Zie ook :
DEEL 3 : Cyberrisico’s. Praktische tips van Chubb over beperken van de gevaren.
Elk bedrijf dat gebruik maakt van computersystemen is vatbaar voor cyberrisico’s. Een aansprakelijkheidsverzekering dekt lang niet alle gevolgen. Een cyberverzekering wel.
– Biedt een cyberpolis toegevoegde waarde voor mijn bedrijf?
– Is cyber niet gedekt onder mijn (beroeps)aansprakelijkheidsverzekering?
Dergelijke vragen komen dagelijks binnen bij Jelmer Andela, senior underwriter Cyber en Barry Schütte, manager Pro ICT/Cyber van Chubb.
Steeds meer ondernemers raken ervan overtuigd dat ze ‘iets’ moeten met cyberrisico’s. Maar wat?
Vaak zien ze door de bomen het bos niet meer.
Heeft iedereen een cyberpolis nodig?
“Een cyberpolis is geen must”, nuanceert Schütte. “Wel is het zo dat de meeste ondernemingen worden blootgesteld aan cyberrisico’s. Vandaag de dag maakt 90 tot 95% van de ondernemingen voor de bedrijfsvoering gebruik van IT-systemen. Een dergelijk systeem kan stil komen te liggen door bijvoorbeeld een hack of er kunnen, al dan niet opzettelijk, gegevens gelekt worden. Welke impact zou dat op mijn bedrijfsvoering hebben? En ben ik in staat de gevolgen hiervan zelf te dragen? Dat moeten voor ondernemingen cruciale vragen zijn in hun besluitvorming.”
Andela voegt toe: “Als het systeem waarop bijvoorbeeld een webshop draait uitvalt, dan heeft dit inkomstenverlies tot gevolg. Een cyberpolis dekt deze kosten en biedt daarnaast crisismanagement services om ervoor te zorgen dat het systeem zo snel mogelijk weer ‘up and running’ is. In het algemeen kan worden gesteld dat hoe afhankelijker je bent van systemen, hoe raadzamer het is een cyberpolis af te sluiten.”
“Daarnaast speelt ook gegevensverwerking een belangrijke rol. Welke type data beheert mijn onderneming en hoe groot is de impact als deze data gelekt worden? Als het om persoonsgegevens gaat moet je in veel gevallen melding maken aan de Autoriteit Persoonsgegevens en in sommige gevallen ook aan de mensen van wie de gegevens gelekt zijn. Wij hebben incidenten meegemaakt waarbij callcenters moesten worden ingericht om vragen van gedupeerden te kunnen beantwoorden. Dan ben je blij dat je kunt terugvallen op je cyberverzekering voor zowel de kosten als het opzetten hiervan.”
Loop je minder risico als je het beheer van systemen uitbesteedt?
Schütte: “Als door een fout van jouw ICT-dienstverlener, een verkeerde configuratie of een cyberaanval via een openstaande poort, gegevens op straat komen te liggen, dan zul je daar schade door lijden. Tot op zekere hoogte kun je de dienstverlener hiervoor aansprakelijk stellen, maar je kunt niet alle risico’s op de dienstverlener afwentelen. Dus ook als je het beheer van systemen uitbesteedt loop je risico’s. Je blijft altijd zelf verantwoordelijk voor de data.”
Het is in de keuze voor de juiste polis cruciaal om vast te stellen wie de dataverantwoordelijke is.
“Dit is in principe diegene die de data verzamelt, bijvoorbeeld voor het afsluiten van een verzekering of de verkoop van een product. Als hij hierbij gebruik maakt van de diensten van een IT-provider om de data te hosten, back-ups te maken en te beveiligen, dan is de provider de databewerker en niet de dataverantwoordelijke.”
Wat zijn de gevolgen van een cyberhack of datalek?
Schütte: “Na een datalek of hack kun je te maken krijgen met de schade die bij derden is veroorzaakt, de kosten van onderzoek, het veiligstellen van databestanden, het herstellen van de systemen en eventuele boetes. Ondernemers vergeten vaak hoe hoog de eigen schade kan zijn als een systeem uitgeschakeld is: de dienstverlening komt stil te liggen en de bedrijfskosten lopen gewoon door.”
“We hebben ook steeds vaker te maken met ransomware waarbij informatie wordt gegijzeld door criminelen en pas wordt vrijgegeven na betaling. Bij aansprakelijkheid is in geval van ransomware alleen de schade bij de klant gedekt. Maar als je ook je misgelopen omzet wilt verzekeren, heb je een cyberverzekering nodig.”
Welke verzekering volstaat als je je wilt beschermen tegen cyberrisico’s? Een cyberpolis, avb of ba?
Andela: “Een cyberpolis is gericht op aansprakelijkheid en eigen schade als gevolg van een cyberincident. Daarnaast biedt de polis crisismanagement diensten in geval van een cyberincident. Je sluit hem af náást je aansprakelijkheidsverzekering voor bedrijven (avb) die hoofdzakelijk gericht is op zaak- en letselschade en werkgeversaansprakelijkheid: er moet iets stuk zijn, of iemand moet letselschade hebben opgelopen. Ook is het een goede toevoeging op een beroepsaansprakelijkheidsverzekering, waarin cyberaansprakelijkheid vaak wel gedekt is, maar de eigen schade niet.”
Kun je niet beter een stukje cyberdekking toevoegen aan je bestaande avb en ba verzekeringen?
Andela: “Daar zijn wij geen voorstander van. De enorme omvang van cyberrisico’s, veranderde wet- en regelgeving als ook toenemende afhankelijkheid van systemen, vragen om een specifieke verzekeringsoplossing. Een aantal cyberdekkingen toevoegen aan andere verzekeringsproducten kan leiden tot verwarring en gaten in de dekking. De financiële gevolgen van een datalek of hack zijn gewoonweg te groot.”
Kan een kleine zelfstandige zo’n cyberverzekering wel betalen?
Andela: “Een cyberverzekering afsluiten hoeft helemaal niet ingewikkeld of duur te zijn. Voor bedrijven met een omzet tot 25 miljoen euro hebben wij bijvoorbeeld een vereenvoudigde acceptatieprocedure waarmee ze snel en gemakkelijk een polis kunnen afsluiten. Afhankelijk van het risico heb je al een cyberverzekering voor €590 premie op jaarbasis.”
Welke toegevoegde waarde biedt de cyberverzekering van Chubb?
Andela: “Bij een goede cyberpolis gaat het niet alleen om financiële vergoeding. Natuurlijk is dat belangrijk, maar bij een datalek of hack is het vooral belangrijk dat de imagoschade beperkt wordt en dat het bedrijf snel weer door kan gaan met zijn core business. Dat kun je alleen doen als je snel en adequaat handelt. Verzekerden van Chubb kunnen zich beroepen op een team van experts dat 24/7 bereikt kan worden en direct in actie komt. Afhankelijk van het incident kunnen er diverse specialisten ingeschakeld worden zoals forensisch onderzoekers, juridische deskundigen, onderhandelaars en PR-experts.
Daarnaast bieden we onze klanten ook geheel vrijblijvend de Cyber Security Scan die de actuele risico’s en bedreigingen in kaart brengt. In tegenstelling tot de meeste andere scans, richt onze scan zich niet alleen op IT-aspecten, maar ook op zaken als medewerkers, beleid en procedures.”
Toelichting AVB :
Aansprakelijkheidsverzekering Voor Bedrijven : deze verzekering is gericht op zaak- en letselschade en werkgeversaansprakelijkheid. Er moet iets stuk zijn of iemand moet letselschade hebben opgelopen.
Toelichting BA :
BeroepsAansprakelijkheid (ba): gericht op zuivere vermogensschade van een derde als gevolg van het niet (goed) leveren van een product of dienst. Bijvoorbeeld financiële schade door een vertraagde implementatie van een nieuw systeem, waardoor allerlei oude licenties doorlopen.
Toelichting Cyberpolis:
biedt specifiek dekking in geval van een cyberincident en omvat drie dekkingselementen: aansprakelijkheid, eigen schade en crisismanagementdiensten.
Chubb Cyber ERM:
– vergoedt eigen schade, schade aan derden en crisismanagement
– vereenvoudigde acceptatieprocedure voor kleinere bedrijven
– cyber risk engineering voor complexere risico’s
– preventieve cyber security scan
– limieten tot 25 miljoen euro, uit te breiden naar € 100 miljoen
– dekking wereldwijd
– eenmalig eigen risico
– wachttijd bij bedrijfsschade werkt als franchise
– volledige limieten voor de rubrieken
– 24/7 Crawford dienstverlening zonder eigen risico
chubb is Partner van Findinet en draagt zo bij aan het in stand houden van onze Nieuwsdienst.
