Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.2.3
III.3.2.3 Netwerkincidenten: definities
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278870:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Bijv. AIG, Amlin, CNA en CB.
HDI biedt hiervoor een optionele dekking onder ‘herstelkosten’. Ook bij AIG kan de dekking voor incident response hiermee worden uitgebreid. Bij de meeste verzekeraars worden schadeoorzaken zoals stroomuitval (onder specifieke voorwaarden) ingesloten bij bedrijfsschade (zie ook paragraaf 3.7 en 3.8).
Chubb.
Definitie ‘zaakschade’ bij Chubb: “Zaakschade betekent beschadiging, verlies of vernietiging van tastbare zaken, inclusief het verlies van gebruik daarvan. Onder zaakschade wordt niet verstaan een beschadiging, verlies, vernietiging of verlies van gebruik van data.” (Veel) eerder toonde Wansink zich kritisch over deze interpretatie van zaakschade, zie Wansink 2006, p. 49 e.v.
Het is geen gegeven dat er in deze gevallen wel dekking zou zijn op een traditionele propertyverzekering. Traditionele verzekeringen en cyberverzekeringen sluiten op veel punten onvoldoende bij elkaar aan. Een voorbeeld waarin de traditionele propertyverzekeraar wel dekking moest verlenen is een recente zaak uit de Verenigde Staten National Ink and Stich v. State Auto Property and Casualty Insurance Co, no. 18-cv-2138, District Court Maryland, 23 januari 2020.
AIG. Overigens is m.i. de term ‘fout’ niet zuiver om te gebruiken bij een Ddos-aanval. Een Ddos-aanval heeft immers weinig met een ‘fout’ van het getroffen bedrijf te maken.
Allianz.
Met clouddiensten staat de software en data van het bedrijf op de servers van externe dienstverleners.
Achmea heeft dit niet in de definitie opgenomen. Hiscox heeft geen definitie voor computersysteem.
AIG en Amlin.
Zie bijvoorbeeld ENISA, Commonality of risk assessment language in cyber insurance – Recommendations on Cyber Insurance, november 2017; OECD, Enhancing the Role of Cyber Insurance in Cyber Risk Management, Parijs: OECD Publishing 2017, p. 126 en 136; M. Eling, M. Schnell e.a., Ten Key Questions on Cyber Risk and Cyber Risk Insurance, Zurich: The Geneva Association 2016, p. 33
Net als de definitie van privacy-incident, verschilt de definitie van netwerkincident (ook wel aangeduid als ‘beveiligingsfout’) per verzekeraar. In grote lijnen verstaan verzekeraars onder netwerkincident een inbreuk op of het binnendringen van het computersysteem van de verzekerde als gevolg van falende beveiliging, bijvoorbeeld doordat de verzekerde een fout maakt bij het onderhouden of installeren van het computersysteem. Een aantal verzekeraars biedt ook dekking indien niet de verzekerde zelf, maar een gecontracteerde IT-dienstverlener de fout beging.1
Ook oorzaken zoals virussen, malware, (D)Dos-aanvallen, cryptoware, wormen, trojans of ransomware, kunnen ten grondslag liggen aan een falende beveiliging. Oorzaken zoals stroomuitval of fouten in software worden vrijwel altijd uitgesloten van de definitie van netwerk-/beveiligingsincidenten.2
Bij de meeste verzekeraars is de enkele ongeoorloofde toegang tot het computersysteem al voldoende om te spreken van een verzekerd netwerkincident. De meeste verzekeraars noemen daarnaast expliciet de gevolgen van het binnendringen, zoals verstoring van het systeem, beschadiging of vernietiging van data (zijnde niet louter persoonsgegevens) of verhindering van de toegang tot het systeem.
Een enkele verzekeraar stelt een aanvullende eis:
“[…] een kwaadaardige handeling begaan tegen een verzekerd computersysteem, of kwaadaardige toegang tot of het hacken van een verzekerd computersysteem, met het oogmerk om data of diensten van verzekerde te creëren, verwijderen, wegnemen, verzamelen, wijzigen of vernietigen, zonder zaakschade aan een verzekerd computersysteem, […].”3 (onderstrepingen NMB)
Dergelijke bepalingen bevatten venijnige details: aan deze vereisten zal niet altijd worden voldaan: ernstige cyberaanvallen kunnen zeer wel zaakschade veroorzaken aan computersystemen, zeker als ‘zaakschade’ mede omvat het verlies van het gebruik van die systemen.4 Gezien de opzet en context van de cyberverzekering lijkt het niet de bedoeling dat in die gevallen geen sprake zou zijn van een verzekerd voorval. Dat standpunt zou, afgaande op deze definitie, wel ingenomen kunnen worden.5 Daarnaast zorgt het oogmerk-vereiste voor een zwaardere (bewijs)positie voor de verzekerde (zie ook hierna in §3.3.2).
Een ander voorbeeld van een potentieel venijnig detail is de bepaling dat onder een beveiligingsfout “minimaal wordt verstaan” een DDos-aanval of de ontvangst of verzending van een kwaadaardige computercode/software, malware of virus.6 Dit beperkt het toepassingsbereik van een beveiligingsfout. De situatie dat een onbevoegd persoon zich toegang verschaft tot de systemen van verzekerde, al dan niet door gebruik van onrechtmatig verkregen geautoriseerde toegangsgegevens, daarin schade aanricht door bijvoorbeeld gegevens te vernietigen of processen te wijzigen, voldoet niet aan de gegeven definitie van beveiligingsincident. Bij andere verzekeringen is dit juist expliciet in de dekkingsomschrijving opgenomen: “… waaronder situaties waarbij toegang is verkregen door middel van gestolen gebruikersgegevens.”7
In de context van beveiligingsincidenten is tot slot de definitie van het begrip ‘computersysteem’ van belang, zeker nu veel bedrijven veelvuldig gebruik maken van clouddiensten.8 Bij de meerderheid van de cyberverzekeraars vallen systemen die door externe dienstverleners aan de verzekerde beschikbaar worden gesteld, ook onder de definitie van het begrip computersysteem.9 Slechts twee verzekeraars benoemen expliciet dat eigen apparaten van medewerkers (‘bring your own device’) ook tot het computersysteem van verzekerde worden gerekend.10
Het vaststellen van het precieze verzekerde evenement onder de cyberverzekering vereist een zeer gedetailleerde lezing van de polisvoorwaarden. Kleine verschillen in de definiëring van begrippen kunnen grote gevolgen hebben voor de reikwijdte van de verzekering. Dit leidt tot onzekerheid. Niet voor niets is dan ook de herhaaldelijke oproep gedaan om begrippen en voorwaarden te harmoniseren.11