Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/IV.3.3
IV.3.3 Zorgvuldigheidsnormen in polisvoorwaarden
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278793:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Discussies over de kwalificaties van dergelijke bepalingen (preventieve garantieclausules of primaire dekkingsomschrijvingen) en de gevolgen daarvan vallen buiten het bestek van dit hoofdstuk.
Deze gedragsnorm is ook terug te vinden in een aantal traditionele verzekeringen van deze verzekeraar, zoals de Bedrijfsmiddelenverzekering Brand en Bedrijfsschade.
Een duidelijke correlatie tussen het handelen als verantwoord ondernemer en het gebruik van het softwarepakket volgt overigens niet zonder meer uit deze voorwaarden.
Met uitzondering van een verzekeraar, die een lijst van relatief concrete preventieafspraken in de polisvoorwaarden heeft opgenomen.
Ik realiseer mij dat over de term ‘redelijke voorzorgsmaatregelen’ en de daarbij te hanteren schuldgradatie discussie mogelijk is, net als bij de term ‘normale voorzichtigheid’ (vgl. bijv. in het kader van consumentenverzekeringen M.L. Hendrikse, Eigen schuld, bereddingsplicht en medewerkingsplicht in het schadeverzekeringsrecht, Deventer: Kluwer 2002, §3.4.2). Zie anders: Van Tiggele-Van der Velde 2008 (diss.), p. 301. Een uitgebreide discussie op dit punt valt echter buiten het bestek van dit hoofdstuk. Duidelijk is wel dat cyberverzekeraars de eigen zorgvuldigheidsverplichting van de verzekerde expliciet hebben opgenomen en derhalve niet lijken te willen terugvallen op het wettelijk schuldcriterium van artikel 7:952 BW.
Deze factoren zijn ook terug te zien in de jurisprudentie over ‘normale voorzichtigheid’ die van verzekerden wordt verlangd, zie bijvoorbeeld ECLI:NL:RBROT:2018:7923, ECLI:NL:RBARN:2012:BV3840, ECLI:NL:GHSHE:2012:BY6963, ECLI:NL:RBROT:2013:BY8745, ECLI:NL:RBALK:2004:AP7366.
Vgl. E. de Jong, ‘Voorzorgverplichtingen’, AV&S 2016/47, p. 244-248.
In de polisvoorwaarden van verschillende cyberverzekeringen zijn de verplichtingen van de verzekerde op algemene(re) wijze opgenomen.1 Zo biedt een van de verzekeraars geen dekking indien de schade is veroorzaakt doordat de verzekerde (n)iets doet, terwijl hij behoort te weten dat de kans op schade groot is, dan wel doordat de verzekerde “te weinig” heeft gedaan om schade te voorkomen, terwijl het “algemeen bekend is dat dat te weinig is” en hij had moeten weten dat de kans op schade groot is.2 Naast deze algemene bepaling maakt deze verzekeraar het iets concreter door uitdrukkelijk op te nemen dat geen dekking wordt verleend als de voorgeschreven preventieve maatregelen (wachtwoordenbeleid, firewall, antivirus en wekelijkse back-ups) niet zijn genomen.
Een andere polis noemt niet méér dan de verplichting om zich “als verantwoord ondernemer” te gedragen, en schrijft een bepaald softwarepakket voor,3 terwijl een andere verzekeraar van haar verzekerde verlangt dat zij zich “naar redelijkheid” zal inspannen om de IT-beveiligingsmaatregelen, passend bij de aard en omvang van de activiteiten, up to date te houden. Ook komt voor de verplichting van verzekerde om “redelijke voorzorgsmaatregelen te treffen om aansprakelijkheid op grond van de polis te voorkomen, verminderen of beëindigen.” Een enkeling hanteert een vergelijkbare maatstaf van “redelijke voorzorgsmaatregelen”, maar koppelt dit aan de omvang en complexiteit van de verzekerde en de middelen die haar ter beschikking staan. Daarnaast is soms een verwijzing naar de AVG terug te zien:4 onder redelijke voorzorgsmaatregelen “[…] vallen in ieder geval het nemen van passende technische en organisatorische maatregelen […].” Ook deze verzekeraar verwijst overigens naar de door haar gestelde, maar niet nader omschreven preventie-eisen. Zij doet dat echter niet expliciet in de polisvoorwaarden, maar in de Verzekeringskaart.
Waar de cyberverzekeraars in de aanvraagfase relatief concrete eisen en vragen stellen, gebruiken zij in de polisvoorwaarden zelf open normen5 die qua schuldgradatie lager liggen dan het wettelijk criterium van opzet of roekeloosheid.6 Naast de in de acceptatie gevraagde maatregelen verwachten verzekeraars blijkens de polisvoorwaarden ook gedurende de looptijd van de verzekering nog het nodige van hun verzekerden. Gelet op het feit dat cybersecurity een continu proces is en niet enkel een momentopname, past dat bij de aard van het verzekerde risico.
Gezien de snelheid waarmee de techniek zich ontwikkelt, is het gebruik van open normen begrijpelijk. Een technische eis van vandaag is morgen alweer achterhaald. Een open, technologie-neutrale norm is wat dat betreft toekomstbestendig. Wat een ‘redelijke voorzorgmaatregel’ is of wanneer een verzekerde zich ‘naar redelijkheid’ heeft ingespannen, zal – ook als dit niet expliciet in de polisvoorwaarden is benoemd – afhangen van de specifieke omstandigheden van het geval, zoals de omvang en expertise van de verzekerde organisatie, de mate waarin het bedrijf risico loopt, de kosten en bezwaarlijkheid om maatregelen te treffen.7 Van een gespecialiseerd bedrijf mag eerder worden verwacht dat hij op het kennisniveau van een ‘expert of the field’ zit dan van een klein schildersbedrijf of een horecaondernemer.8 Daarnaast mag van een bedrijf dat enorme hoeveelheden gevoelige data verwerkt of een kritieke digitale infrastructuur in stand moet houden, ook meer worden verwacht dan van een onderneming met enkel een digitaal klantenbestand.