De laatste jaren sluiten steeds meer ict-bedrijven een beroepsaansprakelijkheidsverzekering af. Sinds de meldplicht datalekken actief is, neemt ook het aantal cyberpolissen toe. Maar wat dekken deze verzekeringen precies? En waar moet je op letten bij het afsluiten van die polissen?
Manager Pro ICT/Cyber van verzekeraar Chubb, Barry Schütte, en ict-specialist en risico-analist Wouter Wissink van Chubb, merken dat veel managers bij ict-bedrijven door de bomen het bos niet meer zien. Schütte: ‘Verzekeraars bieden onder de noemer’ beroepsaansprakelijkheidsverzekering’ of ‘cyberverzekering’ allerlei verschillende soorten polissen aan. De term ‘cyber’ wordt te pas en te onpas gebruikt. Daardoor tasten ict-bedrijven vaak in het duister over de precieze inhoud van die polissen.’
Goed verzekerd tegen standaardrisico’s
Schütte: ‘We willen een cyberdekking’, roept men vaak zonder te weten welke risico’s ze precies willen afdekken. Wij zeggen dan: ‘Laten we eerst eens kijken wat je precies wilt verzekeren en of je wel een specifieke cyber- of beroepsaansprakelijkheidspolis nodig hebt.’ Wissink vult aan: ‘Vaak zijn risico’s gedekt in verzekeringen voor beroepsaansprakelijkheid (ba) en aansprakelijkheidsverzekering voor bedrijven (avb). Daarmee zijn ict-bedrijven vaak goed verzekerd tegen standaardrisico’s. Zaak- en letselschade zijn veelal onder avb gedekt.’
Hij noemt als voorbeeld een ict’er die een glas cola omgooit en daarmee een server beschadigt. Of als de medewerker van een klant struikelt over kabels die niet goed door de ict-dienstverlener zijn weggewerkt. Ook productaansprakelijkheid valt daaronder. Als een product materiële schade of letsel veroorzaakt, is dat vaak gedekt en valt dat onder de avb-polis. Maar Wissink waarschuwt: ‘Een avb dekt geen zuivere vermogensschade. Bij de beroepsaansprakelijkheidsdekking is dit wel het geval. Denk aan de gevolgen voor het te laat opleveren van een project of het niet halen van de vooraf overeengekomen uptime.’
Wie is dataverantwoordelijke?
Het duo benadrukt dat het in de keuze voor de juiste polis cruciaal is om vast te stellen wie de dataverantwoordelijke is. ‘Dit is in principe diegene die de data verzamelt, bijvoorbeeld voor het afsluiten van een verzekering of verkoop van een product. Als hij hierbij gebruik maakt van de diensten van bijvoorbeeld een ict-provider om de data te hosten, back-ups te maken en te beveiligen, dan is de provider de bewerker.
Schütte legt uit dat ict-bedrijven die zich bijvoorbeeld richten op SaaS en managed services, verantwoordelijk zijn voor de gegevens van klanten. ‘Als door een fout van het ict-bedrijf, bijvoorbeeld een verkeerde configuratie of een cyberaanval via een openstaande poort, gegevens op straat komen, dan kan de opdrachtgever daar schade door oplopen en het ict-bedrijf daarvoor aansprakelijk stellen. ‘Als het ict-bedrijf een goede aansprakelijkheidsverzekering heeft, dan is dat gedekt onder een ict-beroepsaansprakelijkheidsverzekering.’
Aard en omvang data
Vragen die managers in het achterhoofd moeten hebben voor het afsluiten van een cyberverzekering zijn volgens Schütte ‘Ben ik voor de bedrijfsvoering voor een groot deel afhankelijk van internet en ict? Zoals bijvoorbeeld een webshop. Sla ik persoonlijke data op van bijvoorbeeld werknemers of rechtstreeks van klanten (als dataverantwoordelijke)? Wat is de aard en omvang van de data?’
Wissink waarschuwt dat ict-bedrijven die een cyberpolis afsluiten vaak denken dat ze daarmee hun risico’s volledig afdekken. ‘Er zijn echter veel risico’s die niet door de cyberverzekering gedekt worden, maar wel door een beroepsaansprakelijkheidsverzekering. De cyberpolis dekt alleen maar het deel waarbij er sprake is van een cyberincident en de beroepsaansprakelijkheid dekt de aansprakelijkheid van bedrijven, ook als er sprake is van een andere oorzaak dan een cyberincident.’
Schade vaak onderschat
Het Chubb-duo waarschuwt dat ict-bedrijven bij cyberincidenten vaak de gevolgen voor de eigen bedrijfsvoering over het hoofd zien. ‘Ook al hebben ze hun aansprakelijkheid goed verzekerd, regelmatig zien ze de gevolgen van een cyberincident voor hun eigen bedrijfsvoering over het hoofd.’ Wissink legt uit dat door cyberincidenten ook eigen diensten kunnen wegvallen. Bij ict-bedrijven die slachtoffer worden van een hack kan de dienstverlening stil komen te liggen, ze hebben dan geen inkomsten meer. Hij stelt dat die eigen schade die je loopt als gevolg van een cyberincident vaak wordt onderschat.
Hij legt uit: ‘Ict-bedrijven die bijvoorbeeld SaaS leveren en niet meer kunnen leveren, maken ook extra kosten. Bijvoorbeeld om onderzoek te doen naar het incident, databestanden veilig stellen, et cetera. Dat betekent extra kosten die gemaakt moeten worden om zo snel mogelijk de eigen bedrijfsvoering weer in de lucht te hebben. Die kosten worden in een reguliere ba of avb niet gedekt. Daarvoor is dus een aanvullende cyberdekking nodig.’
Ransomware
Als voorbeeld noemt Wissink ransomware. ‘Steeds vaker wordt informatie gegijzeld en willen criminelen deze pas weer vrijgeven als het slachtoffer betaalt. ‘Bij aansprakelijkheid is in het geval van ransomware alleen de schade bij de klant gedekt. Maar als je je eigen bedrijf stilligt en je wilt onder andere de hierdoor misgelopen omzet verzekeren, dan heb je een cyberverzekering nodig’, aldus Wissink.
Dit artikel is ook gepubliceerd in Computable-magazine #2 van 2017.
Polissen
– Aansprakelijkheidsverzekering voor bedrijven (avb): Is gericht op zaak- en letselschade en werkgeversaansprakelijkheid. Er moet iets stuk zijn of iemand moet schade hebben opgelopen.
– Beroepsaansprakelijkheid (ba): Is gericht op zuivere gevolgschade als gevolg van het leveren of niet leveren van een product of dienst. Bijvoorbeeld financiële schade door een vertraagde implementatie van een nieuw systeem, waardoor allerlei oude licenties doorlopen.
– Cyber: Is gericht op aansprakelijkheid en eigen schade als gevolg van een cyberincident.
