Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/V.6
V.6 Terrorisme in de cyberverzekering
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278816:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Ook op dit punt is al een praktijkvoorbeeld beschikbaar: in de zaak Merck werd dekking geweigerd op grond van de terrorisme-uitsluiting (zie ook paragraaf 1).
Allen, behalve Allianz.
Allianz.
AIG, Chubb en HDI.
AIG en Chubb. Zie ook Avéro. HDI vormt op dit punt een uitzondering door wel een klassieke molestclausule te hanteren, maar af te wijken op het punt van terrorisme.
AIG.
AIG, Chubb en HDI.
AIG, Chubb, HDI en XL Catlin. In de literatuur wordt dit verklaard als een gevolg van vereisten onder de Amerikaanse Terrorism Risk Insurance Act (TRIA), die sinds 2016 ook cyberrisico’s omvat. Zie D.W. Woods & J. Weinkle, ‘Market Definitions of Cyber War’ (working paper), 30 september 2019, p. 8, te raadplegen via SSRN: https://ssrn.com/abstract=3464218; A. Lubin, ‘The Insurability of Cyber Risk’, 12 september 2019, p. 45 en 49, te raadplegen via SSRN: https://ssrn.com/abstract=3452833; J. Jimeno Muñoz, ‘Cyber Risks: Liability and Insurance. The extraordinary risks in a hyperconnectivity world’, InDret Review on the Analysis of Law, 2019/2.19, p. 19.
AIG.
HDI. Vergelijk ook, zij het op andere wijze ingestoken, Zurich.
Chubb. Ook XL Catlin lijkt dit ideologische doeleinde niet als strikt vereiste te hebben opgenomen.
Nationaal Coördinator Terrorismebestrijding en Veiligheid, Cybersecuritybeeld Nederland 2019, Den Haag 2019, p. 15. Zie ook ENISA Threat Landscape Report 2018, januari 2019, p. 122.
Ponemon Institute, Study on Global Megatrends in Cybersecurity 2018, p. 8, https://www.raytheon.com/sites/default/files/2018-02/2018_Global_Cyber_Megatrends.pdf, laatst bezocht op 20 mei 2020.
De problemen met de kwalificatie van cyberaanvallen doen zich ook voor bij terrorisme.1 Met name het vraagstuk van de dader en de mate van organisatie daarvan, maakt dat er in een digitale context slechts een dunne scheidslijn bestaat tussen molest en terrorisme. In deze paragraaf geef ik een overzicht van de terrorismeclausules in Nederlandse cyberverzekeringen. In paragraaf 7 duid ik de knelpunten daarvan.
Elk van de huidige cyberverzekeraars in Nederland is aangesloten bij de NHT. De meerderheid van hen verwijst in de polisvoorwaarden naar de NHT.2 De formulering is overigens overwegend negatief: dekking voor terrorisme is uitgesloten, tenzij dekking wordt verleend binnen de werking van de NHT. Net als bij molest valt bij terrorisme op dat een enkeling daar in het geheel niets over heeft opgenomen3 en dat een aantal verzekeraars een afwijkende clausule hanteert.4
Deze afwijkende clausules zijn veelal te vinden in de polisvoorwaarden van verzekeraars die gebruikmaken van het Anglo-Amerikaanse model.5 Zij sluiten schade als gevolg van terrorisme geheel uit in de oorlogsclausule.6 Op die uitsluiting wordt vervolgens een uitzondering gemaakt voor ‘cyberterrorisme’. Ook een aantal verzekeraars dat wel naar de NHT verwijst, hanteert overigens deze uitzondering.7
De systematiek is daarbij veelal: schade door terrorisme vergoeden wij niet, maar deze wordt afgehandeld via de NHT. Deze uitsluiting geldt niet voor schade door cyberterrorisme.8 Daarmee is schade als gevolg van cyberterrorisme, in tegenstelling tot schade als gevolg van ‘klassiek’ terrorisme, dus gedekt.
Het begrip ‘cyberterrorisme’ wordt door de verschillende verzekeraars wisselend gedefinieerd. Een voorbeeld is het opzettelijk gebruik van ontwrichtende activiteiten tegen het computersysteem van een verzekerde, of de expliciete dreiging om dergelijke activiteiten te ondernemen, met de bedoeling schade toe te brengen en sociale, ideologische, religieuze, politieke of soortgelijke doelstellingen te bevorderen, of personen te intimideren ter bevordering van dergelijke doelstellingen.9 Activiteiten die deel uitmaken of ter ondersteuning dienen van militaire acties, oorlogsoperaties of vergelijkbare operaties, worden expliciet buiten de definitie van terrorisme gehouden.
Een enkele verzekeraar houdt het beknopt en merkt als cyberterrorisme aan iedere daad van terrorisme zoals gedefinieerd door de NHT, gericht op de IT-infrastructuur.10 Ook uitgebreidere clausules komen voor, bijvoorbeeld de clausule waarin ook handelingen met als doel afpersing van een overheid of het verstoren van een deel van de economie als terrorisme wordt aangemerkt (kennelijk ook zonder ideologisch oogmerk).11 Het is interessant dat daarbij als mogelijke dader een individu of groep wordt aangewezen die namens of in verband met een regering handelt. Daarin is de betrokkenheid van statelijke actoren te zien, die in klassieke situaties eerder bij molest wordt vereist.
Door cyberterrorisme specifiek in de polis op te nemen als uitzondering op het niet of beperkt gedekte terrorismerisico, zijn cyberverzekeraars kennelijk bereid om die risico’s zelf te dragen. Daaruit kan worden afgeleid dat de inschatting van verzekeraars is dat de schade als gevolg van cyberterrorisme, overzichtelijk zal zijn. Hoewel daarin een parallel is te ontdekken met hoe men in het pre-9/11 tijdperk tegen terrorismerisico’s aankeek, strookt deze inschatting in ieder geval met de huidige cijfers. De digitale dreiging vanuit terroristen is al enkele jaren laag,12 al is de verwachting dat deze de komende jaren zal stijgen.13