Netherlands

Risk Impact: wapens tegen emerging risks

 

September 2017

Risk Impact is een uitgave van Aon Global Risk Consulting (AGRC), waarin de actuele risico’s en hun potentiële impact voor het Nederlands bedrijfsleven worden besproken. Iedere maand blikken we terug: wat speelt er in de wereld, wat betekent dit voor u en wat kunt u doen om de impact op uw bedrijf te beheersen en beperken?

Wat denkt u, zijn nieuwe en opkomende risico’s pure toekomstmuziek of verdienen ze nu al prioriteit? Wat zijn überhaupt de belangrijkste nieuwe dreigingen in deze categorie en hoe bereidt u uw organisatie hier op voor? Grote kans dat u twijfelt omdat u niet weet óf uw organisatie wel met deze risico’s te maken krijgt. In deze Risk Impact leest u hoe de druk op de primaire processen van organisaties wereldwijd blijft groeien door nieuwe opkomende risico’s. En wat u ertegen kunt doen.

 

Zelfrijdende auto’s: techniek versus ethiek


Wanneer breken zelfrijdende auto’s door? Ondanks de beschikbare techniek wachten we er al jaren op. Ethische vragen en verzekeringsissues remmen het proces. Wie maakt de keuzes als een ongeluk niet meer te vermijden is: de auto of de bestuurder? En welk leven weegt zwaarder: dat van een mens of een dier? De Amerikaanse Universiteit MIT buigt zich al langer over dit onderwerp om zowel wetgevers als autobouwers richting te geven.

De Duitse regering nam de afgelopen maand richtlijnen over van een ethische commissie van diverse wetenschappers over deze keuzes en vragen. In de kern stellen de richtlijnen dat mensen vóór dieren en materiële zaken gaan en dat de eigenaar van de auto altijd over de data van zijn boordcomputer moet kunnen beschikken en beslissen. Die data is van belang om te kunnen bepalen wie eindverantwoordelijk is voor een ongeluk dat niet meer te voorkomen was. Hoe we in Nederland in de toekomst omgaan met dergelijke gevallen is nog niet duidelijk, maar dát we duidelijkheid nodig hebben staat buiten kijf.

Ook de verscheidenheid aan fysieke wegelementen, zoals verf, reflectoren en metalen spelen bij zelfrijdende auto’s een belangrijke rol. Reden is dat de technologieën van producenten elk weer anders op de wegelementen reageren. Verzekeraars moeten weten hoe dat precies zit om situaties te kunnen beoordelen. Ook producenten willen duidelijkheid, net als gemeenten, provincies en Rijkswaterstaat – partijen die verantwoordelijk zijn voor het onderhoud en de aanleg van onze wegen. Wegenbouwers zullen zich in deze materie moeten verdiepen om onze wegen aan de eisen te laten voldoen. Het bijhouden van de technologische ontwikkelingen op dit gebied is dan ook voor meerdere organisaties en sectoren cruciaal.

 

Cybercrime: dagelijkse business
Vallen cyberrisico’s nog wel onder opkomende risico’s? Afgelopen maanden bleek eens te meer hoe kwetsbaar grote organisaties voor cyberaanvallen zijn. Zowel het Petya- als het WannaCry-virus hadden grote impact op de bedrijfsvoering van verschillende multinationals. Ook september stond bol van de cyberincidenten. Denk aan:

  • het onbedoeld online zetten van bedrijfsgeheimen en privédata door de gemeente Alkmaar in het kader van een openbare aanbesteding van het openbaar vervoer dat afgelopen maand bekend werd;
  • de grootschalige hack bij Deloitte waarbij het e-mailsysteem gekraakt werd en informatie van gebruikers, banken, multinationals, mediabedrijven, farmaceutische bedrijven en overheidsinstanties mogelijk buit werden gemaakt;
  • pacemakers die te hacken zouden zijn omdat ze geen update hadden gekregen.
Ondanks dit soort aanhoudende ‘waarschuwingen’ blijkt het merendeel van de bedrijven nog altijd onvoldoende voorbereid op cyberrisico’s. Niet alleen de beveiliging is nog vaak ondermaats, organisaties zijn ook onvoldoende op de hoogte van de mogelijke impact van incidenten op hun organisatie. Kijk voor meer informatie over cyberrisico’s op onze website.

 

Pacemakers gehackt
Pacemakers redden niet alleen levens, maar brengen ook nieuwe risico’s met zich mee. Want wat als een pacemaker wordt gehackt? Abbott Laboratories, producent van pacemakers, voorzag dat scenario en zette een grote recall op touw: hun pacemakers bleken gevoelig voor hacken, waardoor de batterij sneller leeg loopt of het apparaatje een verkeerd ritme doorgeeft. Patiënten – in totaal bijna een half miljoen – konden zich voor een update van hun pacemaker melden bij een arts. De kosten voor de ‘recall’ kwamen volledig voor rekening van de producent.

Deze case bewijst dat technologische ontwikkelingen soms voor serieuze nieuwe en opkomende risico’s zorgen. Daarmee kunnen omgaan is van essentieel belang vanuit financieel opzicht en voor het imago en de continuïteit van een bedrijf. Soms is tijdig ingrijpen zelfs letterlijk van levensbelang.

 

Privacy echt geborgd met de AVG?


Wetgeving op het gebied van cyberveiligheid is niet zaligmakend, zo bleek onlangs toen de gemeente Alkmaar na een privacy-schandaal een schadeclaim van maar liefst 17,7 miljoen euro ontving. Daarbij komen nog de kosten voor het informeren van alle getroffen partijen, die op hun beurt schadeclaims kunnen indienen voor gevolgschade van het incident.

Deloitte zit in eenzelfde schuitje. Het bedrijf moet rekening houden met claims van organisaties waarvan vertrouwelijke, vaak concurrentiegevoelige informatie openbaar beschikbaar is geraakt. Aangezien het hier ook om persoonlijke informatie van medewerkers ging, kunnen meer claims volgen. Eventuele boetes van toezichthouders zijn hierbij nog niet meegenomen.

Ook bij onze seminars blijkt slechts vijf procent van de bedrijven ‘op weg’ met maatregelen om aan de Algemene Verordening Gegevensbescherming (AVG) te voldoen. En zelfs voor hen wordt het een heel karwei om de deadline van 25 mei 2018 voor de AVG te halen.

De alarmbel luiden omtrent de AVG is dan ook terecht, zolang angst maar niet de (enige) raadgever voor organisaties wordt. Daardoor groeit de kans dat zij uit angst voor boetes alleen oppervlakkig hun zaken in orde maken en privacy niet voor de gehele organisatie op de agenda te zetten. Privacy en datalekken zijn issues die om een pragmatische en holistische aanpak vragen. Een ‘check the box’-aanpak helpt noch op de korte, noch op de lange termijn.

Ons advies: beschouw cyberveiligheid niet als een hygiënefactor maar als een USP. Maak er een vast onderdeel van uw businessmodel van. Klanten verwachten het en afdelingen zoals marketing en R&D krijg je op die manier mee. Ook je stakeholders zullen je eerder volgen als jij als organisatie je rol pakt. Dat laatste is belangrijk, want een veilige keten maak je samen – niet alleen.

 

 

Contact


Steeds meer bedrijven pakken een inventarisatie van emerging risks multidisciplinair op om te komen tot een volledig herijkt risicoprofiel, rekening houdend met het nieuwe risicolandschap. Heeft u hier vragen over en wilt u de emerging risks samen met ons verkennen? Neem dan contact met ons op over de mogelijkheid van begeleiding bij het in kaart brengen van ‘new & emerging risks’.