nieuws

Welke cyberpolissen zijn er op de markt?

Schade 2425

Cybercrime wordt een steeds grotere bedreiging voor financiële instellingen. De Nederlandsche Bank (DNB), die zelf ook niet wordt gespaard door cybercriminelen, waarschuwde er onlangs weer voor en kondigde aan om met hulp van ethische hackers zwakke plekken bij onder andere banken aan het licht te brengen. De toezichthouder maakte bovendien bekend dat nieuwkomers moeten aantonen dat ze hun beveiliging op orde hebben voor ze een vergunning krijgen om financiële diensten aan te bieden. Kunnen we ons met cyberverzekeringen wapenen tegen aanvallen? We onderzochten de trends van het afgelopen jaar en vroegen een cybersecurity-expert hoe zij aankijkt tegen de cyberpolissen die op de markt kwamen. “Ik denk dat in veel gevallen het paard achter de wagen gespannen wordt.”

Het premie-inkomen van cyberverzekeringen in Nederland bedroeg in 2017 minimaal € 20 miljoen. In 2015 haalden verzekeraars nog maximaal € 10 miljoen premie-inkomsten uit cyber. Meer dan 90% van de inkomsten komen van de zakelijke markt. Dat blijkt uit nieuwe cijfers van het Centrum voor Verzekeringsstatistiek (CVS). Het CVS vroeg verzekeraars medio 2016 en begin dit jaar naar het premie-inkomen uit cyberverzekeringen. De groei wordt vooral veroorzaakt doordat meer verzekeraars op de markt van cyberpolissen actief zijn. Daarnaast neemt ook de omvang van de cyberportefeuille van verzekeraars toe.

Vijftien jaar

Voordat we dieper induiken op de trends van vorig jaar, eerst iets verder terug: sinds wanneer worden cyberverzekeringen eigenlijk in Nederland aangeboden? Chubb blijkt het langst een cyberpolis te hebben. Volgens Daniel Jacobs, cybermanager Benelux, biedt Chubb inmiddels vijftien jaar cyberverzekeringen aan in Nederland. Juist financiële instituten en grote bedrijven waren volgens hem de eerste klanten. Sinds drie jaar heeft de verzekeraar ook specifieke polissen voor het mkb.

De trends in cyberverzekeringen

Wat waren de trends van 2017? Hiscox gaf in maart aan de polisvoorwaarden van de Cyber en Data Risks-verzekering te hebben aangepast. Naast online bedrijfsschade is nu ook offline schade standaard gedekt. In april maakte de verzekeraar bekend een volmacht voor Cyber en Data Risks te hebben verleend aan Hienfeld Assuradeuren uit Diemen, maar volgens Hiscox-manager Professional Insurance & Cyber and Data Risks, Yasin Chalabi, gaat die eer eigenlijk naar volmachtbedrijf Turien & Co.
Turien & Co kondigde in april 2017 aan dat ze ook de beroepsaansprakelijkheids- en cyberverzekeringen van Chubb aan gaan bieden. Daarna leek het in de markt stil te vallen rondom het onderwerp. Het was vooral de maand september waarin verschillende partijen met nieuwe initiatieven naar buiten kwamen. Zo maakte het Verbond van Verzekeraars die maand duidelijk dat de verzekeraars willen aansturen op een keurmerk cyberrisico’s voor de verzekeringsbranche. Samen met het Centrum voor Criminaliteitspreventie en Veiligheid (CCV), Nederland ICT en publieke partners voert het Verbond oriënterende gesprekken over de ontwikkeling van een keurmerk.

Proberen en pilotten

Kort daarop kondigde De Goudse aan ‘een sprong in het diepe’ te maken door een cyberpolis aan te bieden zonder de traditionele polisvoorwaarden. De Goudse richt zich op mkb’ers met een maximale jaaromzet van € 10 miljoen. Ze kunnen zich verzekeren voor een bedrag van één of tweeënhalve ton. Voordat klanten de verzekering kunnen afsluiten, moeten ze samen met hun adviseur een inventarisatie van het cyberrisico laten uitvoeren.

Even daarna lanceerde Delta Lloyd een pilot voor een cyberverzekering en ook deze partij biedt het product aan het mkb aan. Een jaar lang kunnen 50 adviseurs het product testen. Ze krijgen eerst een workshop over cyberrisico’s. De nieuwe cyberverzekering wordt een modulair product. Crisismanagement en dataherstel maken vast onderdeel uit van de polis. Daarnaast zijn er optionele modules aansprakelijkheid, bedrijfsschade en verlies van geld. De adviseurs krijgen daarvoor eerst een workshop over cyberrisico’s, cybercriminaliteit, wetgeving en de specifieke eigenschappen van de verzekering zoals de verschillende dekkingen. Daarna kunnen ze het product verkopen aan mkb’ers.

Doel van de pilot is volgens de verzekeraar om ervaring op te doen op het gebied van cybercriminaliteit. Na een jaar wordt besloten of de cyberverzekering breed in de markt wordt geïntroduceerd. Volgens woordvoerder Bas Kuik loopt de pilot goed en hebben zich inmiddels 40 adviseurs aangesloten. Kuik vertelt ook over het collectief verbond, getiteld De Cyberwacht, dat Nationale Nederlanden in september lanceerde. Kuik: “Nu grote bedrijven steeds beter zijn beveiligd, richten cybercriminelen zich vaker op het mkb. De Cyberwacht is de spoeddienst voor alle gehackte bedrijven.” Opmerkelijk hierbij is dat de spoeddienst zonder verzekering of abonnement kan worden benaderd. De service is echter niet kosteloos. De telefonische assistentie is gratis, aan eventuele vervolgstappen hangt een prijskaartje dat op basis van de schade ter plekke wordt berekend en besproken.

De handdoek in de ring

Waar sommige partijen de handschoen oppakken, gooiden anderen de handdoek in de ring. Zo liet verzekeringsbedrijf de Vereende eind september weten dat het het onderzoek naar de wenselijkheid en haalbaarheid van een zogeheten cyberpool staakt. Door het instellen van zo’n pool zouden anders onverzekerbare cyberrisico’s toch verzekerd kunnen worden. De Vereende meldde het idee te verlaten omdat verzekeraars nu met eigen initiatieven komen.

Ook Allianz-dochter AGCS, die binnen de groep fungeert als industriële verzekeraar voor bedrijfsmatige risico’s, kwam met nieuws. Het bedrijf gaat samenwerken met het Amerikaanse Cyence. Daarmee wordt volgens AGCS de capaciteit om cyberrisico’s wereldwijd te analyseren vergroot. Allianz verwacht dat door betere risico-inschatting de acceptatie van cyberpolissen vergaand kan worden geautomatiseerd.

In september kondigden ook Aon en volmachtbedrijf Sure Business nieuwe ontwikkelingen aan. Aon gaat een cyberverzekering aanbieden aan leden van de Hypotheekbond met AIG als risicodrager. Sure Business meldde ook met een cyberverzekering voor intermediairs de Nederlandse markt te betreden, eveneens met AIG als risicodrager.

Cyberpolissen voor particulieren

Univé introduceerde in oktober een verzekeringspakket waarmee consumenten hun pc of smartphone kunnen beschermen tegen hackers. Onder de noemer ‘Zorgeloos Online’ krijgen klanten voor een vast bedrag per maand een ‘kastje’, de FSecure Sense, een beschermingswal die alle internetverkeer van alle apparaten in huis beschermt tegen internetcriminelen die bijvoorbeeld virussen verspreiden, aan phishing doen en hacken. Een meegeleverde app moet de apparatuur buitenshuis beschermen. Daarnaast is er een hulplijn met technici om te helpen voor als het toch misgaat. En als een mobiel, laptop of pc toch onherstelbaar beschadigd raakt, is er een vergoeding tot € 5.000. Mocht er door apparaten schade ontstaan bij anderen, dan is de eigenaar tot € 2,5 miljoen verzekerd voor aansprakelijkheid.

Eind oktober kondigde Hiscox aan een losse verzekeringsmodule op de markt te brengen die vermogende particulieren moet beschermen tegen cybercrime. De module kan worden bijgesloten door particulieren die al de verzekering Huis en Kunst bij Hiscox hebben afgesloten. De nieuwe, optionele, module Family Protection en Cyber vult de inboedelverzekering aan met een dekking tegen de gevolgen van cybercriminaliteit (waaronder digitale gijzeling, reputatieschade, verlies van geld op rekening en identiteitsfraude). Ook cyberafpersing is gedekt.

Schijnveiligheid

Cybersecurity-expert Mary-Jo de Leeuw, vice-president van Women in Cyber Security en associate partner bij Revnext, is desgevraagd niet onder de indruk van alle cyberinitiatieven van verzekeraars. “Ik denk dat voor een groot deel het paard achter de wagen wordt gespannen. Het is vaak heel onduidelijk wat je precies krijgt bij die polissen.” De Leeuw ziet de meerwaarde van cyberverzekeringen niet. “Je komt al een heel eind als je je automatische updates aanzet, een goede firewall installeert, je medewerkers traint en investeert in hardware en software.”

Je komt al een heel eind als je je automatische updates aanzet

Cyberpolissen noemt De Leeuw meer een soort schijnveiligheid. “Ik merk ook dat mensen de neiging hebben om lui te worden als ze die verzekering wel hebben. Ik hoor nu al geluiden als: ‘we zijn verzekerd dus het maakt toch niets uit’.”

Volgens De Leeuw wordt er in de financiële wereld heel wisselend omgegaan met cyber security. “Het bewustzijn met betrekking tot cyberveiligheid is onder de corporates goed aanwezig, maar cyber security voor mkb’ers is geen issue. Dat snap ik ook wel. De meeste mkb’ers zijn al druk genoeg met hun primaire processen en ze schrikken vaak van de facturen die met cyberveiligheid gepaard gaan.”

Alarmerend

Al met al zien we dat de producten die Nederlandse verzekeraars aanbieden nog niet echt veel verder zijn dan de proeftuin. Wat wel opvalt is dat de alarmerende geluiden over de impact van cybercrime steeds luider worden. Er is bovendien steeds meer aandacht voor de noodzaak voor het mkb om zichzelf tegen cyberrisico’s te verzekeren. In 2018 is het tot nu toe nog opvallend stil wat betreft cyberverzekeringen in de verzekeringswereld.

Reageer op dit artikel