Het intermediair en cyberverzekeringen is nog geen geweldig huwelijk. Uit het online kerncijferonderzoek ‘Cyberrisico en AVG’ van Bureau DFO onder 160 intermediairs blijkt dat slechts 17% van de ondervraagden een cyberrisicoverzekering heeft afgesloten voor het eigen kantoor en dat gemiddeld slechts 3% van hun klanten hetzelfde heeft gedaan. “De vraag hierbij kan opkomen hoe de 83% van de kantoren die zelf geen cyberrisicoverzekering heeft afgesloten, geloofwaardig andere ondernemers kan adviseren om deze verzekering wel af te sluiten. Door de cumulatie van gevoelige persoonsgegevens zijn juist financieel advieskantoren zeer kwetsbaar voor schade als gevolg van data-lekken en hacks”, stelt Bureau DFO.
In hun motivatie om geen verzekering af te sluiten wijken volgens de intermediaire adviesorganisatie advieskantoren en hun klanten niet veel van elkaar af. “Er is vaak geen gevoel van urgentie, veroorzaakt door het idee dat het eigen bedrijf weinig tot geen risico loopt of dat men goed beveiligd is tegen eventuele risico’s. Daarnaast wordt een cyberrisicoverzekering gezien als een extra, hoge kostenpost waarbij men vaak onvoldoende inzicht heeft in dekking en voorwaarden.”
Dat het hier gaat om een reëel risico blijkt uit het feit dat 7% van de financieel adviseurs die aan het onderzoek hebben meegedaan aangeeft nu al te maken hebben gehad met schadegevallen gerelateerd aan cyberrisico. Bureau DFO verwacht dat het aantal kantoren dat in de komende jaren te maken krijgt met ransomware en schadeclaims als gevolg van het niet correct naleven van de Algemene Verordening Gegevensbescherming (AVG) in de komende jaren sterk zal oplopen.
Belangrijk onderwerp
Uit het onderzoek blijkt overigens wel dat cyberrisico en AVG onderwerpen zijn dat velen in de financiële branche bezighoudt. Het is volgens Bureau DFO dan ook niet verwonderlijk dat een groot deel (79%) van de deelnemende financieel adviseurs aangeeft het belangrijk tot zeer belangrijk te vinden dit onderwerp met hun klanten te bespreken; 8% van de respondenten acht advisering van klanten over het cyberrisico als (zeer) onbelangrijk. Dat het hier gaat om een complex onderwerp houdt sommige adviseurs wellicht nog tegen; 64% bespreekt dit namelijk daadwerkelijk met hun klanten. 36% doet dit dus niet, al geeft twee derde van hen wel aan het belangrijk te achten om dit te doen. “Wanneer niet nadrukkelijk met de klant is afgestemd dat voorlichting over cyberrisico niet door de adviseur wordt gegeven, loopt de adviseur het risico, nadat een cyberrisico is opgetreden, door de klant te worden beticht van een beroepsfout”, benadrukt Bureau DFO.
De reden dat klanten, zoals uit het onderzoek blijkt, regelmatig blijk geven van desinteresse doet volgens Bureau DFO niets af aan de verplichting van de adviseurom wel aandacht te geven aan dit risico. “Maar ook om de klant duidelijk te maken wat de consequenties kunnen zijn van het geven van onvoldoende aandacht aan dit nieuwe risico. Uit het onderzoek blijkt dat de desinteresse van de klant meestal veroorzaakt wordt door gebrek aan kennis van het onderwerp of onderschatting van de risico’s. Het is aan de adviseur om dit gebrek aan kennis bij de klant weg te nemen zodat de klant uiteindelijk goed geïnformeerd een keuze kan maken of hij bepaalde risico’s wel of niet wil verzekeren.”
Bespreekredenen
Als belangrijke redenen om cyberrisico aan te kaarten worden gegeven het waarborgen van de continuïteit van een bedrijf (83%), aansprakelijkheid (64%) of de zorgplicht die men voelt (58%). Boetes (29%), een schadegeval (26%), een concreet incident (18%) op berichten in de media (14%) worden minder vaak genoemd. “Het verschil tussen het belang dat men hecht aan het bespreken van cyberrisico en het daadwerkelijk ook doen heeft misschien ook te maken met de complexiteit van het onderwerp. Op een schaal van 1 (helemaal niet complex) tot 10 (uiterst complex) geven de deelnemende adviseurs een 7,9.
Problemen waar intermediairs tijdens de gesprekken over dit onderwerp tegen aan lopen hebben vaak te maken met desinteresse van de klant die nog niet voldoende bekend is met het onderwerp, de risico’s niet ziet of meent voldoende beveiligd te zijn. Daarnaast ziet men de aangeboden verzekeringen als een dure extra kostenpost waarbij de polisvoorwaarden en dekking lang niet altijd duidelijk zijn. Adviseurs geven aan dat het moeilijk is om de risico’s aan hun klanten duidelijk te maken. Deels omdat zij daar niet voldoende middelen voor hebben, maar een aantal van hen geeft ook aan niet voldoende thuis te zijn in bijvoorbeeld ICT om hier goed over te kunnen adviseren.
Nieuw fenomeen
Dat cyberrisico een nog relatief nieuw fenomeen is in de financiële wereld blijkt wel uit de (relatief geringe) ervaring die men hiermee in de praktijk heeft opgedaan: ruim een derde (38%) heeft tot dusver nog geen ervaring opgedaan met cyberverzekeringen. De 62% van de deelnemers die al ervaring heeft opgedaan met aanbieders van cyberrisicoverzekeringen is gevraagd deze te beoordelen. Chubb, Hiscox en Turien & Co worden met het rapportcijfer 7,2 beoordeeld en AIG met een 6,8.
Hoewel de cyberverzekeirngsvormen nog in ontwikkeling zijn verwacht Bureau DFO dat binnen afzienbare termijn de cyberrisicoverzekering door de adviseurs net zo wordt ervaren als bijvoorbeeld de bestuurdersaansprakelijkheidsverzekering: een verzekering die in de adviesfase extra aandacht vraagt maar voor de goed opgeleide adviseur goed te doen
AVG
Tot slot de Algemene Verordening Gegevensbescherming; 71% van de deelnemende adviseurs zegt hiermee bekend te zijn. Over het algemeen is men het eens met de voorgelegde stellingen over het eigenaarschap van de eigen persoonsgegevens en de bescherming tegen gebruik hiervan zonder toestemming. Zodra het echter gaat om maatregelen die direct invloed hebben op de eigen administratie is men minder enthousiast. 59% is het er bijvoorbeeld niet mee eens dat klanten het kantoor kunnen verbieden hun persoonsgegevens op te nemen in de administratie.
