Cyberverzekeringen zijn veel meer dan een zak met geld om geleden schade te vergoeden

Een steeds groter deel van onze levens speelt zich online af. Dit brengt voordelen met zich mee, maar ook risico’s. Turien & Co. was en is in Nederland één van de voorlopers in het verzekeren van deze cyberrisico’s. Wij spraken Sandra Dekker over het nut en de noodzaak van cyberverzekeringen voor particulieren en bedrijven. Sandra is als productspecialist betrokken bij de ontwikkeling van de particuliere cyberverzekering van AnsvarIdéa en heeft ook de zakelijke verzekeringen waar Turien een volmacht voor heeft in haar portefeuille. Om haar kennis van cybercrime te verdiepen, volgde Sandra in 2019 een opleiding tot digitaal rechercheur.  

Hoi Sandra, wat is cybercrime eigenlijk?

“Cybercrime is een verzamelnaam voor verschillende vormen van criminaliteit waarbij misbruik wordt gemaakt van computers en het internet. Je zou kunnen zeggen dat het oude vormen van criminaliteit zijn in een nieuw jasje. In mijn optiek zijn het digitale vormen van inbraak, vandalisme en afpersing. Het verschil is dat cybercriminelen lekker vanuit hun eigen huis en grensoverschrijdend te werk kunnen gaan. Ze hoeven niet meer met een koevoet door de nacht.”

“Tegelijkertijd verandert de aard van de criminaliteit ook. Het is een kat-en-muisspel. Op het moment dat de politie of opsporingsdiensten een bepaalde techniek of een bepaald soort hack hebben ontdekt, hebben criminelen al weer twee of drie andere dingen bedacht om mensen op te lichten.”

Welke vormen van cybercrime komen op dit moment veel voor?

“Bij bedrijven zijn ransomware-aanvallen één van de grootste gevaren. Dit is een vorm van digitale afpersing waarbij je computer wordt gelockt, en je losgeld moet betalen om je systeem te ontgrendelen en data te ontsleutelen. Dat leidt in de meeste gevallen tot bedrijfsstilstand, omdat je niet aan het werk kunt. Voor veel bedrijven is het heel moeilijk voor te stellen wat er gebeurt als je ‘s ochtends aan de slag wilt en niet bij je planning, je agenda of dossiers kunt. Je kunt bijvoorbeeld geen vrachtwagens laten rijden als je geen idee hebt waar ze naartoe moeten.”   

“Als je hiermee te maken krijgt, kun je gaan betalen. Dat is een beetje link, want je weet nooit of je de sleutel krijgt. Meestal wel, want anders gaat de geloofwaardigheid van criminelen eraan – hoe tegenstrijdig dat ook klinkt. Betalen van losgeld wordt wel echt gezien als een laatste escape. Er zal altijd worden geprobeerd om bedrijven met backups weer aan de slag te helpen. Verzekeringspolissen vergoeden losgeldbetalingen over het algemeen wel, mits er betaald wordt in overleg met de verzekeraar.”     

En bij particulieren?

“Over cyberrisico’s van particulieren nog niet zoveel bekend. Particuliere cyberverzekeringen bestaan ook nog niet zo lang. Van identiteitsfraude is wel bekend dat dit voor zeer veel ongemak en (juridisch) gedoe zorgt. Je ziet ook dat phishing aanvallen steeds geraffineerder worden. Vroeger waren dat heel slecht getypte berichtjes, met lelijke ingeplakte logo’s van bedrijven. Je kon dan vrij snel kon zien dat het niet voor jou bestemd was. Maar nu staat er gewoon keurig mevrouw Dekker en zijn de afzenders bijna niet van echt te onderscheiden. Dat noemen we ook wel social engineering, dat ze je heel gericht met je naam en interesses gaan proberen over te halen om op een link te klikken.” 

“Die gegevens kopen criminelen bijvoorbeeld op het darkweb, maar ze kunnen ook een rondje online zoeken. Mensen zetten zoveel op sociale media, zoals Facebook. Denk aan informatie over je favoriete voetbalclub of winkels waar je graag komt. Dan is niet zo moeilijk om een e-mailtje te maken met een hele mooie kortingsactie.” 

Hoe kunnen cyberverzekeringen bedrijven en particulieren beschermen tegen deze risico’s?

“Cyberverzekeringen zijn veel meer dan een zak met geld om geleden schade te vergoeden. Je moet het echt zien als een vangnet. Bij de zakelijke verzekeringen zijn er hele incident response teams. Daar zitten IT-specialisten in die helpen met het terugplaatsen van backups en forensisch onderzoek doen, maar ook juristen die bijstand verlenen in het kader van de meldplicht en advies geven over public relations. Daarnaast draagt een verzekering bij aan bewustwording en preventie.”

“Bij verzekeringen voor particulieren is er ook altijd een helpdesk. Dat is heel fijn, dat je even kunt bellen als je een melding op je scherm krijgt en niet weet wat je moet doen.” 

Als ik het goed begrijp bestaat een verzekering dus uit hulpverlening, schadevergoeding en preventie. Hoe liggen die verhoudingen?

“Je ziet dat die nu een beetje verschuiven. De risicobeoordelingen van verzekeraars worden steeds strenger. De partijen waarmee wij werken – internationale verzekeraars zoals Hiscox, Chubb en Zürich – doen dit jaar veel met premie en voorwaarden. Er komt premie bij en de dekkingen worden optioneler. Ze kijken heel goed hoe bedrijven het voor elkaar hebben. Je moet bijvoorbeeld verklaren dat je multi-factor authentication voor al je apparaten hebt, dat je elke week je backup doet, en patches (kleine softwareverbeteringen) binnen een bepaalde termijn installeert.”

“In termen van geld wordt het meest besteed aan hulpverlening en uitkeringen voor bedrijfsschade. Je krijgt heel veel hulpvragen en zo nu en dan heb je een serieuze schade. Dat hoeven er niet veel te zijn, maar dat loopt wel in de papieren. Het uurloon van IT-specialisten is fors.”

Aan bedrijven worden dus strenge eisen gesteld. Waar liggen de grenzen van de eigen verantwoordelijkheid bij particulieren?

“Zolang er een geloofwaardige component in zit, wordt er in de meeste gevallen gewoon uitgekeerd. Vaak is er wel een sublimiet. Dat betekent dat er voor deze rubriek bijvoorbeeld maximaal 2.000 of 5.000 euro wordt gedekt. In onze eigen particuliere polis staat bijvoorbeeld dat je moet verifiëren of je daadwerkelijk een factuur verwacht. Stel dat je bij Eneco zit en je via de mail een rekening van Vattenfall betaalt, dan vinden we dat daar een stuk eigen schuld in zit en vergoeden we dat niet.”

“Een andere vraag die in het particuliere segment veel gesteld wordt, gaat over WhatsApp-fraude. Een bekend voorbeeld is een bericht waarin je kind je zogenaamd vraagt om geld over te maken. Dat wordt over het algemeen niet vergoed. Dit wordt niet gezien als cybercrime, maar als oplichting via een digitaal apparaat. Vergelijk het met balletje-balletje spelen op een plein, dat kun je ook niet verzekeren.”

“Dat gezegd hebbende, is er nog een groot grijs gebied. Er is weinig jurisprudentie en claims moeten echt per geval bekeken worden.” 

Hoe zijn jullie bij Turien met cyberverzekeringen begonnen?

“Wij zijn in 2013 als een van de eersten begonnen met zakelijke cyberverzekeringen. Nederlandse verzekeraars deden nog niets op dat gebied. We zijn toen een samenwerking gestart met Hiscox, omdat dat ons het beste product op de markt leek. Het was echt een beetje pionieren, elke polis die we sloten werd met gejuich ontvangen.”

Wat is er in de tussentijd veranderd? 

“Inmiddels hebben steeds meer bedrijven en mensen met cybercrime te maken en bieden meerdere verzekeraars cyberverzekeringen aan. De verkoop van cyberverzekeringen is ook versneld door de introductie van de AVG in 2018. Toen kwam er strengere wetgeving op het gebied van omgaan met persoonsgegevens, waar criminelen graag misbruik van maken. Je hebt als bedrijf nu bijvoorbeeld een meldplicht als je een datalek hebt. Als je dat niet goed opvolgt kun je daar boetes voor krijgen en aansprakelijk worden gesteld door je klanten.”

Waarom is een verzekering in zulke gevallen handig?

“Bedrijven moeten aantonen dat ze zorgvuldig omgaan met gegevens. En het hebben van een verzekering met een incident response team is een aspect waarmee je kunt aantonen dat je zorgvuldig omgaat met gegevens.”

Cyberverzekeringen voor particulieren hebben de laatste jaren ook een flinke groei doorgemaakt.

“Klopt! Veel verzekeraars bieden een cyberverzekering aan als onderdeel van hun  inboedelverzekering. Die dekking is bij de meeste partijen erg basic. Het gaat dan om een klein verzekerd bedragje, en een helpdesk waar mensen gebruik van kunnen maken.

Afpersing en identiteitsfraude zijn vaak niet meeverzekerd. Daarnaast zijn er ook steeds meer partijen met een aparte cyberverzekering. Het unieke aan de cyberverzekering van Ansvar is dat je de cyberdekking in de inboedelverzekering met een kleine bijbetaling kunt upgraden tot een uitgebreide cyberdekking.”    

Worden cyberverzekeringen niet vooral afgesloten door mensen die zich bewust zijn van de risico’s, en daardoor toch al minder risico lopen?

“Ja dat is wel zo. Een losse verzekering kost zo’n 5 euro per maand. Daar moet je wel een zeker risico tegenover zien natuurlijk.”

Hoe kan die bewustwording over cyberrisico’s worden verbeterd?  

“Mensen schamen zich een beetje als ze gehackt zijn of op een verkeerd linkje hebben geklikt. Ze denken vaak: ik vertel het maar niet. Dat moet veranderen. In de zakelijke markt heeft die meldplicht in het kader van de AVG erg geholpen, maar ook het delen van praktijkvoorbeelden. Grote hacks en datalekken komen natuurlijk gewoon in het nieuws. Ondernemers zijn daardoor verder dan consumenten, maar zelfs bij bedrijven wordt toch vaak gedacht: dat overkomt mij niet.”

Heb je hier als verzekeraar ook invloed op?

“Wat wij als verzekeraar kunnen doen is het voorlichten van onze adviseurs. Want voor adviseurs zijn cyberrisico’s vaak toch moeilijke materie. Wij doen dit onder meer door workshops te geven in het land, en besteden er regelmatig aandacht aan in onze nieuwsbrief. Vaak met een haakje naar de actualiteit.”

“Daarnaast hebben we een heel mooi portaal opgezet voor adviseurs. Hierin kunnen ze precies vinden wat er allemaal onder een bepaalde cyberverzekering valt, en minutieus de dekkingen, uitkeringsduur en het eigen risico van verschillende aanbieders vergelijken. Dit werkt heel prettig en wordt ook erg gewaardeerd.”