Branded Content
Branded Content XTR Branded Content is de commerciële content op nrc.nl. De inhoud valt buiten de redactionele verantwoordelijkheid van NRC Media.

Een brandverzekering kennen we wel. Maar ken je ook de cyberverzekering?

Cybercriminaliteit kost het Nederlandse bedrijfsleven zo’n 10 miljard euro per jaar. Niet zo gek dat het aantal polissen tegen cyberaanvallen de pan uit rijzen, sommige verzekeraars hebben het over een stijging van 450%. In hoeverre zijn Nederlandse bedrijven hier eigenlijk mee bezig?

Waarom moeten bedrijven zich verzekeren tegen cybercriminaliteit?

‘Er is een specifieke Nederlandse wet die zegt: als er bij jou data wordt gestolen die gaat over privépersonen, dus privacy gerelateerde data, dan moet je dat melden. Hier zijn natuurlijk kosten aan verbonden om dat snel te kunnen doen. Daarna zal een bedrijf de vraag krijgen of het de veiligheid wel voldoende op orde heeft. Mocht je dat allemaal over het hoofd zien en kom je er op een andere manier achter dat er data is gestolen, dan ben je verder van huis. Dan wachten er hoge boetes in het kader van de wet Meldplicht Datalekken.

Deloitte heeft een rapport gepubliceerd waaruit blijkt dat het bedrijfsleven 10 miljard per jaar kwijt is. Waar bestaat die schade uit?

‘Je hebt meerdere vormen van schade. Door de toename van hacks, phishing, malware en ransomware wordt geld en intellectueel eigendom gestolen. Er zijn meerdere soorten van informatie die worden misbruikt. Dan heb je niet alleen directe kosten en eventueel boetes, maar het kan ook zijn dat klanten weglopen omdat je niet meer betrouwbaar wordt geacht. Met alle gevolgen van dien.’

Is daar tegen te verzekeren?

‘Gedeeltelijk. Verzekeraars kunnen niet alle risico’s even makkelijk afdekken en willen hun producten tegelijk zo eenvoudig mogelijk houden voor hun klanten. Dat is best lastig en niet alleen voor de verzekeringsmaatschappijen maar ook voor de kopers. Het is een product dat nu op de Nederlandse markt een jaar of drie, vier bestaat. En die markt groeit hard. Maar de polissen zijn nog niet allemaal even efficiënt omdat vraag en aanbod niet naadloos op elkaar aansluiten. Het bewustzijn bij bedrijven van wat de dreiging inhoudt en wat de omvang van de schade kan zijn, is nog niet voldoende. Velen weten niet wat de dekking inhoudt en sommigen vinden de polissen te duur. Verzekeraars hebben op hun beurt onvoldoende zicht op hoe goed bedrijven zich beschermen, dus je ziet dat de markt zich nog moet ontwikkelen. Dat kost tijd.’

Er is een specifieke Nederlandse wet die zegt: als er bij jou data wordt gestolen die gaat over privépersonen, dus privacy gerelateerde data, dan moet je dat melden.

Dus nog maar even niet verzekeren?

‘Het is als met een brandverzekering. Het is fijn dat je niet kopje onder gaat als je kantoor afbrandt, maar tegelijk heb je te maken met een enorme berg problemen als het je overkomt. Zo is het ook met cyberrisk. Een cyberverzekering houdt ook in dat je na een incident direct hulp krijgt van capabele cyberspecialisten. Maar je bent niet van alle problemen af door je te verzekeren. Het kan wel je reddingsboei zijn.’

We hebben het over een nieuw fenomeen?

‘Ja en nee. Je hebt bedrijfsaansprakelijkheidsverzekeringen en die gelden ook als je aansprakelijk wordt gesteld bij cyberaanvallen omdat er sprake is van gevolgschade. Maar verzekeraars zijn zich hier echter meer bewust van geworden en sluiten cyberrisico steeds vaker uit. Bij de meeste polissen valt het nog in de dekking. Alleen niet als gespecialiseerd product. En dat zie je nu steeds vaker op de markt komen.’

Een groeibriljant?

’Cyberrisk is nu zogenaamd een hype, maar in feite is het een lange termijntrend die verder gaat doorzetten omdat onze maatschappij steeds digitaler wordt. Een van de ontwikkelingen die je in de financiële sector ziet, met innovaties als blockchain en fintech, is dat er heel veel geautomatiseerd wordt en dat geldt straks ook voor veel verzekeringsproducten. Cyberrisico vraagt een andere manier van denken en dit daagt verzekeraars uit. Als je nu als verzekeraar het verschil wilt maken, moet je je specialiseren in risks die niet zo voorspelbaar en makkelijk te doorgronden zijn als bijvoorbeeld een autoverzekering.’

Wat vergoeden verzekeraars na een cyberaanval?

Als klanten bij je weglopen omdat je reputatie is geraakt, valt dat niet binnen de dekking. Als je internetportal uitvalt en je server daardoor uren uit de lucht is, dan krijg je mogelijk een substantieel gedeelte vergoed van de gederfde omzet. Dat is nu het beste wat je kunt krijgen. De meeste dekkingen gaan over de kosten en zeker als je een klein bedrijf bent en geen professioneel IT-team in dienst hebt, kunnen die enorm oplopen.’

Wat raad je bedrijven aan?

‘Snap hoe je aan je geld komt en hoe je het kwijt kan raken. Daarin zitten veel afhankelijkheden van IT. Voor ieder van de afhankelijkheden loop je cyberrisico. Sommigen zeggen: wie moet mij hebben, het zal zo’n vaart niet lopen. Je kunt er beter voor zorgen dat je jouw zaken goed beschermt. Als zzp’er kun je software kopen, als klein bedrijf kun je de IT uitbesteden en een groot bedrijf kan extra IT-experts in dienst nemen. Als je alles op orde hebt kan het nog steeds misgaan. Dan is een verzekering heel waardevol.’

Deloitte heeft voor het eerst de cyberrisico’s in Nederland gekwantificeerd in beeld gebracht door middel van data-analyse. Lees meer over dit gedetailleerde onderzoek. Wil je verder praten over dit onderwerp, neem dan contact op met Vincent Lukkien.