Cyberverzekeringen komen steeds meer in het nieuws, niet in het minst omdat één van de meest actieve spelers, Aon in deze (niche)markt geregeld actief de publiciteit opzoekt. Naar aanleiding van een recente publicatie van de risico-adviseur over het verzekeren tegen boetes van de Autoriteit Persoonsgegevens naar aanleiding van overtredingen op de Algemene Verordening Gegevensbescherming (AVG), namen wij het verschijnsel Cyberverzekeringen onder de loep. Hier 5 vragen met uitgebreide antwoorden, met commentaar van Aon.
Wat zijn cyberverzekeringen en wat wordt daarmee gedekt?
Met een cyberverzekering dek je als organisatie het risico af dat je bij een incident (digitale inbraak, netwerkstoring, datalek etc) schade lijdt. Dat kan schade zijn als omzetderving, reputatieschade of anderszins. Op zich lijkt een cyberverzekering dus als elke andere verzekering, met vanzelfsprekend ook voorwaarden, uitsluitsels en extra diensten vanuit de verzekeraar. Via onderstaand staatje geeft Aon een overzicht van de dekking van de aangeboden cyberverzekering. Maar klanten kunnen daarin zelf ook hun keuzes maken, niet elk bedrijf in elke markt heeft immers dezelfde behoeften of loopt hetzelfde risico.
Welke bedrijven zijn het meest geneigd een cyberverzekering af te sluiten?
Dat verschilt, zegt Saida Nhass, manager bij Aon's Global Risk Consulting: "Professionele dienstverlening, technologiebedrijven, productiebedrijven, etc. Het hang af van de mate van maturity en awareness binnen de organisatie. Wij zien dat bijvoorbeeld binnen de bouw en logistiek minder verzekeringen worden gesloten, dit heeft onder meer te maken met de lage marges." De meeste verzekerden nemen bewust de standaard dekkingen zoals al eerder hierboven gemeld. "Maar het is ook mogelijk om een tailor made verzekering te nemen, bijvoorbeeld omdat de aard van de onderneming een specifieke dekking vergt (bijvoorbeeld bedrijven met call centers die onbereikbaar kunnen zijn). In een enkel geval kiest de onderneming er voor om zich niet te verzekeren tegen boetes."
Je kan je via zo'n polis dus ook verzekeren tegen boetes. Hoe zit dat?
Deze zomer werd bekend dat het Haga Ziekenhuis een boete kreeg opgelegd van de AP wegens overtreding van de AVG. Daarnaast moet het ziekenhuis voor 2 oktober de beveiliging verbeteren, anders kost het nog eens een ton aan dwangsom per 2 weken. Aon deed samen met advocatenkantoor DLA Piper onderzoek naar de verzekerbaarheid van dergelijke boetes. En wat bleek: "In de polisvoorwaarden staat nadrukkelijk dat een strafrechtelijke boete niet verzekerd is. Ook boetes die zijn opgelegd door opzet of grove schuld. De uitzonderingen op de dekking staat dus in de polisvoorwaarden", zegt Saida Nhass. Wel verzekerd zijn dus administratieve en dus bestuursrechtelijke boetes, zoals deze van de AP. Overigens is Nederland hierop een uitzondering; in de meeste landen in Europa is dit bij wet verboden.
De voorwaarden van zo'n polis hangen in sterke mate af van het risicoprofiel van de polisnemer. Wat heeft dat voor consequenties?
Naarmate een bedrijf zich beweegt in een risicovol marktsegment, of een groter risico loopt op verstoring van de bedrijfsvoering bij een incident dan wel een groter risico loopt op datalekken door de aard van het bedrijf cq de hoeveelheden data, dan heeft dat gevolgen voor zowel premie als het dekkingsbedrag dat de schade moet dekken. De hoogte van de premie kan een bedrijf doen afzien van de verzekering of te kiezen voor een lager dekkingsbedrag om zo de premie te drukken. Dat kan gevolgen hebben voor het afhandelen van incidenten. Zo werd een Amerikaanse lokale overheid te pakken genomen door ransomware/cryptoware, een aanval die te verzekeren is, ook in Nederland. Maar de schade die zou zijn ontstaan door zelf de getroffen bestanden te recoveren, zou het miljoen dollar overstijgen, terwijl de 'gijzelaars' een bedrag opeisten van 42 bitcoins, toentertijd iets meer dan 460.000 dollar. De verzekeraar meldde dat bedrag te willen betalen, in plaats van dat miljoen. En zo geschiedde. Daarmee, zo zeggen critici, houden verzekeraars dergelijke aanvallen in stand. Vanzelfsprekend hebben we Aon gevraagd hoe zij hierin staan en dit is het antwoord: ""Wij kennen de exacte omstandigheden en de precieze details van dit geval niet en dus wij kunnen ons daarover ook niet uitlaten. Over het algemeen is ons standpunt dat vanuit ethisch perspectief het betalen van losgeld niet aan te raden is. Echter vinden wij het niet onbegrijpelijk dat in sommige, uitzonderlijke, gevallen de keuze voor het betalen van losgeld de voorkeur geniet van verzekeraars."
De wetgeving wordt steeds strenger, de aanvallen steeds complexer, net als het digitale aanvalsvlak die door organisaties en bedrijven steeds groter wordt gemaakt. Zijn dergelijke verzekeringen in de toekomst nog wel houdbaar cq betaalbaar?
Gezien de schade die het bedrijfsleven oploopt door cyberaanvallen en AVG-overtredingen, zijn er in de toekomst veranderingen/aanpassingen te verwachten in het te verzekeren bedrag of bepaalde delen van dergelijke polissen. Saida Nhass: "Nu is het verzekerbaar, onder voorwaarden, mits de juiste dekking is genomen in de polis. Het kan zijn dat op termijn ook op dit vlak de verzekeringsmarkt zal verharden, maar op dit punt zijn we nog niet beland. Wel zien we al dat bepaalde sectoren niet geliefd zijn waar het risico wat hoger ligt, maar ook zij kunnen een verzekering sluiten." Nu dus nog wel, maar de toekomst zal leren in hoeverre cyberverzekeringen nog een losstaand fenomeen blijven.
Reageer
Preview