In een wereld die in rap tempo digitaliseert, vormt cybersecurity een steeds belangrijker onderwerp voor bedrijven. Alles wat verbonden is met internet draagt een veiligheidsrisico in zich en criminelen gaan steeds geraffineerder te werk. ‘Ook zij ontwikkelen zich samen met de techniek en vinden steeds geavanceerder manieren om nog grotere schade toe te brengen’, aldus Nynke Brouwer, advocaat en hoofd van het Dirkzwager Cybersecurity team.
Er bestaat discussie over of een cyberverzekering het door de verzekerde betaalde losgeld bij ransomware wel zou moeten dekken. Hoe kijk jij daartegenaan?
‘Ja, het is heel interessant hoe de verzekeraars op dit moment onder een vergrootglas liggen. Mensen vinden het soms gek dat dit onder de verzekeringsvoorwaarden valt, terwijl er al jaren een kidnap & ransomverzekering bestaat voor bijvoorbeeld expats die naar risicogebieden moeten afreizen. Hoewel beide verzekeringen natuurlijk niet één-op-één hetzelfde zijn, is het op zich dus niets nieuws, maar nu wel volop in de aandacht vanwege de aard en omvang van het ransomwareprobleem. Dat probleem is echter veel breder dan enkel het aspect van verzekeringsdekking.
Hoewel mijn advies eigenlijk altijd luidt “betaal niet, tenzij”, zie je dat het merendeel van de bedrijven in een positie wordt geplaatst waarin ze eigenlijk niet anders kunnen. Als de schade door niet-betaling te groot wordt, ja, dan maken ondernemers een rekensom en vanuit hun positie snap ik dat wel. Maar nogmaals, betaling zou nooit mijn eerste advies zijn, ongeacht een eventuele achterliggende verzekering.’
Heeft de verzekeringsdekking in dit geval nog enige invloed op de beslissing om al dan niet het gevraagde losgeld te betalen?
‘In verzekeringskringen staat dit bekend als moreel risico: de kans dat je ander gedrag vertoont omdát je verzekerd bent. Dit is een bekend fenomeen en verzekeraars hebben ook allerlei instrumenten om het tegen te gaan. Helemaal voorkomen kun je het nooit, en ik heb daar zelf een tamelijk genuanceerde mening over. In het geval van ransomware kun je niet zomaar zeggen dat bedrijven die verzekerd zijn wel betalen omdat ze verzekerd zijn, en bedrijven die dat dat niet zijn daarom niet betalen. Bij ransomware staan bedrijven zodanig met hun rug tegen de muur dat ze, ongeacht of ze verzekerd zijn, vaak besluiten om toch maar te betalen. Het is dus best lastig om de invloed van de verzekering op dat beslisgedrag te duiden. Het is één van de componenten die meewegen in de beslissing en dat is in principe ook niet anders bij andere verzekeringen.’
Wat is cybersecurity eigenlijk en welke bedrijven en organisaties hebben er vooral mee te maken?
‘Je kunt cybersecurity definiëren als: alle beveiligingsmaatregelen die men treft om schade te voorkomen door storing, uitval of misbruik van informatiesystemen of computers. Dat is dus best breed en dan heb je het zowel over informatiebeveiliging, ofwel privacy, als over operationele processen die moeten worden beschermd.
Eigenlijk is er geen enkel bedrijf meer dat niet met cyberrisico’s te maken krijgt. In het MKB speelt digitalisering een hele grote rol, ook al is men daar zelf niet altijd in even grote mate van overtuigd. Natuurlijk is een lokale bakker of kapper wat minder afhankelijk van gedigitaliseerde techniek dan sommige andere bedrijven, maar alleen al betaalpunten en reserveringssystemen draaien allebei op ICT. En in de zorgsector heeft men enerzijds te maken met heel veel gevoelige gegevens en anderzijds met operationele processen die in grote mate afhankelijk zijn van digitalisering. Eigenlijk zijn tegenwoordig een heleboel bedrijven, als je hun core business afpelt, in de basis een IT-bedrijf. Hoewel het risicobewustzijn groeit, realiseren veel ondernemers zich dat niet altijd voldoende en dat maakt het best lastig om die risico’s goed te adresseren.’
Het is voor bedrijven mogelijk een zogeheten cyberverzekering af te sluiten: gebeurt dit vaak, wat zijn de voorwaarden en welke rol kunnen bedrijfsjuristen op dit gebied spelen?
‘Het is een groeimarkt die zeker nog veel uitdagingen kent. Als je ze afzet tegen traditionele verzekeringen als de property verzekering of aansprakelijkheidsverzekering voor bedrijven, dan vormen de cyberverzekeringen een relatief klein deel daarvan. Je moet als bedrijf ook al behoorlijk wat digitale veiligheidsmaatregelen hebben geïmplementeerd. Ik denk dat het goed is als bedrijfsjuristen daarover intern het gesprek aangaan, mocht dit nog niet zijn gebeurd.
Een verzekering is overigens nooit een vervanging voor security. Dat is een misverstand dat ik wel vaker hoor, dan wordt gezegd: “ja, maar ik ben toch verzekerd, het vinkje is gezet”. Dat is niet zo en zeker niet bij cybersecurity; dat is een continue proces dat telkens opnieuw geëvalueerd en aangepast moet worden aan veranderende omstandigheden. Een verzekering is altijd afdekking van een stuk restrisico.
Wat je eerst moet doen is een risicoanalyse voor je hele bedrijf maken. Dat moet je als bedrijfsjurist doen in samenspraak met je bestuur – want cybersecurity is ook echt een bestuursaangelegenheid – en met je IT-afdeling, als je die hebt. Als het restrisico vervolgens onacceptabel groot is, is het ook aan de bedrijfsjurist om zich heel goed te laten informeren over de verschillende cyberverzekeringen. In grote lijnen is de dekking overal wel ongeveer hetzelfde, maar je moet je goed laten voorlichten over wat nou echt het beste past bij jouw bedrijfsvoering en bij de kroonjuwelen die je wilt beschermen.’
Waar zou een bedrijfsjurist nog meer naar kunnen kijken?
‘Wat je eerst moet doen is een risicoanalyse voor je hele bedrijf maken. Dat moet je als bedrijfsjurist doen in samenspraak met je bestuur – want cybersecurity is ook echt een bestuursaangelegenheid’
‘Ik benader de situatie altijd vanuit risicomanagement, en begin dus bij preventie. Dat kan zitten in het opstellen van protocollen, zoals incidentnoodplannen en bedrijfscontinuïteitsplannen op digitaal vlak. Daarnaast is goed contractmanagement ook heel belangrijk. Veel bedrijven hebben hun ICT uitbesteed, en wat wij heel vaak zien is dat in de contracten niets wordt vastgelegd over security. De klant gaat ervan uit dat beveiliging en back-ups door de IT-leverancier worden geregeld. Maar als daarover niets is afgesproken, is de IT-leverancier in de veronderstelling dat het bedrijf dat zelf doet. In de rechtspraak zie je hierover steeds vaker conflicten.’
Wat wordt zoal door een cyberverzekering gedekt?
‘Het is een verzekering die zowel first party als third party schade dekt. Het gaat dus zowel over eigen schade van het bedrijf – bijvoorbeeld door bedrijfsstilstand, afpersing, herstelkosten en incident response diensten – als aansprakelijkheid jegens een derde. Hierbij kun je denken aan schending van de AVG of schade door een grootschalig datalek. De cyberverzekering heeft dus een hybride karakter.’
Je noemt incident response diensten, kun je uitleggen wat dat inhoudt?
‘Deze zijn kenmerkend voor de dekking onder cyberverzekeringen. Wat verzekeraars hierbij doen, kun je vergelijken met de brandverzekering van bijna vier eeuwen geleden: na de grote brand in Londen in 1666 gingen verzekeraars zelf actief blusdiensten aanbieden. Als verzekerde kon je dan aanspraak maken op de brandweer, die tot dan toe nog niet bestond.
Dat zie je nu eigenlijk ook gebeuren in cyberverzekeringsland: met een cyberverzekering krijg je de beschikking over een noodnummer dat je dag en nacht kunt bellen. Er staat dan in no time een driehoek van expertises voor je klaar. Er komt een securitybedrijf, of IT forensisch expert, kijken wat er is gebeurd en hoe het lek zo snel mogelijk kan worden gedicht. Een juridisch expert, vaak een advocaat, kijkt mee naar alle juridische aspecten, dus of je bijvoorbeeld een melding moet maken bij de Autoriteit Persoonsgegevens. Ten slotte geeft een communicatieadviseur aan hoe betrokkenen op de juiste wijze kunnen worden geïnformeerd en reputatieschade kan worden beperkt.
Met deze multidisciplinaire aanpak wordt schade zoveel mogelijk beperkt door snel en effectief te “blussen”. Cyberverzekeraars hebben deze incident response diensten, die je juridisch beschouwd zou kunnen aanmerken als bereddingskosten, naar zich toegetrokken en wijzen ook zelf de partners aan waarmee wordt gewerkt.’
