Door het toenemende aantal cyberincidenten groeit het risico van bedrijfsuitval. Zowel financiële als imagoschade liggen op de loer. Het aanbod van cyberverzekeringen neemt daarom toe. Maar is zo’n verzekering zinvol? En wat valt er wel of niet onder de dekking?
1. Is de aansprakelijkheid voor cyberincidenten (bijv. datalekken) verzekerd onder algemene aansprakelijkheidsverzekeringen?
Nee. Cyberincidenten zijn in het algemeen niet verzekerd onder een algemene aansprakelijkheidsverzekering.
2. Wij maken gebruik van antivirussoftware en data-encryptie. Is dit voldoende als bescherming?
“Antivirus en encryptie zijn goede maatregelen, maar meestal is dit niet voldoende. Firewalls, updates en patchmanagement zijn eveneens belangrijk. Dit geldt ook voor segmentatie van netwerken. Als deze maatregelen worden genomen, dan ben je al heel eind als organisatie wat beveiliging betreft.”
3. Wat is een cyberverzekering?
“Een cyberverzekering dekt de gevolgen van hacking, systeeminbraak, verloren data, gegevensdiefstal, cybercrime en cyberaanvallen. Het is niet alleen compensatie, maar met name dienstverlening. Een soort ‘peace of mind’ concept. Zo bieden zij bijvoorbeeld onvoorwaardelijke assistentie van ervaren securityprofessionals, met wereldwijd bereik en met uitgebreide juridische expertise. Ervaren professionals helpen u om databases en websites te repareren, belanghebbenden te informeren en juridische kosten te beperken.”
4. Waarom heb ik een cyberverzekering nodig?
“Allereerst omdat er op andere verzekeringen geen dekking wordt geboden tegen de gevolgen van cyberincidenten. Tevens is het een bescherming van de organisatie om de continuïteit te waarborgen, mocht er een keer wat misgaan. Elke organisatie heeft data en data zijn heel waardevol. Cybercrime neemt fors toe en als organisatie kan je getroffen worden. Het is een teken van professionaliteit. Een cyberverzekering wordt steeds vaker geëist in contracten.”
5. Wat valt onder de dekking van een cyberverzekering?
De volgende dekkingen zijn mogelijk:
Al uw systemen verzekerd
• Kosten van forensisch onderzoek
• Kosten van communicatie met providers, klanten, toezichthouders, justitie, creditmaatschappijen en andere belanghebbenden.
• Kosten voor extra klantenondersteuning, bijvoorbeeld via een call centre.
• Kosten van crisismanagement, reputatieherstel en PR-campagnes.
Privacy en identiteit gewaarborgd
• Kosten van onderzoek door bijvoorbeeld justitie of creditcardmaatschappijen.
• Claims van individuele personen.
• Boetes opgelegd door toezichthouders, of andere verplichte vergoedingen.
• Digitale aansprakelijkheid geregeld
• Als uw website of e-mail onbedoeld het auteursrecht schendt, laster verspreidt of een virus bevat, dekt de verzekering de hieruit voortvloeiende kosten af.
Verzekerd tegen de gevolgen van hacking
• Reparatie, vervanging of herstel van websites, programma’s of data.
• Kosten van gestolen software of data.
• Kosten van onderzoek en advies in systeembeveiliging.
• Kosten van forensisch onderzoek naar de identiteit van een hacker.
• Kosten van PR-advies voor reputatiebescherming.
Schadeloos na afpersing
De schade veroorzaakt door hackers die uw website of data gijzelen, is verzekerd. U krijgt bijstand van security-experts en eventueel betaald losgeld wordt vergoed.
Geen inkomstenverlies door cyberaanvallen
Als een DDoS-actie of andere aanval op uw computersystemen leidt tot inkomstenverlies, bijvoorbeeld door uitval van een webwinkel, is dit verlies gedekt.
6. Wat kost een cyberverzekering?
“Dit is afhankelijk van bepaalde factoren, zoals omzet (wel of geen online), mate van beveiliging, soort data wat bewaard wordt, in welke sector het bedrijf actief is, en is er wel of geen activiteit in de VS. Maar een minimumpremie begint rond 600,- euro per jaar voor een dekking van 250.000 euro.”
7. Mijn organisatie loopt geen risico op cyberincidenten. Is een cyberverzekering dan wel nuttig?
“Alle bedrijven lopen cyberrisico’s. Hackers maken geen onderscheid. Bovendien worden er ook fouten gemaakt door eigen personeel. Bijna tee derde van de cyberincidenten heeft te maken met de factor mens. Bovendien worden er steeds nieuwe technieken en technologieën toegepast door hackers. Daarnaast kan je te maken hebben met leveranciers of afnemers. Als die gehackt zijn, dan ben je er meestal ook bij betrokken of slachtoffer.”
8. Wanneer is een cyberverzekering zinvol?
“Een cyberverzekering is altijd zinvol. Elke organisatie heeft data, is verbonden met het internet, en doet zaken met anderen bedrijven of personen. Geen enkele bedrijf is geïsoleerd. Veel malware-aanvallen zijn bovendien gericht op het MKB. Maar professionele hackers kijken vooral waar ze het eenvoudigst geld kunnen ‘ophalen’.”
9. Biedt een cyberverzekering dekking als data in de cloud worden opgeslagen en IT-diensten worden uitbesteed aan derden?
“Als organisatie blijf je verantwoordelijk voor je eigen data. Dus ja, data in de cloud worden gerekend tot eigen data en dus vallen ze onder de verzekering. Er is ook dekking voor uitbesteedde IT-diensten. Als hier behoefte aan is dan wordt dit meegenomen onder de dekking.”
10. Als een bedrijf door een cyberincident schade lijdt, is dan alleen de bedrijfsschade verzekerd die verband houdt met de online bedrijfsactiviteiten?
“Dit valt zeker onder de dekking. Als een DDoS-actie of andere aanval op computersystemen leidt tot inkomstenverlies, bijvoorbeeld door uitval van een webwinkel, dan is dit verlies gedekt.”
11. Is bedrijfsschade veroorzaakt door een cyberincident bij een toeleverancier/afnemer ook gedekt door een cyberverzekering?
“Ook dit kan worden gedekt. Dit noemen wij Dependend Business Interruption (DBI). Indien een leverancier is gehackt en de verzekerde heeft daardoor bedrijfsschade, dan kan dit worden meeverzekerd.”
Mr. Yasin Chalabi (LLM), Manager Professional Insurance & Cyber and Data Risks bij Hiscox Benelux
Lees ook
Gebrek aan informatie bemoeilijkt aanpak cyberveiligheid
Grote bedrijven pakken cybercrime samen aan
