Cybercrime, hulpverlening en cyberverzekering
Juli 2022
Cybercrime neemt nog steeds toe, ook in de scheepvaart. In de maritieme praktijk heeft een hulpverlener die een schip redt uit gevaar in principe recht op hulploon. Voor het slachtoffer van een maritiem cyberincident kan dat leiden tot aanzienlijke vergoedingsaanspraken én tot gedoe onder de cyberverzekeringspolis. Jolien Kruit en Nol van Hal adviseren duidelijke afspraken te maken met de IT-specialisten.
Toename cyberincidenten en cyber security awareness
Cybercrime is een van de grootste uitdagingen van deze tijd.[i] Ook in scheepvaart is er sprake van toenemende digitalisering en daarmee risico’s op cyberincidenten. In 2021 nam het aantal aanvallen op schepen met 33% toe – bovenop een eerdere stijging van 900% in 2020.[ii] Voor de maritieme praktijk heeft de IMO al in juni 2017 de Cyber Risk Management Resolution aangenomen.[iii] Op grond van deze resolutie zijn scheepseigenaren en scheepsmanagers onder de ISM Code verplicht om de cyberrisico’s van hun schepen en organisaties in kaart te brengen, te beoordelen en zo nodig maatregelen te nemen in hun veiligheidsmanagementsysteem.[iv] De markt springt daarop in. Cybersecurity, oftewel het beschermen van systemen, netwerken en programma's tegen digitale aanvallen, is een aandachtspunt van alle ondernemingen, althans zou dat moeten zijn. Naast investeringen in software, is een belangrijk aandachtspunt training van het personeel. Los van het voorkomen van een cyberincident is er ook de vraag hoe om te gaan met een incident als dat zich ondanks de getroffen maatregelen voordoet. Cyberverzekeringen spelen hierbij een belangrijke rol.
Cyberverzekering; onder meer dekking voor kosten assistentie
Verzekeringen voor cyberincidenten bevatten doorgaans zowel dekking voor eigen schade als voor aansprakelijkheid ten opzichte van derden, al dan niet in ‘natura’. Zo vallen onder meer de kosten van IT-specialisten om gegevens te beschermen en het cyberlek te dichten vrij standaard onder de dekking.[v] Net als kosten voor advocaten en andere adviseurs. Verzekeraars bepalen in de polis doorgaans expliciet welke partijen moeten worden ingeschakeld in geval van een cyberincident. Na een hack/datalek is er vaak grote tijdsdruk om actie te nemen. Partijen die met een cyberincident te maken hebben schakelen in de haast niet zelden hun eigen IT-partner en advocaat in. Discussie kan dan ontstaan over de vergoeding van de kosten van dergelijk externe adviseurs onder de polis als in de polis is bepaald dat met andere partijen moet worden samengewerkt. Afspraken vooraf zijn vaker goedkoper dan inschakeling op urgente basis. Enerzijds geldt bij inschakeling na een incident op ad hoc basis geen vooraf overeengekomen ‘kwantumkorting’; anderzijds geldt er vaak een apart – hoger - tarief voor spoedassistentie.
Maritieme hulpverlening; hulploon
In geval van hulpverlening aan schepen[vi] is er voor wat betreft de betaling van de IT- en overige specialisten nog een speciale twist, het hulploon. Succesvol verleende hulp aan een schip dat in gevaar verkeert, geeft de hulpverlener immers recht op hulploon. Ook in geval van digitale acties om schepen te redden kan degene die het schip redt recht hebben op hulploon.[vii] Het basisvereiste is dat er succes moet zijn behaald, ‘no cure, no pay’. Discussie kan ontstaan over wat succes is. Bovendien zal op basis van concrete omstandigheden aangetoond moeten worden dat het schip in gevaar verkeerde. In geval van een autonoom varend schip waarvan de besturing is overgenomen zal er weinig discussie over bestaan dat er sprake was van gevaar. Gaat het echter ‘slechts’ om diefstal van commercieel gevoelige informatie, dan kan dat bijvoorbeeld anders zijn. Als die hordes van gevaar en succes genomen zijn is de vraag: hoe hoog wordt het hulploon?
Hoogte hulploon
De hoogte van het hulploon hangt af van de toetsing aan meerdere criteria van het Hulpverleningsverdrag 1989, waaronder de geredde waarde, de mate van urgentie, de ernst van het gevaar en de mate van deskundigheid van de hulpverlener.[viii] Ook stand-bykosten worden in de afweging betrokken, net als een succesbonus. In de praktijk kan het daarbij gaan om aanzienlijke bedragen. Het is dan ook doorgaans financieel aantrekkelijk voor de succesvolle hulpverlener als aanspraak gemaakt kan worden op hulploon.
Contractuele uitsluiting hulploon
Partijen mogen afspreken dat er geen hulploon verschuldigd is.[ix] Als er een vast tarief is afgesproken voor de werkzaamheden is dat een aanwijzing dat partijen hebben gekozen voor een andere beloningswijze dan hulploon. Dat betekent echter niet automatisch dat er daardoor geen hulploonverplichtingen meer bestaan. Zeker niet in het geval dat er meerdere werkzaamheden tegelijk plaatsvinden. Redelijke contractsuitleg zou dan mee kunnen brengen dat er in aanvulling op het afgesproken tarief recht bestaat op hulploon. Als er in de haast geen duidelijke afspraken worden gemaakt, is dat risico alleen maar groter. Daarbij speelt ook de vraag of de verzekerde die verplicht is hulploon te betalen, die kosten kan verhalen op zijn cyberverzekeraar als in de polisvoorwaarden is bepaald dat een specifieke partij moet worden ingeschakeld. Goed denkbaar is in dat geval dat de kosten voor het hulploon hoger zijn dan het bedrag dat verschuldigd zou zijn geweest onder de door verzekeraars bedongen vaste tariefafspraken.
Conclusie
Het is verstandig om discussie over de vraag of er sprake was van hulpverlening die recht geeft op hulploon zoveel mogelijk te vermijden. In geval van cyberverzekeringen met maritieme componenten is het raadzaam in contracten met in te schakelen partijen afspraken te maken en vergoeding voor hulploon contractueel uit te sluiten. Dat geldt voor IT-contracten in algemene zin. In geval van een cyberverzekering maakt het hulploonaspect het bovendien des te belangrijker dat de in de polis voorgeschreven weg wordt gevolgd om polisdekkingsdiscussies te voorkomen.
* * *
[i] Zie ook https://www.vantraa.nl/nl/kennis/cybercriminaliteit-2022/; https://www.vantraa.nl/nl/kennis/cybercriminaleit-regelgeving/
[ii] https://www.zkcyberstar.com/2022/03/15/how-bad-was-maritime-cyber-security-in-2021-consider-these-8-incidents/
[iii] IMO Resolution MSC.428(98), te downloaden op: https://www.imo.org/en/OurWork/Security/Pages/Cyber-security.aspx
[iv] https://www.vantraa.nl/nl/kennis/digitalisering-van-de-scheepvaart-is-de-cyber-security-aan-boord-op-orde/; https://www.vantraa.nl/nl/kennis/imo-cyber-risk-management-resolution-ook-relevant-voor-ladingbelanghebbenden-extended-version/
[v] Zie over cyberverzekeringen in algemene zin: N. Brouwer, De cyberverzekering vanuit civielrechtelijk perspectief, (Onderneming en recht nr. 129), Deventer: Wolters Kluwer 2021.
[vi] Zie voor een eerste korte toelichting over hulpverlening: https://www.vantraa.nl/nl/praktijk/onze-praktijk/transport-logistiek/hulpverlening/ alsmede https://www.vantraa.nl/nl/kennis/de-hackende-hulpverlener/ . Zie over de vraag wanneer er sprake is van een schip: https://www.vantraa.nl/nl/badeend/
[vii] https://www.vantraa.nl/nl/kennis/de-hackende-hulpverlener/
[viii] Artikel 13 lid 1 Hulpverleningsverdrag 1989.
[ix] Zie o.m. F.D. Rose, Kennedy & Rose. Law of Salvage, Sweet & Maxwell: Londen 2021, 16-003; R. Cleton, Hulp aan schepen, W.E.J. Tjeenk Willink: Zwolle 1992, p. 35