Is het raadzaam om een cyberverzekering af te sluiten?

Voor een optimale uitvoering van werkzaamheden zijn organisaties voortdurend bezig met het automatiseren en digitaliseren van processen en strategieën. Naast de grote voordelen die dit met zich meebrengt, gaat het ook gepaard met (nieuwe) risico’s. Cyberaanvallen, hacks, en ransomware zijn tegenwoordig voor veel organisaties niet meer onbekend. Het afsluiten van een cyberverzekering om de risico’s te dekken, lijkt daarom een logische stap. Cyber begon voor veel verzekeraars als een rendabele markt. Tegenwoordig blijkt juist dat cyberpolissen heel verlieslatend kunnen zijn, zeker in het geval van cyberschade bij grote bedrijven.[1] Dit is een reden voor cyberverzekeraars om extra kritisch te zijn bij het aannemen van nieuwe klanten. Zeker omdat cyberrisico’s zich de afgelopen jaren steeds vaker voordoen, met als gevolg een stijging van het aantal claims. In dat licht krijgt Lumen Group dan ook vaak de vraag of het nuttig is een dergelijke verzekering af te sluiten. Op deze vraag is geen eenduidig antwoord te geven, aangezien dat per situatie zal verschillen. Het is daarom voor organisaties van belang om een doordachte afweging te maken. Om hierbij te helpen, hebben wij onze visie met betrekking tot de cyberverzekering uiteengezet. Zo kunt u op basis hiervan zelf een afweging maken of een cyberverzekering voor uw organisatie wenselijk is. Wij raden wel aan om hiervoor ook advies in te winnen bij een assurantieadviseur.

Cyberverzekering

Met een goede cyberverzekering kunnen bepaalde kosten worden gedekt op het moment dat uw organisatie te maken heeft met een cyberincident. Schade anders dan financiële schade, zoals reputatieschade na een datalek, wordt niet gedekt door een cyberverzekering. Als onderdeel van een cyberverzekering ondersteunt de cyberverzekeraar meestal bij het crisismanagement na een aanval. Daarnaast ondersteunen de meeste cyberverzekeraars bij risicopreventie om het risico op cyberincidenten voor uw organisatie te verkleinen. Naast de omzet of het budget van een organisatie is dit een belangrijke factor in het bepalen van de hoogte van de verzekeringspremie. Sterker nog, dit is vaak een basisvoorwaarde om in aanmerking te komen voor de verzekeringsdekking. Pas bij een goede risico-inventarisatie is er zicht op de risico’s en kunt u een kosten-batenanalyse maken voor uw organisatie. In het licht hiervan kunt u bepalen welke beheersmaatregelen voor uw organisatie nodig zijn. Het raadplegen van een assurantieadviseur is daarnaast aan te raden.

Twee zijden van dezelfde medaille

Uiteraard kan het voor bepaalde organisaties nuttig zijn om een cyberverzekering af te sluiten. Hierbij is er echter ook een andere kant van de medaille. Het uitgangspunt is dat organisaties sowieso verplicht zijn om aan wettelijke eisen zoals de AVG te voldoen. Dit is niet ‘af te kopen’ waarbij een cyberverzekering als ‘aflaat’ dient. Het is goed om hierbij aan te geven dat een cyberverzekering vaak alleen financiële schade dekt. Met cyberverzekering worden dus bijvoorbeeld niet (altijd) reputatierisico’s beheerst. Een cyberverzekering moet dus eigenlijk worden gezien als een sluitstuk voor het restrisico: een soort vangnet waarbij organisaties zich verzekeren tegen schade die zij niet willen of kunnen dragen.

Ook eisen cyberverzekeraars, zoals hierboven ook al aangegeven, doorgaans dat organisaties de risico’s goed in kaart hebben gebracht en beheersmaatregelen hebben getroffen als voorwaarde voor het afsluiten van een verzekering. Bovendien willen ze dat een organisatie zijn noodprocedures op orde heeft voor het geval er toch een cyberincident plaatsvindt, anders komt een organisatie niet in aanmerking voor een verzekering of zullen minder kosten worden gedekt. Daarbij komt dat er niet altijd consensus bestaat omtrent de omvang van de dekking van de risico’s. De schadedekking is dus verlaagd en daarbij zijn de premies verhoogd. Vanwege deze hogere premies en extra eisen die worden gesteld, kan niet elke organisatie zomaar een cyberverzekering afsluiten of zich herverzekeren.

Risico-inventarisatie en risicobeheersing

Het uitvoeren van een risicoanalyse is een logische eerste stap. In de meeste gevallen worden organisaties zich pas bewust van cyberrisco’s op het moment dat ze gehackt zijn of getroffen worden door een datalek. Dit is eigenlijk te laat, aangezien voorkomen beter is dan genezen. Belangrijk is dus om terug te gaan naar de kern en dat betekent een gedegen risico-aanpak. Een goede risico-inventarisatie en risicobeheersing is dan ook de eerste stap. Enerzijds om zodoende op adequate wijze risico’s te beheersen. Anderzijds omdat een verzekeraar hier doorgaans om zal vragen alvorens ze hun premie opgeven. Bovendien krijgt u op deze wijze inzicht in welke gegevens voor uw organisatie van belang zijn en welke processen hieraan zijn gekoppeld. Het is van groot belang dat deze gegevens op de juiste manier beveiligd zijn, om de risico’s van een cyberaanval te voorkomen of in te perken. Lumen Group kan uw organisatie hierbij ondersteunen. Hier vindt u meer informatie wat wij voor u kunnen betekenen in het kader van risico-inventarisatie.

Beheersmaatregelen

Nadat de risico’s in kaart zijn gebracht, is het belangrijk om te bepalen hoe dergelijke risico’s beheerst kunnen worden. Hiervoor nemen organisaties in lijn met hun risicohouding (risk appetite) beheersmaatregelen. Afhankelijk van de risicohouding kunnen organisaties beheersmaatregelen nemen op het gebied van preventie, detectie, repressie, correctie, acceptatie of het overdragen van risico’s. Het afsluiten van een cyberverzekering valt bijvoorbeeld onder het overdragen van risico’s. Andere voorbeelden van beheersmaatregelen zijn het tijdig of automatisch uitvoeren van beveiligingsupdates of het toepassen van twee-factor-authenticatie (2FA). Ook kunt u netwerken segmenteren en de toegang van personen tot systemen en persoonsgegevens verscherpen. Daarnaast kunt u controleren welke apparaten en diensten bereikbaar zijn vanaf het internet en deze beschermen met een goede firewall en virusscanners. Het versleutelen van gegevensdragers kan bijvoorbeeld met een online passwordmanager. Een andere maatregel is het regelmatig maken van back-ups en deze testen. Bovendien dient u ervoor te zorgen dat elke applicatie en elk systeem voldoende loginformatie genereert. Tenslotte is het van belang dat het beleid omtrent cyberveiligheid in orde is en dat werknemers zich tevens bewust zijn van dit beleid. Lumen Group kan uw organisatie hierbij ondersteunen. Hier vindt u meer informatie wat wij voor u kunnen betekenen in het kader van het nemen van beheersmaatregelen.

Conclusie

Een cyberverzekering kan een goede beheersmaatregel zijn. Het is aan organisaties zelf om te besluiten of zij een cyberzekering een wenselijke beheersmaatregelen achten. Een eerste noodzakelijke stap is dus dat organisatie hun risico’s goed in kaart brengen. Vervolgens moeten organisaties in lijn met hun risicohouding besluiten welke beheersmaatregelen zij willen nemen, om deze daarna ook daadwerkelijk te nemen. Hiertoe kan het afsluiten van een cyberverzekering horen. In deze afweging is het belangrijk om in het achterhoofd te houden dat een cyberverzekering geen ‘aflaat’ is. Organisaties moeten namelijk altijd aan de AVG voldoen en de nodige beheersmaatregelen nemen. Daarbij komt dat de premies voor cyberverzekeringen vaak hoog zijn. U kunt zich daarom afvragen of het betalen van de premie voor uw organisatie opweegt tegen het risico dat met de verzekering wordt gedekt. 

Vragen?

Heeft u vragen of opmerkingen, of wilt u meer weten? Neem dan contact met ons op. Wij helpen u graag verder. Wij zijn bereikbaar per e-mail op info@lumengroup.nl of via telefoonnummer 030 – 889 65 75.


[1] S. van Gils, ‘Cyberverzekeraars zien aantal claims sterk stijgen en verhogen premie’, fd.nl. https://fd.nl/tech-en-innovatie/1412525/cyberverzekeraars-zien-aantal-claims-sterk-stijgen-en-verhogen-premie#:~:text=Verzekeraars%20zien%20het%20aantal%20claims,en%20cyberveiligheidsbedrijf%20Kivu%20werd%20opgesteld.