De risico’s van cybercrime zijn volgens Astrid nog lang niet in het bedrijfsleven doorgedrongen. ‘De bewustwording is geslaagd, het gevoel van urgentie echter niet. Cyberincidenten nemen toe en worden geavanceerder. Ook het aantal datalekken is hoger dan ooit tevoren’, waarschuwt ze. Dagelijks vinden er aanvallen plaats en worden bedrijfssystemen platgelegd door ransomware. Nog vers in het geheugen ligt WannaCry. ‘Deze aanval ging Nederland deels voorbij, maar in juni werd ons land wel getroffen door een grote gijzelsoftwareactie: onder meer pakketbezorger TNT en medicijnfabrikant MSD werden slachtoffer. Daags na dergelijke incidenten staat de telefoon bij ons roodgloeiend.’
Reputatieschade
Het team van risicomanagers bewaakt de continuïteit van ondernemingen op het gebied van personeels-, ondernemers- en bedrijfsrisico’s. Daar valt ook cybercrime onder, dat volgens Astrid een reëel risico vormt. ‘Twee op de drie ondernemers krijgt ermee te maken; van spionage en chantage tot aan het verlies van waardevolle data. Met name de sectoren zorg, ICT, zakelijke dienstverlening en de maakindustrie lopen veel risico. Maar omdat veel bedrijven bang zijn voor reputatieschade, wordt dit niet altijd naar buiten gebracht.’ De kans op een cyberaanval is groter dan dat een onderneming wordt getroffen door brand. Toch heeft iedere ondernemer wel een brandpolis, maar geen cyberpolis. Sterker nog: deze bestond vier jaar geleden nog niet. Van Lanschot Chabot nam daarom het heft in eigen hand en ontwikkelde de eerste Nederlandse cyberverzekering in samenwerking met ICT- securitybedrijf Fox-IT en Holla Advocaten. ‘Veel verzekeraars durven hun handen niet te branden aan cybercrime: te vernieuwend of te ingewikkeld. Als toonaangevende risicomanagers zien wij het als onze taak om oplossingen te ontwikkelen voor problemen, die grote impact kunnen hebben op ondernemers.’
Crisisteam
De Van Lanschot Chabot Cyberverzekering dekt schade aan derden zoals aansprakelijkheid, maar ook eigen schade zoals bedrijfsschade, reconstructiekosten en extra bedrijfskosten. Daarnaast krijgen ondernemers 24/7 ondersteuning. ‘Bij het (vermoeden) van cybercrime bel je de Cyber Incident Manager, die als een digitale brandweer direct branden blust op technisch én juridisch gebied. Binnen enkele uren wordt een crisisteam samengesteld.’ Pr en communicatie vormen daarbinnen een wezenlijk onderdeel, zeker nu de wet- en regelgeving is aangescherpt. Astrid legt uit: ‘Vanaf 1 januari 2016 geldt de Wet Meldplicht datalekken. Dat houdt in dat je binnen 72 uur een datalek moet melden aan Autoriteit Persoonsgegevens en aan de betrokkenen. Doe je dat niet, dan kun je een boete tot maximaal 820.000 euro krijgen of 10 procent van de jaaromzet.’
Lek
Per 26 mei 2018 is de nieuwe Algemene Verordening Gegevensbescherming van kracht. Onder deze nieuwe wetgeving mag je alleen onder strikte voorwaarden persoonlijke informatie verzamelen en bewaren. ‘Als jij je niet aan deze strikte voorwaarden houdt, dan ben je strafbaar en loop je risico op een boete van maximaal 20 miljoen euro of 4 procent van de wereldwijde omzet, net welke van de twee hoger is.’ Goed contractmanagement is daarom essentieel, stelt Astrid. ‘Ook al staat jouw data in de cloud, als ondernemer blijf je verantwoordelijk voor deze gegevens. Sluit daarom een contract af met je IT-provider, waarin staat dat hij verplicht is om een lek binnen een korte tijd te melden. Met deze waarborging creëer je een USP richting je klanten.’
Fout
Verkennen, voorkomen én waar nodig, verzekeren, zo luidt het devies van Van Lanschot Chabot. ‘Ons businessmodel is niet gericht op het verkopen van producten, maar op consultancybasis. We maken de risico’s en impact voor de ondernemer inzichtelijk en dragen oplossingen aan. Zo kan de ondernemer een weloverwogen inschatting maken welke risico’s hij (deels) kan en wil dragen.’ Hoewel geen enkel risico kan worden uitgesloten, kunnen ondernemers wel preventieve maatregelen nemen. ‘Zorg voor een gelaagde beveiliging, maak back-ups en train je personeel. Maak hen alert en bewust van de risico’s. De grootste bedreiging van cybercrime vloeit namelijk voort uit een fout of actie door de eigen medewerker.’ Tot slot tipt Astrid om een cyberaanval-simulatie te houden: ‘Dit biedt veel nieuwe inzichten. Iedere ondernemer heeft een draaiboek voor een brand klaarliggen. Maar weet hij ook wat hem te doen staat als zijn bedrijf slachtoffer wordt van cybercrime?’
Tekst: Linda Groothuijse
Fotografie: Arnold Reyneveld