De Cyberrisicoverzekering

Cybercrime verzekeren

De Cyberrisicoverzekering

Spionage, oorlogvoering, terrorisme, een bedrijf oplichten: het kan tegenwoordig allemaal via internet. En het gebeurt ook. De kranten stonden het afgelopen jaar vol met cyberincidenten. Denk aan DDoS aanvallen die websites platlegden, grote hoeveelheden wachtwoorden die gestolen werden, bedrijven die gechanteerd werden op straffe van het openbaar maken van informatie en gemeenten die massaal met een virus te maken hadden.

Dit soort incidenten heeft vaak financiële schade tot gevolg, die wereldwijd op meer dan 100 miljard euro wordt geschat. Zo kost het repareren van websites tijd en geld, evenals het herstellen van gegevens en het informeren van klanten. Regelmatig komt dan ook de vraag op of de schade als gevolg van cybercriminaliteit verzekerbaar is. In dit paper willen we duidelijk maken welke echte schade er kan voortkomen uit de virtuele wereld en wat daartegen is te doen. Het Verbond wil daarmee het ongrijpbare grijpbaar maken.

Wat verstaan verzekeraars onder cyberrisico?
Verzekeraars verstaan onder een cyberrisico het financiële nadeel dat een verzekerde oploopt door of via computer- en/of ICT-systemen, zonder dat er sprake is van materiële schade. Die materiële schade, zoals een brand die een serverruimte vernielt, wordt via traditionele verzekeringen gedekt.

De drie voornaamste manieren waarop cyberrisico’s ontstaan:
Door een moedwillige aanval van buitenaf, bijvoorbeeld een virus, DDos-aanval of een hack. Recent werden onder andere Vtech, DigiD, Rijksoverheid.nl en diverse banken nog slachtoffer van dit soort aanvallen.
Door een menselijke fout, al dan niet opzettelijk, waaronder verlies of diefstal van (een onderdeel van) een computersysteem of data van de verzekerde die persoonsgegevens bevatten. Een boze oud- medewerker kan bijvoorbeeld moedwillig belangrijke gegevens verduisteren of een opening in het systeem publiceren.
Door technisch falen van eigen of externe IT-systemen, servers, hard- en software.

Wat dekken cyberverzekeringen?
De verzekeringsdekking verschilt natuurlijk per verzekeraar. Daarnaast kan deze ook van moment tot moment verschillen, aangezien de markt nog volop in ontwikkeling is. Neem contact met ons op voor de specifieke mogelijkheden voor u. Voordat een verzekering wordt afgesloten regelen wij een kosteloze juridische en technische quickscan.

Meldplicht datalekken :
Sinds 1 januari van dit jaar is de meldplicht datalekken van kracht, een uitbreiding op de Wet bescherming persoonsgegevens (Wbp). Deze meldplicht stelt het voor organisaties verplicht om een (vermeend) datalek direct te melden bij de Autoriteit Persoonsgegevens. Laat je dit na, dan loop je het risico dat er een forse boete volgt. Het kan dus geen kwaad om na te gaan of je overal aan hebt gedacht en ervoor hebt gezorgd dat de privacygevoelige data in je bedrijf veilig zijn. Denk hierbij aan de volgende zaken.

  • Welke gegevens worden er in uw organisatie verwerkt en hoe zijn die beschermd?
  • Werkt u samen met andere partijen voor de verwerking van persoonsgegevens?
  • Weten uw medewerkers hoe ze met privacygevoelige data moeten omgaan?
  • Weet men wanneer men een datalek moet melden?
  • Zijn er interne en externe controles gepland?

Schadevoorbeelden :

      • Bug in software webshop 
Verzekerde ontwierp en verzorgde de webwinkel van een groothandel in sportswear. De software bleek echter een bug te hebben waardoor meer werd ingekocht dan uiteindelijk werd verkocht. Hierdoor bleef de groothandel steeds met een overschot achter, dat telkens tegen dumpprijzen werd verkocht. De groothandel claimde zijn schade – de extra gemaakte opslagkosten en het geleden verlies – bij verzekerde. Hoewel contractueel gezien de claim van de groothandelaar al was vervallen, werd de claim om commerciële redenen afgewikkeld op €35.000. Chubb heeft hier een substantieel deel van betaald.
      • Vertraging en tegenvallend ICT-project 
Verzekerde kreeg de opdracht bij een consultancybureau het oude softwaresysteem te vervangen door een nieuw softwaresysteem. Het nieuwe systeem werd volgens de klant echter te laat, onvolledig en met veel foutmeldingen en storingen opgeleverd. De klant claimde daarop €1.450.000 aan schade voor onder meer gederfde inkomsten en kosten van herstel. Verzekerde en de klant gingen een mediationtraject aan en troffen een schikking. Chubb droeg de schadevergoeding van €325.000. Verder vergoedde Chubb de rechtsbijstands- en mediationkosten van €48.000.
      • Cyberattack bij toeleverancier 
Verzekerde leverde aan een publieke instelling een softwarepakket waarmee vertrouwelijke gegevens werden verwerkt en opgeslagen. Na een cyberattack op de toeleverancier van de software bleek dat daarmee ook de veiligheid van de door verzekerde geleverde software was aangetast. De klant meende dat verzekerde te laat had ingegrepen, waarop de klant zelf de nodige maatregelen had genomen. De kosten daarvan en de verdere schade wenste de klant op verzekerde te verhalen. Deze schadeclaim bedroeg €1.330.000. Partijen zijn hierover nog in gesprek. De gemaakte rechtsbijstands- en expertisekosten bedragen inmiddels al €140.000.
      • Software blijkt niet hackbestendig te zijn 
Verzekerde leverde aan diverse ondernemingen een softwareprogramma waarmee vertrouwelijke gegevens konden worden verwerkt en opgeslagen. Het programma bleek echter eenvoudig te kraken. Verzekerde moest daarom kosten maken om het lek op te sporen en te dichten om zo (verdere) schade te voorkomen. Deze bereddingskosten bedroegen €155.000. Verder werden er door diverse afnemers schadevergoedingen geclaimd, die afgewikkeld konden worden voor in totaal €350.000. De daarbij gemaakte rechtsbijstands- en expertisekosten bedroegen €17.000.
      • Server gecrasht, website onbereikbaar 
Verzekerde ontwierp en beheerde een website voor een uitzend- en detacheringsbureau. De server crashte echter en de back-up bleek niet (volledig) te werken, waardoor de website een paar dagen niet bereikbaar was. Bovendien bleek door de crash de nodige data te zijn verloren. De klant leed hierdoor onder meer imagoschade en schade wegens gederfde inkomsten en gemaakte kosten van herstel. De claim werd uiteindelijk afgewikkeld voor €48.000. De rechtsbijstandskosten bedroegen €5.000.