01/02/21

Het nut van een cybersecurity verzekering

In deze digitale tijden, waarin thuiswerk steeds vaker de norm is en ondernemingen continu afhankelijk zijn van IT-systemen en digitale werkplatformen, is het belang van cybersecurity groter dan ooit. Er wordt jammer genoeg nog te weinig stilgestaan bij cybersecurity en bij het belang van een cybersecurity verzekering. Zo’n verzekering is een goed instrument om een heel aantal risico’s en aansprakelijkheden af te dekken.

1.Waarom een cybersecurity verzekering?

Computernetwerken zijn vandaag onontbeerlijk voor uw onderneming: van de opslag van gegevens in de cloud, over e-mails en elektronische betaling tot het beveiligen van vertrouwelijke informatie op uw servers. Het digitaliseren van uw activiteiten is vaak een kostelijke zaak en vereist nieuwe processen om de nodige efficiëntie te bereiken.

Hoewel ondernemingen investeren in digitalisering, staan ze vaak nog te weinig stil bij een goede beveiliging van hun computersystemen. De cyberrisico’s zijn echter verregaand: hacking, phishing, ransomware, datalekken en virussen zijn vandaag veelvoorkomende problemen voor ondernemingen. Zo blijkt uit statistieken dat in 2020 71% van de cyberbeveiligingsondernemingen een stijging in cyberbedreigingen ziet. Belgische bedrijven betalen jaarlijks zo’n 100 miljoen euro losgeld aan cybercriminelen die ransomware aanslagen plegen.

Ondernemingen moeten zich zeker bewust zijn van deze explosieve stijging van cyberbedreigingen en zich daartegen wapenen, door middel van gepaste voorzorgsmaatregen. Cyberaanvallen kunnen immers een grote impact hebben op uw bedrijfsactiviteiten. Voorbeelden hiervan zijn de onbeschikbaarheid van netwerkfaciliteiten die noodzakelijk zijn voor de bedrijfsvoering, aansprakelijkheid wegens niet-nakoming van contractuele verplichtingen ten gevolge van cyberaanvallen, gegevensverlies en publicatie van vertrouwelijke gegevens en/of bedrijfsgeheimen. Door de grote afhankelijkheid van netwerken kan een bedrijf compleet worden lamgelegd.

U kan zich tegen deze risico’s wapenen op twee vlakken: preventief en curatief. Preventief kan u bepaalde beveiligingsmaatregelen nemen zoals het encrypteren van uw bedrijfsgegevens, veilige backups en het plaatsen van firewalls op de bedrijfsnetwerken, alsook een goed preventiebeleid opmaken en een goede training geven aan uw werknemers. Dit is echter onvoldoende, aangezien beveiligingsmaatregelen nooit alle risico’s dekken en volledig beschermen tegen cybercriminaliteit. In zulke situaties komt het belang van een goed dekkende cybersecurity verzekering naar voren, dat als curatieve maatregel dient wanneer het kwaad reeds geschied is. De preventieve en curatieve maatregelen zijn dus complementair en niet exclusief. Een keuze voor de ene of de andere maatregel is onvoldoende om uw onderneming voldoende te beschermen tegen cyberrisico’s.

2.Wat houdt een cybersecurity verzekering in?

Een cybersecurity verzekering heeft gewoonlijk drie verschillende elementen: dekking van de aansprakelijkheid voor schade aan derden, dekking van de eigen schade en bijstand in het geval van een cyberaanval of inbraak in de computersystemen van uw onderneming. Deze elementen zijn steeds terug te vinden bij verzekeringsaanbieders, zij het in verschillende vormen en verschillende mate van dekking. Vaak voorzien verzekeringsaanbieders ook in een voorafgaande analyse van de cyberrisico’s van uw bedrijf en formuleren ze preventieve maatregelen.

Bijstand in het geval van cyberaanval of inbraak, bestaat meestal uit 24/7 bijstand om de gevolgen van een aanval in te perken en zo nodig actie te ondernemen om blokkering van uw bedrijfsprocessen op te heffen. Vaak wordt beroep gedaan op IT-specialisten, juridische adviseurs, public relations managers en crisisassistenten.

Voor de eigen schade die uw onderneming lijdt bij cyberaanvallen, hangt de dekking sterk af van de verzekeringsmaatschappij waarmee u de cybersecurity polis afsluit en van de door u verkozen formule. Voorbeelden van gedekte eigen schade zijn bedrijfsschade, schade ten gevolge van gegevensverlies, de kosten bij ransomware en het opnieuw beschikbaar maken van uw computersystemen, financiële verliezen bij phishing, kosten van de specialisten die ter beschikking gesteld worden aan uw onderneming in het kader van bijstand, (administratieve) boetes die uw onderneming kan oplopen door de cyberaanval zoals boetes voor datalekken in het kader van de Algemene Verordening Gegevensbescherming en de kosten om melding te maken van de cyberaanval aan derden.

Het derde element, de aansprakelijkheid voor schade aan derden, bevat onder meer de kosten van gerechtelijke procedures en de daaruit voortvloeiende schadevergoeding, schade aan de computersystemen van derden bij verspreiding van virussen of andere schadeverwekkende software en schadevergoeding voor het verlies en/of de bekendmaking van (persoons)gegevens. De dekkingsgraad van dit element is ook sterk afhankelijk van de verzekeringsformule en de door u gekozen verzekeringsaanbieder.

De premie die u betaalt voor de cyberverzekering kan maandelijks, trimestrieel, per kwartaal of jaarlijks verschuldigd zijn en is sterk afhankelijk van de grootte van uw onderneming, uw bedrijfsactiviteiten en de mogelijke cybersecurity risico’s die uw onderneming loopt.

3.Wat zijn de aandachtspunten bij het zoeken naar de juiste cybersecurity verzekering voor mijn onderneming?

Elke cybersecurity verzekeringspolis is verschillend op het vlak van premies, franchise, gedekte risico’s en bijstand. Hieronder sommen we enkele aandachtspunten op bij uw keuze van een cybersecurity verzekering:

Eerst is het belangrijk dat uw cybersecurity verzekeringspolis afgestemd is op de risico’s en activiteiten van uw onderneming. Zo zal een onderneming die mobiele gezondheidsapplicaties ontwikkelt, veel sneller het risico op cyberaanvallen lopen dan een tuinaannemer. Het is daarom belangrijk om te kiezen voor een formule die past bij uw risico’s en bedrijfsactiviteiten en om advies te vragen;

Vervolgens is het belangrijk om rekening te houden met preventieve beveiligingsmaatregelen die u reeds getroffen heeft om cyberrisico’s te dekken, en vooral waar u onvoldoende gedekt bent. Uw cybersecurity verzekering kan een aanvulling zijn op die zwakke plekken. Ook andere verzekeringen, zoals de beroepsverzekering, moeten in rekening genomen worden;

Ook dient u rekening te houden met de uitsluitingen en beperkingen van uw cybersecurity verzekeringspolis. Elke polis bevat immers zulke uitsluitingen en beperkingen, die de mate van dekking bepalen. Zo kan het zijn dat uw eigen risico maar beperkt is tot een bepaald bedrag of enkel tot de directe schade aan uw computersystemen, zonder dat u gedekt bent voor andere schade aan uw bedrijfsactiviteiten. Ook sluiten sommige verzekeringspolissen dekking uit wanneer er onvoldoende preventieve beveiligingsmaatregelen zijn genomen. Het is dan ook belangrijk dat u advies inwint zodat u een polis kiest die is afgestemd op uw onderneming;

Het franchisebedrag, d.i. de schade die u zelf moet dragen vooraleer de verzekeringspolis tussenkomt, is ook een element waarmee u rekening moet houden. Het is immers zo dat de schade bij kleinere bedrijven ook veelal kleiner zal zijn en uw franchisebedrag daaraan aangepast moet worden;

De verzekeringspremie is uiteraard ook van belang bij de keuze van cybersecurity verzekering. Hoewel deze premie niet opweegt tegen potentiële schade bij cyberaanvallen, moet uw onderneming ook in staat zijn om dit bedrag te dragen;

Tenslotte moet u rekening houden met de bijstand die wordt geboden. Wanneer kan u om bijstand vragen, binnen welke termijn worden cyberproblemen opgelost en welke specialisten staan er ter beschikking? Deze vragen zijn belangrijk voor een snelle hervatting van uw activiteiten.

Het is belangrijk om bovenstaande aandachtspunten in rekening te nemen bij de keuze van cybersecurity verzekeringspolis en het sluiten van contracten met uw leveranciers en eindklanten. De mate van dekking die de verzekering biedt, zal immers ook een belangrijke factor zijn in de aansprakelijkheid die u aanvaardt. Ook vormt een degelijke cybersecurity verzekering een factor in het aantonen dat u voldoende technische en organisatorische maatregelen neemt om persoonsgegevens te beschermen, wat vereist is volgens de Algemene Verordening Gegevensbescherming.

Monard Law helpt u graag verder met uw juridische vragen rond cybersecurity verzekeringen, de impact daarvan op uw contractuele relaties en andere vragen rond IT-overeenkomsten en de Algemene Verordening Gegevensbescherming.

Deze bijdrage werd geschreven door Dylan Verhulst, lawyer en Kristof Zadora, partner.

dotted_texture