In 2017 kreeg de Autoriteit Persoonsgegevens ongeveer tienduizend datalekken te verwerken. In 2018 verdubbelde dat cijfer naar twintigduizend. Vooral in de gezondheidssector en de sector financiële dienstverlening blijken er veel datalekken te zijn, zoals blijkt uit cijfers van de Autoriteit Persoonsgegevens. Zo’n datalek kan jouw onderneming duur komen te staan, zeker als de Autoriteit Persoonsgegevens een onderzoek instelt. Dat gebeurde vorig jaar 298 keer. Vervoersdienst Uber kreeg daardoor zelfs een boete van niet minder dan zeshonderdduizend euro. Maar daarnaast kunnen betrokkenen ook zelf een schadevergoeding vragen. Gelukkig biedt de cyberriskverzekering soms redding.
Wat dekt de cyberriskverzekering?
De exacte dekking van de cyberriskverzekering verschilt van verzekeraar tot verzekeraar. Maar in principe dekt de cyberriskverzekering de schade aan derden, net zoals de schade van de onderneming. Denk in dat eerste geval aan schadeclaims, terwijl in het tweede geval beschadigde infrastructuur, economische schade door het stilliggen van de productie en IT-kosten worden vergoed.
Bij sommige verzekeraars zijn er ook extra dekkingen voorzien. Het gaat dan om de kosten voor het melden van een datalek tot zelfs dekkingen voor opgelegde boetes door instanties als de Autoriteit Persoonsgegevens. Dat laatste is echter niet altijd het geval, net omdat het verzekeren van boetes al langer omstreden is. Vraag daarom bij jouw verzekeraar na wat al dan niet wordt gedekt. Zo kom je achteraf niet voor onaangename verrassingen te staan.
Niet verzekerd? Schade recupereren
Indien je niet over een cyberriskverzekering beschikt, is het soms mogelijk om de schade bij derden te recupereren. Zo kan je de cybercrimineel bijvoorbeeld voor de rechtbank dagen om daar een schadevergoeding te vorderen. Echter is dat lang niet altijd even eenvoudig en bovendien is zo’n cybercrimineel niet altijd even kapitaalkrachtig. Het is dus zeker geen zekerheid dat je, zelfs indien je de cybercrimineel al überhaupt kan identificeren, jouw verlies ook effectief zal kunnen recupereren. Wees er bovendien maar zeker van dat je tegen torenhoge juridische kosten aanloopt.
In sommige gevallen is het ook mogelijk om de kosten te verhalen bij een tegenpartij, vooral indien ze (gedeeltelijk) mee aan de basis liggen van het datalek. Denk bijvoorbeeld aan clouddiensten of CRM-leveranciers. Echter is ook dat geen evidentie omdat ze hun eigen aansprakelijkheid vaak juridisch beperken. Sla er de kleine lettertjes maar eens op na.
Daarom moet je niet alleen de mogelijkheden van CRM software vergelijken maar ook de contracten en algemene voorwaarden. Vraag ook steeds naar de beveiligingsmaatregelen die dergelijke IT-leveranciers treffen en naar eventuele verzekeringen waar ze over beschikken. Maar laat het vooral duidelijk zijn: in elk geval behoort de cyberriskverzekering tot het lijstje met onmisbare bedrijfsverzekeringen voor ondernemers.
Cyberriskverzekering kent veel uitsluitingen
Net omdat de schade na een datalek hoog kan oplopen, zijn cyberriskverzekeringscontracten altijd gevuld met talloze uitsluitingen die niet verzekerd zijn. De exacte inhoud daarvan is opnieuw overal anders. Veelal zal de cyberriskverzekering niet de schade vergoeden indien het ging om onrechtmatig vergaarde data, bijvoorbeeld door een schending van de AVG-regels. Maar denk ook aan schade bij duidelijk voorzienbare incidenten of aan contractuele schadevergoedingen. Het blijft met andere woorden belangrijk om nog steeds te investeren in een goede IT-beveiliging. Anders loop je al snel tegen de beperkingen van de cyberriskverzekering aan.