SBO Blog Het blog van Studiecentrum voor Bedrijf en Overheid
Bron: PMP
Cyberaanvallen vormen een constante dreiging waar steeds meer organisaties mee te maken krijgen. Een recent voorbeeld dat je vast hebt voorbij zien komen, is de aanval op Clinical Diagnostics. Hun netwerk werd getroffen door een gerichte ransomware-aanval: systemen werden versleuteld en gevoelige medische gegevens buitgemaakt. Clinical Diagnostics besloot losgeld te betalen, maar kreeg later opnieuw een eis omdat het bedrijf naar verluidt een voorwaarde had geschonden. Hoeveel geld in totaal werd gevraagd, is niet bekend, maar het ging om miljoenen euro’s.
Dergelijke incidenten zijn helaas geen uitzondering meer. Uit het Cybersecuritybeeld Nederland 2024 blijkt dat er in 2023 maar liefst 178 ransomware-incidenten plaatsvonden. Volgens onderzoek van ABN AMRO en een marktonderzoeksbureau kreeg in 2024 één op de vijf Nederlandse bedrijven te maken met schade door een cyberaanval.De impact van deze incidenten is groot: financiële verliezen, reputatieschade en juridische procedures zijn geen zeldzaamheid.
Dat bracht mij tot de vraag: kan je incidenten met persoonsgegevens afkopen of verzekeren? In deze blog neem ik je mee in de wereld van cyberverzekeringen en wat ze nu écht dekken.
Wat is een cyberverzekering precies?
Een cyberverzekering is geen standaardverzekering, het is een vreemde eend in de bijt. Het heeft een hybride vorm: deels een sommenverzekering (voor financiële schade) en deels een schade- of natura verzekering (voor diensten zoals herstel en crisiscommunicatie).
Typische dekkingen zijn onder meer:
- Kosten voor meldplicht bij datalekken;
- IT-herstel en forensisch onderzoek;
- Juridische ondersteuning;
- Reputatieschade;
- In sommige gevallen: losgeldbetalingen of boetes.
Een cyberverzekering is een instrument om cyberrisico’s over te dragen aan een verzekeraar.
De opkomst van de cyberverzekering
Cyberverzekeringen bestaan al langer dan je misschien denkt. In de jaren ’70 waren er al criminaliteitsverzekeringen voor banken. In de jaren ’90 kwamen de eerste hackerpolissen op de markt. Rond 2000 werd ook schade aan derden meeverzekerd, bijvoorbeeld bij datalekken of aansprakelijkheid. Een kantelpunt kwam in 2003 met de California Data Breach Notification Law, de eerste wet die bedrijven verplichtte betrokkenen te informeren bij een datalek. Sindsdien zijn verzekeraars zich in toenemende mate gaan richten op het dekken van kosten rond meldplicht, juridische bijstand en crisismanagement. [1]
In Nederland groeide het premievolume van 36 miljoen euro in 2022 naar 111 miljoen in 2024. De markt ontwikkelt zich dus snel. Toch blijft het aandeel bescheiden ten opzichte van de totale schadeverzekeringsmarkt (16,5 miljard euro).
Incident response diensten
Een belangrijk onderdeel van veel cyberverzekeringen is toegang tot incident response diensten. Dit zijn diensten die tijdens het incident ondersteuning bieden op verschillende gebieden: IT-forensisch onderzoek en recovery, juridisch advies en crisiscommunicatie. Het doel is om de schade te beperken en de systemen te herstellen. Verzekeraars maken hierbij gebruik van externe partners die de incident response volledig kunnen uitvoeren.
Toch is niet alles rozengeur en maneschijn. Fleur van Leusden, CISO bij de Kiesraad, schreef een kritische column waarin ze de incident response-industrie het ‘Wilde Westen van cybersecurity’ noemt. Sommige partijen zouden ondoorzichtig opereren bij losgeldonderhandelingen en daar financieel van profiteren. Haar advies: stel vooraf kritische vragen, bepaal of je zelf regie wilt houden over betalingen, en vertrouw niet blind op externe partijen.
Boetes: mag je die wel verzekeren?
Een interessante juridische discussie is of boetes van de Autoriteit Persoonsgegevens (AP) wel verzekerbaar zijn. Volgens artikel 3:40 BW zijn rechtshandelingen die in strijd zijn met de goede zeden of openbare orde nietig. Dit vormt een begrenzing van de contractvrijheid. Een bekend voorbeeld is het Zweedse bedrijf Bisso, dat in 2006 verzekeringen tegen verkeersboetes aanbood. De toenmalige minister van Justitie oordeelde dat dit in strijd was met de openbare orde, omdat het de prikkel om je aan de wet te houden zou wegnemen.[2]
Maar hoe zit het dan met boetes van de AP? Volgens de AVG moeten deze boetes een doeltreffend, evenredig en afschrikwekkend karakter hebben; ze zijn dus niet puur punitief. Bovendien hanteren verzekeraars strenge acceptatiecriteria: zonder adequate beveiliging kom je doorgaans niet in aanmerking voor een cyberverzekering. De verzekerbaarheid van deze boetes lijkt daarom niet in strijd met artikel 3:40 BW. Er is ook nog geen rechtspraak die daarop wijst.[3]
Uitsluitingen en grijze zones
De uitsluitingen, net als de dekking, verschilt per verzekeraar. Sommige polissen sluiten schade door social engineering (zoals phishing) uit, of dekken het maar deels. En hoewel losgeld vaak gedekt is, blijkt uit onderzoek[4] dat verzekerde bedrijven gemiddeld 2,8 meer losgeld betalen dan onverzekerde. Criminelen houden rekening met de aanwezigheid van een verzekering, en zoeken zelfs actief naar documenten met titels als ‘insurance policy’. Dat roept de vraag op of een verzekering het probleem soms niet groter maakt. En hoe zit het ethisch: is het wenselijk dat verzekeringen meebetalen aan criminele netwerken?
In landen als Frankrijk en Australië is inmiddels wetgeving ingevoerd die bedrijven verplicht ransomwarebetalingen binnen 72 uur te . Dit is bedoeld om politieonderzoek mogelijk te maken en trends inzichtelijk te krijgen. Toch zijn bedrijven vaak terughoudend met melden, uit angst voor reputatieschade of omdat aanvallers dit expliciet verbieden.
Dus… kan je een datalek ‘afkopen’?
De kernvraag blijft: kun je incidenten met persoonsgegevens afkopen of verzekeren? Het antwoord is: dat hangt ervan af.
Een cyberverzekering kan veel kosten dekken, zoals juridische bijstand, meldkosten en soms zelf boetes of losgeld. Maar voordat je überhaupt in aanmerking komt, moet je beveiliging al behoorlijk op orde zijn. Je kunt dus niet slechte beveiliging compenseren met een verzekering.
Mijn advies
Laat je goed informeren, bij voorkeur door een onafhankelijke partij. Kijk kritisch naar de polisvoorwaarden en bepaal wat je echt nodig hebt.
[1] Mr. N.M. Brouwer, Cyberverzekeringen vanuit rechtsvergelijkend perspectief: privacyregelgeving in de VS en de Europese AVG, AV&S 2018/19, p. 93.
[2] ‘Donner wil einde aan boeteverzekering’, De Volkskrant 21 april 2008.
[3] N.M. Brouwer, ‘De cyberverzekering vanuit civielrechtelijk perspectief’, O&R nr. 129, 2021, p. 26.
[4] Voor meer informatie over het onderzoek van T. Meurs zie https://www.digitaltrustcenter.nl/veel-bedrijven-hebben-eigenlijk-geen-keuze-tussen-betalen-of-niet-betalen.
