In de rijksbegroting die het demissionaire kabinet op Prinsjesdag presenteerde, is de komende jaren 26 miljoen euro extra begroot om cybercriminaliteit tegen te gaan. Zo werft de politie nieuw personeel om de capaciteit voor de aanpak van cybercrime op landelijk en regionaal niveau te versterken. Hoewel de hoogte van die reservering discutabel blijft, erkent de Nederlandse overheid het groeiende probleem van ongewenste digitale bezoekers.
Cybercriminelen
Cybercriminaliteit is allang niet meer voorbehouden aan ‘whizzkids’, sluwe programmeurs of criminele organisaties. Wereldwijd worden iedere dag honderdduizenden bedrijven onder vuur genomen door cybercriminelen en onderzoek toont aan dat deze misdaad de komende jaren alleen maar toeneemt. Zo zal volgens Cybersecurity Ventures de ravage aan IT-systemen, reputatieschade, omzetverlies en bestuurlijke boetes oplopen tot jaarlijks 6 miljard dollar wereldwijd in 2021.
Ondernemers zijn een geliefd doelwit voor hackers. Denk maar aan die recente cyberaanvallen op optimalisatiesoftware CCleaner (waar malware in het programma werd gestopt), kredietbureau Equifax (waar persoonsgegevens werden buit gemaakt) en internetbank Bunq (waar een DDoS-aanval op werd afgevuurd).
Niet alleen grote multinationals, maar ook kleine bedrijven worden er steeds vaker het slachtoffer van cybercriminelen. Een op de vijf Nederlandse bedrijven met tien of meer medewerkers kreeg vorig jaar te maken met de gevolgen van cyberaanvallen, berichtte het CBS eerder deze week.
Voor veel ondernemers is het wapenen tegen online binnendringers echter nog onbekend gebied. “Maar iedere ondernemer heeft te maken met cybercriminaliteit, denk maar eens aan phishingmails”, zegt ceo Geert Bouwmeester van De Goudse Verzekeringen. “Aangezien het, helaas, een groeiende markt is, komen wij met een nieuwe cyberverzekering.”
Spelregels
De Goudse introduceert, naar eigen zeggen, als eerste Nederlandse verzekeraar een verzekering zonder een dikke stapel voorwaarden. Het gaat om een verzekering voor het cyberrisico van kleinere mkb-bedrijven met zestien spelregels.
Bouwmeester: “Een ondernemer ziet polisvoorwaarden en kleine lettertjes vaak als een middel voor verzekeraars om niet te hoeven uitkeren. Zelfs nu alle maatschappijen hun polisvoorwaarden hebben herschreven in Jip-en-Janneketaal blijven ze te technisch voor veel mensen. Dus dachten we: laten we ze nou eens weglaten en vervangen voor maximaal één A4’tje met spelregels.”
Opmerkelijk genoeg kiest De Goudse voor een verzekering op een gebied dat voor veel ondernemers nog een onbekend terrein is: cybercriminaliteit. “Je kunt niet alles afbakenen op het gebied van cyberrisico”, benadrukt Bouwmeester. “Dat zou voor zo’n snel veranderende markt moeilijk gaan. Voor ons was de keuze voor een cyberrisico-verzekering ook een heel logische, want het is moeilijk om hiervoor polisvoorwaarden op papier te zetten.”
Open voor discussie
Een ondernemer die de cyberrisico-verzekering van De Goudse wil afsluiten, moet nadrukkelijk enkele preventieve handelingen plegen. Zo staat in de spelregels dat de mkb’er een risico-inventarisatie moet laten uitvoeren door een onafhankelijke adviseur die een speciaal samenwerkingsverband heeft met de verzekeraar. Maar sommige andere spelregels (zie kader) doet meer denken aan verzekeren op basis van wederzijds vertrouwen dan op basis van strikte regels.
“Ik vind het best verfrissend dat een verzekeraar traditionele polisvoorwaarden, waarvan sommige al decennialang zijn opgeschreven, aan de kant schuift”, zegt advocaat Louis Jonker van Van Doorne. “Er is tegenwoordig meer behoefte aan simpelere, kortere voorwaarden. Maar hoe minder je opschrijft, hoe meer punten openstaan voor discussie. Met name over de dekkingsomvang. Die discussiepunten zie ik overigens bij iedere verzekeraar op het gebied van cyberrisico, zelfs bij degene die wel met polisvoorwaarden werken.”
Jonker is bij zijn advocatenkantoor onderdeel van het Cyber Security Team, samengesteld uit diverse specialisten met hun eigen expertise. Hij benadrukt dat op een snel ontwikkelend thema als cybercriminaliteit het lastig is om alle risico’s af te dekken. Jonker: “Niet alles is zwart/wit. Sommige dingen zijn gewoon complex en dat is op het gebied van cyberrisico helemaal het geval. Soms word je ingehaald door de realiteit van de dag.”
Juridisch dichtgetimmerd
Schadepreventie is dus het toverwoord. Ook voor De Goudse. “Het uitgangspunt is ook niet het vergoeden van schade, maar het voorkomen van schade”, zegt Bouwmeester. “Wij helpen de ondernemer daarbij. Als het dan toch fout gaat, helpen wij bij herstel. En mocht er desondanks toch schade zijn, dan vergoeden wij die tot het verzekerde bedrag.”
Toch zal het met het introduceren van een nieuwe verzekeringsvorm voorkomen dat een verzekerde en verzekeraar lijnrecht tegenover elkaar komen te staan. Mocht een ondernemer het niet eens zijn met de oplossing of vergoeding dan kan hij naar een – naar eigen zeggen – onafhankelijke raad van ondernemers stappen. Die bestaat uit voorzitter Roel van Rijsewijk, auteur van het boek Cyberrisico als kans, en drie ondernemers.
Volgens Jonker is de A4 met spelregels verre van ‘volledig juridisch dichtgetimmerd’. “Dat is natuurlijk de bedoeling. Wat ik dan wel weer stoer vind is dat de uitspraak van de raad van ondernemers bindend is voor De Goudse. Maar de tijd zal moeten uitwijzen of dit de nieuwe manier van verzekeren is. Transparantie over wat je krijgt waarvoor je betaalt is immers belangrijk, zeker in een markt waarin veel wantrouwen heerst tegenover verzekeraars.”
De spelregels zijn:
1. U gedraagt zich als een verantwoord ondernemer en doet wat redelijkerwijs van u verwacht mag worden om schade te voorkomen, te signaleren en te beperken.
2. U maakt samen met uw Erkend MKB-adviseur een risico-inventarisatie met de risico-inventarisatietool Boris.
3. U volgt de actiepunten op binnen de aangegeven periode. Deze staan beschreven in de rapportage die volgt uit de Boris risico-inventarisatie.
4. De risico-inventarisatie in Boris wordt periodiek geactualiseerd om cyberrisico’s blijvend te kunnen beheersen. In de rapportage staat aangegeven binnen welke termijn dit moet gebeuren.
5. U installeert de door De Goudse beschikbaar gestelde beveiligingssoftware op alle computers van uw bedrijf.
6. U geeft belangrijke wijzigingen met betrekking tot uw bedrijf door aan uw Erkend MKB-adviseur, zoals een wijziging van uw bedrijfsactiviteiten.
7. Schade als gevolg van een cyberincident – of signalen die hierop wijzen – meldt u zo spoedig mogelijk aan de Cyberrisk-desk van De Goudse, zodat wij direct voor u aan de slag kunnen gaan.
8. Onder een cyberincident verstaan we een incident als gevolg van cybercriminaliteit met ICT als middel én doelwit.
9. Wij helpen u met het voorkomen, beperken en herstellen van schade als gevolg van een cyberincident veroorzaakt door cybercriminaliteit.
10. Wij vergoeden een boete die als gevolg van een cyberincident is opgelegd door de Autoriteit Persoonsgegevens in het kader van de Wet bescherming persoonsgegevens. Onze vergoeding bedraagt maximaal het verzekerd bedrag dat op de polis staat.
11. Is het niet mogelijk om schade als gevolg van een cyberincident te herstellen? Of wordt u aansprakelijk gesteld door anderen als direct gevolg van een cyberincident? Dan vergoeden wij uw schade tot aan het verzekerd bedrag dat op de polis staat.
12. Wij kunnen u niet verder helpen, als:
a. de schade ontstaat door atoomkernreacties of molest; b. de schade ontstaat doordat leveranciers van internet, telefoon of elektriciteit door een cyberincident worden getroffen.
13. Voor schade als gevolg van terrorisme dienen wij een vordering in bij de Nederlandse Herverzekeringsmaatschappij voor Terrorismeschaden (NHT). De NHT bepaalt of uw schade onder het terrorismerisico valt. De uitspraak van de NHT is voor u en voor ons bindend. Meer informatie vindt u op www.terrorismeverzekerd.nl.
14. Cyberrisk eindigt als u of De Goudse opzegt.
a. U kunt Cyberrisk dagelijks beëindigen vanaf een jaar na
de ingangsdatum met een opzegtermijn van een maand. b. In de volgende situaties kunt u Cyberrisk eerder
beëindigen met een opzegtermijn van twee maanden:
– als wij een schade-uitkering hebben gedaan of afgewezen;
– als wij een wijziging hebben doorgevoerd in de premie of spelregels en deze wijziging nadelig is voor u.
c. Wij kunnen Cyberrisk beëindigen als u uw verplichtingen niet nakomt of als wij ontdekken dat u ons onjuiste informatie hee gegeven en u dit heeft gedaan om ons opzettelijk te misleiden.
15. Wij helpen u verder. Bent u niet tevreden over de afwikkeling van uw schade, dan gaan wij met u in gesprek.
16. Als we er samen niet uitkomen, kunt u uw probleem voorleggen aan de ‘Raad van Ondernemers’. Deze bestaat uit een voorzitter en drie ondernemers. Zij beoordelen de situatie en geven advies aan De Goudse. Het besluit van de Raad van Ondernemers is bindend voor De Goudse.