“Vorige week kwam de AFM met een rapport over cyberverzekeringen. Lang verhaal kort? De AFM noemt het lastig om de verzekeringen onderling te vergelijken. De uitkomsten verrassen me niet. Cyberverzekeringen zijn inderdaad lastig te vergelijken, maar dat heeft zo zijn redenen. In dit blog noem ik er drie.
Beperkte markt
Laat ik met de eerste beginnen. De cybermarkt is beperkt. Bij
het lezen van het AFM-rapport kreeg ik de indruk dat de toezichthouder de markt
al als volwassen beschouwt. Dat is niet het geval. Integendeel zelfs. Als ik
morgen bij mijn adviseur op de stoep sta om een cyberverzekering af te sluiten,
gaat dat niet zomaar lukken.
Cyberverzekeringen worden nog maar beperkt afgesloten. En als het al gebeurt,
dan is dat vooral op de grootzakelijke markt. De bruto premieomzet van
verzekeraars (rond de veertig miljoen euro per jaar) bestaat voor meer dan 95
procent uit (groot) zakelijke risico’s. Dat laat al zien dat de particuliere
markt niet of nauwelijks bestaat. En hetzelfde geldt voor het mkb.
Cumulatierisico
Een van de belangrijkste redenen waarom verzekeringen nog maar
mondjesmaat worden afgesloten, is dat cyber een cumulatierisico is. Dat wil
zeggen dat meerdere bedrijven/personen op hetzelfde moment en op verschillende
plekken het slachtoffer kunnen worden van een grootschalige cyberaanval. Als
het fout gaat, kan het dus ook goed fout gaan.
Dat betekent dat het cyberrisico nauwelijks te beheersen is. En persoonlijk
denk ik dat die andere toezichthouder, DNB, kritisch meekijkt als één
verzekeraar veel mkb’ers in de boeken heeft staan, omdat de potentiële
schadelast dan enorm is.
Markt in ontwikkeling
De tweede reden waarom cyberverzekeringen
lastig vergelijkbaar zijn, is omdat de markt volop in ontwikkeling is. Het is,
platgezegd, nog een zoektocht voor alle partijen. Want, of je nou een
verzekeraar, een adviseur, een mkb’er of een groot bedrijf bent, de vragen
blijven hetzelfde; hoe gaan we met cyber om? Wat zijn de risico’s? Veranderen
die en zo ja, hoe kunnen we daar onze beveiliging op aanpassen? En hoe zit dat
met de voorwaarden van de verzekering?
We kunnen niet net doen alsof de cybermarkt een volwaardige en volwassen markt
is. Nu niet, maar waarschijnlijk ook over 5 jaar niet. Daarvoor zijn er
simpelweg nog altijd te weinig data over incidenten voorhanden. En als ze er
zijn, is er meestal geen toegang voor verzekeraars. Jammer, want zij zouden
daar juist van kunnen leren en hun verzekeringsaanbod kunnen verbeteren. Insurance Europe, de Europese koepel van
verzekeraars, heeft hier in 2020 al op gewezen.
Ingewikkelde markt
Dat brengt me op de derde reden. Cyber is ingewikkeld en heel
dynamisch. Wat een verzekeraar nu opschrijft in zijn voorwaarden, bijvoorbeeld
aan terminologie, kan over twee maanden alweer anders zijn.
De AFM schrijft het als volgt in het rapport: ‘Cyberverzekeringen zijn complex.
Het cyberrisico is veranderlijk, en daarmee noodzakelijkerwijs de verzekering
ook. Het is daarom extra van belang dat de informatieverstrekking duidelijk
is’. Wat mij betreft slaat de AFM daarmee de spijker op de kop. Juist omdat het
zo lastig en weerbarstig is, zijn verzekeraars zelf ook nog zoekende. Daarom
wijken de voorwaarden ook af.
Paper over marktontwikkeling
Maar, uiteraard nemen wij de oproep van de
AFM ter harte. De AFM roept in het onderzoek Cyberverzekeringen – Verkenning naar de
Nederlandse verzekeringsmarkt onze sector op om te kijken hoe de
onderlinge vergelijkbaarheid van het productaanbod kan worden vergroot. De
toezichthouder wordt op haar wenken bediend.
Wij hebben, met ons Platform Cyber, een paper in de maak dat nog voor de zomer
wordt verwacht. In dat paper zullen we onder meer ingaan op hoe de cybermarkt
zich ontwikkelt, welke omstandigheden een rol spelen en hoeveel ransomware aanvallen verzekeraars hebben ‘behandeld’.
En intussen gaat het platform gewoon verder met wat het al langere tijd doet:
het verbeteren en uitdragen van de risicoklassenindeling, keurmerken en
begripsomschrijvingen. Ons doel is dat straks alle verzekeraars meer dezelfde
taal spreken en polissen voor iedereen begrijpelijker en beter vergelijkbaar
worden.
Rol tussenpersoon
Daarnaast zijn wij met
tussenpersonenorganisatie Adfiz in gesprek over de rol van de
assurantieadviseur. Wij denken namelijk dat er ook een zekere rol voor de
adviseur is weggelegd. Hij (of zij) kan de klant letterlijk bij de arm nemen.
Daar zijn ook al de nodige tools voor ontwikkeld. Door de IT-sector, door MKB Nederland, het Digital Trust Center, maar ook
door ons.
Toevallig was ik laatst op werkbezoek bij een verzekeringsadviseur. Ik zag dat
hij ook worstelt met de complexiteit, maar tijdens het gesprek werd al gauw
duidelijk dat we meer kunnen bereiken door samen te opereren. Helemaal als het
aankomt op bewustwording en verheldering.
Ik ben namelijk van mening dat de enige weg voorwaarts die van bewustwording en concreet handelingsperspectief is. Zowel bedrijven als particulieren moeten zich meer bewust worden van het cyberrisico en preventieve stappen zetten om cybercriminelen buiten de deur te houden. Uiteraard kunnen en willen verzekeraars daarbij helpen, maar dan vooral in ondersteunende zin. Verzekeren is niet altijd de oplossing.”
Tuğçe Serinkan is beleidsadviseur Cyber bij het Verbond van Verzekeraars