Einde inhoudsopgave
De cyberverzekering vanuit civielrechtelijk perspectief (O&R nr. 129) 2021/III.3.5
III.3.5 Reputatieschade
mr. N.M. Brouwer, datum 01-06-2021
- Datum
01-06-2021
- Auteur
mr. N.M. Brouwer
- JCDI
JCDI:ADS278904:1
- Vakgebied(en)
Informatierecht / ICT
Verzekeringsrecht / Schadeverzekering
Voetnoten
Voetnoten
Zie bijv. G. Sinanaj & J. Muntermann, ‘Assessing Corporate Reputational Damage of Data Breaches: An Empirical Analyses’, Bled 2013 Proceedings, 2013/6, p. 78-89.
B. Nieuwesteeg & M. Faure, ‘An Analysis of the Effectiveness of the EU Data Breach Notification Law,’ Computer Law & Security Review 2018/34-6; F. Bisogni, H. Asghari & M.J.G. van Eeten, ‘Estimating the size of the iceberg from its tip. An investigation into unreported data breach notifications’, Proceedings of 16th Annual Workshop on the Economics of Information Security 2017.
Uitzondering lijkt te zijn Liberty, die onder strikte voorwaarden ook omzetderving vergoedt.
HDI artikel 3.4.1 resp. AIG, Allianz, Amlin, Chubb, CNA, Hiscox en XL Catlin. Ook Centraal Beheer, Avéro en Interpolis maximeren de termijn, maar doen dat in een op het polisblad opgenomen termijn (dus niet in de voorwaarden).
Centraal Beheer.
Chubb.
Avéro, AIG, Allianz, Amlin, Chubb, CNA, HDI, Hiscox, XL Catlin.
Avéro resp. Amlin met daarbij een verschillend aanvangsmoment: het moment van melding bij de verzekeraar resp. het moment van melding aan de toezichthouder/betrokkenen.
Hiscox artikel 2.1.2 lid 2.
Niet expliciet: Centraal Beheer, Interpolis, Avéro.
Zie bijvoorbeeld de uitleg van de Amerikaanse krediet- en identiteitsmonitor LifeLock: https://www.lifelock.com/learn-identity-theft-resources-identity-theft-protection-vs-credit-monitoring.html. In hoeverre dergelijke diensten in Nederland gebruikelijk zijn en veelvuldig worden aangeboden, is mij niet bekend.
Zie hierover uitgebreider hoofdstuk II.
HDI 3.5.
Bijvoorbeeld Connecticut en Delaware, zie ook hoofdstuk II.3.4.
Het dekkingsgebied kan hierbij een rol spelen, bijvoorbeeld indien de verzekerde op grond van buitenlandse wet- en regelgeving gehouden is om deze diensten te verrichten. De meeste cyberverzekeraars bieden werelddekking, met uitzondering van de Verenigde Staten en Canada.
Amlin en Hiscox.
Een privacy- of netwerkincident kan tot reputatieschade leiden.1 Cyberverzekeringen voorzien in dekking voor deze schade. Er kan echter een groot verschil bestaan tussen werkelijke reputatieschade en gepercipieerde reputatieschade.2 Reputatieschade is dan ook moeilijk te kwantificeren. In de cyberverzekering wordt reputatieschade dan ook meestal niet gecompenseerd met een geldsom.3 De dekking bestaat uit (de kosten van) dienstverleners die ondersteuning bieden in het voorkomen en/of beperken van reputatieschade. Deze diensten zijn in de regel ondergebracht in incident response en worden uitgevoerd door een vooraf door de verzekeraar aangewezen partij. De dekking is begrensd door een maximale termijn van zes maanden tot een jaar na de gebeurtenis, dan wel tot na de melding van het incident aan de verzekeraar.4
Niet iedere cyberverzekeraar maakt echter duidelijk wat voor diensten dit precies zijn, bijvoorbeeld door niet méér in de polis op te nemen dan dat dekking wordt geboden voor ‘een expert die uw reputatie beschermt’,5 of voor ‘de diensten van een pr-bedrijf’.6
Naast deze algemeen omschreven dekking voor ‘diensten’, wordt in veel polissen ook dekking geboden voor concretere maatregelen waarmee reputatieschade kan worden voorkomen of beperkt. Bij grote privacy-incidenten, waarbij op (zeer) grote schaal behoefte ontstaat aan informatieverstrekking door het getroffen bedrijf, kunnen diensten zoals een callcenter of het plaatsen van berichten in nieuwsmedia nuttig zijn. De meeste verzekeraars benoemen deze diensten expliciet als gedekte kosten.7
Ook op dit punt bestaan echter verschillen in de gedekte termijn: 30 dagen tot 90 dagen.8 In een enkel geval stelt de verzekeraar de aanvullende voorwaarde dat de kosten van een extern call center zijn gedekt indien de verzekerde zelf niet beschikt over faciliteiten voor het beantwoorden van vragen van betrokkenen die van de inbreuk op de hoogte zijn gebracht.9
Of de verzekeraars die deze callcenterdiensten niet expliciet benoemen ook daadwerkelijk geen dekking bieden, is de vraag. Zoals hiervoor benoemd, bieden deze verzekeraars vaak wel dekking voor PR-diensten in het algemeen, zonder diensten als callcenters en kredietmonitoring (zie hierna) expliciet uit te sluiten. Daarmee lijken mij deze diensten gedekt, zeker indien de ingeschakelde PR-deskundige meent dat zij noodzakelijk zijn. Gezien de schaal waarop privacy-inbreuken kunnen plaatsvinden en de kosten die daarmee gepaard kunnen gaan, verdienen zowel de termijn als de eventuele aanvullende voorwaarden voor het instellen van een call center de bijzondere aandacht van de verzekerde dan wel diens adviseur.
Vrijwel iedere verzekeraar biedt verder dekking voor krediet- en identiteitsmonitoring.10 Krediet- en identiteitsmonitoring zijn diensten waarmee gedurende enige tijd, veelal voor een jaar, wordt gemonitord of er afwijkingen in het krediet van de betrokkene of het gebruik van diens identiteit plaatsvinden.11 Op deze manier kan bijvoorbeeld identiteitsfraude worden tegengegaan. Op dit punt tonen de cyberverzekeringen hun Amerikaanse wortels: in een aantal Amerikaanse staten is het wettelijk verplicht om dergelijke monitoringsdiensten na privacy-incidenten een jaar lang gratis aan betrokkenen aan te bieden.12 Dat is in Nederland niet het geval. Hoewel deze service vooral in het belang van de betrokkenen is, merk ik deze daarom toch aan als diensten ter voorkoming van reputatieschade. Het faciliteren van deze diensten door de verzekerde gebeurt immers vrijwillig.
In een enkel geval is ten aanzien van krediet- en identiteitsmonitoring bepaald dat het gaat om diensten die de verzekerde dient aan te bieden.13 Indien deze diensten niet op grond van een wettelijk voorschrift of op aanwijzen van een toezichthouder hoeven te worden aangeboden, is voorafgaande toestemming van de verzekeraar vereist. Gelet op het feit dat er in Nederland, anders dan in bijvoorbeeld bepaalde Amerikaanse staten,14 geen wettelijk voorschrift is dat bepaalt dat dergelijke diensten verplicht moeten worden aangeboden, zal het er in de praktijk op neerkomen dat voorafgaande toestemming standaard is vereist.15
Daarnaast vereist een aantal verzekeraars dat de verzekerde de diensten binnen een beperkte periode na de inbreuk aanbiedt en dat de betrokkene, om wiens persoonsgegevens het gaat, daar ook daadwerkelijk gebruik van maakt.16 De meerderheid stelt hieraan echter geen nadere vereisten.