Concordia de Keizer: als het gaat om cyberrisico’s, is het hoog tijd voor actie

Annet Govaert-Proos Concorida BR 2019

Bij cyberrisico’s denkt u misschien vooral aan ‘hacks’, virussen of Ddos-aanvallen. Maar minstens zo vaak is een cyberincident het gevolg van een interne, menselijke fout. De hack bij Maersk, de ceo-fraude bij Pathé, het datalek bij het UWV: de cyberincidenten bij de ‘grote jongens’ halen het nieuws, die bij MKB-ondernemers vaak niet. Toch krijgen dagelijks meerdere MKB-ondernemers te maken met zo’n cyberincident. En wat dan? Daar zult u uw relaties bewust van moeten maken.

Dit artikel is gebaseerd op de presentatie van Annet Govaert – Proos, sr. specialist cyber & aansprakelijkheid bij Concordia de Keizer, gehouden tijdens het VVP Event Bijzondere Risico’s op 17 april 2019. Auteur: Maaike Botden

De gevolgen zijn groot

Veel ondernemers weten niet wat te doen als de schermen ‘op zwart’ springen of als zich een datalek voordoet. En dat is een behoorlijk risico, want er komt op zo’n moment veel op een bedrijf af. Denk aan het vaststellen van de oorzaak van een inbreuk of verlies van gegevens, het opnieuw configureren van netwerken, het herstel van de beveiliging van gegevens en systemen en het verlies van inkomsten als gevolg van het crashen van systemen (‘stilligschade’). Daarnaast kunnen er aansprakelijkheidsclaims ontstaan, bijvoorbeeld vanwege onvoldoende netwerkbeveiliging of vanwege een datalek – en dat zorgt weer voor de nodige proceskosten. Met deze gevolgen van een cyberincident zijn al gauw enorme bedragen gemoeid. Lastiger in geld uit te drukken, maar niet minder risicovol is de mogelijke reputatieschade. Nieuws verspreidt zich tegenwoordig razendsnel via sociale media. En het kan veel tijd en inspanning vergen om na een cyberincident het vertrouwen terug te winnen. Je kunt als MKB-ondernemer maar beter goed voorbereid zijn op zo’n scenario. Want inmiddels is het niet meer de vraag óf er een cyberincident plaatsvindt, maar wannéér.

Onbekend maakt onbemind

Als intermediair heeft u een wettelijke zorgplicht. Dat betekent dat u uw relaties bewust moet maken van de bovengenoemde (financiële) risico’s rond cyberincidenten en de (wettelijke) verantwoordelijkheid om persoonsgegevens te beschermen. En dat is hard nodig, want uit onderzoek blijkt dat 55% van de MKB-ondernemers de gevaren niet kent en 39% geen (digitaal) beveiligingsplan heeft. Daarbij horen we in de praktijk veel ondernemers zeggen dat een cyberverzekering niet hoeft omdat zij ‘hun IT uitbesteed hebben’, ‘alles veilig in de cloud hebben’, ‘niemand geïnteresseerd is in onze data’ of omdat zij menen dat zo’n verzekering te kostbaar is. Het lijkt er dus op dat onbekend vooralsnog onbemind maakt. Kortom, er ligt een schone taak voor intermediairs om hun relaties te overtuigen van nut en noodzaak van cyberrisicomanagement.

Het gesprek aangaan over cyberrisicomanagement

Het managen van cyberrisico’s begint met een inventarisatie van de zogeheten ‘kroonjuwelen’. Wat wil je als ondernemer beschermen? Dat kan gaan over de continuïteit van het bedrijf, bedrijfsgegevens, medische info, BSN-nummers, creditcardgegevens en de reputatie van de onderneming. De volgende vraag is dan of deze gegevens daadwerkelijk voldoende beschermd zijn. Maakt uw relatie gebruik van bijvoorbeeld versleuteling van privacygevoelige gegevens, two-step- verification, of een security operationscenter? Vervolgens bekijkt u of er een incident response plan is. Weet iedereen wat er moet gebeuren en wie er gebeld moet worden als een cyberincident plaatsvindt? Praat ook met uw relaties over het risicobewustzijn. Hoe staat dat ervoor bij hun werknemers? Wordt er standaard op cyberrisico’s gecheckt bij het aangaan van contracten en de bijbehorende algemene voorwaarden? Staat cyberrisicomanagement met regelmaat op de bestuursagenda? Tot slot raden we u aan om uw relatie op het hart te drukken dat 100% veiligheid niet bestaat - alle (preventieve) maatregelen ten spijt - en dat een cyberverzekering eigenlijk een must is.

Daarom de cyberverzekering

De cyberverzekering biedt dekking waar de traditionele verzekeringen voor zaakschade, aansprakelijkheid en fraude geen of beperkte dekking bieden. Daarnaast helpt deze verzekering om in geval van een incident snel en op de juiste wijze te reageren. Uw relatie heeft direct toegang tot een ‘cyberincident responseteam’ dat de technische, juridische en publicitaire gevolgen samen met uw relatie oppakt zodat de consequenties beperkt blijven. Behalve financiële dekking en praktische hulp, is er nog een goede reden om een cyberverzekering af te sluiten: bestuurdersaansprakelijkheid. Omdat de bedrijfsvoering in toenemende mate digitaal of online verloopt, kan een cyberprobleem de continuïteit van een onderneming in gevaar brengen. In zo’n geval kijkt de rechter steeds vaker ook naar de mogelijke aansprakelijkheid van bestuurders. Zij hebben immers wettelijk de verplichting tot (onder andere) behoorlijke taakvervulling en behoorlijk bestuur, ook als het gaat om IT-veiligheid. Is daar door bestuurders voldoende in geïnvesteerd? Zijn de gebruikelijke en noodzakelijke verzekeringen afgesloten om risico’s af te dekken? Alle ontwikkelingen in overweging nemende, mogen we er van uit gaan dat cyberverzekeringen (gaan) behoren tot de gebruikelijke en noodzakelijke verzekeringen.

Reactie toevoegen

Meer over

Events

VVP Vakevent Inkomen 2024

2 juli 2024 - 2 juli 2024

Lees meer

Finale VVP Advies Award 2024

1 oktober 2024 - 1 oktober 2024

Lees meer

Quote van de dag

Je kunt je hele leven door rood rijden maar dat betekent niet dat het dan legaal is.

Adviseur Dorthe Verheijden in VVP 2

Stelling

Wet toekomst pensioenen niet meer ter discussie stellen

Laatste reacties

Recente editie

VVP 2-2024 introduceert nieuwe gezichten in die o zo leuke rubriek ‘Uit de adviespraktijk’: Christian Dijkhof (Dijkhof & Partners, HypotheekCompany, OvFD), Thomas van Uunen (Thomas verzekert) en Dorthe Verheijden (Bij Verheijden). “Er is zoveel wat beter kan”, aldus Dorthe.

Adfiz-directeur Enno Wiertsema neemt het op tegen ChatGPT. “Zou u boarden in een vliegtuig dat uitsluitend door AI-technologie wordt bestuurd?”

Het vrouwenquotum mag ambitieuzer en zeker breder, zegt Pascale van Heugten (La Confiante) in de rubriek ‘Vrouw & Advies’. Sanne Geerts vertelt hoe Geerts verduurzaamt.

In de praktijkrubriek Ken je vak! onder meer AI in de adviespraktijk, aan de slag met zorgplicht, een eerste bespreking van het OCTAS-rapport en aandacht voor de problematiek van de duurzame drager.

In het katern Pensioen & Vermogen verslagen van de kennissessies op het gelijknamige VVP-event van 19 maart. Uiteraard ook aandacht voor de algemene inleidingen door Theo Gommer ( “Verplichtstelling afschaffen en pensioenplicht invoeren”) en Hubrien Meijaard (‘Kies voor écht duurzaam beleggen”).

Bekijk de inhoud

Special Duurzaam Advies

Duurzaamheid is een onderdeel van modern ondernemerschap. Iedere adviseur zal actie moeten ondernemen. Aldus Kees Dullemond (INSVER) in de special Duurzaam Advies 2024, een nauwe samenwerking van VVP en het instituut voor verduurzaming van de financiële sector. De special barst van de tips, praktijkinfo en handige checklists om verduurzaming in het eigen bedrijf vorm te geven én om de klant aan het verduurzamen te krijgen.

Adviseurs Mieke Dadema, Thomas Paardekooper, Alexander Vugts, André Vugts en Paul Burger vertellen hoe zij duurzaam advies in de praktijk brengen. “Duurzaamheid draait om duurzame relaties”, aldus Dadema.

Verder bijdragen van onder meer Adfiz (‘Advies kan duurzaam gedrag verbeteren”), Fred de Jong (“Duurzaam advies aan mkb is integraal”) en het Verbond van Verzekeraars (“Deze transitie gaat alle klanten raken”).

In een rondetafel stellen kennispartners AnsvarIdéa/Turien &Co.,Evi Van Lanschot, INSVER, MainPlus, Obvion: “De wereld verandert, dat is een gegeven, maar wij kunnen nu samen al de richting bepalen.”

Bekijk de inhoud

Nieuwsbrief

Wil je op de hoogte blijven van het laatste nieuws? Meld je dan hier aan voor de nieuwsbrief!