Het kan bijna geen toeval zijn. In het weekend van 12-14 mei werd de wereld opgeschrikt door de nodige cyberaanvallen, terwijl de OECD op 13 mei een rapport over cyberverzekeringen publiceerde. In dit rapport worden prioriteiten beschreven om de markt voor cyberverzekeringen verder te ontwikkelen.
Het rapport (Supporting an effective cyber insurance market) was opgesteld voor de ministers van Financiën van de G7 die half mei op het Italiaanse eiland Capri vergaderden. Het geeft naast een helder overzicht van de cyberverzekeringsmarkt ook een analyse van de witte vlekken. Zo heeft 20-35 procent van alle Amerikaanse bedrijven een specifieke cyberverzekering afgesloten. In Europa liggen die percentages tussen de 20 en 25 procent.
Premies
Een van de belangrijkste obstakels waarom bedrijven zich nu niet verzekeren, zit volgens de OECD in de premie(hoogte). Verzekeraars ‘missen’ historische gegevens waarop ze hun premie kunnen beoordelen, maar hebben daarnaast ook te maken met het feit dat slachtoffers van cybercrime niet staan te trappelen om de informatie te delen.
Volgens de OECD zijn daarom drie sleutelbegrippen van belang: vertrouwen, beschikbaarheid en betaalbaarheid. Als er meer en betere gegevens over de frequentie en impact van cyberincidenten beschikbaar komen, biedt dat vertrouwen voor de dekking van het risico, aldus de OECD. In het rapport stelt de organisatie voor om een uitgebreide databank over cyberincidenten te ontwikkelen die door een ‘vertrouwde’ partij moet worden beheerd. Bijvoorbeeld een overheidsinstelling.
Reactie Verbond
Het Verbond is blij met de ‘wake up call’ van de OECD. “Wij zijn het eens dat, ondanks de sterke groei van de afgelopen jaren, de cyberverzekeringsmarkt nog verder moet worden ontwikkeld”, reageert beleidsadviseur Marko van Leeuwen. “Een opsteker is dat ons land verder is dan bijvoorbeeld Duitsland, Frankrijk en Italië. Uit cijfers van Lloyd’s blijkt namelijk dat de Engelse verzekeraar tussen 2014 en 2016 negenhonderd procent meer cyberpremie van Nederlandse bedrijven heeft ontvangen. Volgens Lloyd’s komt dat, omdat onze overheid al een meldplicht datalekken heeft ingesteld in aanloop naar 2018, als de algemene verordening gegevensbescherming ingaat.”
Van achteroverleunen kan echter geen sprake zijn, benadrukt hij. “Integendeel. Het OECD-rapport roept niet voor niets op om gegevens over schade-uitkeringen bij cyberincidenten niet alleen te verzamelen, maar ook te stimuleren en toegankelijk(er) te maken. Daarnaast moeten overheden het risicobewustzijn verder bevorderen. Voor iedereen moet duidelijk zijn dat cyberincidenten grote economische en maatschappelijke impact hebben. Bedrijven en burgers moeten worden aangezet tot veel meer preventie. Daarom zijn wij in gesprek met de overheid om te overleggen wie welke rol vervult bij het afdekken van cyberrisico’s en bij het stimuleren van het risicobewustzijn. Het OECD-rapport helpt ons daarbij.”
Was dit nuttig?