Stalen kluis op een lei bureau met deur op een kier, gloeiend amber interieur, verspreide documenten en gebroken hangslot.

Cyberverzekering: wat dekt het en wat niet?

Een cyberverzekering dekt financiële schade die ontstaat door cyberincidenten zoals ransomware-aanvallen, datalekken en systeemstoringen. De dekking omvat doorgaans kosten voor herstel, juridische bijstand, crisismanagement en bedrijfsonderbreking. Wat niet gedekt wordt, is minstens zo belangrijk: veel polissen sluiten bewuste nalatigheid, oorlogshandelingen en bekende kwetsbaarheden expliciet uit. In dit artikel beantwoorden we de meest gestelde vragen over cyberverzekeringen, zodat je goed voorbereid een weloverwogen keuze kunt maken.

Welke schades vergoedt een cyberverzekering wel?

Een cyberverzekering vergoedt schade die direct voortvloeit uit een cyberincident, zoals herstelkosten na een ransomware-aanval, kosten voor forensisch onderzoek, juridische bijstand bij datalekken, crisismanagement en gederfde inkomsten door bedrijfsonderbreking. De meeste polissen bieden ook dekking voor aansprakelijkheid richting derden van wie persoonsgegevens zijn gelekt.

Concreet kun je bij de meeste cyberverzekeringen rekenen op vergoeding van de volgende schadeposten:

  • Herstelkosten: kosten voor het herstellen van beschadigde of versleutelde systemen en data
  • Forensisch onderzoek: het achterhalen van de oorzaak en omvang van het incident
  • Bedrijfsonderbreking: gederfde omzet tijdens de periode dat systemen niet beschikbaar zijn
  • Crisismanagement en communicatie: PR-kosten en notificatiekosten richting getroffen klanten of betrokkenen
  • Juridische kosten: bijstand bij meldplichten, communicatie met toezichthouders en aansprakelijkheidsclaims
  • Afpersingskosten: sommige polissen vergoeden losgeld bij ransomware, hoewel dit steeds vaker aan voorwaarden is verbonden

De exacte dekking verschilt per verzekeraar en per polis. Sommige verzekeraars bieden ook ondersteuning in de vorm van een 24/7 incidentresponsteam, wat in de praktijk minstens zo waardevol kan zijn als de financiële vergoeding. Let bij het vergelijken van polissen dan ook op wat er naast geld nog meer wordt geboden.

Wat valt er buiten de dekking van een cyberverzekering?

De uitsluitingen van een cyberverzekering zijn net zo bepalend als de dekking zelf. Veelvoorkomende uitsluitingen zijn bewuste nalatigheid, bekende ongepatchte kwetsbaarheden, cyberoorlog of door staten gesponsorde aanvallen, en schade die al bestond vóór het afsluiten van de polis. Wie deze uitsluitingen negeert, kan bij een incident alsnog met lege handen staan.

De meest voorkomende cyberverzekering uitsluitingen op een rij:

  • Bewuste nalatigheid: als een organisatie aantoonbaar basismaatregelen heeft nagelaten, kan de verzekeraar dekking weigeren
  • Bekende kwetsbaarheden: systemen die al langere tijd niet zijn gepatcht terwijl updates beschikbaar waren
  • Oorlogs- en staatshandelingen: aanvallen die worden toegeschreven aan overheden of als oorlogsdaad worden geclassificeerd
  • Schade aan fysieke eigendommen: cyberincidenten die leiden tot fysieke schade zijn doorgaans niet gedekt
  • Reputatieschade op lange termijn: indirecte omzetderving door imagoschade valt buiten de meeste polissen
  • Boetes en sancties: niet alle polissen vergoeden boetes van toezichthouders, zoals die onder de AVG of NIS2

Dat laatste punt is relevant voor organisaties die onder wet- en regelgeving zoals de NIS2 vallen. Bij niet-naleving kunnen boetes oplopen tot 10 miljoen euro of 2% van de wereldwijde jaaromzet. Veel verzekeraars dekken dergelijke boetes expliciet niet, of slechts gedeeltelijk. Controleer dit altijd zorgvuldig in de polisvoorwaarden.

Welke eisen stellen verzekeraars aan jouw cybersecurity?

Verzekeraars stellen steeds hogere eisen aan de cybersecuritymaatregelen van een organisatie voordat ze een polis aanbieden. Minimale basisvereisten zijn doorgaans: multi-factorauthenticatie, actuele patchprocedures, back-upbeleid, een incidentresponsplan en bewustzijnstraining voor medewerkers. Wie hier niet aan voldoet, krijgt ofwel geen dekking, ofwel een fors hogere premie.

De eisen die verzekeraars stellen zijn de afgelopen jaren aanzienlijk aangescherpt. Waar vroeger een standaard vragenlijst volstond, verlangen verzekeraars nu steeds vaker bewijs van concrete maatregelen. Denk aan:

  • Aantoonbaar gebruik van multi-factorauthenticatie voor kritieke systemen en externe toegang
  • Een gedocumenteerd en actueel patchbeleid
  • Regelmatige back-ups die offline of off-site worden bewaard
  • Een aantoonbaar incidentresponsplan met duidelijke rollen en escalatieprocedures
  • Periodieke beveiligingstests, zoals een penetratietest of vulnerability scan
  • Bewustzijnstraining voor medewerkers, inclusief phishing-simulaties

Sommige verzekeraars vragen ook om een onafhankelijke beoordeling van je beveiligingsniveau voordat ze een offerte uitbrengen. Hoe sterker je aantoonbare beveiligingspositie, hoe gunstiger de premie en hoe ruimer de dekking. Investeren in cybersecurity loont dus niet alleen om aanvallen te voorkomen, maar ook om verzekerbaar te blijven.

Wat is het verschil tussen een cyberverzekering en aansprakelijkheidsverzekering?

Een cyberverzekering dekt schade die jouw organisatie zelf lijdt door een cyberincident, zoals herstelkosten en bedrijfsonderbreking. Een aansprakelijkheidsverzekering dekt schade die jij als organisatie bij derden veroorzaakt. Hoewel er overlap kan bestaan, zijn het fundamenteel verschillende producten die elkaar aanvullen maar niet vervangen.

Het onderscheid zit in de richting van de schade:

  • Cyberverzekering (first-party): vergoedt schade die jouw eigen organisatie lijdt als gevolg van een cyberincident. Denk aan herstelkosten, gederfde inkomsten en crisismanagement.
  • Aansprakelijkheidsverzekering (third-party): vergoedt schade die jij bij anderen veroorzaakt. Bij een datalek waarbij klantgegevens worden gestolen, kunnen gedupeerden jou aansprakelijk stellen.

Veel moderne cyberverzekeringen bevatten inmiddels ook een aansprakelijkheidscomponent, specifiek gericht op cybergerelateerde claims van derden. Toch is het verstandig om te controleren of je bestaande aansprakelijkheidsverzekering cyberincidenten expliciet uitsluit. Dat is steeds vaker het geval, waardoor een aparte cyberpolis noodzakelijk wordt voor volledige bescherming.

Wanneer is een cyberverzekering zinvol voor jouw organisatie?

Een cyberverzekering is zinvol voor vrijwel elke organisatie die afhankelijk is van digitale systemen en persoonsgegevens verwerkt. De afweging wordt bepaald door drie factoren: de omvang van je cyberrisico, je vermogen om schade zelf op te vangen en de mate waarin een incident jouw continuïteit bedreigt.

Een cyberrisico verzekering is in het bijzonder relevant als:

  • Je organisatie persoonsgegevens of gevoelige bedrijfsdata verwerkt
  • Systeemstoringen van meerdere dagen direct omzetverlies veroorzaken
  • Je klanten of partners afhankelijk zijn van jouw digitale dienstverlening
  • Je onder wet- en regelgeving valt die meldplichten en beveiligingseisen oplegt, zoals de AVG of NIS2
  • Je organisatie niet over voldoende eigen reserves beschikt om een ernstig incident zelfstandig op te vangen

Voor kleinere organisaties kan de afweging lastiger zijn. De premies zijn de afgelopen jaren gestegen, terwijl de eisen strenger zijn geworden. Toch laat de praktijk zien dat juist kleinere bedrijven kwetsbaar zijn: ze hebben minder herstelcapaciteit en worden steeds vaker getroffen via de toeleveringsketen van grotere organisaties. Wie als leverancier werkt voor een partij die onder NIS2 valt, krijgt bovendien indirect te maken met beveiligingseisen vanuit die opdrachtgever.

Hoe sluit je een cyberverzekering af die écht past?

Een passende cyberverzekering afsluiten begint met een grondige inventarisatie van je eigen cyberrisico’s. Breng eerst in kaart welke systemen, data en processen kritiek zijn voor je bedrijfsvoering, bepaal vervolgens welke risico’s je zelf kunt dragen en zoek daarna een polis die specifiek aansluit op jouw risicoprofiel. Generieke polissen bieden zelden optimale dekking.

Praktische stappen om een cyberverzekering af te sluiten die echt past:

  1. Voer een risicoanalyse uit: bepaal welke digitale assets het meest kwetsbaar zijn en welke schade een incident kan veroorzaken
  2. Breng je huidige beveiligingsniveau in kaart: verzekeraars beoordelen dit toch, dus wees eerlijk over wat er al is en wat ontbreekt
  3. Vergelijk polissen inhoudelijk: let niet alleen op de premie, maar vergelijk dekkingslimieten, uitsluitingen en aangeboden incidentondersteuning
  4. Controleer de aansluiting op bestaande verzekeringen: voorkom dubbele dekking en zorg dat er geen gaten vallen tussen polissen
  5. Vraag een onafhankelijk advies: een verzekeringstussenpersoon met cyberexpertise kan helpen bij het vergelijken van aanbieders
  6. Evalueer jaarlijks: je risicoprofiel verandert, en de verzekeringsmarkt ook. Herzie je polis minimaal één keer per jaar

Een cyberverzekering is geen vervanging voor goede beveiliging, maar een aanvulling daarop. Wie zijn beveiligingsniveau structureel verbetert, vergroot niet alleen zijn weerbaarheid, maar verbetert ook zijn verzekeringsvoorwaarden. Denk aan het uitvoeren van periodieke security assessments of het inrichten van continue monitoring via een virtuele CISO-dienst. Hoe sterker je aantoonbare beveiligingspositie, hoe gunstiger de polis die je kunt bedingen.

Hoe Q-Cyber helpt bij cyberverzekering en cyberweerbaarheid

Een cyberverzekering afsluiten is één stap. Maar verzekerbaar blijven en schade daadwerkelijk voorkomen vraagt om een structureel sterke beveiligingspositie. Precies daar helpen wij organisaties mee. Q-Cyber biedt onafhankelijk advies zonder binding aan softwarepartijen of andere leveranciers, zodat je altijd een eerlijk beeld krijgt van wat je nodig hebt.

Wat wij concreet voor jou doen:

  • Uitvoeren van een risicoanalyse die inzicht geeft in je kwetsbaarheden en risicoprofiel
  • Schrijven van beveiligingsbeleid dat aansluit op verzekeraarseisen en wettelijke verplichtingen zoals NIS2
  • Uitvoeren van penetratietests en vulnerability scans om technische zwakheden in kaart te brengen
  • Verzorgen van bewustzijnstrainingen voor medewerkers en bestuurders
  • Begeleiden bij NIS2-compliance, inclusief gap-analyses en pragmatische implementatieadviezen
  • Bieden van een virtuele CISO via Continuous-Q® voor organisaties die geen eigen CISO hebben

Wil je weten hoe sterk jouw organisatie er nu voor staat en wat je kunt doen om beter verzekerbaar te worden? Neem contact met ons op voor een vrijblijvend gesprek.