Een uitspraak van de rechter in een strafzaak en een discussie op een forum voor juristen. In beide gevallen spelen cyberverzekeringen een rol. Beiden hebben genoeg raakvlakken met het IT kanaal om hier genoemd te worden.
De rechters in Amsterdam hebben vorige week uitspraak gedaan in een hoger beroep zaak. De verdachte in die zaak is er van beschuldigd betrokken te zijn bij internationale drugshandel. Een van zijn handelingen is geweest het (laten) verspreiden van malware op het IT systeem van een havenbedrijf.
Door de malware kon de crimineel zicht houden op ladingen en er voor zorgen dat ze zonder controle het haventerrein verlieten. Voor deze en andere drugsgerelateerde feiten is de crimineel nu voor zeven jaar veroordeeld.
Malwareschade
Het bedrijf waarbij de malware is geplaatst heeft schade geleden en wil die verhalen op de crimineel. De schade bestaat uit twee delen. Het eerste deel heeft te maken met het onderzoek en het verhelpen van de malwareschade. Die vordering wordt door de rechter toegekend.
Het tweede deel van de schade is vijf keer groter. De onderneming moet door de geleden schade namelijk 50.000 Euro (geen typefout) meer gaan betalen voor de cyberverzekering. Per jaar wel te verstaan. Een behoorlijke blijvende kostenpost en de rechter wijst die vordering af.
Dit moet de lezer aan het denken zetten. De vraag is niet of de verhoging van de premie terecht is, maar hoe die meerkosten dan wel verhaald kunnen worden op criminelen. En als het antwoord op de vraag is dat het nooit kan dan is de vervolgvraag hoe je een dergelijke plotselinge verhoging van de kosten in je prijzen kunt verwerken.
Discussie van juristen
De andere zaak waarin cyberverzekeringen voorbijkwamen was een discussie over het foutief gebruik van AI op de werkvloer. Een werknemer gooit iets “door de AI” , veroorzaakt daarmee een datalek en de output is inhoudelijk verkeerd waardoor bij een klant schade ontstaat.
Geen hypothetisch geval, dit komt veel vaker voor dan de pers meldt. De meeste incidenten worden namelijk niet gerapporteerd. Wie zwijgt maar wel bij zijn verzekeraar aanklopt, krijgt waarschijnlijk te horen dat alleen op bewijs van aangifte zal worden overgegaan tot het in behandeling nemen van de claim. (Terzijde: die eis van verzekeraars is niet nieuw, daar is ook al de nodige jurisprudentie over. Het goede daaraan is dat bedrijven incidenten minder makkelijk onder de pet kunnen houden)
Het bedrijf dat schade door eigen gebruik van AI heeft opgelopen en het datalek heeft gemeld klopt bij zijn verzekeraar aan. Hoe groot is de kans dat die de claim accepteert en overgaat tot een vergoeding. Dat ging de discussie op het forum over. De meeste juristen zaten op een lijn, de kans dat dit door een cyberverzekering is gedekt is klein. Er waren deelnemers die verwachtten dat de claim via een normale zakelijke aansprakelijkheidsverzekering meer kans van slagen heeft.
Vraag voor elke ondernemer
Deze discussie kan je ombuigen naar een vraag die elke ondernemer zijn verzekeraar kan of moet stellen. Ben ik door het gebruik van AI op de werkvloer nog wel voldoende verzekerd? Wie naast de aansprakelijkheidsverzekering iets als cyberverzekeringen heeft kan zijn vraag daarop aanpassen.
