Alles wat u moet weten over de Cyberrisicoverzekering
Interview met: Bram Grundmeijer – commercieel directeur
“Cyberrisicoverzekering: Kijk naar de inhoud in plaats van de prijs”
Waaruit bestaat het cyberaanbod van Klap precies?
Ons aanbod beslaat grofweg drie domeinen, te weten: bewustwording, preventie en verzekeren. Het aanbod doen we online. Hier kan direct worden afgesloten. Daarnaast bieden we de gehele propositie ook op de traditionele manier aan. Dit naar de wens van klant of prospect.
Op de drie domeinen werken wij nauw samen met diverse verzekeraars en Perfect Day. Perfect Day is een initiatief van onder andere Klap en Nationale-Nederlanden om cybersecurity op een eenvoudige manier onder de aandacht te brengen bij het bedrijfsleven. Dan volgt laagdrempelig advies. Vaak zijn bepaalde risico’s met eenvoudige ingrepen te voorkomen. Na deze bewustwording en preventieve aanpak blijft er een (rest)risico over waarbij de ondernemer al dan niet kan besluiten om dit tegen een aantrekkelijk tarief bij ons te verzekeren.
Waarop ligt het accent in het aanbod van Klap?
‘Voorkomen is beter dan genezen’. Dat is iets wat we vaak horen in de markt en terecht. Je klant wil maar een ding: kunnen doorgaan met zijn bedrijfsactiviteiten en zo min mogelijk rompslomp om de bijbehorende risico’s adequaat af te dekken. Dan zou je dus zeggen: preventie is de oplossing! Echter zit er nog een cruciale stap vóór; de stap van bewustwording. Daar ligt onze focus. Als de klant zich bewust is van cyberrisico’s kan hij pas een gewogen besluit nemen. Wat wil hij doen aan preventiemaatregelen en wat wil hij verzekeren?
Mocht het onverhoopt toch zover komen dat er schade optreedt, dan focussen we ons vooral op het snelle her stel van de bedrijfsactiviteiten van de ondernemer. Dit doen we met een vaste leveranciersschil van hulpverleners met vergaande expertise in de verschillende domeinen.
Hoe zet Klap het aanbod in de markt?
Dit doen we op verschillende manieren. We werken nauw samen met een aantal brancheorganisaties die wij voorzien van content. Met die content creëren zij bewustwording bij de leden. Deze content verspreiden we door middel van webinars, seminars, nieuwsitems en specifieke landingspagina’s voor de branche. Hiermee vergroten we de toegevoegde waarde van de brancheorganisatie naar haar leden en maken wij de kans op conversie ook groter waardoor een lid ook klant wordt van Klap. Wees dus relevant!
Daarnaast hebben we een eigen online portaal ontwikkeld (cyberrisicoverzekering.nl). Zowel particulieren als ondernemers kunnen hun verzekeringen eenvoudig online samenstellen en afsluiten.
Last but not least: dit domein leent zich zeer goed om je toegevoegde waarde als adviseur te laten zien. Alle collega’s van Klap bespreken cyber dan ook als vast onderdeel bij hun relaties en prospects.
Met welke risicodragers werkt Klap?
Wij werken met diverse Nederlandse verzekeraars voor zakelijke cyberrisico’s en met een buitenlandse partij voor particulier. Het aanbod is breed en iedere verzekeraar legt eigen accenten, de één zet vol in op preventie, de ander juist op de verzekering en de schade. Het is belangrijk voor de adviseurs om goed te weten wie welk aanbod heeft, want tussen de verzekeraars zitten nogal wat verschillen. Ook de uitvoering als er schade is, is verschillend. Het aanbod moet dan ook echt goed passen bij de behoefte van de klant. De adviseur is daarin echt relevant, die moet de vertaling maken van de wensen van de klant naar welk aanbod van welke verzekeraar het beste past. Prijs moet daarbij van minder belang zijn dan inhoud en soort. Cyber is geen verzekering die iedere verzekeraar moet willen ontwikkelen. Er is veel specifieke kennis voor nodig om het echt goed te doen. Dus als verzekeraars deze markt willen opzoeken, is het van groot belang dat ze goed kijken naar welke waarde zij nog kunnen toevoegen in het concurrentie veld en of ze daarvoor genoeg expertise in huis hebben.
Wat zijn de ervaringen tot nu toe? Wordt er veel beroep gedaan op (onderdelen van) de cyberpropositie? Gaat het om forse schades? Een praktijkvoorbeeld mag!
Onze ervaring leert dat ondernemers nog onvoldoende ‘bewust’ zijn van de cybergevaren die op de loer liggen. Een brand of aansprakelijkheidspolis? Uiteraard! Je goed wapenen tegen cyberincidenten? Daar moeten de meesten over nadenken. Dit terwijl wereldwijd de schatting is dat er een verlies wordt geleden door cyberincidenten van circa zes miljard dollar in 20 21. Bizar!
Minder dan 20 procent van ondernemend Nederland heeft een dergelijke dekking afgesloten. Er is dus nog een hele weg af te leggen. Ondanks dat het aantal cyberincidenten in de wereld afneemt, zien we de hoogte van de individuele schadeclaims oplopen waarbij het MKB vaker doelwit is. Ook zien we een verschuiving van aandacht naar medewerkersbewustzijn en identity & access management omdat er steeds nieuwe manieren worden gezocht om gebruik te maken van menselijke zwaktes. Overigens, vaak draait het niet alleen om geldelijk verlies. Schade kan namelijk ook indirect optreden.
Een mooi praktijkvoorbeeld:
Als de grootste makelaar op het gebied van evenementen hebben we te maken gehad met een ticketingbureau dat gehackt was, waardoor veel persoonsgegevens op straat kwamen te liggen. Los van een mogelijke schadeclaim van de gedupeerden was de kans op imagoschade nog vele malen groter. Wat het einde van dit bedrijf kon betekenen. Per slot van rekening: wie wil er nou zakendoen met een partij die persoonsgegevens niet goed beschermt. Wat zeg je dan tegen de pers bijvoorbeeld? Maar er lag al een keurig draaiboek klaar voor het geval zo’n gebeurtenis zich voor zou doen. Ook hebben de ondernemers zich laten bijstaan door een imago deskundige om het hele communicatietraject te begeleiden. Wat communiceer je wel, wat niet, via welk medium en hoe doe je dat? Een mooi voorbeeld hoe je jezelf toch kunt beschermen bij een cyberaanval. Dat kan als je bewust, preventief en adequaat deze risico’s omgaat. En het bedrijf? Dat is er uiteindelijk goed uitgekomen!
Waar moet men nou ontzettend goed op letten als men een cyberpropositie adviseert of sluit? Wat is exact gedekt?
We zien in de markt spotgoedkope dekkingen, maar die zijn veelal uitgekleed. Je koopt een ‘kat in de zak’. Mede gezien het feit dat men niet precies weet wat belangrijk in een dekking is. Bij een gebouw dat afbrandt, heeft iedereen beeld. Een cyberincident is daarentegen nog steeds erg abstract.
Daarnaast en nog belangrijker: welke additionele diensten zijn gedekt onder de verzekering die per direct kunnen worden ingezet om de bedrijfsactiviteiten zo snel mogelijk op gewenst niveau te brengen? Werkt de risicodrager bijvoorbeeld met een vaste groep aan dienstverleners die kunnen bijstaan op specifieke aandachtsgebieden? Kortom: kijk naar de inhoud in plaats van de prijs. Als dit ergens goed is uit te leggen, dan is het wel bij een cyberpolis.
Wat kan er beter aan cyberverzekeringen?
Differentiatie . De markt is nog relatief jong, waardoor er nog beperkt ervaring is op het gebied van branche specifieke cyberincidenten. Ik denk dat het goed is om specifieker in te zoomen op de activiteiten van een bedrijf, waardoor er meer aandacht is voor specifieke dekkingen als het gaat om de cyberrisico’s. Ook als een bedrijf zaken zeer goed op orde heeft: haal deze dan uit de dekking waardoor datgene overblijft waar écht behoefte aan is. Als deze differentiatie ook in prijs wordt doorgevoerd, dan zullen mogelijk meer bedrijven (die in mindere mate tot de risicogroep horen) toch een passende dekking afsluiten voor het geval het toch mis gaat.
Hoe gaat Klap zelf om met cyberrisico’s?
Wij voeren binnen Klap een actief beleid voor wat betreft cybercriminaliteit. Er liggen draaiboeken op de plank voor als het toch mis gaat en we besteden veel aandacht aan het morele risico. Je kunt de zaken nog zo goed heb ben afgedicht, de kans dat een collega op een foute e mail klikt blijft bestaan. Zo sturen wij naar alle medewerkers, periodiek, phishingmails. We kunnen precies zien wie klikt en wie niet. Deze resultaten delen we binnen de organisatie om, daar is ie weer, bewustwording te creëren. Tijdens corona is er voor ons niet veel veranderd. We werkten al virtueel via een beveiligde omgeving thuis. Er zijn echter nu meer collega’s die vaker thuiswerken.
De AVG: hoe groot is de impact hiervan uiteindelijk gebleken?
De hele markt viel over AVG. Het leek ontzettend impactvol vol te zijn, zo ook voor ons. Nu het stof is neergedaald, zien we dat het zeer goed te overzien is. Zeker in de dagelijkse operatie. Het werken met standaard verwerkersovereenkomsten of via een beveiligde lijn privacygevoelige informatie verzenden, is binnen ons bedrijf het nieuwe normaal geworden. Ook als we kijken naar de toegang tot onze systemen hebben we iedere functie rechten gegeven voor specifieke applicaties waar deze persoon gebruik van kan maken. De overige applicaties kan deze persoon dan niet in. Zijn er vragen op dit gebied, dan hebben we een speciaal contactpersoon die deze vragen behandelt.
Geef drie praktijktips voor collega-adviseurs bij het beheersen van cyberrisico’s en/of het verzekeren daarvan;
- Focus op bewustwording. Praat niet over verzekeren, maar inventariseer bij je prospect het kennisniveau. Vraag door. Laat je niet het bos insturen om dat iemand zegt dat alles goed geregeld is. Dit rust vaak op onvoldoende kennis van zaken. Wij zijn als branche moreel verplicht om deze kennis (bewust wording) toe te voegen. Een belangrijke randvoorwaarde is dat je de stof en actualiteiten rondom dit thema up-to-date houdt gezien alle ontwikkelingen op dit toch wat abstracte domein.
- Prijs mag geen issue zijn. Voorwaarden wel. Als het voor een prospect duidelijk is wat zijn of haar risico’s zijn , bepaal dan samen wat acceptabel is voor de ondernemers en wat niet. Het restrisico dat over blijft, zal verzekerd moeten worden. Logisch gevolg. Prijs is dan veelal ondergeschikt.
- De derde tip: dat is het geheim van de smid…