U doet nu vier jaar onderzoek naar het functioneren van cyberverzekeringen op de Nederlandse markt. Wat is uw belangrijkste bevinding?
De cyberverzekering is een nieuw product om risico’s te ondervangen die, in tegenstelling tot bijvoorbeeld brand- of inbraakrisico’s, nog relatief moeilijk zijn te duiden. Cyberrisico’s vragen om een herijking van de wijze waarop we met risico’s omgaan, zowel van verzekeraars en tussenpersonen als van verzekerde bedrijven en organisaties. Dat is natuurlijk ook voor het recht, bijvoorbeeld het aansprakelijkheids- en verzekeringsrecht, relevant.
U constateert dat cyberpolissen een waardevolle aanvulling vormen op het stelsel van maatregelen die bedrijven kunnen nemen om cybercrime het hoofd te bieden. Hoe werkt dat dan?
Een cyberverzekering is uitdrukkelijk geen vervanging voor cybersecurity. Net als alle andere verzekeringen is de cyberverzekering bedoeld om restrisico’s af te dekken die niet voldoende door andere maatregelen kunnen worden beheerst. Doordat schade door cyberincidenten niet altijd volledig op traditionele verzekeringen wordt gedekt, is een aparte cyberpolis een waardevolle aanvulling. Daar komt bij dat verzekeraars – net als in andere verzekeringen – eisen kunnen stellen aan de beveiligingsmaatregelen die bedrijven moeten treffen, waardoor een hoger niveau van security wordt bereikt. Daar zijn echter nog wel wat slagen te maken voor zowel verzekeraars als bedrijven.
Waarom is het nodig dat bepaalde begrippen in cyberpolissen duidelijker worden omschreven?
Als het onduidelijk is wat er precies onder welke omstandigheden wordt gedekt, kan er een conflict ontstaan over het wel of niet recht hebben op uitkering onder de polis. Dat is voor beide partijen vervelend, maar heeft ook vooraf al invloed op de werking van de cyberverzekeringsmarkt en het aansprakelijkheidsrecht. Als het niet duidelijk is wat de betekenis is van kernbegrippen, is het voor assurantietussenpersonen moeilijk om deze polissen te verkopen aan bedrijven, die op zichzelf vaak ook al onvoldoende kennis hebben om de cyberrisico’s voor hun bedrijfsvoering in te schatten. Het is niet zo aantrekkelijk om een hoge premie te gaan betalen voor een risico dat je zelf niet echt ziet en waarvan je bovendien niet zeker weet of eventuele schade wel daadwerkelijk wordt vergoed.
Is het wel duidelijk wat de verzekeraar mag verwachten over het verzekerde bedrijf, zodat deze de risico’s op cybercrime zelf al verkleint?
Verzekeraars hebben zelf wel ideeën over de beveiligingsmaatregelen waaraan een bedrijf moet voldoen om überhaupt een verzekering te kunnen afsluiten. Deze vereisten zijn de afgelopen tijd bovendien veel strenger geworden, omdat cyberverzekeraars al een paar keer met forse schades zijn geconfronteerd. Het feit dat er geen breed gedragen consensus bestaat over wat adequate beveiligingsmaatregelen zijn, maakt de situatie echter wel lastig. Er bestaan wel bepaalde normenkaders, vaak gebaseerd op best practices, maar de concrete invulling daarvan verschilt sterk per bedrijf. Het inschatten en omgaan met digitale risico’s vergt dan ook een andere houding van zowel verzekeraars als verzekerden.
Geef mij maar zo’n cyberpolis. Als ik word gehackt betaalt de verzekeraar wel het losgeld. Maar de minister van Justitie en Veiligheid onderzoekt of dat moet worden verboden. Wat vindt u?
Ransomware is een groot probleem en in die zin juich ik het alleen maar toe dat het ministerie onderzoekt wat er zou kunnen bijdragen aan de bestrijding daarvan. De focus die daarbij nu op verzekeringen ligt, vind ik echter niet helemaal terecht. Je moet verzekeringsdekking blijven zien in het grotere geheel van ransomware. Een eventueel verbod op het bieden van dekking (wat overigens niet hetzelfde is als betalen – een verzekeraar betaalt nooit zelf het losgeld) is daarbij slechts een enkel onderdeel. Bovendien ben ik niet direct een voorstander van een verbod op verzekeringsdekking: er is nog niet veel daadwerkelijk onderzoek gedaan naar losgeldbetalingen an sich, noch naar de eventuele invloed daarop van een achterliggende verzekering. De beslissing van gehackte bedrijven om al dan niet het losgeld te betalen, is van allerlei factoren afhankelijk. Voor verzekeringsdekking zijn allerlei voors en tegens te bedenken. Een beslissing om verzekeringsdekking te gaan verbieden, moet wat mij betreft dus niet lichtvaardig worden genomen.
Wat is niet over u bekend, wat wel interessant is?
Ik heb rechten gestudeerd omdat ik eigenlijk niet zo goed wist wat ik wilde gaan doen. Daar heb ik zeker geen spijt van gehad, maar ergens zou ik stiekem nóg wel een proefschrift willen schrijven. Als francofiel en liefhebber van klassieke talen vind ik bijvoorbeeld de Gallo-Romeinse tijd in Frankrijk reuze interessant. In het Frans kan ik me wel prima redden, maar mijn Latijn is inmiddels behoorlijk roestig…
Wie of wat is uw bron van inspiratie?
Ik hou erg van wandelen in de bergen, omdat ik altijd benieuwd ben wat er op of achter een bergtop te vinden is. Dat inspireert me om altijd nieuwsgierig te zijn en verder te willen kijken. Daarvoor moet je soms wel even een eindje klimmen, maar ook dat is leuk!
Welk boek las u het laatst?
Bonjour tristesse van Françoise Sagan.
Mag Sander Dekker wel/niet terugkeren als minister voor Rechtsbescherming in een nieuw kabinet?
Ik zie liever iemand anders op die positie.
Wat staat er bovenaan op uw bucketlist?
Nu: zonder kleerscheuren door de verdediging van mijn proefschrift heen komen. Daarna: zoveel mogelijk reizen nu dat weer kan!
Mocht u ooit in een cel belanden, welke beroemdheid zou u dan mogen vergezellen?
Niet dat ik iemand de cel in wens, maar tegen de verveling lijkt me een beetje creatief persoon met een aardige dosis humor wel prettig, bijvoorbeeld Richard Ayoade.
