Een lezer vroeg me:
Ik kreeg recentelijk mail van mijn verzekering over een nieuwe cyberverzekering die ik af zou kunnen sluiten, waardoor schade door cybercrime vergoed zou worden. Nu vind ik het op zich fijn om alle risico’s af te dekken, maar ik twijfel aan het nut van een dergelijke verzekering: als ik het slachtoffer word van cybercrime, word de schade die ik lijd dan niet sowieso verhaald op de dader?
Iedere verzekering is anders, dus lees vooral het polisblad en de uitsluitingen. Maar algemeen wordt met ‘cyberverzekering‘ een verzekering bedoelt die kosten en schade dekt als je als bedrijf of organisatie slachtoffer wordt van een cyberincident zoals datadiefstal, ransomware of hijacking van je webshop.
Schade in deze context verwijst dan naar zaken als aansprakelijkheid bij je klanten, kosten van herstel of terugzetten van backups en (wederom, zie de voorwaarden) soms zelfs gemiste omzet of gederfde winst omdat je onderneming er een tijd uit lag. Vaak zit er ook praktische assistentie of preventieondersteuning bij. De kosten lopen sterk uiteen, mede afhankelijk van de omvang van je organisatie. Ik lees her en der bedragen tussen de 500 en de 1800 euro per jaar aan premie.
Vrijwel iedereen heeft een bedrijfsaansprakelijkheidsverzekering, maar die dekt alleen fysieke schade zoals letsel bij een bezoeker of kapotte spullen. Schade door beroepsfouten van je medewerkers dek je met een beroepsaansprakelijkheidsverzekering. Maar of die laatste ook fouten in de categorie cyber dekt, is maar zeer de vraag.
Een verzekering is vooral bedoeld voor het gemak. Je verzekeraar keert bij een gedekt geval sneller uit dan dat jij de schade kunt verhalen op de dader. Zeker omdat die bij cybercrime eigenlijk maar zelden te achterhalen is, nog los van de vraag of daar geld genoeg zit om je schade te dekken.
Een verzekering als deze moet passen binnen je algemene risicobeheersingsstrategie. Een eenmanszaak hoeft niet bang te zijn dat werknemers data stelen, bijvoorbeeld. Een organisatie die haar kritieke software en servers bij een partner onderbrengt, kan in plaats van een verzekering contractueel afspreken dat die partner die schade dekt. Wie goed is met backups, kan besluiten het risico van ransomware voor lief te nemen. Voor risico’s die je niet met maatregelen kunt borgen, of niet op jouw niveau, is een verzekering dan het sluitstuk.
Arnoud
