Waarmee kunnen wij u helpen?

    Nieuws

    De cyberverzekering

  • NL
  • Cybercriminaliteit en andere cyberrisico's kunnen tot grote schade leiden. TNO schat dat de jaarlijkse schade door cybercriminaliteit in Nederland op EUR 10 miljard ligt. Steeds meer bedrijven overwegen een cyberverzekering af te sluiten, maar waar moet je daarbij op letten? Van belang is te inventariseren welke schadeposten en schadeoorzaken de organisatie wil verzekeren. Afhankelijk van de aard van de organisatie kunnen de risico's verschillen. Traditionele verzekeringen bieden vaak onvoldoende dekking. Daarom komen er steeds meer speciale cyberverzekeringen op de markt. Ook met een cyberverzekering blijft het van belang een goede risico-inventarisatie en een crisisplan te hebben.

    Tip 1: Sluit een speciale cyberverzekering af

    Per onderneming kunnen de cyberrisico's verschillen. Een webwinkel die plat ligt, zal omzetverlies lijden. Een dienstverlenend bedrijf, zoals een accountantskantoor, kan gevoelige klantgegevens hebben die niet op straat mogen komen te liggen. De productie van een fabriek valt stil als robots en andere computer aangestuurde apparatuur niet meer werken. Een bedrijf dat een online koersinformatie aanbiedt lijdt grote schade als de database corrupt raakt. De supermarktketen waarbij de creditcardgegevens van consumenten worden gehackt  kan niet alleen claims verwachten, maar lijdt bovendien grote reputatieschade. En als het elektronisch betalingsverkeer van een bank platligt brengt dit schade toe aan de gehele economie.

    Daarbij kan de gestolen of beschadigde data zich op de eigen bedrijfslocatie bevinden, maar ook bij partners (cloud service provider, hosting provider, outsourcing leverancier, enz.).

    Traditionele verzekeringen, zoals de aansprakelijkheidsverzekering bedrijven, computerverzekering en fraudeverzekering – bieden slechts beperkt dekking tegen deze cyberrisico's. Bovendien staat in de polisvoorwaarden steeds vaker een uitsluiting voor cyberschade. Tegenwoordig bieden steeds meer verzekeraars een aparte, specifieke cyberverzekering aan.

    Tip 2: Soorten schade; wat wil ik verzekeren?

    Elke verzekeraar biedt zijn eigen verzekeringsproduct aan. Welke schade de verzekering zal vergoeden, hangt af van de polisvoorwaarden. Uiteraard geldt hoe uitgebreider de verzekeringsdekking, hoe hoger de premie die de verzekeraar zal vragen. Om de premielast te beperken kan men een hoger eigen risico afspreken. Ook is het mogelijk een verzekering op maat te kiezen, waarbij sommige schadesoorten wél worden gedekt en andere niet.

    De meeste cyberverzekeringen bieden dekking bij data verlies; een hacker heeft de persoonsgegevens van klanten of bedrijfsgeheimen van een derde gestolen. De betrokkenen mochten er op vertrouwen dat de (persoons)gegevens bij de organisatie veilig waren. Nu deze gestolen zijn, is de organisatie veelal aansprakelijk. De organisatie kan dan worden geconfronteerd met de volgende schadeposten:

    • kosten van een forensische IT-specialist om de oorzaken en omvang van het datalek op te sporen en te verhelpen;
    • meldingskosten; bij een diefstal van persoonsgegevens is een onderneming verplicht de betrokken klanten hiervan op de hoogte te stellen; 
    • (juridische) kosten bij de wettelijk verplichte melding van een datalek aan de toezichthouder en een eventueel onderzoek door de toezichthouder; 
    • kredietbewaking: monitoren of de diefstal van persoonsgegevens leidt tot identiteitsfraude bij klanten;
    • juridische kosten en schadevergoeding indien het tot een rechtszaak komt tegen klanten, contractspartijen  of  de toezichthouder;
    • herstel of vervanging van hardware en software;
    • herstel of opnieuw invoeren van de verloren data.

    Al deze schadeposten kunnen onder een cyberverzekering worden gedekt. Daarnaast kunnen cyberverzekeringen ook voor diverse andere schadeposten dekking bieden, zoals: 

    • inschakeling van een PR-bureau ter beperking van reputatieschade; 
    • een bestuurlijke boete door de toezichthouder (met de kanttekening dat het verzekeren van een boete soms in strijd kan zijn met de openbare orde);
    • adviseurkosten en losgeld bij cyberafpersing;
    • aansprakelijkheid tegenover derden bij het doorgeven van geïnfecteerde code of het gebruik van het netwerk van de organisatie voor een DDoS aanval tegen een derde;
    • inkomstenderving door bedrijfsstilstand (bijvoorbeeld na een cyber aanval, maar mogelijk ook bij een operationele of technische uitval);
    • internet media aansprakelijkheid; vergoeding van schade en juridische kosten indien op de website is sprake van (onopzettelijke) smaad en laster of plagiaat, inbreuk auteurs- of merkenrecht.

    In een verzekeringspolis wordt meestal een onderscheid gemaakt tussen mogelijke oorzaken van de schade. Veelal zal de polis dekking bieden bij criminele activiteiten van derden, zoals een hacker, DDoS aanval of cyber afpersing. Daarnaast kan de verzekering ook dekking bieden bij menselijke fouten, zoals een verouderd wachtwoord, verloren laptop of onopzettelijke inbreuk op een auteursrecht. Tot slot keren sommige verzekeringen ook uit bij systeem- of programmeerfouten of een computervirus.

    Tip 3: Een cyberverzekering is geen vervanging voor een actieplan

    Hoewel het dus mogelijk is voor een groot palet aan schadeposten en schadeoorzaken een cyberverzekering af te sluiten, is een verzekering geen vervanging voor een goede risico-inventarisatie en een crisisplan.

    Allereerst zal een verzekering niet alle schadesoorten dekken. Zo is de verzekeringsdekking voor reputatieschade vaak beperkt tot de inschakeling van een PR-bureau. Het verlies aan klanten - en daarmee omzet - blijft voor eigen rekening. Ook zal bij een bedrijfsstagnatie door het uitvallen van de computersystemen of internet meestal sprake zijn van een 'wachttijd' voordat aanspraak op een verzekeringsvergoeding kan worden gemaakt. Gedurende de wachttijd blijft het omzetverlies voor eigen risico. Bovendien kent een verzekering vaak specifieke dekkingsuitsluitingen. Vaak voorkomende uitsluitingen zijn:

    • Schade toegebracht door een boze werknemer met toegang tot het gebouw;
    • Bedrijfsstilstand door elektriciteitsuitval;
    • Cyber-terrorisme en cyber-oorlog;
    • Een contractuele boete door de te late levering aan een afnemer.

    Bovendien blijven organisatie ook na het afsluiten van een cyberverzekering verplicht om cyberrisico's zoveel mogelijk te voorkomen en/of de gevolgen hiervan te beperken.

    Allereerst  is het een beginsel in het verzekeringsrecht dat de verzekerde moet handelen als een 'goed huisvader'. De verzekerde moet de voorzichtigheid betrachten van een goed huisvader en de voorzorgsmaatregelen nemen, die een goed huisvader ook zou nemen. Dat betekent niet dat de verzekerde uiterst voorzichtig moet zijn; ook een goed huisvader heeft wel eens een moment van onoplettendheid. Daarvoor is hij juist verzekerd. Echter, hij veroorzaakt niet opzettelijk schade en hij handelt niet roekeloos. Zo zal een goed huisvader een geparkeerde auto op slot doen en geen dure spullen in het zicht op de achterbank laten liggen. In gelijke zin, dient een verzekerde als goed huisvader tenminste een virusscanner en firewall te installeren. Laat hij dit na, en zet hij 'de deur wagenwijd open' voor diefstal van persoonsgegevens, dan handelt de verzekerde waarschijnlijk roekeloos. Het is dan nog maar de vraag of een cyberverzekering dekking biedt.

    In het verlengde van het goed huisvaderschap ligt een ander verzekeringsbegrip, de zogenaamde 'bereddingsmaatregelen'. Bij schade, of een onmiddellijk dreigend gevaar hierop, zoals bij een gehackt computernetwerk, is een verzekerde verplicht maatregelen te nemen ter voorkoming of vermindering van de schade. Een voorbeeld bij cybercriminaliteit is de inschakeling van een (forensisch) IT-specialist om de oorzaak van de cyber problemen op te sporen en op te lossen en zo de schade te beperken. Laat een verzekerde organisatie na deze bijzondere maatregelen te nemen, dan ontstaat het risico dat de verzekering niet de schade zal uitkeren.

    De redelijke en noodzakelijke kosten van deze bereddingsmaatregelen - de zogenaamde 'bereddingskosten' - komen in principe voor rekening van de verzekeraar. In veel cyberverzekeringen staat gemakshalve al omschreven welke (bereddings)kosten in welke situaties vergoed zullen worden, zoals bijvoorbeeld de inschakeling van een forensische IT-specialist, communicatiebureau en/of  juridische adviseur. De verzekerde organisatie moet wel zélf de specialisten inschakelen. Ook indien een cyberverzekering is afgesloten blijft het dus van belang een actieplan te hebben. De eerste 24-uur zijn cruciaal om de schade te beperken. Zorg dat de alle namen en telefoonnummers van toeleveranciers, IT-specialisten, communicatiedeskundigen en juridische adviseurs klaar liggen; ook buiten kantooruren. En: zorg dat de contractuele afspraken met deze adviseurs tijdig zijn gemaakt; als zich eenmaal een incident voor doet is het een slecht moment om nog te gaan onderhandelen over tarieven en voorwaarden.

    Voor meer informatie kunt u contact opnemen met Wieke van Eekhout.

    Bron: Automatiseringgids, november 2015