Datalekken, hacks, DDos-aanvallen, virussen, malware, phishing, ransomware; de laatste jaren is cybercriminaliteit een steeds groter probleem geworden. Kleine en grote bedrijven worden vaker geconfronteerd met toenemende cyberincidenten en dit kan leiden tot aansprakelijkheid en schade, zeker nu bij veel bedrijven de bedrijfsvoering (groten)deels online plaatsvindt. Bij het beheersen van deze risico’s zou een cyberverzekering een uitkomst kunnen bieden, maar wat is een cyberverzekering? Waaruit bestaat de dekking en is het zinvol om een cyberverzekering af te sluiten? In deze blog zoomen we in op deze vragen.
De cyberverzekering
Een cyberverzekering is een verzekering die de gevolgen van een hack, virus, systeeminbraak, verloren data, gegevensdiefstal en andere vormen van cybercrime dekt. De verzekering betaalt in de meeste gevallen niet alleen voor schade bij het bedrijf zelf, maar ook voor schade die ze aan derden moet betalen.
Herstel van schade
Als je bedrijf onverhoopt slachtoffer wordt van cybercriminaliteit, is het van belang om snel en adequaat te reageren. Met een cyberverzekering kan je een dekking afsluiten voor het inschakelen van ervaren (cyber) IT-specialisten, forensische specialisten, juridische adviseurs en/of bijvoorbeeld communicatieprofessionals. Zij kunnen je helpen bij procedures en middelen voor een effectieve incident-response. Denk hierbij aan het herstellen van systemen, belanghebbende te informeren en de (juridische) kosten te beperken.
Vergoeden van de schade
Als herstel niet mogelijk is, dan kan een cyberverzekering een vergoeding bieden voor de schade. De meeste cyberverzekeringen volgen eenzelfde patroon, waarbij de dekkingen per verzekeraar sterk kunnen verschillen. Globaal wordt er allereerst gekeken naar de directe schade, bijvoorbeeld het betalen van losgeld , schade aan computersystemen of extra ICT-inzet. Daarna volgt een onderzoek waarin met een analyse moet worden aangetoond wat er gebeurde en wie verantwoordelijk en/of aansprakelijk is. Ook dat onderzoek kost geld waartegen een bedrijf zich kan verzekeren. Na het onderzoek kunnen kosten in verband met herstel van IT-systemen, herstel van data, melding aan betrokkenen en toezichthouders, PR-advies en advertentiekosten in aanmerking komen voor vergoeding. Tot slot kan een cyberverzekering de kosten van de nasleep vergoeden, hierbij kan je denken aan toezichtrechterlijke procedures, boetes van een toezichthouder of kosten in verband met fraudedetectie.
Overweeg je een cyberverzekering af te sluiten? Kijk dan onder andere, maar niet uitsluitend, naar de volgende schadeposten:
Wanneer is een cyberverzekering zinvol?
Om deze vraag te kunnen beantwoorden is het verstandig om een risicoanalyse op het gebied van informatiebeveiliging en privacy uit te voeren. De risico’s moeten in kaart worden gebracht, waarna de kans op een gebeurtenis en impact daarvan kan worden bepaald. Is er geen mogelijkheid om een risico helemaal uit te sluiten, maar is het risico te groot om te accepteren? Of is het niet rendabel om een restrisico, na het nemen van maatregelen, nog verder te beperken, dan kan verzekeren een interessante optie zijn.
Verzekeren past over het algemeen bij een risico met een lage waarschijnlijkheid en een hoge impact. Bij alle andere risico’s is het gangbaar tot het accepteren (kleine kans/kleine impact), vermijden (grote kans, grote impact) of verminderen van het risico (grote kans/kleine schade).
Een cyberverzekering hoeft dus niet direct nuttig te zijn, maar kan een goede manier zijn om (financiële) schade zo klein mogelijk te houden. Daarnaast kan het een geruststellende gedachte zijn dat schade als gevolg van cybercriminaliteit is gedekt. Bijkomend voordeel; als je een cyberverzekering overweegt, dan kan dit zorgen voor een verhoogd bewustzijn van management en bestuur. De risico’s en (financiële) gevolgen worden immers in kaart gebracht.
Maar je kan ook een kanttekening plaatsen bij het nut van een cyberverzekering. Schade op digitaal gebied komt namelijk niet alleen door criminaliteit, maar ook door nalatig handelen van een werknemer of het niet goed inrichten van processen, bijvoorbeeld bij back-ups. Ook kan je je kanttekeningen plaatsen bij sommige voorwaarden, zoals de vergoeding van een boete die door de Autoriteit Persoonsgegevens wordt opgelegd. De ironie is dat vaak een boete wordt opgelegd als een bedrijf het heel bont heeft gemaakt wat beveiliging betreft. In de meeste gevallen krijg je eerst een waarschuwing van de toezichthouder voordat er een boete wordt opgelegd. Volg je de waarschuwing of aanwijzing niet op, dan kan er sprake zijn van nalatig handelen of het niet naleven van een uitspraak of aanwijzing van een toezichthouder. In hoeverre zou een verzekeraar in dat geval geneigd zijn om tot een vergoeding over te gaan? Voor zover ons bekend is dit in de praktijk nog niet aan de orde geweest, echter de kans op vergoeding lijkt ons klein.
Het overwegen van een cyberverzekering kan dus heel nuttig zijn, zeker in het geval van ondraagbare risico’s. Twijfel je of een cyberverzekering voor jouw organisatie van toegevoegde waarde is? Breng dan eerst de risico’s in kaart door een risicoanalyse uit te voeren. Daarna kan je altijd nog een cyberverzekering overwegen, of je de verzekering afsluit of niet.
Voor het correct functioneren, optimaliseren van deze website en t.b.v. commerciële doeleinden maakt StackSecure gebruik van cookies. Meer hierover kunt u lezen in ons privacy statement