Privacy Focus Group

Artikel geschreven door Benoît Montens, Adviseur fraudebestrijding – productiviteit bij Assuralia, en gepubliceerd op 3 oktober 2019 in Assurinfo nr. 32.

De bijeenkomst van de Cyber Security Coalition van 19 september in het Huis van Verzekering die in het vorige Assurinfo al aan bod is gekomen, was de gelegenheid om met cijfers aan te tonen dat België ongetwijfeld een van de meest geviseerde landen is voor cyberaanvallen die zowel bedrijven als particulieren treffen. Uit die vergadering vallen volgende lessen te trekken.

Voor de bedrijven moet deze bewustwording gepaard gaan met een globale risicoanalyse die moet leiden tot preventiemaatregelen en tot de herziening van de procedures die zijn ingevoerd om de informatie die zij bezitten nog beter te beschermen. Het is ook belangrijk dat die bedrijven de nodige en bewarende maatregelen kunnen treffen om het eventuele verlies van toegang tot of het verdwijnen van gegevens te beheren. Dat zijn de grote lijnen van een ‘crisismanagementplan’ dat absoluut moet worden uitgewerkt en operationeel moet worden gemaakt nog voor de gebeurtenis zich voordoet.

Informatie in al haar vormen maakt de onderneming immers niet alleen rijker, maar ook kwetsbaarder.

Bovendien kadert de bescherming van informatie ook in een globale context die de bescherming van persoonsgegevens wil garanderen en waarvan een van de meest recente uitingen de inwerkingtreding van de Algemene Verordening Gegevensbescherming (AVG of GDPR) is.

Kan een verzekering hiervoor een oplossing bieden?

Een verzekering is geen wondermiddel, want ze dekt alleen het residuele risico, het risico dat blijft bestaan ondanks de invoering van redelijke preventie- en veiligheidsmaatregelen. Bovendien beschouwen de verzekeraars de verzekering als een aanvulling op die maatregelen en willen ze die in geen geval vervangen. Ze zullen minder of zelfs helemaal niet geneigd zijn tot onderschrijving als een bedrijf helemaal niets heeft ondernomen …

De verzekeringsondernemingen in Europa beschikken momenteel noch over voldoende informatie over het fenomeen, noch over voldoende schadehistoriek om de berekening van de technische premie op te baseren.

Op de Belgische markt bestaan er echter al verschillende jaren verzekeringen die dit soort risico’s dekken.

Ze kunnen twee vormen aannemen:

  • De eerste bestaat erin de bestaande dekkingen waarop een cyberincident een invloed heeft (luiken aansprakelijkheid, luik bedrijfsschade …) uit te breiden in de vorm van een bijvoegsel bij de bestaande contracten.
  • De tweede bestaat erin een specifieke ‘standalone’-dekking voor te stellen die in een vergoeding voorziet voor geldelijke gevolgen verbonden aan een cyberincident. Een cyberincident kan een aanval of kwaadwillige handeling zijn, maar ook een toevallige gebeurtenis, met inbegrip van menselijke fouten.

Welke van de twee kiezen?

Dat moet ongetwijfeld geval per geval bekeken worden, bijvoorbeeld in functie van een premie die draaglijk moet blijven voor de onderneming, maar ook van het aanbod van de verzekeringsondernemingen en bovendien ook van het voorgestelde franchiseniveau.

De markttendens gaat echter in de richting van een benadering op basis van specifieke cyberpolissen. De herverzekeraars en de toezichthouders sporen de verzekeringsondernemingen sterk aan om de accumulatie van hun risico’s beter te beheersen via de verschillende verzekeringslijnen die het cyberrisico soms stilzwijgend of impliciet dekken. Concreet betekent dit dat de verzekeraars het cyberrisico beginnen te dekken via bijvoegsels bij contracten, maar binnen de grenzen van deze traditionele polissen, met als gevolg dat bepaalde gevolgen eigen aan het cyberrisico uiteindelijk niet gedekt zijn.

Grote en middelgrote ondernemingen in België beschikken doorgaans al over verzekeringsoplossingen. Dat is veel minder het geval bij kleine ondernemingen, die een groot deel van het Belgische ondernemerslandschap vormen.

 


Download onze Cyber Security Gidsen


Deel deze nuttige inhoud met vrienden: