Wie een cyberverzekering overweegt moet dit lezen

ISP Today heeft al een paar keer gewezen op het verschijnsel cyberverzekeringen. Het idee is dat ondernemers met een dergelijke verzekering de schade aangericht door hackers, malware en dergelijke deel vergoed kunnen krijgen. Verzekeraars roepen om het hardst dat het echt nodig is, de praktijk laat iets anders zien.

Advocaatskosten

Ruim een jaar geleden kwamen in meerdere rapporten de eerste bevindingen over cyberverzekeringen in (uiteraard) Amerika naar buiten. In alle gevallen was geconstateerd dat de helft of zo niet meer van uitgekeerde bedragen opging aan advocaatskosten en onderzoek. Voor het daadwerkelijk vergoeden van de eigen schade of die van de klanten blijft dus niet veel over.

AVG hype

In Nederland en de rest van de EU is de markt voor dit type verzekeringen nog gering. Natuurlijk proberen ook hier de verzekeraars door het opentrekken van alle registers hier omzet mee te behalen. De AVG was daar een typisch voorbeeld van. Voldoen aan een Europese Verordening was in de ogen van een deel van de verzekeringssector alleen mogelijk als er een passende verzekering was afgesloten. Heel succesvol zijn die acties, in ieder geval in Nederland, niet geweest. De doorsnee Nederlandse ondernemer weet immers dat er heel veel buiten de scope van een dergelijke verzekering valt en dat met een reguliere bedrijfspolis al het nodige is veiliggesteld.

Zürich vs Mondelēz

Er is nog een reden heel kritisch te kijken naar cyberverzekeringen en dat komt door een lopende zaak in America tussen Zürich American Insurance Company en Mondelēz. Zürich is met een omzet van $64 miljard en een winst $3,8 miljard (2017) een van de grootste verzekeraars ter wereld. Mondelēz is bekend van merken als Milka, Toblerone en Liga.

Mondelēz heeft bij Zürich een cyberverzekering lopen. In juni 2017 werd het bedrijf getroffen door het Nonpetya virus. De schade door uitval van productie en omzet zou meer $100 miljoen hebben bedragen. Logisch dus dat Mondelēz bij Zürich aanklopt om een schade te claimen. De afgesloten polis noemt immers expliciet de schade veroorzaakt door malicious code.

Oorlog

Zürich wijst echter op de kleine lettertjes van de polis. Daar staat te lezen dat geen claim kan worden ingediend als er sprake is van “hostile or warlike action in time of peace or war“ door “government or sovereign power (de jure or de facto)” en “agent or authority of any party specified in (i) or (ii) above“.

Mondelēz krijgt een minimale vergoeding van $10 miljoen en daarna is wat Zürich betreft de zaak afgewikkeld. Mondelēz denkt daar anders over en sleept Zürich voor de rechter. Die zaak loopt nog en heeft heeft puur betrekking op de Amerikaanse markt. Toch moet het een wake up call zijn voor iedereen die het oog heeft laten vallen op een cyberverzekering. Er zijn namelijk twee opties:

(1) Zürich kan aantonen dat de Russen achter NonPetya zitten. Dan is het helaas pindakaas voor Mondelēz. Elk bedrijf dat al een polis heeft moet dan heel goed kijken of “oorlogsituaties” zijn benoemd.

(2) Zürich moet betalen. Dan kun je er gif op innemen dat alle verzekeraars de polissen gaan aanpassen om Nonpetya gevallen in de toekomst te kunnen uitsluiten.

(afbeelding: Jbuket – CC BY 4.0)

About the author

Avatar

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.