De cyberverzekering vanuit civielrechtelijk perspectief
Gebonden Nederlands 2021 1e druk 9789013165210Samenvatting
Dit proefschrift ontleedt het functioneren van de cyberverzekering op de Nederlandse markt vanuit verschillende invalshoeken. Wat zijn de geldende (juridische) kaders? Wat houdt een cyberverzekering exact in? En welke uitdagingen brengt deze verzekering met zich brengt mee voor zowel het verzekeringsrecht als voor verzekeraars, verzekerden en assurantietussenpersonen?
Digitale technologieën veranderen onze wereld in steeds sterkere mate. Digitalisering biedt enerzijds ongekende kansen, maar brengt anderzijds nieuwe risico’s met zich mee. De maatschappij wordt steeds vaker met deze risico’s geconfronteerd, zoals ransomware. Gedreven door deze technologische ontwikkelingen is in de afgelopen jaren een nieuw verzekeringsproduct ontstaan: de cyberverzekering. Verzekeringen kunnen een belangrijk middel zijn om risico’s te ondervangen en hebben bovendien de potentie om bij te dragen aan betere cybersecurity en cyberweerbaarheid.
Het proefschrift De Cyberverzekering vanuit civielrechtelijk perspectief is één van de eerste uitgebreide onderzoeken naar de cyberverzekering binnen de rechtsgeleerdheid en geldt als startschot voor verder wetenschappelijk debat. Op heldere wijze schetst Brouwer de (te verwachten) knelpunten bij deze verzekering. Deze zijn niet enkel toegespitst op het belang van verzekeringsdekking voor individuele bedrijven en organisaties, maar ook voor de maatschappij in bredere zin, waarbij zij tevens een brug slaat naar het aansprakelijkheidsrecht. Brouwer draagt met haar proefschtift bij aan de nadere ontwikkeling van zowel de rechtswetenschap als de praktijk.
Verzekeringsrecht, cybersecurity en cyberverzekeringen
Het proefschrift van Brouwer biedt op de eerste plaats essentiële inzichten voor de rechtswetenschap, in het bijzonder het verzekeringsrecht. Cybersecurity vormt echter ook in de praktijk een steeds gewichtiger thema. Gelet op deze bredere ontwikkelingen in het belang van cyberverzekeringen en cybersecurity kunnen ook verzekeraars, verzekeringsmakelaars en -tussenpersonen, riskmanagers en (bestuurders van) bedrijven en organisaties bij dit onderzoek zijn gebaat.
Specificaties
Lezersrecensies
Inhoudsopgave
1. Probleemstelling, status quaestionis en relevantie 1
1.1 Cyberrisico’s 2
1.1.1 Van derde naar vierde industriële revolutie 2
1.1.2 Keerzijde van digitalisering 3
1.1.3 Reactie op digitalisering: instanties en wetgeving 6
1.1.4 Cyberverzekeringen 9
1.2 Status quaestionis en relevantie 11
2. Centrale onderzoeksvraag, deelvragen en methodologie 17
2.1 Centrale onderzoeksvraag 18
2.2 Deelvragen 22
2.3 Methodologie 25
2.3.1 Kader: plaats van cyberverzekeringen in het vermogensrecht 25
2.3.2 Inhoud: gebruikte gegevensbronnen 31
2.3.3 Inhoud: afbakening begrippen 33
2.3.4 Actoren: afbakening actoren 37
2.3.5 Transparantie: positie van de onderzoeker 38
2.3.6 Conclusie methodologie 39
3. Inhoudelijke opzet van het onderzoek 39
Hoofdstuk II Cyberverzekeringen vanuit rechtsvergelijkend perspectief: privacyregelgeving in de VS en de Europese AVG 43
1. Inleiding 43
2. Technologie, privacyregelgeving en de cyberverzekering: een beknopt historisch overzicht van de Amerikaanse ontwikkeling 45
2.1 De opkomst van de cyberverzekering in de Verenigde Staten 45
2.2 Privacy en gegevensbescherming in de Verenigde Staten: benadering en regelgeving 47
3. De invloed van de Amerikaanse regelgeving op de behoefte aan een cyberverzekering 49
3.1 Consumentenbescherming 49
3.2 Financiële instellingen 51
3.3 Medische gegevens 53
3.4 California Civil Code: Security of Information en Security Breach Notifi cation Law 54
3.5 De cyberpolis in het licht van de Amerikaanse privacy- en dataprotectie regelgeving 56
4. Europa: privacyregelgeving 59
4.1 Benadering en algemeen Europees juridisch kader 59
4.2 De invloed van de Europese privacyregelgeving op de behoefte aan een cyberverzekering 60
4.2.1 Meldplicht bij datalekken 61
4.2.2 Boetes en aansprakelijkheid 64
4.3 Tussenconclusie 66
5. De cyberpolis in het licht van de Europese privacy- en dataprotectie regelgeving 66
5.1 Compliance en kosten rondom de meldplicht datalekken 67
5.2 Boetes 69
5.3 Aansprakelijkheid 70
6. Conclusie 71
Hoofdstuk III Bugs that bite? Dekking onder de cyberverzekering: inhoud en voorwaarden 75
1. Inleiding 75
2. Globale structuur van de gemiddelde cyberverzekering 76
3. First-party: eigen schade 80
3.1 Dekkingselementen eigen schade 80
3.2 Verzekerd evenement: defi nitie cyberincident 81
3.2.1 Algemeen 81
3.2.2 Privacy-incidenten: defi nities 84
3.2.3 Netwerkincidenten: defi nities 85
3.3 Afbakening van de dekking 88
3.3.1 Begrenzing dekking naar tijd: loss occurrence en discovery-systeem 88
3.3.2 Begrenzing in de dekkingsomschrijving: opzet en causaliteit 91
3.3.3 Incidenten bij derden: IT-leveranciers 93
3.4 Incident-responsediensten 94
3.5 Reputatieschade 97
3.6 Onderzoeks- en herstelkosten: indemniteitsbeginsel 99
3.7 Boetes 102
3.8 Bedrijfsschade 107
3.8.1 Defi nitie 107
3.8.2 Wachttijd en vergoedingsperiode 109
3.8.3 Vergoeding: vermindering van de brutowinst 109
3.8.4 Uitlegvragen: de hypothetische situatie 111
3.9 Cybercriminaliteit 115
3.9.1 Cyberafpersing en ransomware 115
3.9.1.1 Defi nitie verzekerd evenement 116
3.9.1.2 Vereisten voor dekking 119
3.9.1.3 Dekking voor betaald losgeld 121
3.9.2 Cyberdiefstal / cyberfraude 131
3.9.2.1 Methoden en gradaties cyberdiefstal 131
3.9.2.2 Gradatie 1: systeem niet aangetast 132
3.9.2.3 Gradatie 2: systeem aangetast, verzekerde verricht zelf betaling (sopdracht) 135
3.9.2.4 Gradatie 3: systeem is aangetast en dader voert betaling(sopdracht) uit 137
3.10 Telefoonhacking 138
3.11 PCI-DSS 138
4. Third-party: aansprakelijkheid 143
4.1 Algemeen 143
4.1.1 Verzekerd evenement 143
4.1.2 Begrenzing naar tijd: claims made 145
4.2 Privacy-aansprakelijkheid 148
4.2.1 Persoonsgegevens en bedrijfsgegevens 148
4.2.2 Schadevergoeding wegens overtredingen AVG 152
4.2.2.1 Polisbepalingen 152
4.2.2.2 Het EBI-arrest 153
4.2.2.3 Schadevergoeding in de lagere jurisprudentie 156
4.2.2.4 Betekenis voor verzekeringsdekking 157
4.2.3 Kosten van verweer bij een vordering tot schadevergoeding 161
4.3 Aansprakelijkheid voor onvoldoende netwerkbeveiliging 162
4.4 Multimedia-aansprakelijkheid 164
5. Uitsluitingen 168
5.1 Algemene uitsluitingen 169
5.1.1 Bekende omstandigheden en aanspraken / precontractuele mededelingsplicht (7:928 BW) 169
5.1.2 Arbeidsrechtelijke geschillen: samenloop (7:961 BW) 171
5.1.3 Bedrijfsgeheimen en IE-rechten 174
5.2 Bijzondere uitsluitingen of dekkingsbeperkingen 177
5.2.1 Schadevergoedingsbegrip 177
5.2.2 Onbevoegd of onrechtmatig verzamelde persoonsgegevens 179
5.2.3 Social engineering: causaliteitsvraagstukken 180
5.2.4 Netwerkstoring 186
5.2.5 Geplande onderbreking 187
5.2.6 Illegaal gebruik software 188
5.2.7 Slijtage van data en software: eigen gebrek (7:951 BW)? 190
6. Conclusie 194
Hoofdstuk IV ‘Vlijt en naarstigheid’ in een digitale wereld: eigen schuld en beredding in de context van de cyberverzekering 199
1. Inleiding 199
2. Eigen schuld en bereddingsplicht: een korte schets 202
2.1 Eigen schuld 202
2.2 Bereddingsplicht 203
2.3 Samenloop eigen schuld en bereddingsplicht? 203
3. Voorzorgsmaatregelen in een digitale samenleving 204
3.1 Methode 206
3.2 Indicaties in de aanvraagfase 207
3.3 Zorgvuldigheidsnormen in polisvoorwaarden 209
3.4 Contouren van de algemene zorgplicht van de verzekerde; taak voor de verzekeraar 211
4. De bereddingsplicht in een digitale samenleving 213
4.1 Risico heeft zich verwezenlijkt: incident response 214
4.2 Onmiddellijk dreigend gevaar 214
4.2.1 Herkennen van onmiddellijk dreigende digitale gevaren 215
4.2.2 Verhouding tot algemene voorzorgsmaatregelen 219
5. Conclusie en aanbevelingen 220
Hoofdstuk V Hoog tijd voor modernisering: molest en terrorisme in het kader van de cyberverzekering 223
1. Inleiding 223
2. Molest 226
3. Terrorisme 229
4. Molest in de cyberverzekering 231
5. Molest in een digitale context 233
5.1 Uitleg van verzekeringsovereenkomsten: aansluiting bij internationaal humanitair recht 233
5.2 Juridisch kader 235
5.3 Problemen met defi nities en inhoudelijke toepassing 236
5.3.1 Statelijke actoren en georganiseerde partijen: dader, doelwit en intentie 237
5.3.2 Gebruikte middelen: wapens en militaire machtsmiddelen 239
5.3.3 Consequentiële benadering: impact 240
5.4 Gevolgen voor verzekeringsdekking 241
6. Terrorisme in de cyberverzekering 243
7. Terrorisme in een digitale context 245
8. Conclusies en aanbevelingen 246
Hoofdstuk VI Cyberverzekeringen en de zorgplicht van de assurantietussenpersoon 251
1. Inleiding 251
2. De zorgplichten van de assurantietussenpersoon 253
2.1 Publiekrechtelijke zorgplicht 254
2.2 Privaatrechtelijke zorgplicht 256
2.2.1 Onderzoeks-, informatie- en waarschuwingsplichten 257
2.2.2 Grenzen aan de zorgplicht 258
3. Cyberrisico’s, -verzekeringen en zorgplicht 259
3.1 Zorgplichtfactoren bij nieuwe risico’s 260
3.2 Kennis van cyberrisico’s en -verzekeringen 261
3.2.1 Onzichtbare risico’s 261
3.2.2 Kernactiviteiten 262
3.2.3 Eigen verantwoordelijkheid verzekeringnemer 263
3.3 Tussenconclusie 264
4. Grenzen 264
4.1 Reële risico’s 264
4.2 De beschikbaarheid en gangbaarheid van het verzekeringsproduct 266
4.3 Ten overvloede: schade 268
5. Conclusie 268
Hoofdstuk VII Conclusie 271
1. Beantwoording van de deelvragen 271
2. Beantwoording van de hoofdvraag 285
3. Blik naar de toekomst 287
Samenvatting 291
Summary 299
Literatuurlijst 307
Jurisprudentieregister 345
Trefwoordenregister 355
Curriculum vitae 369
Serie Onderneming en Recht 371
Rubrieken
- advisering
- algemeen management
- coaching en trainen
- communicatie en media
- economie
- financieel management
- inkoop en logistiek
- internet en social media
- it-management / ict
- juridisch
- leiderschap
- marketing
- mens en maatschappij
- non-profit
- ondernemen
- organisatiekunde
- personal finance
- personeelsmanagement
- persoonlijke effectiviteit
- projectmanagement
- psychologie
- reclame en verkoop
- strategisch management
- verandermanagement
- werk en loopbaan