Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.8.4
III.3.8.4 Uitlegvragen: de hypothetische situatie
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278928:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Van Tiggele-Van der Velde 2008 en Rb. Utrecht 8 oktober 2008, ECLI:NL:RBUTRE:2008:BF7445.
W. Driehuis, ‘Marktsimulatie en het begroten van bedrijfsschade’, MvV 2018, 6, p. 202-211. Zie ook van dezelfde auteur ‘Het gebruik van referentieperioden bij de schatting van bedrijfsschade’, MvV 2014, 10, p. 270-277 en Joling 2007.
Zie bijvoorbeeld ook de toelichting bij de Nederlandse Beurs Bedrijfsschadepolis – Uitgebreide gevaren (NBBU) 2002: “Uitgangspunt is dus: wat zou het financiële resultaat van de bedrijfsactiviteiten zijn geweest als het bedrijf niet door een gedekt gevaar was getroffen.” (p. 2).
Vgl. Joling 2007.
Vgl. bijvoorbeeld de Nederlandse Beursvoorwaarden voor Zaak- en Bedrijfsschadeverzekering (NBZB 2006).
Allianz en Hiscox.
Hiscox. Vgl. ook Allianz, Chubb en AIG.
Allianz.
Finger Furniture Co. V. Commonwealth Insurance Co., 404 F.3d 312 (5th Cir. 2005); Rimkus Consulting Group Inc. v. Hartford Cas. Insurance Co., 552 F. Supp. 2d 637 (S.D. Texas 2007); Stamen v. Cigna Property & Casualty Insurance Co., US Dist. Lexis 21905 (S.D. Florida 1994); American Automobile Insurance Co. v. Fisherman’s Paradise Boats Inc. WL 1720238 (S.D. Florida 1994); Catlin Syndicate Ltd. V. Imperial Palace of Mississippi Inc., 600 F.3d 511 (5th Cir. 2010); Consolidated Companies Inc. v. Lexington Insurance Co., 616 F.3d 422 (5th Cir. 2010); Levitz Furniture Corp. v. Houston Casualty Co., U.S. Dist. Lexis 5883 (E.D. La 1997); Berk-Cohen Assocs. LLC v. Landmark American Insurance Co., U.S. Dist. Lexis 77300 (E.D. La 2009).
Dit in tegenstelling tot het begrip ‘cyberincident’ zoals door mij uitgewerkt in §3.2.
De bewijslast voor het bestaan en de omvang van (schade door) bedrijfsstilstand rust op de verzekerde.1 Net als bij traditionele bedrijfsschadeverzekeringen is het de vraag hoe de omvang van de bedrijfsschade uiteindelijk kan worden aangetoond. Voor het begroten van bedrijfsschade dient de marktsituatie te worden nagebootst waarin het verzekerde bedrijf zich zou hebben bevonden in het hypothetische geval dat het cyberincident niet had plaatsgevonden.2 Het probleem daarmee is dat de invloed van het daadwerkelijk schadetoebrengende feit moeilijk is te isoleren binnen de vele factoren die eveneens van invloed kunnen zijn (geweest) op de winst van de onderneming. Hoe die andere factoren zich zouden hebben ontwikkeld, is bovendien moeilijk te voorspellen. Dergelijke factoren staan niet in causaal verband met het verzekerde evenement; de verzekeraar hoeft voor de gevolgen daarvan dan ook niet op te komen.
Het uitgangspunt bij de berekening van bedrijfsschade is dat de werkelijk geleden schade wordt vergoed.3 Daarbij past dat wordt onderzocht welke winst de verzekerde zou hebben gemaakt indien het verzekerde evenement zich niet had voorgedaan. Bij dat onderzoek worden dan bijvoorbeeld ook algemene invloeden op de markt meegenomen, zoals onvoorziene weersomstandigheden, onverwachte politieke ontwikkelingen of schommelende valutakoersen.4 Dit is bij berekeningen van bedrijfsschade door traditionele oorzaken zoals brand niet anders dan bij bedrijfsschade door cyberincidenten.
In traditionele verzekeringen is de wijze waarop de bedrijfsschade zal worden begroot in de regel summier beschreven: er wordt een expert aangesteld en de verzekerde is verplicht mee te werken.5 In de cyberverzekering hebben meerdere verzekeraars op dit punt gedetailleerde voorschriften opgenomen, bijvoorbeeld dat de verzekerde moet kunnen aantonen welke winst hij heeft gemaakt over de 36 maanden voorafgaand aan het incident.6
In verschillende cyberverzekeringen is hiertoe een expliciete clausule opgenomen, zoals:
“Verzekerde moet kunnen aantonen wat haar gemiddelde brutowinst was in de voorafgaande 3 boekjaren. Ten behoeve van de berekening van de vermindering van brutowinst zullen alle factoren worden gewogen die de brutowinst van verzekerde in gunstige of ongunstige zin zouden hebben beïnvloed, indien de bedrijfsonderbreking of ernstige belemmering zich niet had voorgedaan.”7
of
“Om de netto operationele winst te kunnen bepalen die gedurende de Schadevergoedingstermijn behaald zou zijn als de Bedrijfsstoring niet was opgetreden, worden de inkomsten van het Onderneming gedurende de 36 maanden voorafgaand aan de niet-beschikbaarheid in aanmerking genomen, alsook de relevante trends en zakelijke ontwikkelingen die van invloed zouden zijn geweest op de netto operationele winst van de Onderneming als het Bedrijfscomputersysteem wel beschikbaar was geweest.”8
Een dergelijke bepaling roept in de context van cyberincidenten vragen op. Anders dan bij min of meer geïsoleerde schadegevallen zoals brand, kan het bij cyberincidenten zeer wel voorkomen dat niet alleen de verzekerde is getroffen, maar ook haar concurrenten, afnemers of de markt/economie in het algemeen. Dat maakt het lastig om te berekenen hoe het getroffen bedrijf zich economisch zou hebben ontwikkeld in het hypothetische geval dat de bedrijfsonderbreking als gevolg van het cyberincident zich niet had voorgedaan, dan wel dat het computersysteem beschikbaar was geweest. De verzekerde kan daarbij worden geconfronteerd met een grote omzetdaling (‘windfall losses’), of kan juist profiteren van een explosieve omzetstijging (‘windfall profits’).
Dit soort wijdverspreide schades doen zich ook voor bij grote natuurrampen zoals aardbevingen of orkanen. In de Verenigde Staten is regelmatig geprocedeerd over de vraag of deze grotere impact van de schadeveroorzakende gebeurtenis, vaak een orkaan, bij de berekening van bedrijfsschade moet worden meegenomen.9 Dit blijken netelige discussies, waarvan de uitkomst uiteraard ook afhangt van de exacte bewoordingen in de polis. Een duidelijke lijn is in die rechtspraak niet te ontdekken.
Een tweetal voorbeelden maakt duidelijk dat en waarom een verschillende uitleg van de bovengenoemde clausule tot zeer verschillende gevolgen kan leiden. Om verwarring over de hierna gebruikte terminologie te voorkomen, merk ik op dat ik specifiek voor de hierna volgende voorbeelden het begrip ‘cyberincident’ gebruik om het incident te duiden waardoor niet alleen de verzekerde, maar ook de rest van de markt is getroffen. Het verzekerde evenement als gevolg van het cyberincident duid ik aan met ‘bedrijfsonderbreking’.10
Voorbeeld 1: windfall profits
Webwinkels A, B en C zijn elkaars concurrenten. Door een grootschalig cyberincident vallen zij alle drie geruime tijd stil. Met behulp van de incident-responsediensten van zijn cyberverzekeraar is webwinkel A echter als eerste weer operationeel. Als gevolg van die marktpositie bemerkt A een explosieve stijging van de omzet.
Bij de berekening van de bedrijfsschade voor de tijd dat A was gestagneerd, voert A aan dat haar omzet ook zodanig zou zijn toegenomen indien de bedrijfsonderbreking niet had plaatsgevonden. A voert aan dat B en C ook in dat geval waren stilgevallen en dat de vraag dus ook dan was gestegen. De cyberverzekeraar van A stelt zich echter op het standpunt dat deze omzetstijging niet kan worden meegenomen bij de berekening van de schade, omdat dit A in een duidelijk voordeliger positie zou plaatsen, terwijl het feit dat A als eerste weer operationeel was ook reeds op kosten van de verzekeraar is gerealiseerd.
Voorbeeld 2: windfall loss
Webwinkel A wordt getroffen door een grootschalig cyberincident. Het incident is zodanig dat niet alleen A niet operationeel is, maar ook de afnemers van A geruime tijd niet in staat zijn om online bestellingen te plaatsen vanwege problemen met hun eigen systemen. A is met behulp van de incident-responsediensten van zijn cyberverzekeraar weer redelijk snel operationeel, maar wordt geconfronteerd met een sterke daling van zijn omzet, omdat de afnemers nog altijd niet kunnen bestellen.
A stelt dat deze verandering in de markt niet bij de berekening van de bedrijfsschadevergoeding moet worden meegenomen en dat enkel moet worden gekeken naar de cijfers voorafgaand aan de cyberaanval. De cyberverzekeraar stelt zich echter op het standpunt dat in het hypothetische geval dat de bedrijfsonderbreking zich niet bij A zou hebben voorgedaan, A ook zou zijn geconfronteerd met een afgenomen omzet, omdat de afnemers ook in dat geval niet konden bestellen. Van schade is dan geen sprake. De verzekeraar neemt de verandering in de markt als gevolg van de onderliggende schadeveroorzakende gebeurtenis dus wel mee bij de schadeberekening.
In voorbeeld 1 heeft de verzekerde een duidelijk voordeel indien de verandering in de markt als gevolg van het cyberincident (de onderliggende schadeveroorzakende gebeurtenis waardoor de bedrijfsonderbreking is ontstaan) wel wordt meegenomen bij de bedrijfsschadeberekening. In voorbeeld 2 heeft de verzekerde daarbij echter een duidelijk nadeel.
De bewoordingen in de cyberverzekering geven geen uitsluitsel over de juiste benadering. Gezien de gebruikte formulering wordt voor de hypothetische situatie de bedrijfsonderbreking weggedacht en niet het onderliggende cyberincident zelf. Dit terwijl ditzelfde onderliggende cyberincident dus ook op andere manieren invloed heeft op de winst van verzekerde.
Een dergelijke benadering past bij een traditionele bedrijfsschadeverzekering, maar gelet op de aard van cyberrisico’s minder goed bij een cyberverzekering. Bij traditionele risico’s doet de schade zich meestal geïsoleerd voor, terwijl de schade zich bij cyberrisico’s zeer wijd kan verspreiden. Een oplossing zou kunnen zijn dat voor het bepalen van de hypothetische situatie niet de bedrijfsonderbreking wordt weggedacht, maar het gehele cyberincident. Op die manier worden eventuele windfalls – zowel in de positieve als in de negatieve zin – uitgesloten. Dit brengt de belangen van de verzekeraar en verzekerde beter in balans. Externe factoren die de markt hoe dan ook hadden beïnvloed, kunnen dan wel worden meegenomen; de cyberverzekering is immers niet bedoeld om dat soort schade en verliezen te ondervangen.
Het kan uiteraard voorkomen dat de markt dusdanig is verstoord dat de verzekerde ook na afloop van de schadevergoedingsperiode profiteert van zijn snelle recuperatie. Kan de verzekeraar deze extra winst dan alsnog in mindering brengen op de uitkering, bijvoorbeeld met een (analoog) beroep op voordeelstoerekening (artikel 6:100 BW), het indemniteitsbeginsel (artikel 7:960 BW), of de beperkende werking van de redelijkheid en billijkheid (artikel 6:248 lid 2 BW)?
Naar mijn overtuiging kan de verzekeraar dat niet. In het omgekeerde geval, waarin de verzekerde ook na de schadevergoedingsperiode wordt geconfronteerd met lagere winsten vanwege een (door het cyberincident) veranderde markt, zal de verzekeraar evenmin een nabetaling hoeven te doen. Dit is het ondernemersrisico van de verzekerde. Profiteert de verzekerde, dan is dat mijns inziens een kwestie van ondernemersgeluk.