Blog Informatie Beveiligings Dienst (IBD):  Is een cyberrisicoverzekering nuttig?    

Een veel gestelde vraag bij de Informatie Beveiligings Dienst (IBD) is of het nuttig is om een verzekering af te sluiten tegen de risico’s op het gebied van informatiebeveiliging en privacy. Deze vraag komt voort uit een nieuwe productcategorie van verzekeraars en dienstverleners: de cyberrisicoverzekering.

Verzekeren is het overdragen van een risico aan een andere partij. De hamvraag is natuurlijk wat dan het risico is dat kan worden overgedragen. Verzekeren past bij een risico met een lage waarschijnlijkheid en een hoge impact. Bij andere risico’s gaat men over tot het accepteren van het risico (waarschijnlijkheid laag/impact laag), het nemen van veiligheidsmaatregelen (waarschijnlijkheid hoog/impact laag) en het vermijden van het risico (waarschijnlijkheid hoog/impact hoog).

 

 

Aanleiding voor de cyberrisicoverzekeringen lijken de meldplicht datalekken en de bijbehorende boetes te zijn. Maar is het wel zinnig om een verzekering af te sluiten voor een datalek? En hoort het eigenlijk wel om het risico op datalekken over te dragen? Een datalek is een fenomeen dat een hoge waarschijnlijkheid heeft en een hoge impact. Zulke risico’s dien je zoveel als mogelijk te vermijden door extra maatregelen bovenop wat je normaal al doet. Daar past geen verzekering bij. Daarbij komt dat de impact niet zo zeer materieel is als wel in de vorm van reputatieschade. De materiele schade (inzet van mensen en mogelijke boetes) zal alleen gedekt zijn op het moment dat je voldoende maatregelen hebt genomen. Dat zijn nu juist de situaties waarin ook geen boete opgelegd zal worden.

Een verzekeraar zal het eigen risico zoveel als mogelijk willen verlagen. Daarvoor voeren verzekeraars in het algemeen een inventarisatie uit naar de stand van zaken. De gemeente wil het risico ook zoveel als mogelijk verlagen en doet dat door implementatie van de BIG. Waarom zou een gemeente twee normen willen hanteren voor hetzelfde doel?

Het advies van de IBD

! Hoewel een cyberverzekering in de optiek van de IBD niet direct nuttig lijkt, kan een aanbod van een verzekeraar wel bijdragen aan een verhoogd bewustzijn bij management en bestuur. In sommige gevallen kan het bestaan van een verzekering in die zin een goede stok achter de deur zijn. Vreemde ogen dwingen, een verzekeringsaanbod zorgt voor bewustzijn over de financiële en niet financiële gevolgen van cyberrisico’s bij een belangrijke doelgroep binnen uw gemeente: het management en de (financiële) controleafdeling. Op de (besloten) IBD-community loopt een discussie over het nut en de noodzaak van verzekeringen. We zijn benieuwd naar de ervaringen van gemeenten.