Heb jij al een bedrijfscontinuïteitsplan?
17/09/2021Een veilige hybride werkomgeving; hoe zorg je daarvoor?
12/10/2021Een cyberverzekering dekt gedeeltelijk of geheel de financiële schade als gevolg van een virus, hack, datalek of ander soort cyberaanval. Als je denkt dat een cyberverzekeringsclaim zonder vragen zal worden afgehandeld, dan vergis je je. Tijdens het beoordelen van een claim, zal de cyberverzekeraar nagaan of er voldoende beveiligingsmaatregelen zijn genomen. Daarnaast kijkt de verzekeraar uiteraard of je voldoet aan de polisvoorwaarden.
Verborgen in de kleine lettertjes van de cyberverzekeringspolis staan bepaalde voorwaarden van de verzekeraar waaraan je moet voldoen. Indien je niet aan de polisvoorwaarden voldoet, kan een verzekeraar je claim afwijzen. Met alle gevolgen van dien. Daarom is het zeer belangrijk om regelmatig te controleren of je voldoet aan de (geüpdatete!) voorwaarden. Je beperk hiermee het risico dat een claim wordt afgewezen.
In deze blog kijken we naar de top 6 van de meest voorkomende redenen waarom cyberverzekeraars claims weigeren. En we laten je zien dat de juiste ondersteuning je helpt te voorkomen dat een claim wordt afgewezen doordat je niet compliant bent.
Top 6 redenen waarom een cyberverzekeraar een claim kan weigeren
Verzekeraars staan erom bekend de uitkeringen te proberen te minimaliseren en de schaderatio (de verhouding tussen premies en uitkeringen) te verhogen.
Hierbij kijken ze naar de volgende aspecten om een claim te weigeren:
1. Polis uitsluitingen
De meest voorkomende reden van geweigerde verzekeringsclaims zijn polis uitsluitingen. Uitsluitingen zijn omstandigheden die buiten de dekking van een verzekeringspolis vallen. Elke verzekering heeft een aantal basis uitsluitingen in de algemene voorwaarden staan. Naast deze algemene uitsluitingen zijn er meestal ook zeer specifieke uitsluitingen die in de kleine letters van de polisvoorwaarden staan. Daarom is het van belang om alle polisvoorwaarden goed door te lezen.
2. Niet voldoen aan de beveiligingseisen
Bij het afsluiten van een cyberverzekering zal de verzekeraar samen met jou een analyse maken van de huidige risico’s. Uit de analyse volgt een overzicht van te nemen preventieve maatregelen. Het is van belang om alle beveiligingseisen uit de polis op te volgen. Het niet goed of volledig opvolgen van de beveiligingseisen kan tot een afgewezen claim leiden.
3. Geen documentatie over de genomen beveiligingsmaatregelen
Naast het belang om aan de beveiligingseisen te voldoen is het belangrijk om te documenteren welke beveiligingsmaatregelen er zijn genomen. Een verzekeraar wil graag tastbaar bewijs dat er voldoende maatregelen zijn genomen om cyberdreigingen te voorkomen. Grondige, nauwkeurige en bijgewerkte documentatie voorkomt dat een verzekeraar je claim kan afwijzen. Zorg dus altijd dat je documentatie op orde is.
4. Wanneer een extern belanghebbende in gebreke is
De beveiliging van het netwerk is niet alleen jouw verantwoordelijkheid. Het is ook de verantwoordelijkheid van je externe stakeholders. Een beveiligingslek in het netwerk van een externe leverancier kan ertoe leiden dat de claim door de verzekeraar wordt afgewezen. Zelfs als de claim niet wordt afgewezen, is het zeer waarschijnlijk dat de verzekeraar de zaak grondig zal onderzoeken. Dit zorgt ervoor dat het een langdurig proces kan worden.
5. Onopzettelijke fouten en nalatigheid
Onopzettelijke fouten en nalatigheid in de documentatie die je met de verzekeraar deelt, kunnen nadelig zijn voor de goedkeuring van je claim. Het gedocumenteerde bewijsmateriaal moet alles omvatten wat je hebt gedaan om te voldoen aan de voorwaarden die door de verzekeraar zijn gesteld. Zorg er voor dat je de documentatie goed naloopt zodat je zeker weet dat alles volledig is en geen fouten bevat.
6. Wanneer de dekking niet verder reikt dan de onderbrekingstermijn
Cyberverzekeringsplannen variëren, dus moet je goed letten op de dekkingstermijnen. Dit kan het verschil zijn tussen de dekking van al je verliezen en de dekking van slechts een klein percentage ervan.
De mogelijke impact van een claimafwijzing
Als een verzekeraar een claim afwijst, dan zal deze de financiële schade niet of niet volledig dekken. Dit leidt tot grote gevolgen voor het bedrijf. Hier volgen twee voorbeelden van bedrijven aan wie uitbetaling werd geweigerd:
De slepende zaak van de NotPetya aanvallen1
Onderzoekers van het Cyentia Institute bekeken de 100 grootste cyberincidenten van de afgelopen 5 jaar, die goed waren voor 18 miljard dollar aan verliezen. Hierbij ontdekten ze dat de NotPetya ransomware goed was voor 20% van de verliezen. Desondanks zijn de farmaceutische gigant Merck en multinational Mondelez International nog steeds bezig met het claimen van respectievelijk 1,3 miljard dollar en 100 miljoen dollar via spraakmakende rechtszaken. In beide procedures hebben de verzekeraars een beroep gedaan op de uitsluitingsclausule “oorlog en terrorisme” om de claims af te wijzen. Als grond hiervoor zien de verzekeraars in een stap van de Amerikaanse regering in oktober 2020, waarbij ze zes Russische militairen in staat van beschuldiging heeft gesteld voor de aanvallen.
De schikking tussen de Canadese non-profit organisatie FCSLLG en de verzekeraar van haar webbeheerder2
In een zaak die in mei 2021 werd geschikt slaagde FCSLLG, een Canadese non-profitorganisatie, er niet in om 75 miljoen Canadese Dollar aan schadevergoeding te eisen. Bij het cyberincident was een niet-geïdentificeerde hacker betrokken die vertrouwelijke verslagen had gestolen en deze op twee Facebookpagina’s had gelekt. FCSLLG stelde een vordering in tegen Laridae, een bedrijf dat zij hadden ingehuurd om hun website te herzien. Hoewel ze op het moment van de hack twee polissen hadden lopen bij de Co-operators, weigerden de Co-operators dekking onder beide polissen op basis van polis uitsluitingen. De polissen sloten elke schade uit “die het gevolg is van de verspreiding of weergave van gegevens door middel van een internetwebsite”.
Deze incidenten laten zien dat het van belang is om te voldoen aan de voorwaarden van je cyberverzekering. Controleer op regelmatige basis of je nog wel aan de (steeds strenger wordende) polisvoorwaarden voldoet. Hoewel sommige bedrijven dankzij hun financiële draagkracht misschien gewoon kunnen blijven functioneren, moet je je afvragen of jouw bedrijf een grote financiële tegenslag kan overleven.
Voldoen aan de voorwaarden van je cyberverzekering
Het voldoen aan de voorwaarden van je cyberverzekering kan complex zijn. De juiste ondersteuning helpt je te voorkomen dat een claim afgewezen kan worden doordat je niet compliant bent. Een goede (assurantie)-adviseur zorgt voor:
- Inzicht in de contracten, zodat je volledig op de hoogte bent van wat jouw polis dekt en wat niet;
- Een regelmatige geautomatiseerde nalevingsbeoordeling. Deze geeft je een grondige en nauwkeurige analyse van de naleving van de polisvoorwaarden en je verbeterpunten;
- Remediation services en helpt je alle compliance risico’s op de juiste manier en op het juiste moment te verhelpen;
- Documentatie die vrij is van menselijke fouten en beleid specifiek is, zodat je kunt aantonen dat je voldoet aan de beveiligseisen;
- Een cyberverzekering die het juiste type dekking biedt tegen de juiste prijs.
Hoe houd je grip op de naleving van de eisen van de cyberverzekering
Hoewel de polisvoorwaarden in het begin wellicht nauwelijks te begrijpen lijken, is het niet onmogelijk om te voldoen aan de voorwaarden van je cyberverzekering. Maar in veel gevallen krijg je hier alleen meer zekerheid over als je hiervoor de juiste ondersteuning krijgt. We kunnen je organisatie helpen bij het naleven of verkrijgen van een cyberverzekering. Neem voor meer informatie vandaag nog contact met ons op voor een consult.
Bronnen:
1. Security Boulevard
2. Pallett Valo LLP