Het verzekeren van cyberrisico’s zal op termijn net zo normaal zijn als het afsluiten van een brand- of aansprakelijkheidsverzekering. Dit schrijft het Verbond van Verzekeraars in haar vandaag, 31 oktober 2013, gepubliceerde position paper ‘Virtuele risico’s, echte schade'.
Cybercrime en cyberrisico’s zijn niets nieuws meer. Het verzekeren van deze cyberrisico’s staat daarentegen nog in de kinderschoenen. Zoals het Verbond zegt: cybercriminaliteit houdt een wat ongrijpbaar karakter. In de position paper maakt het Verbond duidelijk welke echte schade uit deze ongrijpbare, virtuele risico’s kan voortvloeien en wat daartegen is te doen. De paper is zowel bedoeld voor partijen uit de verzekeringsbranche, als voor verzekerden, bijvoorbeeld bedrijven.
Het Verbond zet eerst uiteen wat verzekeraars verstaan onder cyberrisico: ‘het financiële nadeel dat een verzekerde oploopt door of via computer- en/of ICT-systemen, zonder dat sprake is van materiële schade’. Er zijn volgens het Verbond drie manieren waarop deze risico’s ontstaan:
1) criminaliteit, dus een moedwillige aanval van buitenaf;
2) menselijke fouten;
3) technisch falen.
Deze risico’s kunnen zich op verschillende manieren verwezenlijken (denk bijvoorbeeld aan verlies van data, bedrijfsstagnatie, aansprakelijkheid of boetes), hetgeen weer leidt tot financiële schade.
In de Verenigde Staten is het afsluiten van een cyberverzekering al vrij normaal, maar in Nederland is deze markt nog volop in ontwikkeling. Momenteel valt het aanbod in twee gedeelten uiteen: de verzekering van schade aan derden en de verzekering van schade die de onderneming zelf lijdt.
Deze schade kan zich op verschillende momenten ontwikkelen. Het Verbond maakt onderscheid tussen het optreden van schade vóór en tijdens het incident, alsmede na het incident in de herstel- en controlefase.
Bij schade vóór het incident valt te denken aan kosten in verband met de extra inkoop van IT-capaciteit, bijvoorbeeld om een Ddos-aanval af te weren. Heeft het incident zich reeds gemanifesteerd, dan zullen er kosten gemaakt moeten worden voor onderzoek naar de oorzaak, kan er bedrijfsstilstand optreden en kan het bedrijf aansprakelijk worden gesteld. In de herstel- en controlefase kan het noodzakelijk zijn om kosten te maken om bijvoorbeeld data terug te krijgen of om systemen te monitoren.
Het Verbond benadrukt dat bedrijven, óók als ze een cyberverzekering hebben afgesloten, zich moeten inspannen om incidenten te voorkomen. Niet alleen blijven de premies dan betaalbaar, maar bijvoorbeeld imagoschade valt niet onder de dekking van de cyberverzekering. Imagoschade is immers lastig uit te drukken in een waarde in geld en wordt daarom niet verzekerd. Investeren in preventie is dus ook en vooral in het belang van de verzekerde. Het is voorstelbaar dat een verzekering wel dekking biedt voor bijvoorbeeld de kosten van het oprichten van een callcenter waar telefoontjes worden ontvangen van verontruste klanten van het getroffen bedrijf.
Terecht wijst het Verbond op artikel 13 van de Wet bescherming persoonsgegevens, waarin is bepaald dat een bedrijf ‘passende beveiligingsmaatregelen’ moet nemen bij het verwerken van persoonsgegevens. Deze verplichting kan worden doorgetrokken naar het verwerken van bedrijfsgevoelige informatie. Contractpartijen van bedrijven die deze informatie verwerken, mogen dus verwachten dat het bedrijf hiervoor richtlijnen heeft. Welke maatregelen ter bescherming van gegevens redelijkerwijs en minimaal genomen kunnen en moeten worden, is onder meer afhankelijk van de ernst van de mogelijke gevolgen van het lekken of verliezen van gegevens. Het Verbond geeft op pagina 6 van de position paper een aantal voorbeelden van maatregelen die getroffen zouden kunnen worden.
Cyberrisico’s worden reeds deels gedekt op traditionele polissen, bijvoorbeeld brand- en technische verzekeringen, de aansprakelijkheidsverzekering en de fraudeverzekering. Echter, geen enkele traditionele verzekering biedt uitgebreide dekking in geval van de verwezenlijking van cyberrisico’s. Volgens het Verbond heeft de cyberpolis derhalve een grote toegevoegde waarde.
“Op dit moment zal een cyberverzekering vooral interessant zijn voor bedrijven die in sterke mate afhankelijk zijn van IT-systemen of die veel gegevens beheren.”, aldus het Verbond in de notitie (pagina 9). Voor de hand liggende bedrijven zijn de banken, overheden zoals provincies en gemeenten, telecombedrijven, zorginstellingen en verzekeraars zelf. Echter, tegenwoordig zijn uiteraard veel meer bedrijven in sterke mate afhankelijk van ICT. Terecht geeft het Verbond als voorbeeld de webwinkel, die ook al snel te maken kan krijgen met duizenden contacten.
De position paper van het Verbond van Verzekeraars sluit goed aan op de koers van de overheid om bedrijven te stimuleren zich te verzekeren voor cyberrisico’s. Verzekeraars leveren hiermee een goede bijdrage aan het verhogen van het risicobewustzijn van bedrijven. Bovendien kunnen verzekeringsvoorwaarden ertoe leiden dat bedrijven meer veiligheidsmaatregelen nemen en dat zij de mogelijkheden tot verdere beveiliging op de voet volgen.
Verbond van verzekeraars: “Cyberverzekering op den duur normaalste zaak van de wereld”
Het verzekeren van cyberrisico’s zal op termijn net zo normaal zijn als het afsluiten van een brand- of aansprakelijkheidsverzekering. Dit schrijft het Verbond van Verzekeraars in haar vandaag, 31 oktober 2013, gepubliceerde position paper ‘Virtuele risico’s, echte schade'.Cybercrime en cyberrisico’s zijn niets nieuws meer. Het verzekeren van deze cyberrisico’s staat daarentegen nog in de kinderschoenen. Zoals het Verbond zegt: cybercriminaliteit houdt een wat ongrijpbaar karakter. In de posi...
Leestijd
Auteur artikel
Nynke Brouwer
Gepubliceerd
31 oktober 2013
Laatst gewijzigd
16 april 2018