Dat data waardevol is en het verdient om beschermd te worden, dringt steeds meer tot mensen door. Zo krijgen de AVG en misstanden op het gebied van data in het kielzog daarvan steeds meer lucht. Misstanden kunnen bestaan uit onbedoelde onzorgvuldige omgang met data, maar uit crimineel gedrag. En het zijn zeker ook niet altijd gure types met een bivakmuts die zich met dubieuze praktijken bezighouden. Dat werpt – zeker voor organisaties – de vraag op of de gevolgen van data gerelateerde misstanden verzekerbaar zijn. Want als je je fysieke inboedel kunt verzekeren tegen diefstal, dan zou hetzelfde moeten gelden voor data, zou je denken.
Om maar met de deur in huis te vallen: ja, verzekeren tegen de gevolgen van (onder andere) datadiefstal is mogelijk. Door middel van een zogeheten cybersecurityverzekering. Dit is een zakelijke verzekering die vooralsnog alleen voor bedrijven beschikbaar is. Maar wat dekt zo’n verzekering precies? Simpel gesteld dekt een cybersecurityverzekering de schade die ontstaat door extern en schadelijk handelen ten aanzien van de digitale infrastructuur van een bedrijf. Denk daarbij zowel aan de kosten doordat bedrijfsprocessen stil komen te liggen doordat software niet beschikbaar is, maar ook de kosten als gevolg van de diefstal van data of vergrendeling door ransomware.
Je kunt het enigszins met een inboedelverzekering vergelijken, waarbij de cybersecurityverzekering de digitale inboedel dekt. Zo worden ook de kosten als gevolg van datadiefstal gedekt, zolang er geen verwijtbaar of nalatig gedrag ten grondslag ligt aan het incident. Ondanks dat steeds meer bedrijven slachtoffer worden van onder meer ransomware, zijn dit soort verzekeringen echter nog geen gemeengoed. Dat terwijl de gevolgen van een noodzakelijke bedrijfssluiting van soms meer dan een week, het faillissement van een onderneming tot gevolg kunnen hebben. Het gaat hier dus niet om een triviaal risico en, gelet op het snel stijgende aantal bedrijven dat slachtoffer wordt, ook niet om een klein risico.
De cybersecurityverzekering geldt als tamelijk nieuw en wordt door lang niet alle verzekeraars aangeboden. Dat komt doordat verzekeraars het risico lastig kunnen inschatten, mede omdat de risico’s die een organisatie loopt eigenlijk alleen na goed onderzoek in kaart kunnen worden gebracht. Verzekeraars zoeken zekerheid en branden hun vingers daar dus liever niet aan. Dat hoeft overigens niet zo te blijven. Met toenemende schade en kleinere verzekeraars die in het gat springen, worden grotere partijen vanzelf gedwongen verzekeringen aan te bieden om allerlei digitale risico’s af te dekken. En zeker niet alleen voor bedrijven. Ook van de markt voor particuliere cyberverzekeringen wordt veel verwacht. Wanneer bijvoorbeeld wachtwoorden om toegang te krijgen tot online omgevingen worden gekraakt, kan dan aanspraak worden gemaakt op een vergoeding door de verzekeraar.
[Fotocredits © putilov_denis – Adobe Stock]