Cyberaanvallen treffen Nederlandse MKB’ers hard: 2 op de 3 aanvallen richten zich op het MKB, terwijl slechts 1 op de 8 bedrijven voldoende beveiligd is. Een cyberverzekering biedt financiële bescherming tegen directe schade (zoals IT-herstel) én indirecte kosten (zoals reputatieschade en GDPR-boetes). Maar hoe werkt dit juridisch?
Belangrijke punten:
- Verplichte informatieplicht (art. 7:928 BW): Bedrijven moeten hun cyberrisico’s volledig melden.
- Dekking: Van dataverlies tot juridische kosten bij privacyschendingen.
- Uitsluitingen: Schade door oorlogshandelingen of staatsaanvallen wordt vaak niet gedekt.
- Nieuwe wetgeving: De NIS2-richtlijn (2025) stelt strengere eisen aan cybersecurity.
Snel overzicht van de voordelen:
| Aspect | Wat het biedt |
|---|---|
| Financiële bescherming | Dekking voor IT-herstel, reputatieherstel en boetes |
| Juridische zekerheid | Duidelijke regels vanuit het Burgerlijk Wetboek |
| Compliance ondersteuning | Helpt voldoen aan GDPR en NIS2-eisen |
Wil je weten hoe je jouw bedrijf juridisch en financieel kunt beschermen tegen cyberrisico’s? Lees verder.
Juridische Vereisten voor Verzekeringscontracten
Na de eerder besproken basisprincipes in het Burgerlijk Wetboek, zoomen we hier in op de specifieke contractuele vereisten. Het Burgerlijk Wetboek (BW), met name titel 7.17, stelt regels op om zowel verzekeraars als verzekerden te beschermen binnen cyberverzekeringen.
Regels voor Informatieverstrekking
Volgens de mededelingsplicht (artikel 7:928 BW) zijn MKB’ers verplicht om alle relevante informatie te delen die invloed kan hebben op de beslissing van de verzekeraar om een polis af te sluiten [5]. Dit omvat onder andere:
- De huidige cyberbeveiligingsmaatregelen
- Historiek van eerdere cyberincidenten
- IT-infrastructuur en dataopslagmethoden
- Bedrijfskritische systemen
Het niet voldoen aan deze verplichting kan leiden tot het vervallen van de dekking of zelfs de nietigheid van de verzekeringsovereenkomst.
Verplichte en Optionele Contractvoorwaarden
Cyberverzekeringen combineren verplichte wettelijke bepalingen met aanvullende voorwaarden die afhankelijk zijn van het specifieke risicoprofiel. De belangrijkste kernverplichtingen volgens het Burgerlijk Wetboek zijn:
- Bereddingsplicht (art. 7:957 BW): De verzekerde moet schade zoveel mogelijk beperken.
- Informatieplicht bij schade (art. 7:941 BW): Alle benodigde informatie en documenten moeten worden verstrekt om een schadeclaim te beoordelen.
- Zorgplicht verzekeraar (art. 4:24a Wft): Verzekeraars zijn verplicht heldere en begrijpelijke polisvoorwaarden op te stellen.
Deze bepalingen zijn ontworpen om een evenwichtige bescherming te bieden aan beide partijen.
“De focus van de NIS2-richtlijn ligt niet zozeer op hoe cyberincidenten kunnen leiden tot een risico voor uw organisatie of uw bedrijf kunnen schaden, maar hoe dergelijke incidenten de samenleving en het functioneren van andere bedrijven kunnen schaden of belemmeren. Zo strekt de reikwijdte zich ver verder uit dan traditionele kritieke infrastructuurorganisaties.” – PwC’s privacy expert Bram van Tiel [6]
EU- en Nederlandse Compliance-regels
Met de invoering van de NIS2-richtlijn via de Nederlandse Cyberbeveiligingswet (CSA) in het derde kwartaal van 2025 komen er nieuwe verplichtingen [7]:
- Boetes: Essentiële entiteiten kunnen maximaal €10 miljoen of 2% van de wereldwijde jaaromzet als boete opgelegd krijgen [8].
- Toezicht: De Rijksdienst Digitale Infrastructuur wordt verantwoordelijk voor het toezicht op veel NIS2-organisaties [9].
- Polisaanpassingen: Verzekeraars zullen hun polisvoorwaarden moeten afstemmen op de nieuwe wetgeving.
MKB’ers kunnen gebruikmaken van de zelfevaluatie-tool van de Rijksdienst Digitale Infrastructuur om te bepalen of zij onder de NIS2-richtlijn vallen [7]. Deze regelgeving vormt een belangrijk juridisch kader voor de bespreking van dekkingsvoorwaarden en geschilbeslechting binnen cyberverzekeringen.
Wat Cyberverzekeringen Dekken
Directe en Indirecte Dekkingsvormen
Cyberverzekeringen bieden zowel bescherming tegen directe schade als dekking voor aansprakelijkheid.
Onder directe schade vallen kosten zoals:
- Reparatie van hardware en software
- Herstel van data en administratieve reconstructie
- Inzet van experts voor reparaties en forensisch onderzoek
- Verlies door bedrijfsonderbrekingen, zoals productie-uitval
- Ondersteuning bij crisismanagement en herstel van reputatieschade
Aansprakelijkheidsdekking richt zich op:
- Juridische kosten bij claims over privacyschendingen
- Schadevergoedingen aan getroffen partijen
- Boetes opgelegd door toezichthouders in het kader van de AVG
- PCI-boetes en bijbehorende beoordelingen
- Klantenservice voor het afhandelen van schadeclaims
Deze dekkingen sluiten nauw aan bij de wettelijke verplichtingen die eerder zijn besproken, zowel voor de verzekeraar als de verzekerde.
Binnen 5 minuten je cyberverzekering geregeld? Klik op de knop hieronder en stel ‘m direct samen via Verzekercyber.
Uitsluitingen in de Polis
Om risico’s te beperken, hanteren verzekeraars specifieke uitsluitingen. Enkele voorbeelden:
| Type Uitsluiting | Uitleg |
|---|---|
| Oorlogshandelingen | Schade veroorzaakt door oorlog of vijandige acties |
| Staatsgestuurde aanvallen | Cyberaanvallen uitgevoerd door statelijke actoren |
Deze uitsluitingen onderstrepen hoe belangrijk het is om polisvoorwaarden grondig te bestuderen.
Voorbeeld van een Dekkingsgeschil
Een bekend voorbeeld van hoe uitsluitingen in de praktijk werken, is de zaak van Merck & Co. tegen ACE American Insurance Company. In 2017 werd Merck getroffen door de NotPetya-malware, wat resulteerde in een schadepost van ongeveer €1,3 miljard en de infectie van 40.000 computers. ACE weigerde de schade te dekken en beriep zich op de oorlogsclausule, omdat de aanval werd toegeschreven aan Rusland. De rechtbank oordeelde echter dat deze clausule alleen van toepassing was op traditionele oorlogsvoering. Uiteindelijk kwamen beide partijen begin 2024 tot een vertrouwelijke schikking [10].
Dit geval laat zien hoe nationale en internationale wetgeving een rol speelt in de interpretatie van cyberverzekeringspolissen. Het benadrukt ook hoe belangrijk het is voor bedrijven om de exacte voorwaarden en beperkingen van hun dekking te begrijpen.
Juridische Verantwoordelijkheid en Conflictoplossing
Aansprakelijkheid bij Datalekken
In de wereld van cyberverzekeringen is het vaststellen van juridische verantwoordelijkheid bij datalekken van groot belang. In Nederland wordt dit geregeld door de AVG en de UAVG. Organisaties die als verwerkingsverantwoordelijke optreden, zijn verplicht om datalekken binnen 72 uur te melden als er sprake is van een hoog risico. Het niet naleven van deze verplichting kan leiden tot aansprakelijkheid[11].
De rechtspraak biedt concrete voorbeelden van hoe schadevergoedingen bij datalekken worden toegekend. Zo oordeelde de Rechtbank Amsterdam (ECLI:NL:RBAMS:2019:6490) dat het UWV een schadevergoeding van €250 moest betalen omdat medische gegevens zonder toestemming aan een nieuwe werkgever waren verstrekt[12].
Bij geschillen over aansprakelijkheid zijn er verschillende manieren om tot een oplossing te komen.
Methoden voor Geschillenbeslechting
De keuze voor een geschillenbeslechtingsmethode hangt af van de complexiteit van de zaak en hoe snel een oplossing gewenst is.
| Geschilmethode | Kenmerken | Voordelen |
|---|---|---|
| Netherlands Commercial Court | Engelstalige procedures, geschikt voor complexe zaken | Moderne en efficiënte afhandeling |
| Arbitrage | Niet-openbaar, flexibele procedures | Snelle besluitvorming |
| Reguliere rechtspraak | Volledige rechtsbescherming | Breed juridisch kader |
In tegenstelling tot sommige andere rechtssystemen kent het Nederlandse recht geen concepten zoals ‘conditions precedent’ en ‘warranties’[13].
Verborgen Hiaten in Cyberdekking
Ondanks duidelijke juridische afspraken, zijn er risico’s in cyberverzekeringen die niet altijd direct zichtbaar zijn. Deze verborgen hiaten kunnen organisaties kwetsbaar maken.
“Na toegang tot een netwerk te hebben verkregen, zoeken aanvallers actief naar bestanden met termen als ‘insurance’ of ‘policy’. Dit geeft hen een voordeel tijdens onderhandelingen, waardoor ze aanzienlijk hogere losgelden kunnen eisen.” – Tom Meurs, Cybercrime Specialist bij de Nederlandse Politie[4]
Uit onderzoek blijkt dat verzekerde bedrijven gemiddeld 2,8 keer meer losgeld betalen bij ransomware-aanvallen dan onverzekerde bedrijven[4]. Om deze risico’s te beperken, zijn er drie belangrijke aandachtspunten:
- Grondige polisanalyse: Bedrijven moeten de voorwaarden van hun cyberpolis zorgvuldig controleren op uitsluitingen en beperkingen.
- Preventieve maatregelen: Organisaties met robuuste back-upsystemen hebben 27 keer minder kans om losgeld te betalen[4].
- Strikte informatiebeveiliging: Verzekeringsinformatie moet goed worden beschermd om te voorkomen dat aanvallers hogere losgelden eisen.
In de jaren 2022 en 2023 heeft de NYDFS boetes opgelegd van $30 miljoen voor tekortkomingen in cyberbeveiliging en $1 miljoen voor onvoldoende beveiligingspraktijken[4]. Deze cijfers onderstrepen het belang van een proactieve aanpak bij cyberrisico’s.
FAQ
Als ondernemer in het MKB is het cruciaal om bij het afsluiten van een cyberverzekering alle benodigde en juiste informatie aan de verzekeraar te verstrekken. Dit helpt niet alleen om problemen bij eventuele schadeclaims te voorkomen, maar zorgt er ook voor dat de verzekering geldig blijft.
Wat moet je precies delen? Hier zijn een paar belangrijke punten:
Beveiligingsmaatregelen: Geef een overzicht van de huidige beveiligingsmaatregelen, zoals het gebruik van firewalls, antivirussoftware en back-upsystemen.
Eerdere incidenten: Meld eventuele eerdere cyberincidenten of datalekken. Dit laat zien hoe je in het verleden met risico's bent omgegaan.
Aanvraagformulier: Vul het aanvraagformulier volledig en eerlijk in. Incomplete of onjuiste informatie kan later voor complicaties zorgen.
Blijkt er na de aanvraag nieuwe informatie relevant te zijn? Zorg er dan voor dat je deze direct doorgeeft aan de verzekeraar. Dit soort transparantie is niet alleen verplicht, maar ook in jouw belang. Het zorgt ervoor dat je verzekering aansluit bij jouw situatie en je als ondernemer goed beschermd bent tegen de risico's van cybercriminaliteit.
Directe schade omvat de onmiddellijke financiële impact van een cyberincident. Denk hierbij aan kosten voor het herstellen van IT-systemen, het vervangen van beschadigde hardware of het terughalen van verloren data. Dit zijn de directe uitgaven die meteen na een incident gemaakt moeten worden.
Indirecte schade gaat over de langdurige gevolgen die een cyberaanval kan hebben. Voorbeelden hiervan zijn verlies van klanten, reputatieschade of omzetverlies doordat het bedrijf tijdelijk stil ligt. Deze effecten kunnen maanden, of zelfs jaren, doorwerken.
Cyberverzekeringen dekken vaak zowel directe als indirecte schade. Maar let op: de precieze dekking en limieten verschillen per polis. Het is daarom essentieel om de voorwaarden goed door te nemen en te controleren of deze aansluiten bij de risico’s die jouw organisatie loopt.
Om goed voorbereid te zijn op de NIS2-richtlijn, is het essentieel om de huidige cybersecuritymaatregelen grondig te evalueren en waar nodig te verbeteren. Denk hierbij aan het opstellen van een duidelijk incidentresponsplan en het invoeren van protocollen voor het melden van beveiligingsincidenten. Deze maatregelen helpen om cyberrisico’s effectief te beperken.
Een andere belangrijke stap is om na te gaan of uw organisatie onder de richtlijn valt en welke specifieke verplichtingen op uw situatie van toepassing zijn. Hier kunnen zelfevaluatietools een handig hulpmiddel zijn om snel inzicht te krijgen in de huidige stand van zaken en eventuele tekortkomingen.
Daarnaast is het cruciaal om medewerkers bewust te maken van cybersecurityrisico’s. Door hen te trainen in het herkennen en reageren op bedreigingen, zorgt u ervoor dat iedereen in het bedrijf voorbereid is en een actieve rol speelt in het beschermen van de organisatie.
Met een proactieve aanpak en een goed doordachte strategie kunnen bedrijven niet alleen voldoen aan de eisen van de NIS2-richtlijn, maar ook hun digitale weerbaarheid aanzienlijk vergroten.