IV.3.4 Contouren van de algemene zorgplicht van de verzekerde; taak voor de verzekeraar

Hoewel de invulling van redelijke voorzorgsmaatregelen van geval tot geval kan verschillen, is mede gezien de acceptatieformulieren toch een aantal maatregelen te duiden die – zij het voorzichtig en de bovenstaande nuances in acht nemend – als algemeen bekend en haalbaar (en dus als redelijk) kunnen worden aangewezen.

De wijze waarop verzekeraars op dit moment blijkens hun acceptatie- en aanvraagformulieren richting geven aan hun verwachting van de behoorlijke en zorgvuldige verzekerde, correspondeert in grote lijnen met de feitelijke situatie zoals die volgt uit de cijfers van het CBS. Uit de CSM 2018 blijkt bijvoorbeeld dat 87% van de bedrijven in 2017 antivirussoftware gebruikte. Meer dan de helft van de bedrijven heeft een beleid voor sterke wachtwoorden en bewaart gegevens op een andere fysieke locatie.1 Ook gebruikt de meerderheid van de middelgrote en grote bedrijven een automatisch of handmatig security update-beleid voor beveiligingssoftware en operationele software.2

Daar staat tegenover dat bijvoorbeeld het gebruik van data-encryptie (waar de meerderheid van de verzekeraars naar vraagt), logging en risicoanalyses slechts door een minderheid van de bedrijven wordt toegepast. Opvallend is verder dat het hebben van herstelprocedures in het geheel niet voorkomt op de lijst van de CSM 2018, terwijl wel alle verzekeraars daarnaar vragen. Belangrijk punt is de grote rol van de externe ICT-leverancier bij de organisatie van digitale beveiliging van organisaties, zeker bij middelgrote bedrijven. Bijna 70% van de bedrijven die werk maken van beveiliging, besteedt dit uit aan een ICT-leverancier.3

Bovengenoemde indicaties schetsen de contouren van de eigen verantwoordelijkheid van de verzekerde. Door de algemeen geformuleerde zorgvuldigheidsnormen en de onbepaaldheid en ogenschijnlijke willekeur van de concreet gestelde eisen blijft echter de nodige onduidelijkheid bestaan. Cyberverzekeraars zouden daarin verandering kunnen aanbrengen door open normen meer te concretiseren en door processen meer te harmoniseren.

Hoewel het gebruik van open normen vanuit het perspectief van de verzekeraar verklaarbaar is, leidt dit tot een gebrek aan transparantie over de dekking. Dit terwijl de verzekeraar, zeker ten opzichte van het MKB, een kennisvoorsprong heeft op haar verzekerden. De sociale functie van verzekeringen vraagt om een actief handelen van de verzekeraar om de verzekerde te beschermen.4 Waar open normen onduidelijkheid creëren, dient de verzekeraar zich er dan ook voor in te spannen om de verzekerde bij de hand te nemen en aan die normen meer gestalte te geven.

Een manier waarop cyberverzekeraars dat zouden kunnen doen, is door actief kennis te delen, bijvoorbeeld door het aanbieden van preventieve diensten en het verzorgen van voorlichtingsbijeenkomsten over de omgang met cyberrisico’s. Daarnaast zouden de open voorzorgverplichtingen nader kunnen worden uitgewerkt. Indien de techniek te snel verandert om deze maatregelen in polisvoorwaarden te verankeren, zou gewerkt kunnen worden met bijvoorbeeld een bijlage bij de polis waarin technische en organisatorische maatregelen worden gespecificeerd.5 De in de acceptatiefase gestelde vragen en/of eisen kunnen daaraan dan bovendien explicieter worden gekoppeld als minimum beveiligingsvereisten. Een dergelijke lijst kan jaarlijks worden geëvalueerd en waar nodig worden herzien. Daarmee schept de cyberverzekeraar een duidelijker kader over de dekking. Gezien de professionaliteit van de verzekeraar en de daaraan verbonden ‘gidsfunctie’,6 mag dat gelet op de zorgplicht van een prudent verzekeraar ook worden verwacht.7

Bovendien zouden verzekeraars op een grondiger manier kunnen bijdragen aan een meer gestructureerd en overzichtelijk landschap door hun risk assessment en underwriting-processen meer te harmoniseren. Een geharmoniseerd underwriting-proces kan een gemeenschappelijke basis voor cyberverzekeringen creëren.8 De ISO27000-normen kunnen hiervoor een uitgangspositie bieden. Hoewel deze normen geen concrete beveiligingsmaatregelen voorschrijven, vormen zij wel een allesomvattend kader waarbinnen concrete voorschriften kunnen worden geformuleerd (ICT-technisch, ICT-organisatorisch en bewustwording). Een geharmoniseerde methode past bovendien bij de aard van cyberrisico’s, die veelomvattend is en samenwerking vereist tussen verschillende partijen en disciplines. Een dergelijke aanpak schept helderheid over de wijze waarop een behoorlijke en zorgvuldige verzekerde zich dient te gedragen.