVG-boete, een voorbehoud dat losgeld wordt gedekt, voor zover dat wettelijk is toegestaan.8 In een aantal gevallen is voor dekking van losgeld voorafgaande toestemming van de verzekeraar vereist.9 Dit terwijl de verzekeraar slechts terugbetaalt; de verzekerde betaalt het losgeld eerst zelf.

Specifiek voor cyberafpersing is in de meeste cyberverzekeringen bepaald dat onder ‘geld’ ook bitcoins of een andere cryptocurrency wordt verstaan.10 Deze bepaling voorkomt de nodige eventuele discussies en is dus, met name voor verzekerden, een zinvolle toevoeging.

Deze functie is alleen te gebruiken als je bent ingelogd.