Beheer

IT beheer
Paraplu

Cyberverzekering maakt crisisplan niet overbodig

3 Tips voor het managen van cyber-risico's

© Pixabay
22 januari 2016

Cybercriminaliteit en andere cyberrisico’s kunnen tot grote schade leiden. TNO schat dat de jaarlijkse schade door cybercriminaliteit in Nederland op 10 miljard euro ligt. Steeds meer bedrijven overwegen een cyberverzekering af te sluiten, maar waar moet je daarbij op letten? Van belang is te inventariseren welke schadeposten en schadeoorzaken de organisatie wil verzekeren. Afhankelijk van de aard van de organisatie kunnen de risico’s verschillen. Traditionele verzekeringen bieden vaak onvoldoende dekking. Daarom komen er steeds meer speciale cyberverzekeringen op de markt. Ook met een cyberverzekering blijft het van belang een goede risico-inventarisatie en een crisisplan te hebben.

Tip 1: Sluit een speciale cyberverzekering af

Per onderneming kunnen de cyberrisico’s verschillen. Een webwinkel die plat ligt, zal omzetverlies lijden. Een dienstverlenend bedrijf, zoals een accountantskantoor, kan gevoelige klantgegevens hebben die niet op straat mogen komen te liggen. De productie van een fabriek valt stil als robots en andere computeraangestuurde apparatuur niet meer werken. Een bedrijf dat online koersinformatie aanbiedt, lijdt grote schade als de database corrupt raakt. De supermarktketen waarbij de creditcardgegevens van consumenten worden gehackt, kan niet alleen claims verwachten, maar lijdt bovendien grote reputatieschade. En als het elektronisch betalingsverkeer van een bank plat ligt, brengt dit schade toe aan de gehele economie.

Daarbij kunnen de gestolen of beschadigde data zich op de eigen bedrijfslocatie bevinden, maar ook bij partners (cloudserviceprovider, hosting provider, outsourcingleverancier en anderen). Traditionele verzekeringen, zoals de aansprakelijkheidsverzekering, computerverzekering en fraudeverzekering, bieden slechts beperkt dekking tegen deze cyberrisico’s. Bovendien staat in de polisvoorwaarden steeds vaker een uitsluiting voor cyberschade. Tegenwoordig bieden steeds meer verzekeraars een aparte, specifieke cyberverzekering aan.

Tip 2: Soorten schade; wat wil ik verzekeren?

Elke verzekeraar biedt zijn eigen verzekeringsproduct aan. Welke schade de verzekering zal vergoeden, hangt af van de polisvoorwaarden. Uiteraard geldt hoe uitgebreider de verzekeringsdekking, hoe hoger de premie die de verzekeraar zal vragen. Om de premielast te beperken kan men een hoger eigen risico afspreken. Ook is het mogelijk een verzekering op maat te kiezen, waarbij sommige schadesoorten wél worden gedekt en andere niet.

De meeste cyberverzekeringen bieden dekking bij dataverlies; een hacker heeft de persoonsgegevens van klanten of bedrijfsgeheimen van een derde gestolen. De betrokkenen mochten erop vertrouwen dat de (persoons)gegevens bij de organisatie veilig waren. Nu zij gestolen zijn, is de organisatie veelal aansprakelijk. De organisatie kan dan worden geconfronteerd met de volgende schadeposten:

  • kosten van een forensische IT-specialist om de oorzaken en omvang van het datalek op te sporen en te verhelpen;
  • meldingskosten; bij een diefstal van persoonsgegevens is een onderneming verplicht de betrokken klanten hiervan op de hoogte te stellen;
  • (juridische) kosten bij de wettelijk verplichte melding van een datalek aan de toezichthouder en een eventueel onderzoek door de toezichthouder;
  • kredietbewaking: monitoren of de diefstal van persoonsgegevens leidt tot identiteitsfraude bij klanten;
  • juridische kosten en schadevergoeding indien het tot een rechtszaak komt tegen klanten, contractspartijen of de toezichthouder;
  • herstel of vervanging van hardware en software;
  • herstel of opnieuw invoeren van de verloren data.

Al deze schadeposten kunnen onder een cyberverzekering worden gedekt. Daarnaast kunnen cyberverzekeringen ook voor diverse andere schadeposten dekking bieden, zoals:

  • inschakeling van een PR-bureau ter beperking van reputatieschade;
  • een bestuurlijke boete door de toezichthouder (met de kanttekening dat het verzekeren van een boete soms in strijd kan zijn met de openbare orde);
  • adviseurskosten en losgeld bij cyberafpersing;
  • aansprakelijkheid tegenover derden bij het doorgeven van geïnfecteerde code of het gebruik van het netwerk van de organisatie voor een DDoS-aanval tegen een derde;
  • inkomstenderving door bedrijfsstilstand (bijvoorbeeld na een cyberaanval, maar mogelijk ook bij een operationele of technische uitval);
  • internet-media-aansprakelijkheid: vergoeding van schade en juridische kosten indien op de website sprake is van (onopzettelijke) smaad en laster of plagiaat, inbreuk auteurs- of merkenrecht.

In een verzekeringspolis wordt meestal een onderscheid gemaakt tussen mogelijke oorzaken van de schade. Veelal zal de polis dekking bieden bij criminele activiteiten van derden, zoals een hacker, DDoS-aanval of cyberafpersing. Daarnaast kan de verzekering ook dekking bieden bij menselijke fouten, zoals een verouderd wachtwoord, verloren laptop of onopzettelijke inbreuk op een auteursrecht. Tot slot keren sommige verzekeringen ook uit bij systeem- of programmeerfouten of een computervirus.

Tip 3: Een cyberverzekering is geen vervanging voor een actieplan

Hoewel het dus mogelijk is voor een groot palet aan schadeposten en schadeoorzaken een cyberverzekering af te sluiten, is een verzekering geen vervanging voor een goede risico-inventarisatie en een crisisplan.

Allereerst zal een verzekering niet alle schadesoorten dekken. Zo is de verzekeringsdekking voor reputatieschade vaak beperkt tot de inschakeling van een PR-bureau. Het verlies aan klanten – en daarmee omzet – blijft voor eigen rekening. Ook zal bij een bedrijfsstagnatie door het uitvallen van de computersystemen of internet meestal sprake zijn van een ‘wachttijd’ voordat aanspraak op een verzekeringsvergoeding kan worden gemaakt. Gedurende de wachttijd blijft het omzetverlies voor eigen risico. Bovendien kent een verzekering vaak specifieke dekkingsuitsluitingen. Vaak voorkomende uitsluitingen zijn:

  • schade toegebracht door een boze werknemer met toegang tot het gebouw;
  • bedrijfsstilstand door elektriciteitsuitval;
  • cyberterrorisme en cyberoorlog;
  • een contractuele boete door de te late levering aan een afnemer.

Bovendien blijven organisaties ook na het afsluiten van een cyberverzekering verplicht om cyberrisico’s zoveel mogelijk te voorkomen en/of de gevolgen hiervan te beperken.

Allereerst is het een beginsel in het verzekeringsrecht dat de verzekerde moet handelen als een ‘goed huisvader’. De verzekerde moet de voorzichtigheid betrachten van een goed huisvader en de voorzorgsmaatregelen nemen die een goed huisvader ook zou nemen. Dat betekent niet dat de verzekerde uiterst voorzichtig moet zijn; ook een goed huisvader heeft wel eens een moment van onoplettendheid. Daarvoor is hij juist verzekerd. Echter, hij veroorzaakt niet opzettelijk schade en hij handelt niet roekeloos. Zo zal een goed huisvader een geparkeerde auto op slot doen en geen dure spullen in het zicht op de achterbank laten liggen. In gelijke zin dient een verzekerde als goed huisvader tenminste een virusscanner en firewall te installeren. Laat hij dit na en zet hij ‘de deur wagenwijd open’ voor diefstal van persoonsgegevens, dan handelt de verzekerde waarschijnlijk roekeloos. Het is dan nog maar de vraag of een cyberverzekering dekking biedt.

Bereddingskosten
In het verlengde van goed huisvaderschap ligt een ander verzekeringsbegrip, de zogenaamde ‘bereddingsmaatregelen’. Bij schade of een onmiddellijk dreigend gevaar hierop, zoals bij een gehackt computernetwerk, is een verzekerde verplicht maatregelen te nemen ter voorkoming of vermindering van de schade. Een voorbeeld bij cybercriminaliteit is de inschakeling van een (forensisch) IT-specialist om de oorzaak van de cyberproblemen op te sporen en op te lossen en zo de schade te beperken. Laat een verzekerde organisatie na deze bijzondere maatregelen te nemen, dan ontstaat het risico dat de verzekering de schade niet zal uitkeren.

De redelijke en noodzakelijke kosten van deze bereddingsmaatregelen – de zogenaamde ‘bereddingskosten’ – komen in principe voor rekening van de verzekeraar. In veel cyberverzekeringen staat gemakshalve al omschreven welke (bereddings)kosten in welke situaties vergoed zullen worden, zoals bijvoorbeeld de inschakeling van een forensische IT-specialist, een communicatiebureau en/of juridische adviseur. De verzekerde organisatie moet wel zelf de specialisten inschakelen.

Ook indien een cyberverzekering is afgesloten, blijft het dus van belang een actieplan te hebben. De eerste 24 uur zijn cruciaal om de schade te beperken. Zorg dat alle namen en telefoonnummers van toeleveranciers, IT-specialisten, communicatiedeskundigen en juridische adviseurs klaarliggen; ook buiten kantooruren. En: zorg dat de contractuele
afspraken met deze adviseurs tijdig zijn gemaakt; als zich eenmaal een incident voordoet, is het een slecht moment om nog te gaan onderhandelen over tarieven en voorwaarden.

 

 
Lees het hele artikel
Je kunt dit artikel lezen nadat je bent ingelogd. Ben je nieuw bij AG Connect, registreer je dan gratis!

Registreren

  • Direct toegang tot AGConnect.nl
  • Dagelijks een AGConnect nieuwsbrief
  • 30 dagen onbeperkte toegang tot AGConnect.nl

Ben je abonnee, maar heb je nog geen account? Laat de klantenservice je terugbellen!