Blog Peter Hartman: Schadeverzekeringen niet ‘cyberproof’​

​In een bijzonder hoog tempo krijgt de digitale wereld steeds meer vorm. Deze wereld kent ongekende nieuwe kansen en mogelijkheden, maar zorgt ook voor nieuwe risico’s en bedreigingen. Mede onder invloed van (privacy)wetgeving en toename van het aantal cyberincidenten zijn steeds meer ondernemingen zich ervan bewust, dat effectieve maatregelen op het terrein van cybersecurity noodzakelijk zijn.

Het verzekeringsveld heeft inmiddels een start gemaakt om hierop in te spelen. Niet alleen met de ontwikkeling van kennis over cyberrisico’s, maar ook het concreet aanbieden van (verzekerings)oplossingen. Er is echter nog een belangrijke witte vlek in de polisvoorwaarden van bestaande schadeverzekeringen.

Mondelez versus Zurich

Schadeverzekeringen zoals in de branches brand, aansprakelijkheid en transport zijn geschreven en gebaseerd op een fysieke wereld. Daar is nooit rekening gehouden met de risico’s die de digitale wereld met zich meebrengt. Een goed voorbeeld daarvan is de lopende rechtszaak in de Verenigde Staten tussen voedingsmiddelenconcern Mondelez en verzekeraar Zurich.

In 2017 werd Mondelez tot twee keer toe geraakt door de encryptie malware NotPetya, waardoor 1700 servers en 24000 laptops onbruikbaar werden. De bedrijfsschade van $ 100 miljoen wordt geclaimd op de property-polis bij Zurich. Aanvankelijk nam Zurich de schade in behandeling en deed zelfs een toezegging om een eerste uitkering te doen van $ 10 miljoen. Toen echter duidelijk werd dat Rusland mogelijk verantwoordelijk is voor deze wereldwijde cyberaanval, trok Zurich deze toezegging in.

Bovendien werd de claim afgewezen op basis van de ‘war exclusion’, waarbij ”a hostile or warlike action by a government or sovereign power or people acting for them” wordt uitgesloten. Mondelez is het hier niet mee eens en legt de zaak voor aan de rechter.

Persoonlijk zie ik wel een aantal argumenten die het standpunt van Zurich in twijfel kunnen brengen.

  • De ‘war exclusion’ is geschreven met de focus op fysieke oorlogsvoering en vijandigheden en niet op cyberoorlogsvoering. Deze uitsluiting is tot dusver ook niet aangepast op basis van deze nieuwe vermeende vorm van ‘oorlogsvoering’. Dus de vraag is of deze NotPetya cyberaanval onder deze uitsluiting valt;
  • Rusland ontkent tot op de dag van vandaag enige betrokkenheid bij deze cyberaanval. Dus het zal lastig worden om aan te tonen dat de Russische overheid hier heeft geacteerd als opdrachtgever of sponsor van deze actie. En met wie is Rusland dan eigenlijk in oorlog?;
  • Tenslotte is de vraag of Mondelez had kunnen of moeten weten dat dit cyberrisico is uitgesloten onder een ‘war exclusion’, die daarvoor niet is geschreven. En is Mondelez op enig moment door Zurich of haar makelaar gewezen op het bestaan van een cyberverzekering, als mogelijke oplossing voor dit soort risico’s. Is overigens in dit specifieke geval de ‘war exclusion’ op de cyberverzekering eveneens van toepassing?

Mocht de uitspraak van de rechter uitvallen in het voordeel van Mondelez, zullen verzekeraars zeer waarschijnlijk hun polisvoorwaarden aanscherpen.

Van reactief naar proactief

Maar waarom wacht de verzekeringsmarkt de uitspraken van de rechter en de daaraan gekoppelde jurisprudentie af, alvorens tot actie te komen. Het is toch voor iedereen zichtbaar dat er cyberrisico’s bestaan en welke impact die kunnen hebben? Dus wat houdt ons tegen om de polisvoorwaarden van de bestaande schadeverzekeringen ‘çyberproof’ te maken? Dat schept voor alle betrokken partijen (meer) duidelijkheid over welke cyberrisico’s wel en niet gedekt zijn en waar een cyberverzekering een adequate aanvulling kan zijn. Dat bevordert niet alleen de transparantie in verzekeringsproducten, maar zal ook zeker een positieve impuls geven aan de groei van de cyberportefeuille. Natuurlijk is dit een wereldwijde uitdaging, maar laten we daar gewoon in Nederland als trendsetter mee beginnen. Dus van een stille cyberdekking naar weloverwogen duidelijke polisvoorwaarden. Klinkt dat niet logisch?

Door Peter Hartman: RiskFitInnovation

 www.riskfitinnovation.nl