Cyberrisico

Wat is cyberrisico?
Onder cyberrisico verstaan wij: financiële schade die u oploopt door een computer- en/of ICT-systeem, zonder dat deze systemen materiële schade hebben opgelopen. Het gaat hier bijvoorbeeld niet om schades die zijn veroorzaakt door brand. De financiële schade kan onder andere bestaan uit de kosten van een opgelegde boete, herstel kosten van systemen, kosten voor herstel klantenbestand (advertentiekosten).

Het verbond van verzekeraars heeft cyberrisico’s in drie groepen ingedeeld:
Virus, DDos-aanval of een hack:
Schade door een aanval van buiten af, met als doel de website zodanig te belasten, dat zij niet te benaderen zijn. Voorbeelden hiervan zijn de aanvallen op DigiD, rijksoverheid.nl en diverse banken.
Menselijke fouten, wel/niet opzettelijk:
Door een menselijke fout kan een onderdeel van of een geheel computersysteem en/of data van de verzekerde beschadigen, worden ontvreemd of verloren gaan. Deze systemen en/of data kunnen persoonsgegevens bevatten. Een (oud) -medewerker kan bijvoorbeeld persoonsgegevens verloren laten gaan dan wel verspreiden aan verkeerde partijen.
Technisch falen van systemen, servers, hard- en software:
Door een technisch falen van eigen of externe systemen wordt een financiële schade veroorzaakt.

Links- of rechtsom veroorzaken deze oorzaken veel schade en ellende. Vaak bestaat de schade aan uren van externen die ingehuurd worden om het probleem te verhelpen of claims van derden.
Dit zijn bij het cyber risico de hoofdoorzaken volgens het Verbond van Verzekeraars:
– Beschadigde data/systemen
– Ontoegankelijkheid data/systemen
– Aansprakelijkheid
– Bedrijfsschade
– Afpersing
– Boetes

De Meldplicht datalekken en de nieuwe wetgeving vanaf 2018 is een extra reden om de beveiliging van data onder te loep te nemen. De meldplicht houdt onder andere in dat bedrijven die persoonsgegevens verwerken, datalekken altijd moeten melden. De praktijk bewijst dat ieder bedrijf grote risico’s loopt.
Uiteraard is het voor u verstandig om te overwegen om het cyberrisico te verzekeren !

Wat dekken cyberverzekeringen?
De verzekeringsdekking verschilt natuurlijk per verzekeraar. Daarnaast kan deze ook van moment tot moment verschillen, aangezien de markt nog volop in ontwikkeling is. Hieronder geven we aan wat het aanbod momenteel is op de Nederlandse verzekeringsmarkt. De verzekeringsdekking valt uiteen in twee hoofdmoten: de schade aan derden en, in mindere mate, de schade die de onderneming zelf oploopt.
Om de dekking verder te verduidelijken, kijken we naar de schade, zoals deze zich door de tijd heen ontwikkelt:

1. Voordat het cyberincident zich manifesteert

Wanneer er een vermoeden is van een cyberincident, kan er al schade ontstaan. Soms worden bedrijven afgeperst, onder dreiging van een DDoS-aanval of bewust lekken van privacygevoelige gegevens.
Het kan nodig zijn dat een verzekerde extra IT-capaciteit inkoopt uit voorzorg om op deze wijze de DDoS aanval te voorkomen. Hiermee zijn kosten gemoeid, die kunnen worden verzekerd. Ook de begeleiding en betaling van afpersing kunnen afgedekt worden met een verzekering.
2. Tijdens de manifestatie van het cyber
A. In deze fase gaat het allereerst om kosten die worden gemaakt om het probleem te onderzoeken,
bijvoorbeeld door een forensisch IT-specialist. Het doel van dit onderzoek is om het risico te beperken
en de organisatie te beschermen.
B. Wanneer een datalek zich voordoet, kan de organisatie hiervoor aansprakelijk worden gesteld. Deze
aansprakelijkstelling kan ontstaan doordat een melding is gedaan van een lek bij een bevoegde
autoriteit, of juist doordat die melding niet is gedaan. In de samenleving begint steeds meer het
bewustzijn te leven dat individuen organisaties aansprakelijk kunnen stellen voor geleden schade
in verband met gegevensverwerking en -lekken. De gedupeerden kunnen een civielrechtelijke actie
starten op basis van onrechtmatige daad. Ook deze schade en kosten van verweer zijn verzekerbaar.
Daarnaast kunnen de kosten van wettelijk verplichte notificatie richting gedupeerden onderdeel
zijn van de verzekeringsdekking.
C. Tot slot kan als gevolg van een cyberincident het interne en/of externe netwerk van een organisatie
worden stilgelegd, waardoor inkomsten worden gemist. Middels een bedrijfsschadedekking worden
deze gemiste inkomsten vergoed. Hierbij kan ook worden gedacht aan betalingsplatformen van
banken.
3. Herstelfase
In deze fase gaat het om kosten die worden gemaakt om het probleem te herstellen. Denk aan het
herstel van het IT-systeem en het herstel van verloren data. Ook de kosten die gepaard gaan met de
notificatie bij toezichthouders, zoals juridische expertise, kunnen worden gedekt. Daarnaast bestaan er verzekeringsdekkingen die de kosten voor de inhuur van een communicatieadviesbureau vergoeden om hierdoor reputatieschade te voorkomen of te beperken.
4. Controlefase
In deze fase gaat het om de kosten van toezichtrechtelijke procedures en kredietmonitoringdiensten
(om te zien of bijvoorbeeld gestolen creditcardgegevens worden misbruikt).
In een tekening ziet dit er als volgt uit:

Share:

Geef een reactie