Wel of niet een Cyberverzekering afsluiten?

By in
Wel of niet een Cyberverzekering afsluiten?

Cyberverzekering afsluiten – wel of niet verstandig?


Ondernemers zijn steeds vaker het doelwit van cybercrime. Cybercrime is dan ook één van de snelst groeiende vormen van criminaliteit. Uit internationaal onderzoek is gebleken dat maar liefst 68% van de Nederlandse bedrijven in 2019 slachtoffer was van cybercrime.

Organisaties zijn kwetsbaar voor ransomware, hacks en phishing. Deze aanvallen kunnen een bedrijf platleggen of ervoor zorgen dat gevoelige informatie in de verkeerde handen komt. Omdat cybercrime grote nadelige (financiële) gevolgen voor een bedrijf kan hebben, kiezen steeds meer bedrijven er voor om een zogenaamde cyberverzekering af te sluiten. De kosten die ontstaan als gevolg van cybercrime hebben vaak betrekking op het herstel van de getroffen systemen, het afhandelen van schadeclaims en misgelopen inkomsten

Met een cyberverzekering beschermt een bedrijf zichzelf tegen schade door cyberincidenten. Een cyberverzekering dekt niet alleen de financiële gevolgen van cybercrime, maar biedt in de meeste gevallen ook preventieve maatregelen en directe hulp bij een cyberaanval.

Wat is het nut van het afsluiten van een dergelijke verzekering en is het wel verstandig om dit te doen? Onderstaand leest u wat een cyberverzekering precies is en waar u op moet letten wanneer u van plan bent een cyberverzekering af te sluiten.


Wat is een cyberverzekering?

Cyberverzekeringen beschermen allereerst tegen de kosten die het gevolg zijn van een virus, hack, datalek of ander soort cyberaanval. Tegelijkertijd dekt een cyberverzekering de aansprakelijkheid ten opzichte van derden. In de meeste gevallen voorziet een cyberverzekering daarnaast ook in deskundig advies door IT-specialisten en/of juristen om ontstane schade te herstellen. Dit doet men bijvoorbeeld door een website zo snel mogelijk weer in de lucht te krijgen.

Veel cyberverzekeringen dekken ook de juridische kosten en helpen bij het herstel van eventueel ontstane imagoschade. Hierbij gaat het bijvoorbeeld om het ontwikkelen van een communicatiestrategie om het imago van een organisatie te herstellen.

Naast de vergoeding van ontstane schade bestaat een cyberverzekering vaak ook uit het voorkomen van cybercrime. De verzekeraar kijkt bijvoorbeeld samen met een organisatie naar de huidige risico’s en neemt waar nodig preventieve maatregelen, zoals het installeren van verbeterde beveiligingssoftware.

Sommige cyberverzekeringen vergoeden zelfs een boete van de Autoriteit Persoonsgegevens in het geval van een datalek. Boetes door bewuste roekeloosheid van medewerkers worden in de meeste gevallen alleen niet gedekt. Bovendien zijn er vaak maximum bedragen van toepassing.


Digitale wegenwacht

Volgens Henk van Ee, directeur van MKB Cyber Campus, een uitvoeringsorganisatie die helpt de digitale weerbaarheid van het MKB te vergroten, is het verstandig om een cyberverzekering af te sluiten. Van Ee zegt hierover: “Een cyberverzekering kun je niet zomaar afsluiten. Net als bij een brandverzekering, moet je uiteraard aan voorwaarden voldoen.” Denk aan goede antivirus-, antispy- en firewallsoftware die automatisch worden geüpdatet. Ook een kwalitatief goed computersysteem, een wachtwoordbeleid en het regelmatig maken van back-ups zijn belangrijke voorwaarden voor het afsluiten van een cyberverzekering.

Verzekeraars gebruiken risicoscans om bedrijven te helpen de beveiligingsrisico’s in kaart te brengen. Ook zijn er verschillende cyberweerbaarheidsscans die inzicht geven in de digitale veiligheid van een bedrijf, en tips voor het verbeteren daarvan. Van Ee constateert dat de cyberverzekering één van de grootste groeimarkten in de verzekeringswereld is. “De voorwaarden zijn op dit moment relatief gunstig omdat verzekeringsmaatschappijen marktaandeel willen veroveren.” Van Ee noemt een cyberverzekering daarom ook wel een “abonnement op een digitale wegenwacht”. (Bron: KVK)

Een cyberverzekering noemt men ook wel een abonnement op een digitale wegenwacht

Cyberrisico’s en verzekeren. Waar moet ik op letten?

Het is van belang om voorafgaand aan het afsluiten van een cyberverzekering de risico’s voor uw eigen organisatie in kaart te brengen. Om te bepalen welke cyberverzekering voor uw organisatie geschikt is, is het van belang om te inventariseren welke schadeposten en schadeoorzaken uw organisatie wil verzekeren. Afhankelijk van de aard van de organisatie kunnen de risico’s verschillen. Wel is het van belang om te realiseren dat er eigenlijk maar weinig organisaties zijn die niet slachtoffer kunnen worden van cybercrime. Een goede audit kan alle risico’s in kaart brengen. Sommige verzekeraars bieden gratis tools aan om deze risico’s te inventariseren. Deze scans worden ook gebruikt om het verzekeringspakket samen te stellen.

Een belangrijk aandachtspunt bij het afsluiten van een cyberverzekering is de responsetijd van een verzekeraar. Sommige verzekeraars reageren pas na twee tot vier werkdagen. In veruit de meeste gevallen is dit te laat en is het kwaad al geschied. Bovendien moet een datalek binnen 72 uur gemeld worden bij de Autoriteit Persoonsgegevens. Als de responsetijd van de verzekeraar buiten deze 72 uur valt en er daardoor geen melding gedaan wordt, is de desbetreffende organisatie in overtreding en kan het een boete krijgen. 

Er bestaan daarnaast grote verschillen tussen de verschillende cyberverzekeringen. Wat bij de ene verzekeraar gedekt wordt valt bij een andere verzekeraar buiten de dekking en vice versa. Het is daarom belangrijk om goed advies in te winnen alvorens u een cyberverzekering afsluit. Let hierbij goed op de voorwaarden.

Een cyberverzekering vervangt daarnaast niet de bedrijfsaansprakelijkheids- en/of beroepsaansprakelijkheidsverzekering. Een cyberverzekering is slechts een aanvulling op deze verzekeringen. Het is daarom belangrijk dat de verschillende verzekeringen goed op elkaar aansluiten. Op deze manier worden de risico’s het best gedekt.

De behoeftes verschillen hoe dan ook per organisatie. Zo heeft een multinational weinig aan een cyberverzekering die maar een dekking uitkeert van 100.000 euro per kalenderjaar, terwijl een mkb-bedrijf dan weer voldoende heeft aan een beperktere dekking. Daarom is het belangrijk om altijd goed te overleggen met de verzekeraar. Verder is het nog van belang om te vermelden dat de meeste cyberverzekeringen een hoog eigen risico kennen.

 

Is een cyberverzekering duur?

De premie van een cyberverzekering verschilt per organisatie en is afhankelijk van:

  • het te verzekeren bedrag;
  • het eigen risico;
  • concrete polisvoorwaarden;
  • de omzet;
  • de branche;
  • type organisatie.

In het verleden waren cyberverzekeringen helemaal niet duur. Ze kostten vaak maar een heel klein percentage van de verzekerde waarde. De laatste jaren lijkt het er op dat cyberverzekeringen steeds duurder worden. Dit komt doordat organisaties steeds vaker het doelwit worden van hackers. Hierdoor is het voor verzekeraars minder rendabel om cyberpolissen te verkopen. Verzekeraars kijken daarom kritischer naar de organisaties die een cyberverzekering wensen af te sluiten. Dit geldt vooral voor grote bedrijven met een hoge jaaromzet.

Welke verzekeraars bieden cyberverzekeringen aan?

Tegenwoordig worden cyberverzekeringen door bijna alle verzekeraars aangeboden. Hierdoor is het mogelijk om verschillende offertes op te vragen en de bijbehorende polisvoorwaarden met elkaar te vergelijken. Deze polisvoorwaarden kunnen sterk van elkaar verschillen en het is daarom niet altijd verstandig om te kiezen voor de goedkoopste offerte.

Onder andere de volgende verzekeraars bieden een dergelijke verzekering aan:

  • AIG Insurance
  • Allianz
  • AON
  • Centraal Beheer
  • Independer
  • Nationale Nederlanden
  • Turien & Co
  • United Insurance
  • Univé

Voordelen

Naast het vergoeden van de financiële schade bieden goede cyberverzekeringen hulp in de vorm van experts. Deze experts kunnen met een organisatie meedenken over het nemen van zowel technische als organisatorische maatregelen om cyberaanvallen te voorkomen. Cyberverzekeraars hebben veel ervaring met het afhandelen van schade na een cyberincident. Zij kunnen organisaties daarom goed helpen om de schade zo veel mogelijk te beperken.

Experts van verzekeraars kunnen een organisatie tevens helpen met het inschakelen van juristen voor het afhandelen van mogelijke schadeclaims van derden. Deze expertise is bovendien in meeste gevallen relatief goedkoop in vergelijking met ad hoc ingeschakelde expertise.

Nadelen

Naast de financiële gevolgen brengt een cyberaanval vaak imagoschade toe aan een organisatie. Cyberverzekeraars bieden doorgaans wel hulp bij de communicatie over een cyberaanval. Maar het uitdrukken van deze schade schade in een getal of bedrag is heel lastig en kan daarom in de meeste gevallen dan ook niet vergoed worden.

Het afsluiten van een cyberverzekering betekent niet dat een organisatie vanaf dat moment rustig achterover kan leunen op het gebied van informatiebeveiliging. In de voorwaarden van alle cyberverzekeringen staat namelijk dat een organisatie zich moet inspannen om cyberrisico’s tot een minimum te beperken.

Het afsluiten van een cyberverzekering kan een vals gevoel van veiligheid bewerkstelligen. Het blijft belangrijk, ook na het aanschaffen van een cyberverzekering, om informatiebeveiligingsrisico’s in kaart te blijven brengen en hier vervolgens op te acteren. Beheersen, voorkomen en vermijden zijn hierbij belangrijke uitgangspunten. Een cyberverzekering is (slechts) een aanvulling hierop.

Ook bevatten veel cyberpolissen allerlei clausules in de vorm van bijvoorbeeld een gelimiteerde dekking. Het is dus van belang, zoals eerder vermeld, om de polisvoorwaarden goed te bestuderen alvorens u besluit een cyberverzekering af te sluiten.

Verder keren niet alle cyberverzekeraars uit bij fouten van het eigen personeel. Denk hierbij bijvoorbeeld aan het veroorzaken van een datalek door één van uw medewerkers. Er zijn verzekeraars die enkel uitkeren in het geval van diefstal door hackers. Fouten van het personeel vallen hier niet onder, terwijl werknemers zelf de zwakste schakel binnen een organisatie vormen als het gaat om informatiebeveiliging.

Een ander nadeel van een cyberverzekering is dat vrijwel nooit wordt uitgekeerd in het geval van oorlogshandelingen of  terrorisme. Zo kan het voorkomen dat een verzekeraar niet uitkeert bij een cyberaanval vanuit het buitenland. Of een verzekeraar uitkeert in dergelijke gevallen hangt af van hoe een en ander is gedefinieerd in de polisvoorwaarden. Het is dus belangrijk om hier wederom goed op te letten.

Conclusie

Het afsluiten van een cyberverzekering heeft voor- en nadelen en de prijzen voor een cyberverzekering zijn niet goedkoop, maar de schade van een geslaagde cyberaanval is in de meeste gevallen vele malen groter. Bovendien wordt de kans op een dergelijke aanval steeds groter en zit u met een grote schadepost die met een cyberverzekering relatief eenvoudig opgevangen kan worden.

Daarnaast leveren goede verzekeraars naast dekking ook hulp in de vorm van kennis en expertise. Dit kan vooral voor kleine bedrijven van grote waarde zijn als zij deze kennis niet zelf in huis hebben. Cybercriminaliteit zal helaas steeds meer voorkomen. Zowel grote als kleine bedrijven moeten daarom nadenken over een goede strategie voor het omgaan met deze risico’s. Het afsluiten van een cyberverzekering kan een onderdeel zijn van een dergelijke strategie.