Moet een verzekeraar wel of geen losgeld vergoeden? Minister Grapperhaus onderzoekt de mogelijkheden voor een verbod. Nynke Brouwer, die promoveerde op een proefschrift over cyberverzekeringen, noemt een verbod juist zinloos. “Het leidt niet per se tot minder betalingen.” Een gesprek over haar proefschrift, de rol van verzekeraars en de zin en onzin van losgeld.
Cyberverzekeringen staan in de kinderschoenen en worden nog maar weinig afgesloten. Waarom wilde je daar je proefschrift aan wijden?
“De cyberverzekering is een nieuw product. Het is in opkomst, maar er wordt een enorme potentie aan toegekend. Als je je daar enigszins in verdiept, merk je al snel dat er een hele wereld achter schuilgaat, met vrij fundamentele vragen. Wat is een cyberrisico? Hoe calculeer je dat? Hoe zet je het om naar een werkbaar verzekeringsproduct? Is het risico überhaupt goed te verzekeren? Vooral de wereld die er achter zit, met mensen die vanuit allerlei disciplines zijn betrokken, fascineert me.”
Wie is Nynke Brouwer?
Mr. dr. Nynke Brouwer is advocaat bij Dirkzwager. Ze is gespecialiseerd in het aansprakelijkheids- en verzekeringsrecht, en in het bijzonder in cybersecurity, cyberverzekeringen en privacy.
Op 7 oktober verdedigde ze – met succes – haar proefschrift De cyberverzekering vanuit civielrechtelijk perspectief, aan de Radboud Universiteit in Nijmegen. Brouwer publiceert regelmatig over dit onderwerp in de wetenschappelijke literatuur en houdt ook lezingen en seminars. Daarnaast is ze lid van de Technische Commissie Cyber van de VNAB.
Welk aspect fascineert je het meest?
“Cyberrisico’s zijn ongrijpbaar, maar toch proberen we er grip op te krijgen. Bovendien zijn de risico’s ook met elkaar verbonden, waardoor er steeds meer multidisciplinair onderzoek ontstaat. Economen die ‘ineens’ samenwerken met techneuten bijvoorbeeld. Of een jurist zoals ik die meer samenwerking zoekt met de informatica. Cyber legt die verbindingen bijna vanzelf en dat vind ik mooi. Net zoals ik het mooi vind om te zien hoe snel het zich ontwikkelt. Moet je eens kijken hoe snel zo’n modern fenomeen als cyber zijn weg vindt in een wereld waarin de technieken en de gebruiken al zoveel ouder zijn. Als we de cybercriminaliteit willen beteugelen, zullen we nog veel meer moeten samenwerken.”
Er moet meer worden samengewerkt? Betekent dat ook dat er minder hokjes moeten komen?
“Dat sowieso. Mensen vinden hokjes altijd fijn, want dan kunnen ze mooi categoriseren. Dingen labelen, noem ik dat altijd, maar cyber overstijgt dat. Je ziet dat zowel in bedrijven als in branches. Een bedrijf kan niet meer zeggen dat cyber alleen bij de ICT-afdeling hoort. Of alleen bij Legal. De aanpak van cybercriminaliteit vergt een multidisciplinaire benadering. Dus ik zou zeggen: breek die hokjes af, treed uit je comfort zone, laat je adviseren en kies voor mutual learning, ook binnen je branche.”
Mr. dr. Nynke Brouwer
Verzekeraars hebben iCERT opgericht om kennis te delen en elkaar sterker te maken in de strijd tegen cyber(criminaliteit). Zouden meer branches de handen ineen moeten slaan?
“iCert is zeker een mooi voorbeeld, maar gelukkig zijn er meer. De Z-CERT voor de zorgsector bijvoorbeeld en ook het Digital Trust Center doet goed werk voor bedrijven. Dergelijke branche-overstijgende diensten zijn heel goed, maar ook de oproep van de Cyber Security Raad dat de overheid meer regie moet nemen, vind ik meer dan terecht.”
Vooralsnog wil de overheid vooral dat er geen losgeld meer wordt betaald. Is dat een terechte wens?
“Het betalen van losgeld is ongewenst. Daar is iedereen het wel over eens. De hamvraag is echter hoe je het businessmodel van criminelen het beste kunt doorbreken en dat vergt een veel genuanceerder oplossing dan veel mensen denken. Bij verzekeringen is het belangrijk om onderscheid te maken tussen een verbod op het betalen van losgeld en een verbod op verzekeringsdekking. Mensen denken vaak dat verzekeraars het losgeld betalen, maar dat is niet zo. Om het kort samen te vatten, kun je stellen dat verzekeraars dekking bieden voor het losgeld dat door hun verzekerde wordt betaald. Dat noemen we een reimbursement constructie. Ik heb daar separaat onderzoek naar gedaan en onder meer gekeken naar het hoe en wat van de al langer bestaande Kidnap- en Ransomverzekering. In verschillende landen wordt daar heel divers mee omgegaan. In Italië is het betalen van losgeld voor kidnappingen en gijzelingen bijvoorbeeld verboden, maar uit het onderzoek blijkt dat zo’n verbod niet per se leidt tot minder betalingen. Sterker nog, als je het betalen van losgeld voor iedereen gaat verbieden, duw je het de illegaliteit in en heb je er totaal geen grip meer op.”
"Als je het betalen van losgeld gaat verbieden, duw je het de illegaliteit in"
Vind jij een verbod op verzekeringsdekking ook ongewenst?
“Ja, ik vraag me oprecht af of een verbod wel tot het gewenste resultaat zal leiden: minder ransomware. Daarnaast kijk ik er uiteraard ook nog als jurist naar. Een verzekering is een overeenkomst die als uitgangspunt contractvrijheid biedt. Een verbod grijpt in op die vrijheid, terwijl er nog helemaal geen gedegen onderzoek is gedaan naar het betalingsgedrag. Laat staan naar de invloed van een achterliggende verzekering. Ik vraag me dan af waarop een verbod is gebaseerd? En dan hebben we nog het argument dat het merendeel van de getroffen bedrijven, zij het met heel veel tegenzin, betaalt. Simpelweg omdat er geen acceptabel alternatief is. Ander argument is dat een relatief klein deel van die bedrijven een verzekering heeft. Alleen dat al is voor mij een indicatie dat een verzekering op dit moment meestal geen beslissende rol speelt.”
Bezint eer ge begint: eerst meer onderzoek voordat er überhaupt aan een verbod kan worden gedacht?
“Ik weet niet of het ministerie al een beslissing heeft genomen over welk verbod of welke maatregel dan ook, maar ik vind vooral de focus op de verzekeringsdekking te groot. Binnen het grotere probleem van ransomware is de verzekering echt maar een heel klein schakeltje. Ik denk dan ook dat we de problematiek veel meer holistisch moeten aanpakken, met een focus op preventie, detectie en response. Dat begint met een internationaal gecoördineerde aanpak, want cyber stopt niet bij de grens. En zolang er landen zijn die niks doen, wordt het wel een heel ingewikkeld verhaal.”
"We moeten cyber veel meer holistisch aanpakken"
Cyber kent geen grenzen, dus moet Europa in actie komen?
“We kunnen er lang en breed over praten, maar er is een Europese Unie, dus ik zou het niet zo gek vinden als er op Europees niveau een aanpak komt. Voorop staat voor mij dat de overheid de regie moet pakken om gedegen naar het probleem van ransomware en cyberweerbaarheid in het algemeen te kijken. De Cyber Security Raad heeft dat pas nog zo mooi opgeschreven in een advies aan de overheid.”
Wat is hun belangrijkste voorstel?
“Het klinkt wat gekscherend, maar meer geld. Ze hebben heel goed geduid wat het dreigingsbeeld is, hoe reëel het is en daarbij ook berekend dat er een financiële injectie nodig is om ons beleid naar een hoger plan te tillen. De focus moet liggen op educatie, kennisvergaring, onderzoek en het delen van informatie. Er ligt een mooi, gedegen advies dat ik volledig kan onderschrijven. Nu is de overheid aan zet.”
Het proefschrift De cyberverzekering vanuit civielrechtelijk perspectief is te koop bij Wolters Kluwer.
De rol van verzekeraars
Hoewel de focus in de laatste weken vol op de verzekeringsmarkt ligt, en meer nog op de (dekking van de) cyberverzekeringen, is de markt nog erg klein. Cyberverzekeringen worden met andere woorden nog niet massaal afgesloten, maar vorige maand schreef Het Financieele Dagblad dat cyberverzekeraars het aantal claims zo sterk zien stijgen dat de premies moeten worden verhoogd. Volgens mr. dr. Nynke Brouwer komt dat doordat de cyberverzekeringsmarkt last heeft van de eigen marktwerking. “Voor een goede ontwikkeling van een nieuwe markt zijn voldoende risico’s nodig. Niet alleen slechte, maar ook goede. Om met name die laatste binnen te halen, moet het product dus extra aantrekkelijk zijn. Denk aan lage premies en een goede dekking. Als er dan steeds meer cyberrisico’s bij komen en er worden ook steeds meer bedrijven getroffen, dan neemt de schadelast snel toe en dat verandert de markt.”
Verschillende definities
Brouwer spreekt in die zin van een golfbeweging, waardoor verzekeraars min of meer worden gedwongen om zowel hogere premies als hogere instapeisen te vragen. Maar verzekeraars mogen ook de hand in eigen boezem steken, vindt ze. Op de vraag wat verzekeraars anders en wellicht beter kunnen doen, antwoordt ze dat het al enorm zou helpen als verzekeraars eenduidiger definities zouden gebruiken. “Neem het begrip cyberincident. Dat is een kernbegrip in de cyberverzekering, maar vraag voor de grap eens aan drie verschillende mensen wat zij onder een incident verstaan? Geheid dat je dan drie verschillende antwoorden krijgt. Verzekeraars hanteren verschillende definities en juist die detailverschillen maken de cyberverzekering tot een product waarvan de omvang en de reikwijdte niet altijd even duidelijk is.”
Meer duidelijkheid
Ze benadrukt dan ook tot slot dat meer duidelijkheid wenselijk zou zijn. “Ik snap heel goed dat verzekeraars die voorop lopen en veel geld en tijd hebben geïnvesteerd in cyber, geen zin hebben om al hun kennis te delen met anderen die hebben afgewacht en nu zouden profiteren van hun kennis. Ik vind dat ook heel gezond, maar de andere kant van de medaille is dat de markt zich mede daardoor moeilijk kan ontwikkelen. Misschien kan de bedrijfstak op zoek gaan naar definities voor bepaalde kernbegrippen, zodat verzekeraars allemaal dezelfde taal spreken. Dat zouden ze ook kunnen doen voor bepaalde securitynormen. Ook dit vergt een multidisciplinaire aanpak, maar het schept wel duidelijkheid. Voor de bedrijven die een verzekering willen afsluiten en voor adviseurs die de cyberverzekering moeten kunnen uitleggen.”
Was dit nuttig?