Menu
JPR Advocaten

Schade door een cyberaanval: dekking van cyberverzekering?

Geschreven op 13 september 2019  •  Auteur: Flip van Huizen
Schade door een cyberaanval: dekking van cyberverzekering?

Is schade door een cyberaanval als oorlogsdaad gedekt onder de cyberverzekering?

Cyberaanvallen komen steeds vaker voor. Maar hoe zit het eigenlijk als hackers vanuit het buitenland uw bedrijfssystemen aanvallen namens de overheid van het land? Valt deze digitale oorlogsvoering onder de dekking van uw cyberverzekering? Als voorbeeld nemen we de zogenaamde NotPetya-aanval in 2017 die wereldwijd veel schade heeft veroorzaakt en de daarop volgende rechtszaak tussen voedingsbedrijf Mondelez (o.a. Côte d'Or chocolade) en haar verzekeraar Zurich.

De claim

Mondelez diende een claim in van EUR 100.000.000 op haar property-polis (ander dan de cyberverzekering een verzekering tegen materiele schade) bij Zurich.

Zurich heeft de claim afwezen onder verwijzing naar de volgende clausule:
“B. This Policy excludes loss or damage directly or indirectly caused by or resulting from any of the following regardless of any other cause or event, whether or not insured under this Policy, contributing concurrently or in any other sequence to the loss:

(. . .)

2) a) hostile or warlike action in time of peace or war, including action in hindering, combating or defending against an actual, impending or expected attack by any:

(i) government or sovereign power (de jure or de facto);
(ii) military, naval, or air force; or
(iii) agent or authority of any party specified in i or ii above.”

Volgens Zürich is zij van de haak voor elke betaling van de claim als NotPetya eigenlijk “a hostile or warlike action in time of peace or war” was. Volgens Zürich is de NotPetya-cyberaanval ontstaan door Russische hackers die rechtstreeks met de Russische regering samenwerkten om Oekraïne te destabiliseren. Dit is wat Zürich in gedachten heeft wanneer het zich beroept op 'cyberoorlog' om de claim te betalen.

Ter ondersteuning van haar zaak verwijst Zurich naar de officiële verklaringen van nationale veiligheidsfunctionarissen van de Britse, Canadese en Australische regeringen, die Rusland de schuld gaven van de cyberaanval in februari 2018. Ook het Witte Huis stelt dat de cyberaanval deel uitmaakte van de inspanningen van het Kremlin om de Oekraïense regering te destabiliseren. Bovendien merkten al deze westerse regeringen specifiek op dat de eerste NotPetya-aanval plaatsvond in Oekraïne voordat deze zich over de hele wereld verspreidde om bedrijven zoals Mondelez te treffen.

Verzekeraar moet gelijk bewijzen

Voorlopig lijkt het momentum in het voordeel van Mondelez te zijn. De bewijslast ligt bij de verzekeringsmaatschappij. Zürich zal dus moeten bewijzen dat NotPetya aanval inderdaad een cyberoorlog was. Dat is lastig vast te stellen. Het is namelijk moeilijk om de oorsprong van een hackeraanval op een willekeurig computersysteem te achterhalen. Hoewel inlichtingendiensten Rusland de schuld gaven voor de aanslagen, hebben ze tot op heden geen hard bewijs geleverd.

In Nederland zal een dergelijke discussie niet snel spelen. De door mij geraadpleegde polisvoorwaarden bevatten namelijk de volgende uitsluiting:

“Oorlog"

Een gewapend conflict, burgeroorlog, opstand, binnenlandse onlusten, oproer en muiterij. Deze begrippen zijn gedefinieerd in de tekst die door het Verbond van Verzekeraars d.d. 2 november 1981 is gedeponeerd ter Griffie van de Arrondissementsrechtbank te ’s-Gravenhage”

Het zal u niet verbazen dat in 1981 niet is nagedacht over een cyberaanval en slechts is aangesloten op fysieke gevechten of andere situaties die daar op lijken.
Mogelijk dat in de toekomst wordt aangesloten bij een meer eigentijdse versie van omschrijving van ‘oorlog’ in de cyberverzekering. Ook dan blijft er sprake van een uitsluiting en moet de verzekeraar bewijzen dat sprake is van een aanval door een vijandige natie.

Meer weten over de dekking van uw cyberverzekering? Neemt u dan contact op met Flip van Huizen Jr.


Flip van Huizen
Flip van Huizen Jr.

Advocatuur doe ik op mijn sloffen, althans dat dacht ik toen ik met de opgedane juridische kennis de universiteit verliet. Weinig is minder waar. Advocaat zijn is een moeilijk en veelzijdig vak. Vanzelfsprekend is juridische kennis een belangrijk onderdeel, maar er komt meer bij kijken.

Ik heb het geluk gehad om in het begin van mijn carrière los te moeten komen van de boeken en theorie. Als curator heb ik geleerd als ondernemer te denken, snel en creatief te handelen (vaak niet juridisch). In de ondernemingsrecht en overname praktijk was het met name een kwestie van hard werken en lange dagen maken.

Al geruime tijd ben ik bezig in de aansprakelijkheidspraktijk. Het handelsrecht en verzekeringsrecht zijn daarin mijn specialismes. Mijn liefde voor de juridische theorie komt hiermee volledig tot zijn recht. Echter, zoals hiervoor aangegeven is dat onvoldoende. Een advocaat moet vanzelfsprekend kennis van zaken hebben, maar bovenal creatief zijn. Soms voel ik mij een kunstenaar in een grijs pak. Dit gevoel is echter vaak van korte duur. De advocatuur is in feite meer een ambacht. En die sloffen heb ik vanaf dag één, maar snel vervangen door stevige stappers.

Over Flip Jr.

Flip jr. is sinds 2009 advocaat en sinds 2019 bij JPR Advocaten. Hij is werkzaam in het verzekeringsrecht en het aansprakelijkheidsrecht. Ook richt Flip jr. zich op het vervoersrecht en (internationale) handel. Tijdens zijn studie heeft hij tevens gestudeerd aan de Universiteit van Wenen.

Contact opnemen met JPR

Op de hoogte blijven?
Meld u aan voor de nieuwsbrief: