Hogere premies voor cyberverzekeringen: voorkom hoge kosten

Zorg voor adequate beveiliging

Wie een zakelijke cyberverzekering afsluit, heeft naast rechten ook een aantal plichten. In vrijwel iedere polis staat beschreven dat verzekeringsnemers hun systemen preventief moeten beveiligen. Hiermee voorkom je cyberincidenten en datalekken waar mogelijk. Welke maatregelen je precies moet treffen is afhankelijk van de situatie. Zo maakt het uit of je: 

• Het systeem in eigen beheer hebt of bij een leverancier/derde organisatie;
• Beveiligingslekken veroorzaakt kunnen worden door eigen werknemers of ingehuurde zelfstandigen.

In het kort moet je bij een cyberverzekering zelf zorgen voor een adequate beveiliging. Voldoe je niet aan deze eisen? Dan loop je het risico dat een schade niet wordt vergoed. 

 

Investeer in een goed privacybeleid

Ook privacy is een belangrijk thema binnen een cyberverzekering. Anders dan bij cybersecurity bestaan hiervoor wetten en regels. Voldoet je organisatie niet (aantoonbaar) aan de wetgeving? Of komt deze haar eigen openbare privacybeleid niet na? Dan heeft dit financiële gevolgen. Je loopt niet alleen risico op een boete van de overheid, maar krijgt bij een eventuele schadeclaim ook niets (of minder) uitgekeerd. 

Korting op je premie

Zoals je kunt lezen is het voor je cyberverzekering belangrijk dat je je privacy op orde hebt. Bedrijven met bijvoorbeeld een Privacy Certificaat krijgen vaak korting op het eigen risico en genieten van betere voorwaarden. Zo’n certificaat staat namelijk garant voor het nakomen van de wetgeving én voor een jaarlijkse controle met updates. Zo loopt je onderneming minder risico en ben je voor verzekeraars de ideale klant. 

 

Wat kun je zelf doen: 6 tips

Preventieve maatregelen hoeven geen bakken met geld te kosten. Met de onderstaande tips van Kor de Boer ben je al een goed eind op weg. 

1. Leer werknemers de gevaren herkennen

Waar mensen werken, maken mensen fouten. Zeker op het gebied van cybercrime: veel mensen hebben geen idee wat deze vorm van misdaad precies inhoudt. Investeer daarom in de opleiding van je personeel, zodat zij de gevaren leren herkennen. Want: weet jij hoe een gevaarlijke e-mail eruit kan zien? Zet je werknemers op cursus of laat ze meedoen aan een programma, zoals Foxhunt. Dit programma genereert foute e-mails om je medewerkers te helpen ze te herkennen. 

Moedig werknemers ook aan om verdachte situaties te melden. Vermoeden ze dat iets niet in de haak is? Of hebben ze per ongeluk op een verdachte link geklikt? Sta er dan – zonder oordeel – voor open. Werknemers zijn populaire doelwitten van hackers en moeten beschermd worden in plaats van gestraft. 

2. Verzamel niet onnodig data

Volgens de wet mag je geen informatie verzamelen, wanneer dit niet strikt noodzakelijk is. Dit heeft ook een haakje met cybercrime: hoe minder data je organisatie verzamelt, hoe minder kans je loopt op cyberproblemen en datalekken. Onder de Algemene Verordening Gegevensbescherming (AVG) mag je alléén persoonsgegevens verwerken, wanneer ze voldoen aan één van de volgende grondslagen: 

1. Toestemming
2. Uitvoering van de overeenkomst
3. Wettelijke verplichting
4. Vitaal belang van betrokkene of andere personen
5. Algemeen belang
6. Gerechtvaardigd belang

Wanneer een organisatie de gegevensverwerking niet op minimaal één van deze grondslagen kan baseren, is het niet toegestaan om persoonsgegevens te verwerken.

3. Gebruik alleen de bedrijfsmail

Veel werknemers sturen bedrijfsmail door naar hun persoonlijke mailadres en vice versa. Ze willen thuis nog even doorwerken; bijvoorbeeld om een project af te ronden. Daar kleeft één groot nadeel aan: het risico op virussen en datalekken wordt hiermee vele malen groter. Beperk het versturen van werkmail van en naar privéadressen daarom zoveel mogelijk. 

4. Wees voorzichtig met fysieke persoonsgegevens

Naast digitale data zijn ook fysieke gegevens onderhevig aan de AVG. Geef telefoonnummers – mobiel of direct – niet zomaar aan derden. Publiceer geen telefoonlijsten in de vergaderruimtes, die ook door externe personen bezocht kunnen worden. En ga veilig om met geprinte documenten waar persoonsgegevens op staan, zoals: CV’s en bestelformulieren. 

5. Toets nieuwe diensten en leveranciers

Als ondernemer moet je kunnen aantonen dat je aan de privacywetgeving voldoet. Ook moet je passende beveiligingsmaatregelen nemen. Bij leveranciers en diensten heb je minder invloed op hoe zij met deze plicht omgaan. Werken zij met persoonsgegevens of systemen, die deze data verwerken? Sluit dan een verwerkingsovereenkomst met ze af. 

6. Vraag toestemming voor het verwerken van persoonsgegevens 

In de meeste gevallen is bij het verzamelen van persoonsgegevens sprake van grondslag 1: je hebt de nadrukkelijke toestemming nodig van de betrokkene. Wanneer hij of zij toestemming geeft, is dit een rechtmatige verwerking. Hier zijn wel voorwaarden aan verbonden: 

• De toestemming moet vrijelijk gegeven zijn;
• De toestemming moet ondubbelzinnig zijn;
• De organisatie moet de betrokkene informeren over de organisatie;
• De toestemming moet specifiek zijn;
• Het moet voor mensen net zo makkelijk zijn om de toestemming weer in te trekken als dat het was om de toestemming te geven.

 

Conclusie: zet in op preventie

Voorkomen is beter dan genezen. Binnen het verzekeringsland is dit cliché absoluut de waarheid. Investeer daarom in de opleiding van je werknemers, voldoe aan de wetgeving en verzamel alleen data wanneer dit echt nodig is. Met de juiste preventiemaatregelen loopt je onderneming minder risico, betaal je minder premie en heb je minder kosten bij een incident. Dat maakt het je investering meer dan waard.