Tuğçe Serinkan Verbond van Verzekeraars) Cyberverzekeringen zijn lastig te vergelijken, maar dat heeft zo zijn redenen

“Vorige week kwam de AFM met een rapport over cyberverzekeringen. Lang verhaal kort? De AFM noemt het lastig om de verzekeringen onderling te vergelijken. De uitkomsten verrassen me niet. Cyberverzekeringen zijn inderdaad lastig te vergelijken, maar dat heeft zo zijn redenen. In dit blog noem ik er drie.

Beperkte markt

Laat ik met de eerste beginnen. De cybermarkt is beperkt. Bij het lezen van het AFM-rapport kreeg ik de indruk dat de toezichthouder de markt al als volwassen beschouwt. Dat is niet het geval. Integendeel zelfs. Als ik morgen bij mijn adviseur op de stoep sta om een cyberverzekering af te sluiten, gaat dat niet zomaar lukken.
Cyberverzekeringen worden nog maar beperkt afgesloten. En als het al gebeurt, dan is dat vooral op de grootzakelijke markt. De bruto premieomzet van verzekeraars (rond de veertig miljoen euro per jaar) bestaat voor meer dan 95 procent uit (groot) zakelijke risico’s. Dat laat al zien dat de particuliere markt niet of nauwelijks bestaat. En hetzelfde geldt voor het mkb.

Cumulatierisico

Een van de belangrijkste redenen waarom verzekeringen nog maar mondjesmaat worden afgesloten, is dat cyber een cumulatierisico is. Dat wil zeggen dat meerdere bedrijven/personen op hetzelfde moment en op verschillende plekken het slachtoffer kunnen worden van een grootschalige cyberaanval. Als het fout gaat, kan het dus ook goed fout gaan.
Dat betekent dat het cyberrisico nauwelijks te beheersen is. En persoonlijk denk ik dat die andere toezichthouder, DNB, kritisch meekijkt als één verzekeraar veel mkb’ers in de boeken heeft staan, omdat de potentiële schadelast dan enorm is.

Markt in ontwikkeling

De tweede reden waarom cyberverzekeringen lastig vergelijkbaar zijn, is omdat de markt volop in ontwikkeling is. Het is, platgezegd, nog een zoektocht voor alle partijen. Want, of je nou een verzekeraar, een adviseur, een mkb’er of een groot bedrijf bent, de vragen blijven hetzelfde; hoe gaan we met cyber om? Wat zijn de risico’s? Veranderen die en zo ja, hoe kunnen we daar onze beveiliging op aanpassen? En hoe zit dat met de voorwaarden van de verzekering?
We kunnen niet net doen alsof de cybermarkt een volwaardige en volwassen markt is. Nu niet, maar waarschijnlijk ook over 5 jaar niet. Daarvoor zijn er simpelweg nog altijd te weinig data over incidenten voorhanden. En als ze er zijn, is er meestal geen toegang voor verzekeraars. Jammer, want zij zouden daar juist van kunnen leren en hun verzekeringsaanbod kunnen verbeteren. Insurance Europe, de Europese koepel van verzekeraars, heeft hier in 2020 al op gewezen. 

Ingewikkelde markt

Dat brengt me op de derde reden. Cyber is ingewikkeld en heel dynamisch. Wat een verzekeraar nu opschrijft in zijn voorwaarden, bijvoorbeeld aan terminologie, kan over twee maanden alweer anders zijn.
De AFM schrijft het als volgt in het rapport: ‘Cyberverzekeringen zijn complex. Het cyberrisico is veranderlijk, en daarmee noodzakelijkerwijs de verzekering ook. Het is daarom extra van belang dat de informatieverstrekking duidelijk is’. Wat mij betreft slaat de AFM daarmee de spijker op de kop. Juist omdat het zo lastig en weerbarstig is, zijn verzekeraars zelf ook nog zoekende. Daarom wijken de voorwaarden ook af.

Paper over marktontwikkeling

Maar, uiteraard nemen wij de oproep van de AFM ter harte. De AFM roept in het onderzoek Cyberverzekeringen – Verkenning naar de Nederlandse verzekeringsmarkt onze sector op om te kijken hoe de onderlinge vergelijkbaarheid van het productaanbod kan worden vergroot. De toezichthouder wordt op haar wenken bediend.
Wij hebben, met ons Platform Cyber, een paper in de maak dat nog voor de zomer wordt verwacht. In dat paper zullen we onder meer ingaan op hoe de cybermarkt zich ontwikkelt, welke omstandigheden een rol spelen en hoeveel ransomware aanvallen verzekeraars hebben ‘behandeld’. En intussen gaat het platform gewoon verder met wat het al langere tijd doet: het verbeteren en uitdragen van de risicoklassenindeling, keurmerken en begripsomschrijvingen. Ons doel is dat straks alle verzekeraars meer dezelfde taal spreken en polissen voor iedereen begrijpelijker en beter vergelijkbaar worden.

Rol tussenpersoon

Daarnaast zijn wij met tussenpersonenorganisatie Adfiz in gesprek over de rol van de assurantieadviseur. Wij denken namelijk dat er ook een zekere rol voor de adviseur is weggelegd. Hij (of zij) kan de klant letterlijk bij de arm nemen. Daar zijn ook al de nodige tools voor ontwikkeld. Door de IT-sector, door MKB Nederland, het Digital Trust Center, maar ook door ons.
Toevallig was ik laatst op werkbezoek bij een verzekeringsadviseur. Ik zag dat hij ook worstelt met de complexiteit, maar tijdens het gesprek werd al gauw duidelijk dat we meer kunnen bereiken door samen te opereren. Helemaal als het aankomt op bewustwording en verheldering.

Ik ben namelijk van mening dat de enige weg voorwaarts die van bewustwording en concreet handelingsperspectief is. Zowel bedrijven als particulieren moeten zich meer bewust worden van het cyberrisico en preventieve stappen zetten om cybercriminelen buiten de deur te houden. Uiteraard kunnen en willen verzekeraars daarbij helpen, maar dan vooral in ondersteunende zin. Verzekeren is niet altijd de oplossing.”

Tuğçe Serinkan is beleidsadviseur Cyber bij het Verbond van Verzekeraars