Welke risico’s dekt een cyberverzekering?

Bedrijven die zich willen indekken tegen cybercriminaliteit kunnen daarvoor een beroep doen op een cyberverzekering. Die zorgt voor de digitale gezondheid van uw bedrijf en om dat te doen, heeft de polis drie onderdelen: een assistentielijn, de dekking van de eigen schade en de dekking van de schade aan derden. Tom Van Britsom, cyberexpert bij Vanbreda Risk & Benefits, ontleedt de cyberverzekering.

Een assistentielijn associëren veel bedrijven met pechverhelping. Wie op vakantie langs de kant van de weg staat met een defect voertuig belt de assistentielijn. Bij een cyberongeval is dat net zo. Achter de assistentielijn zitten specialisten die u assisteren om het incident aan te pakken. “Denk aan IT-experts die problemen als ransomware al vaker hebben gezien”, vertelt Tom Van Britsom, cyberexpert bij Vanbreda Risk & Benefits. “Zij kunnen bedrijven op basis van hun ervaring door die situatie loodsen.” Toch beperkt de assistentielijn zich niet tot de pure crisis- en IT-assistentie. Bij een incident komt immers meer kijken. Wordt uw website gehackt waardoor gevoelige informatie plots openbaar is, dan heeft u ook een wettelijk probleem. “Op dat moment moet u ook stappen zetten en bijvoorbeeld betrokken cliënten informeren, contact opnemen met de Gegevensbeschermingsautoriteit, enzovoort”, zegt Tom Van Britsom. “Via de assistentielijn kunnen bedrijven voor advies terecht bij juristen die uitleggen wat ze precies moeten melden.” Tot slot biedt de assistentielijn ook PR-assistentie om ervoor te zorgen dat u als bedrijf de juiste boodschappen communiceert, zonder paniek en verwarring te zaaien.

Om een cyberincident op te lossen, is gespecialiseerde hulp onmisbaar. Een cyberpolis kan de kosten dekken die u daarvoor maakt en dat kan ruim gaan. De polis komt tussen voor de honoraria van IT-experts, maar bijvoorbeeld ook van crisismanagers, juristen of schadebegroters. Daarbovenop dekt de polis ook de effectieve bedrijfsschade en de kosten voor het herstellen van de data. Tom Van Britsom maakt de vergelijking met een brand. “Als een gebouw afbrandt, dan kan een bedrijf niet produceren”, zegt hij. “De verzekering bedrijfsschade na brand dekt de periode tot de onderneming terug actief is. Een cyberincident is zoals een digitale brand, waarbij het bedrijf de stilstand in die periode via de polis kan laten vergoeden.”

Gaat die vergelijking ook op als een bedrijf krijgt af te rekenen met cyberafpersing, bijvoorbeeld via CryptoLockers? Veel bedrijven willen beroep doen op hun cyberpolis wanneer cybercriminelen losgeld eisen in ruil voor het ontsleutelen van gegevens. Tom Van Britsom wijst op de reikwijdte van de dienstverlening van de assistentielijn. “Een cyberpolis vergoedt ook cybergelden”, stelt hij, “maar het is de laatste optie die we aansnijden. Experts achter de assistentielijn herkennen terugkerende patronen in het contact met cybercriminelen en kunnen gepast reageren.”

Parallel daarmee vergoedt de cyberpolis cyberdiefstal en telefoonhacking, en bevat de dekking ook enkele administratieve waarborgen. Wie kosten maakt voor een administratief onderzoek naar het naleven van de GDPR-wetgeving kan daarvoor een beroep doen op de cyberpolis en zelfs administratieve boetes zijn verzekerbaar  (strafrechtelijke boetes daarentegen zijn dat niet). Tot slot vallen ook de meldingskosten, bijvoorbeeld voor het inlichten van cliënten over een cyberincident, onder de dekking van de eigen schade.

Helaas blijft de impact van een cyberincident niet altijd beperkt tot de eigen onderneming. Ook derden kunnen schade oplopen en voor de kosten om u tegen deze schade te verdedigen kan u zich via een cyberpolis indekken. “Denk aan een retailer die bepaalde producten niet meer kan verkopen door een netwerkonderbreking. Zijn afnemers beschikten door de onderbreking niet tijdig over de gevraagde producten en stellen daarom een schadeclaim tegen hem in”, geeft Tom Van Britsom als voorbeeld. Al kan het eveneens gebeuren dat het incident in uw bedrijf voor cyberproblemen zorgt bij andere bedrijven. In zo’n geval dekt de polis de verspreiding van een virus, corrupte gegevens of een corrupt programma. Daarmee hangt vaak samen dat derden daaropvolgend ondervinden dat data worden geblokkeerd, vernietigd, gewijzigd of verstoord.

Een derde scenario waarbij uw cyberincident derden schade toebrengt, heeft te maken met het verspreiden van (vertrouwelijke) info van derden. “Stel dat al uw cliëntengegevens publiek worden, die cliënten zich verzamelen en een schadeclaim indienen, dan kan u daarvoor terugvallen op uw cyberpolis.”

Het is belangrijk om op basis van een goede analyse in te schatten welke waarborgen nodig zijn in uw cyberverzekering. “Als verzekeringsmakelaar hechten we veel belang aan het uitwerken van een cyberpolis op maat van een bedrijf”, legt Tom Van Britsom uit.

Tegelijk is het belangrijk om in te schatten of andere polissen, bijvoorbeeld fraudeverzekeringen, al voor bepaalde waarborgen zorgen. Hoe vermijdt u overlappingen of verwarring? “We merken dat verzekeraars in hun andere polissen cyberrisico’s stilaan uitsluiten”, zegt Tom Van Britsom. “Dat is evident, want die horen daar niet verzekerd te zijn. Het is vooral zaak om incidenten zoals factuurfraude goed in te schatten. Als een crimineel inbreekt in uw systeem en de facturen aanpast, dan valt dat onder de cyberpolis. Maar als hij een valse factuur maakt en uit naam van uw bedrijf verzendt, zonder inbraak in het systeem, dan valt dat onder een fraudeverzekering.”

Het afsluiten van een cyberpolis gaat verder dan de handtekening onder het contract. Het valt op hoe belangrijk preventieve diensten zijn voor dit type verzekering. Een securityscan kan, nog voor er problemen opduiken, analyseren waar een bedrijf online kwetsbaar is. Online trainingsmodules voor de werknemers kunnen de aandacht voor mogelijk cyberproblemen binnen het bedrijf verhogen. Daarnaast kan de verzekeraar via security workshops de reactie van bedrijven verbeteren. “Als makelaar kunnen we voor onze cliënten workshops opzetten”, bevestigt Tom Van Britsom. “Op basis van onze ervaringen met cyberschade simuleren we bij de cliënt schadegevallen en kijken we wat de beste reactie is.”