Netherlands

Cyber’s frequently asked questions

 

Antwoorden op cyberveiligheid en –verzekeringsvraagstukken

Cyberrisico’s zijn relatief nieuw. Dit geldt ook voor de verzekeringen die deze risico’s afdekken. Hierdoor zien we dat er nog veel vragen bestaan over dit onderwerp bij onze klanten. We hebben daarom een aantal veelvoorkomende vragen onder elkaar gezet. Zo krijgt u een beter beeld van het hoe en waarom van een cyberverzekering. Uiteraard kunt u altijd contact met ons opnemen indien u meer vragen heeft of advies wilt inwinnen.

 
Is de aansprakelijkheid voor cyberincidenten (bijv. datalekken) verzekerd onder algemene aansprakelijkheidsverzekeringen?

Traditionele aansprakelijkheidsverzekeringen bieden zelden dekking voor aansprakelijkheid naar aanleiding van cyberincidenten. In de regel bieden algemene aansprakelijkheidsverzekeringen alleen dekking in geval van letsel of fysieke schade. Uw cyberverzekering biedt wel dekking voor aansprakelijkheid voor cyberincidenten.

Mijn bedrijf maakt gebruik van antivirussoftware en data-encryptie. Is dit voldoende als bescherming?

Hoewel deze middelen zeker kunnen helpen schade te voorkomen of beperken, vormen ze geen gegarandeerde bescherming tegen datalekken of andere cyberincidenten. Cybersecurity en cyberverzekeringen zijn complementair aan elkaar. Er zijn tal van voorbeelden van grote multinationals die het slachtoffer werden van cybercrime. Zelfs de beste antivirussoftware en de meest ervaren in-house it-experts konden dit niet verhinderen. Bovendien zijn meer dan 40% van de claims zijn te herleiden naar menselijk of systeem falen.

Wat is een cyberverzekering?

De cyberverzekering verzekert, naast de aansprakelijkheid van een onderneming voor door derden geleden schade (inclusief daaruit voortvloeiende gevolgschade), tevens de eigen kosten naar aanleiding van een digitaal risico. Deze risico’s kunnen bestaan uit het verloren gaan van gegevens door hacking, maar ook verlies of diefstal van bijvoorbeeld laptops, tablets of usb-sticks.

Dekking cyberverzekering
  • aansprakelijkheid voor door derden geleden schades;
  • verdedigings- en verweerkosten voor de aansprakelijkheid bij tekortkoming van goed beheer van privacydata en andere digitale risico’s;
  • onderzoekskosten;
  • kosten voor public relations consultancy ter bescherming van het imago;
  • klantnotificatiekosten;
  • kredietbewakingskosten;
  • boetes die door de overheid worden opgelegd (mits wettelijk toegestaan);
  • reconstructiekosten van de data;
  • cyberdiefstal, ransomware;
  • bedrijfsstilstand als gevolg van digitale risico’s (optioneel).
Mijn organisatie loopt volgens mijn IT-expert geen risico op cyberincidenten. Is een cyberverzekering dan wel nuttig?

Voor cyberrisico’s geldt dat zelfs de beste cybersecuritymaatregelen niet kunnen garanderen dat hackers u niet kunnen raken. U kunt een cyberverzekering vergelijken met een brandverzekering. Ondanks blusinstallaties, sprinklers en brandwerend materiaal blijft er altijd risico op een brand. Daarom hebben bedrijven met uitstekende brandpreventie daarnaast een brandverzekering. Daarnaast is uw IT-expert niet verantwoordelijk én aansprakelijk voor de cyberveiligheid van uw systemen.

Ben ik als mkb-bedrijf een doelwit van hackers?

Een hacker maakt geen onderscheid tussen grote en kleine bedrijven. Veel aanvallen zijn geen doelgerichte aanvallen. Aanvallen als deze kunnen ieder bedrijf raken dat ermee in aanraking komt. Uiteraard is de premie wel afhankelijk van de omvang van uw bedrijf. Juist kleinere bedrijven worden vaak als target gezien door hackers, omdat hun veiligheidsmaatregelen over het algemeen minder uitgebreid zijn dan die van multinationals.

Is een cyberverzekering zinvol voor mijn organisatie?

Dekking tegen cyberrisico’s is van meerwaarde voor elke onderneming die beschikt over vertrouwelijke informatie en/ of klantgegevens. Per 25 mei 2018 is de Algemene verordening gegevensbescherming (AVG, ook wel General Data Protection Regulation (GDPR)) van kracht. Deze Europese privacywetgeving stelt o.a. eisen aan het veilig bewaren van gegevens. Hierdoor lopen bedrijven een aanmerkelijk aansprakelijkheidsrisico. Naast het aansprakelijkheidsrisico voor schade aan derden, kan ook de schade die bedrijven zelf lijden door cybercriminaliteit, systeemfalen en menselijk handelen desastreus zijn. Diefstal of verlies van gevoelige informatie over klanten of werknemers kan iedere onderneming overkomen. Het verlies van één laptop kan al tot ernstige financiële gevolgen en reputatieschade leiden. Een cyberverzekering voorziet daarbij niet alleen in een financiële tegemoetkoming, ook de ‘incident response’-diensten worden gedekt.

Wat moet ik doen als zich een cyberincident heeft voorgedaan?

Na een cyberincident kunt u het crisisnummer dat op uw cyberpolis vermeld staat, bellen. Er wordt in overleg met de crisismanager bepaald welke partijen ingeschakeld moeten worden om de crisis onder controle te krijgen. Aon heeft een wereldwijd netwerk van specialisten, zoals forensische-, juridische- en cyberexperts en specialisten op het gebied van fraude en public relations, om elk soort cyberincident te kunnen beheersen.

 

Dekking door een cyberverzekering


Een medewerker is zijn laptop met privacygevoelige informatie verloren. Valt dit onder de dekking?

Ja. Wanneer het verlies van bijvoorbeeld een laptop of usb-stick met daarop privacygevoelige informatie tot schade leidt, valt deze schade onder de dekking van uw polis.

Is dit ook het geval wanneer een medewerker zijn werktas met privacygevoelige documenten verloren is?

Ja. Een cyberverzekering maakt geen onderscheid tussen een digitaal en niet-digitaal document. De gemene deler is het feit dat in beide gevallen privacygevoelige informatie op straat is gekomen. Veelvoorkomende kosten in dit soort scenario’s zijn notificatiekosten, reputatiekosten, juridisch advies, aansprakelijkheid en in ernstige gevallen business-interruptie.

Mijn systemen zijn gehackt en ik moet betalen om toegang te krijgen tot mijn gegevens (ransomware-aanval). Wat heb ik aan mijn cyberpolis?

Wanneer u ontdekt gehackt te zijn, kunt u onmiddellijk bellen naar het crisisnummer dat op uw polis vermeldt staat. De crisismanager zal met u bespreken wat de beste aanpak is om deze zogenaamde ransomware-aanval op te lossen. De kosten - inclusief een eventuele betaling van losgeld - die gemaakt worden om deze situatie op te lossen, vallen onder de dekking van uw verzekering.

Biedt een cyberverzekering dekking als data in de cloud worden opgeslagen en it-diensten worden uitbesteed aan derden?

Ja. Of gegevens nu op een eigen server worden opgeslagen of in de cloud, voor de dekking maakt dit geen verschil. In beide gevallen zijn cyberincidenten doorgaans voor de volledige polis limiet verzekerd conform de dekkingsvoorwaarden, zowel voor eigen schade als voor de aansprakelijkheidsschade jegens derden.

Een cyberverzekering biedt veelal dekking voor pr-kosten. Wat moet ik me hierbij voorstellen?

De meeste verzekeraars bieden een vergoeding voor pr-kosten na een cyberincident. Deze vergoeding valt onder de crisisresponse-diensten. De kosten die u maakt om advies in te winnen bij een communicatie-expert vallen ook onder dekking. De kosten die gemaakt zijn voor het uitvoeren van dit advies zijn echter niet gedekt. Denk hierbij aan de kosten die u maakt bij het inkopen van zowel offline als online advertenties.

Wanneer ik niet compliant ben met de GDPR kan ik een forse boete krijgen. Valt deze boete ook onder de dekking?

Een cyberverzekering biedt dekking, mits dit wettelijk is toegestaan, voor door een toezichthouder opgelegde boete in verband met verlies/openbaarmaking van (persoons)gegevens, evenals de daarbij behorende verweerkosten ten tijde van het onderzoek door een toezichthouder. De verweerkosten zoals juridische bijstand worden ook gedekt wanneer de eventueel opgelegde boete dit niet is. Het dekken van deze boetes ligt in veel landen echter gevoelig, doordat dit het doel van de wetgeving kan ondermijnen.

 

Bedrijfsschade

Als een bedrijf door een cyberincident schade lijdt, is dan alleen de bedrijfsschade verzekerd die verband houdt met de online bedrijfsactiviteiten?

Nee. Naast de bedrijfsschade die op online activiteiten geleden wordt, is de bedrijfsschade op offline activiteiten eveneens verzekerd. Dus bijvoorbeeld ook als door een cyberincident de voorraadsystemen niet meer functioneren of de telefooncentrale is uitgeschakeld. De bedrijfsschade die daaruit voortvloeit, is meeverzekerd.

Is bedrijfsschade veroorzaakt door een cyberincident bij een toeleverancier/afnemer ook gedekt op een cyberverzekering?

Dit is niet standaard gedekt, maar kan onder hele specifieke voorwaarden wel in de dekking worden meegenomen. Dit verschilt per verzekeraar.

Er wordt gesproken over gederfde nettowinst, maar mijn bedrijf heeft geen winstoogmerk. Hoe werkt de verzekering dan en wat doet dit met mijn premie?

Voor publieke instellingen is het lastiger om deze gederfde nettowinst te berekenen. Onder het nettoverlies verstaan we bij scholen het verlies van inkomsten door bijvoorbeeld minder aanmeldingen, bij gemeenten is dit bijvoorbeeld verlies door extra werk (overuren). De premie voor gemeenten is doorgaans afhankelijk van het aantal inwoners van de gemeente. Voor onderwijs is dit het aantal leerlingen/studenten. Uw premie wordt aangepast op het verwachte risico en de kosten.

Mijn bedrijf ligt stil door een cyberincident. Hoe worden de bedrijfsinterruptiekosten berekend?

De kostenberekening kan op twee verschillende manieren gemaakt worden. Veel verzekeraars hanteren de nettowinst-methode waarbij het verlies van (nettowinst + de vaste kosten) wordt vergoed. Een andere gebruikte methode is de brutowinst-methode waarbij de (omzet - de variabele kosten) het uitgangspunt zijn.

Wat is het verschil tussen eigen risico en franchise wanneer ik bedrijfsinterruptie heb na een cyberincident?

De verzekeraars die cyberpolissen aanbieden maken gebruik van twee soorten eigen risico: het klassieke eigen risico en franchise. Voordat de dekking ingaat wat betreft bedrijfsinterruptie is van belang:

  • het eigen risico: een gelimiteerd bedrag waarover u het risico zelf draagt;
  • de wachttijd: een eigen risico in de vorm van een bepaald aantal uur bedrijfsstilstand alvorens de dekking ingaat.
Voor de berekening van het uit te keren bedrag zijn er twee methodes. Stel u heeft in beide scenario’s een eigen risico van EUR 25.000 en een wachttijd van 8 uur. De uiteindelijke schade door bedrijfsstilstand betreft EUR 1.000.000 en uw bedrijf heeft 10 uur stilgelegen, waarbij elk uur evenredig is qua kosten (dus EUR 100.000). Bij de ene verzekeraar krijgt u nu EUR 975.000 uitgekeerd en bij de andere verzekeraar slechts EUR 200.000. Hoe kan dit? In het eerste scenario, het zogenaamde franchisemodel, werkt de wachttijd van 8 uur als een trigger waarna alle kosten minus het eigen risico gedekt worden (1.000.000, - minus 25.000, -).

In het tweede scenario worden de kosten pas vergoed die gemaakt zijn nadat de wachttijd is verlopen (2 uur * EUR 100.000). Echter is het eigen risico in dit geval niet meer van toepassing (mits dit bedrag lager is dan de kosten gemaakt tijdens de wachttijd). Let wel dat kosten niet altijd evenredig zullen zijn en juist in de eerste uren van uw bedrijfsstilstand de kosten kunnen oplopen. Als de bedrijfsinterruptie binnen de wachttijd is opgelost dan draagt u deze kosten zelf.
 

Veelgestelde vragen

Brochure

Cyber is complex. Lastige termen, ingewikkelde processen en een ‘onzichtbare’ dreiging. Wij hebben de meestgestelde vragen over cyberverzekeringen handig voor u in een PDF op een rij gezet.

Download PDF