Het vaker inzetten van robots en ‘kunstmatige intelligentie’ zal in de praktijk ook tot meer gebeurtenissen leiden waarbij schade ontstaat. Het bepalen van aansprakelijkheid voor die gebeurtenissen is een lastige kwestie. Bestaande wettelijke kaders zijn niet altijd goed toe te passen, omdat deze technologie in de praktijk bijleert en zelfstandig keuzes maakt, met soms onvoorspelbare gevolgen. De wetgever buigt zich over de vraag wie bij schade in die situatie aansprakelijk moet zijn. Is die vraag in een concreet geval straks beantwoord, dan wil je als benadeelde ook graag dat de schadevergoeding wordt uitbetaald. Heeft de voor de schade verantwoordelijke partij wel een passende verzekering? Zou dat verplicht moeten zijn, zoals de aansprakelijkheidsverzekering die wettelijk vereist is voor motorvoertuigen? Ook dat is een vraagstuk waar de wetgever zich mee bezig houdt. Lastige materie, want het gaat om het invoeren van een verplichting voor iets abstracts, dekking voor schadevoorvallen die zich nu nog niet voordoen. Zou de ervaring van verzekeraars met de verzekerbaarheid van schade door ‘gewone’ IT dit kunnen verduidelijken? Ik had de mogelijkheid om me hierover bij te laten praten door een deskundige uit de sector, Marie-Louise de Smit, Cyber Broking Director bij Aon.
In haar werkterrein ‘cyber insurance’ bij deze financiële dienstverlener, bemiddelt De Smit tussen bedrijven die verzekeringsdekking nodig hebben voor schade door toepassing van IT in allerlei bedrijfsmatige situaties. Ze vertelt dat voor dergelijke gebeurtenissen het begrip ‘cybersecurity incident’ wordt gebruikt. Problemen die haar klanten kunnen overkomen zijn verschillend van aard. Gezamenlijk kenmerk: als er schade ontstaat gaat het vaak om hele grote bedragen. Het betreft bijvoorbeeld het verlies van data of beschadiging van data, zoals (vertrouwelijke) bedrijfsgegevens en gegevens die herleidbaar zijn naar personen (persoonsgegevens – denk aan de AVG). ‘Het aantal zogeheten ransomware aanvallen neemt enorm toe, van 2018 tot eind 2020 zelfs met 700%’, vertelt De Smit. Dit overkwam bijvoorbeeld de Universiteit Maastricht eind 2019. Die schakelde een gespecialiseerd bureau in voor analyse en om te proberen de bestanden te openen. Al snel bleek dat het op die manier maanden zou gaan duren om alles te herstellen. Men koos er voor om een fors bedrag aan de aanvallers te betalen. Zo konden wetenschappers en studenten weer snel aan het werk. Op die keuze kwam ook kritiek, omdat betalen in zo’n geval criminelen zou stimuleren om dit vaker te doen. Ook leidde het tot discussie of het betaalde losgeld wel, net als andere gemaakte kosten, door verzekeraars zou moeten worden vergoed.
“We zagen een toename van het aantal ransomware aanvallen met 700%.”
Wat te doen met uitdijende schadeclaims door overal aanwezige IT?
Schadeclaims veroorzaakt door cybersecurity incidenten brengen verzekeraars in een lastige situatie. De gebruikelijke werkwijze voor het aanbieden van een dekking met de bijbehorende premie is gebaseerd op het inschatten van risico’s aan de hand van gegevens over bekende schadevoorvallen. Dat wordt steeds moeilijker door het vaker toepassen van IT en de manieren waarop met IT schades kunnen ontstaan. ‘Bij verzekeren gaat het om de macht van de grote getallen: iedereen betaalt premie voor een bepaald type polis, bijna niemand heeft schade. Als er iets gebeurt kan de verzekerde terugvallen op de dekking.’ Is dat houdbaar met nieuwe risico’s, bijvoorbeeld kortsluiting veroorzaakt door een cyber hack waardoor er brand ontstaat in gebouwen? Als iedereen een grotere kans loopt op een bepaald soort risico, komt de mogelijkheid in beeld dat de pot met geld om uitkeringen te doen straks leeg is. Daar kunnen en mogen verzekeraars niet op wachten. De Smit verwacht dat verzekeraars vaker de dekking zullen terugschroeven, door bepaalde risico’s niet meer voor vergoeding in aanmerking te laten komen. Daarnaast bieden ze dan voor het nieuwe (grotere) type risico een aparte polis aan. Deze aanpak kan niet altijd worden toegepast, bijvoorbeeld als het risico te groot is voor één verzekeraar. Dan wordt soms een apart fonds opgezet, waar een deel van de premies naar toegaat en alle verzekeraars op kunnen terugvallen. Denk aan het fonds voor herverzekering van schade door terrorisme. Volgens De Smit zijn er op dit moment geen concrete plannen om de grilligheid van de toegenomen IT schades door zo’n fonds hanteerbaar te maken.
Kan een verzekeraar robotschade realistisch inschatten?
Over brandschade aan gebouwen is voldoende bekend om verzekeraars in staat te stellen risico’s in te schatten en op verantwoorde wijze af te dekken. Dat is met eventuele schade veroorzaakt door een relatief nieuw verschijnsel als robots nog niet mogelijk. Het aantal toepassingen van deze technologie is heel verschillend, terwijl de impact van fouten en ongelukken erg groot kan zijn, denk aan autonome voertuigen op de weg en in de lucht (drones). Schadesituaties zullen bovendien erg ingewikkeld zijn wanneer robots zelfstandig keuzes maken, bijleren door allerlei patronen in data te analyseren (‘kunstmatige intelligentie’ ofwel AI) en kwetsbaar zijn door de verbindingen tussen alle componenten. Een robot kan dus onverwachte dingen doen en daarmee ongelukken veroorzaken, met schade aan andere objecten en bij personen mogelijk letsel of zelfs de dood. Voor het vergoeden van schade is allereerst van belang dat duidelijk is geregeld waar normaal gesproken de aansprakelijkheid komt te liggen. Zo kunnen makers en gebruikers inschatten of ze mogelijk aansprakelijk zullen zijn bij schade en op zoek gaan naar een verzekering. Willen de verzekeraars kunnen beoordelen wat de dekking zou moeten zijn en welke premie daarbij hoort, dan moeten ze zich een goed beeld kunnen vormen van risico’s en impact bij deze complexe schade situaties.
Is een verplichte verzekering wenselijk en ook uitvoerbaar?
Hoewel de wettelijke regelingen over aansprakelijkheid en verzekeren los van elkaar staan, horen deze onderwerpen dus wel bij elkaar. Over deze samenhangende onderwerpen heeft het Europees Parlement zich onlangs in een resolutie uitgesproken. Die roept op tot het maken van wetgeving over aansprakelijkheid bij het gebruik van AI en robots. Met daarbij een verzekeringsplicht voor de gebruiker van AI met een hoog risico. Dit zou dan ook moeten gelden voor robots die werken met dat soort AI. Of dat gaat gebeuren en in welke vorm ligt nog open. De Smit maakt mij attent op een reactie van Insurance Europe, de Europese federatie van verzekeraars en herverzekeraars, waarin een verplichte verzekering voor die toepassingen van AI onuitvoerbaar wordt genoemd. Voor zo’n verzekeringsplicht, stelt Insurance Europe, is er te weinig informatie over het type schadevoorvallen dat moet worden gedekt. Vergeleken met de decennia aan data over schade met motorvoertuigen is er weinig materiaal dat zo’n berekening mogelijk maakt, stelt de federatie, terwijl er niet één soort toepassing en dus ook niet hetzelfde type risico zal zijn. Deze reactie, stelt De Smit, onderstreept de worsteling die verzekeraars nu al ervaren als ze een dekking willen blijven aanbieden voor IT schadeclaims terwijl er veel onzekerheid is over risico’s. Complexe toepassingen van IT met AI en robots maakt het inschatten van de risico’s nog lastiger.
“Verzekeraars worstelen met het inkaderen van risico’s.”
Toepassing van robots vraagt om helderheid in geval van schade
Ik heb weer een hoop geleerd. Mijn conclusie is dat een ordelijke inzet van robots in onze samenleving het nodig maakt om vooraf duidelijkheid te scheppen hoe mogelijke schade zal worden vergoed. De wens van het Europees Parlement houdt in dat bij toepassing van risicovolle robotisering er steeds een verzekerde is, die in geval van schade eenvoudig en effectief verhaal biedt. Van belang is te bepalen welke betrokkene bij productie en gebruik van robots in de praktijk daarvoor de verantwoordelijkheid heeft. Daarnaast is het me duidelijk geworden dat zo’n verzekeringsplicht alleen werkbaar is, als verzekeraars en partijen die zich moeten verzekeren deze realistisch kunnen uitvoeren. Een te lage premie is financieel riskant voor de verzekeraar, die zal willen vermijden dat er te weinig geld is en er niet kan worden uitbetaald. Een flink hogere premie zou dit kunnen voorkomen. Maar daar zit een fors bezwaar aan. Laten we er van uitgaan dat, net als alle andere kosten, de premie door de maker of de gebruiker wordt doorberekend in de prijs van de robot of de dienst die met de robot wordt geleverd. Dan zou het effect van zo’n verplichting kunnen zijn dat de verdere ontwikkeling en beschikbaarheid van robotsystemen onnodig wordt belemmerd. De uitvoerbaarheid van een mogelijke verzekeringsplicht zal dus een belangrijke rol moeten spelen bij het voorbereiden en vaststellen van deze wetgeving.