Create successful ePaper yourself
Turn your PDF publications into a flip-book with our unique Google optimized e-Paper software.
75 JAAR HÉT PLATFORM VOOR DE FINANCIEEL ADVISEUR<br />
<strong>VVP</strong>RUIM<br />
JAARGANG 77 • EXTRA EDITIE • SEPTEMBER 2020<br />
Pak je adviesrol!<br />
Special Cyber
COLOFON<br />
<strong>VVP</strong>, Kennis- en inspiratiemagazine<br />
voor financieel adviseurs<br />
Uitgave van <strong>VVP</strong> Nederland<br />
Zevenenzeventigste jaargang<br />
nhoud<br />
uitgever en hoofdredacteur<br />
Willem Vreeswijk 06-10630149,<br />
willem@vvponline.nl<br />
(eind)redacteur<br />
Toon Berendsen 06-12907930,<br />
toon@vvponline.nl<br />
persberichten, reacties, ideeën<br />
redactie@vvponline.nl<br />
redactie-adres<br />
Wapendragervlinder 29, 3544 DK Utrecht<br />
7<br />
Rondetafel Cyber<br />
Pak je adviesrol!<br />
16<br />
Bram Grundmeijer<br />
Kijk naar de inhoud<br />
senior accountmanager/traffic<br />
Arjan Cornelisse, 06-10628564,<br />
arjan@vvponline.nl<br />
ABONNEMENTENSERVICE<br />
vvp@vvponline.nl<br />
website www.vvponline.nl<br />
<strong>SPECIAL</strong> <strong>CYBER</strong><br />
Deze special verschijnt in een oplagen van<br />
6.000 exemplaren en is tot stand gekomen<br />
in samenwerking met Allianz, Avéro<br />
Achmea, De Goudse, HDI Global Specialty,<br />
Hienfeld, Nationale-Nederlanden, Turien<br />
& Co. en de Vereende en wordt tevens<br />
uitgebracht als e-zine.<br />
26<br />
Maria Genova<br />
Wapen je tegen hackers<br />
32<br />
Marie-Louise Smit<br />
Cyberweerbaarheid<br />
NABESTELLINGEN<br />
Arjan Cornelisse, arjan@vvponline.nl<br />
COPYRIGHT<br />
<strong>VVP</strong> Nederland, 2020<br />
vormgeving/prepress<br />
Peter Beemsterboer, Beemsfoto<br />
druk<br />
Veldhuis Media BV, Raalte. Deze uitgave is<br />
gedrukt op FSC-papier<br />
ISSN: 1388-2724<br />
44<br />
Jan Berndsen<br />
Dit gebeurt mij niet!<br />
50<br />
Jeroen Smit<br />
Cyberdont’s<br />
2 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
VOORWOORD <strong>CYBER</strong><br />
D é cyberadviseur<br />
van Nederland<br />
22<br />
Liesbeth Holterman<br />
Neem basismaatregelen<br />
38<br />
Adfiz<br />
Checklist cyberrisico’s<br />
56<br />
Toon Berendsen<br />
Cyber Alerts<br />
Cybercriminaliteit en bedrijfsstilstand worden door ondernemers<br />
gezien als belangrijkste ondernemersrisico, zo bleek uit een onderzoek<br />
van Allianz Schade naar de belangrijkheid van diverse<br />
risico’s. Daarmee laat cybercriminaliteit risico’s als natuurrampen,<br />
wijziging in wet- en regelgeving en brand en explosies achter<br />
zich. Het besef dat cybercriminaliteit een hoog risico is, is er. Het is dan ook<br />
belangrijker dan ooit om hier oplossingen voor aan te bieden.<br />
Deze <strong>VVP</strong>-special Cyber helpt het intermediair dé cyberadviseur van Nederland<br />
te worden. Een special vol tips en tools van specialisten die onafhankelijk<br />
adviseurs zelf in hun eigen kantoor in de praktijk kunnen brengen en die van<br />
onschatbare waarde zijn voor hun klanten. Een echte bewaareditie met must<br />
read artikelen over een uiterst relevant onderwerp.<br />
Hoe relevant blijkt ook uit het boek ‘Het is oorlog, maar niemand die het ziet’<br />
van onderzoeksjournalist Huib Modderkolk. “We bellen, delen en liken de hele<br />
dag door. We ervaren de voordelen van de digitale tijd: de smartwatch controleert<br />
de hartslag, de slimme meter houdt het energieverbruik bij en de smartphone<br />
leidt ons soepel door het verkeer. De waarschuwingen horen we ook: pas<br />
op, diezelfde apparaten leggen onze gedragspatronen minutieus vast. Let op, er<br />
ontstaan nieuwe gevaren. Staten gebruiken internet steeds meer om te controleren<br />
en te beïnvloeden. Spionage is makkelijker<br />
dan ooit. Dat heeft gevolgen: anonimiteit<br />
en privacy raken in de verdrukking,<br />
nepnieuws voedt het wantrouwen,<br />
aanvallen via internet ontwrichten de samenleving.”<br />
Modderkolk schetst de schaduwkant<br />
van internet, een kant die er onloochenbaar<br />
is en waar ook voor wordt gewaarschuwd<br />
en ondertussen blijven we bellen,<br />
appen, kopen we een Apple Watch en delen<br />
babyfotos op Facebook, etcetera.<br />
Voor onafhankelijk adviseurs ligt hier een belangrijke maatschappelijke taak,<br />
zowel naar particulieren toe als naar bedrijven. De adviseur is bij uitstek de vertrouwenspersoon<br />
die mensen bewuster maakt van de gevaren, wijst op maatregelen<br />
om cybercriminaliteit te voorkomen en helpt bij daadwerkelijke calamiteiten.<br />
Wil een onafhankelijk adviseur deze taak goed op kunnen pakken, dan moet<br />
hij zelf over de juiste kennis beschikken en inzicht hebben in de materie.<br />
Deze bewaareditie is mede mogelijk gemaakt door Allianz, Avéro Achmea,<br />
De Goudse, HDI Global Specialty, Hienfeld, Nationale-Nederlanden, Turien & Co.<br />
en de Vereende.<br />
Heel veel leesplezier! n<br />
WILLEM VREESWIJK<br />
HOOFDREDACTEUR / willem@vvponline.nl<br />
‘Het begint<br />
met inzicht<br />
en kennis’<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 3
PARTNER IN KENNIS<br />
REGELMATIG HOREN ONZE ACCOUNTMANAGERS: ‘JA, DAAR MOE-<br />
TEN WIJ BINNENKORT WEL WAT MEE DOEN’, ALS ZIJ BIJ FINAN-<br />
CIEEL ADVISEURS OVER HET ONDERWERP <strong>CYBER</strong>RISICO’S BE-<br />
GINNEN. WIJ BEGRIJPEN HEEL GOED DAT VEEL ADVISEURS HET<br />
NOG LASTIG VINDEN OM ADVIES UIT TE BRENGEN OVER DE ONLI-<br />
NE RISICO’S DIE HUN ZAKELIJKE KLANTEN LOPEN. IN 2013, TOEN<br />
WIJ BELANGSTELLING KREGEN VOOR DEZE (TOEN NOG) ONBE-<br />
KENDE VERZEKERINGSVORM, KOSTTE HET ONS OOK TIJD OM TE<br />
WENNEN AAN DE VELE NIEUWE BEGRIPPEN, ZOALS HACKING EN<br />
PHISHING. MAAR GELUKKIG HOEF JE OOK GEEN IT-<strong>SPECIAL</strong>IST<br />
TE ZIJN OM OVER <strong>CYBER</strong>RISICO’S TE KUNNEN ADVISEREN.<br />
Koudwatervrees niet<br />
nodig bij advisering over<br />
cyberverzekeringen<br />
TEKST SANDRA DEKKER, PRODUCT<strong>SPECIAL</strong>IST <strong>CYBER</strong>VERZEKERINGEN TURIEN & CO. ASSURADEUREN<br />
Elk bedrijf is een potentieel doelwit<br />
van cybercriminelen, ik leg<br />
u in dit artikel uit waarom. In<br />
2018 had 94 procent van de Nederlandse<br />
bedrijven een website<br />
(bron: CBS, ICT kennis en economie,<br />
2019). Veel bedrijven gebruiken daarnaast<br />
e-mail, hebben een digitale agenda en/<br />
of voorraadbeheer, factureren digitaal en<br />
zijn in veel gevallen actief op social media.<br />
Feitelijk is de administratie van een bedrijf<br />
alleen nog via een internetverbinding<br />
bereikbaar. Er zijn ook ondernemingen<br />
waarvan productiemachines via een internetverbinding<br />
worden aangestuurd, voor<br />
dit soort bedrijven geldt een verhoogde<br />
afhankelijkheid van het internet. Net als<br />
voor andere bedrijven die uitsluitend online<br />
(ICT-)diensten of producten aanbieden.<br />
Elk bedrijf beschikt over data: persoonsgegevens<br />
van klanten, leveranciers en/<br />
of personeel en financiële gegevens. Een<br />
bedrijf kan ook documenten met gevoelige<br />
bedrijfsinformatie hebben opgeslagen<br />
of privacygevoelige dossiers bezitten.<br />
Nu we weten dat bedrijven bij de<br />
uitvoering van hun werkzaamheden afhankelijk<br />
zijn van internet en dat bedrijven<br />
over data beschikken, kunnen we uitleggen<br />
op welke manier cybercriminelen<br />
hier misbruik van maken.<br />
WAT WILLEN <strong>CYBER</strong>CRIMINELEN?<br />
Criminelen willen snel geld verdienen.<br />
Daar gebruiken zij internet voor. Op internet<br />
zijn namelijk talloze kwetsbaarheden<br />
in software te vinden. Er bestaan<br />
scanners die deze zwakke plekken geautomatiseerd<br />
opsporen. Als adviseur hoef<br />
je deze kwetsbaarheden overigens niet<br />
te kennen of te begrijpen, het zijn er veel<br />
te veel én het is veel te technisch. Maar<br />
je kunt je voorstellen dat bij het bouwen<br />
van websites en het maken van programma’s<br />
foutjes worden gemaakt; dat zijn de<br />
digitale kwetsbaarheden waar criminelen<br />
gebruik van maken. Via deze kwetsbaarheden<br />
breken zij in, in de digitale<br />
omgeving van een bedrijf. Ook via mensen<br />
proberen zij toegang tot bedrijfsnetwerken<br />
te krijgen. Een bekend voorbeeld<br />
is het inzetten van phishing e-mails. In<br />
een phishing e-mail wordt op geavanceerde<br />
wijze ‘gevist’ naar toegang tot het<br />
bedrijfsnetwerk. Een firewall of antivirussoftware<br />
kan hiermee door criminelen<br />
eenvoudig worden omzeild.<br />
4 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
BEDRIJF PLATGELEGD<br />
Als een crimineel ingebroken heeft op<br />
een bedrijfsnetwerk (hacking), kan hij<br />
verschillende dingen doen. Meestal kijkt<br />
hij eerst een poosje (soms dagen, soms<br />
maanden) rond in de omgeving. Hij zoekt<br />
naar bestanden met persoonsgegevens,<br />
gevoelige bedrijfsinformatie, klantdossiers<br />
en financiële informatie over het<br />
bedrijf. Op afstand kijkt de crimineel mee<br />
naar het reilen en zeilen van een bedrijf.<br />
Hier merkt het bedrijf meestal niets van.<br />
Na zijn inventarisatie slaat de crimineel<br />
toe: hij kan bestanden ontoegankelijk<br />
maken (versleutelen), documenten kopiëren,<br />
wijzigen of verwijderen, de toegang<br />
tot het netwerk afsluiten of (productie)<br />
machines aansturen. Kortom: hij kan het<br />
bedrijf platleggen.<br />
U kunt zich voorstellen dat het heel<br />
lastig werken is als de computers in een<br />
bedrijf op een ochtend niet meer opstarten:<br />
zowel een accountant als een garagebedrijf,<br />
maar ook een tandarts, een<br />
beddenspeciaalzaak, een elektricien en<br />
een groothandel kunnen niet beginnen.<br />
Het is eenvoudig voor te stellen met welke<br />
narigheid een ondernemer wordt geconfronteerd<br />
als zijn bedrijf door cybercriminelen<br />
is gehackt. Je kunt niet meer<br />
bij je administratie; facturen, planning<br />
en klantgegevens zijn onbereikbaar. Je<br />
wordt afgeperst en moet losgeld betalen<br />
om weer bij je bestanden te kunnen.<br />
Je weet niet wanneer een crimineel uit<br />
je netwerk is vertrokken en welke schade<br />
daar is toegebracht. Als gestolen data<br />
in verkeerde handen valt, kun je worden<br />
aangesproken door derden. En de bedrijfsvoering<br />
ligt voor enkele dagen of<br />
weken stil. De continuïteit van het bedrijf<br />
loopt gevaar. Dat geeft een hoop stress<br />
en onzekerheid. Een cyberverzekering is<br />
in deze situatie een uitkomst.<br />
OPLOSSING<br />
Een cyberverzekering biedt standaard<br />
dekking voor hulpverlening, aansprakelijkheid<br />
en eigen schade. Er staat een<br />
team cyber security specialisten klaar om<br />
bij (een vermoeden van) een cyberincident<br />
voor het bedrijf aan de slag te gaan.<br />
Een geruststellende gedachte, want lang<br />
Sandra Dekker:<br />
‘Altijd het juiste<br />
cyberadvies.’<br />
niet alle IT-bedrijven zijn deskundig op<br />
het gebied van IT-beveiliging. Daarnaast<br />
zijn aanspraken van derden verzekerd en<br />
is er dekking voor de eigen schade, zoals<br />
het betaalde losgeld, de financiële schade<br />
door bedrijfstilstand en de kosten van<br />
het digitaal forensisch onderzoek.<br />
ADVIESGESPREK<br />
Het bovenstaande laat zien dat het bespreken<br />
van cyberrisico’s met uw zakelijke<br />
relaties van groot belang is. Hopelijk<br />
geeft de tekst ook wat richting aan<br />
een adviesgesprek over cyber. Cybercriminaliteit<br />
is de snelst groeiende vorm<br />
van misdaad. Iedereen die online actief<br />
is, loopt een risico. Naast het verzekeren<br />
van de fysieke bedrijfsmiddelen (opstal,<br />
inventaris, wagenpark en de werknemers)<br />
is het belangrijk om de klant te<br />
wijzen op de risico’s op schade die verband<br />
houdt met de digitale bedrijfsvoering.<br />
Als uw klant interesse heeft in een<br />
cyberverzekering, kunt u via ons nieuwe<br />
Financial Lines Portaal binnen één<br />
minuut de cyberverzekeringen van vier<br />
verschillende aanbieders vergelijken, offreren<br />
en een cyberverzekering afsluiten.<br />
U hoeft dan niet vier polisvoorwaarden<br />
te vergelijken, dat hebben wij al<br />
voor u gedaan. Wilt u toch even sparren?<br />
Neem dan contact op met onze deskundige<br />
cyberacceptanten. Zo geeft ú altijd<br />
het juiste advies. n<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 5
<strong>CYBER</strong><br />
Pak als adviseur<br />
rol bij beheersen<br />
cyberrisico’s<br />
<strong>CYBER</strong>RISICO’S ZIJN REËEL, ALS FINANCIEEL ADVISEUR BEN JE HET DAAROM AAN JE<br />
STAND VERPLICHT OVER DEZE RISICO’S MET DE KLANT IN GESPREK TE GAAN. DUID<br />
DE RISICO’S EN BEKIJK SAMEN MET DE KLANT HOE ZIJ HET BESTE KUNNEN WORDEN<br />
BEHEERST. WAARVOOR JE ALS ADVISEUR HEUS GEEN SUPER<strong>SPECIAL</strong>IST HOEFT TE<br />
ZIJN DAT STELLEN DE KENNISPARTNERS VAN DEZE <strong>VVP</strong>-<strong>SPECIAL</strong> <strong>CYBER</strong> (ALLIANZ<br />
NEDERLAND, AVÉRO ACHMEA, DE GOUDSE, HIENFELD, PERFECT DAY EN TURIEN & CO.).<br />
TEKST TOON BERENDSEN<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 7
<strong>CYBER</strong><br />
Björn Jalving (Turien & Co.):<br />
‘Vertel als adviseur het<br />
verhaal van cyberschade.’<br />
Nog vaak is de eerste gedachte aan buitenlandse<br />
verzekeraars als het gaat om<br />
cyberverzekeringen en in ruimere zin<br />
cyberrisicomanagement. Maar ook Nederlandse<br />
partijen blazen inmiddels een<br />
flinke deun mee, dat is mooi te zien aan<br />
de kennispartners van deze <strong>VVP</strong>-special Cyber. Natuurlijk,<br />
Allianz Nederland is onderdeel van een wereldwijd<br />
werkend concern. Maar de Nederlandse tak heeft internationale<br />
kennis over cyber specifiek vertaald naar een<br />
eigen propositie in Nederland. Hienfeld en Turien & Co.<br />
werken als assuradeuren met overigens ook in Nederland<br />
gevestigde buitenlandse risicodragers, maar hebben<br />
wel degelijk ook zelf ontzettend veel cyberexpertise<br />
in huis. Avéro Achmea, De Goudse en Perfect Day<br />
zijn zo Nederlands als het maar kan. Overigens is Perfect<br />
Day, onafhankelijk opererende dochter van Nationale-Nederlanden<br />
en vier grote volmachtbedrijven,<br />
de enige van het zestal dat niet in verzekeringen doet.<br />
Perfect Day richt zich op cyber en data security voor het<br />
MKB. Gaandeweg de rondetafel wordt duidelijk dat het<br />
bij het managen van cyberrisico’s inderdaad niet alleen<br />
om verzekeren gaat. Sterker, juist preventie en tijdige<br />
detectie is van eminent belang. De verzekeraars en assuradeuren<br />
weten dat ook heel goed; hun aanbod bestaat<br />
ook nadrukkelijk uit meer dan cyberverzekeringen<br />
alleen.<br />
<strong>CYBER</strong>RISICO’S REËEL<br />
Om te beginnen vragen we de kennispartners hoe reëel<br />
cyberrisico’s eigenlijk zijn. Aan de hand van hun voorbeelden<br />
wordt direct duidelijk dat de risico’s zeer reëel<br />
zijn en dat het om grote bedragen kan gaan.<br />
Rob Zijl (Manager Products & Markets Schade bij<br />
Allianz Nederland): “Een medewerker van een autobedrijf<br />
had op de link geklikt in een phishing mail. Data<br />
en backup werden versleuteld, het bedrijf kwam enkele<br />
weken stil te liggen. De reconstructie van data en backup<br />
kostte 30.000 euro. Daarnaast moest nog eens vijftien<br />
mille worden uitgegeven aan IT-ondersteuning en<br />
nieuwe systemen. Verder moest hardware worden vervangen,<br />
iets dat overigens niet onder de verzekeringsdekking<br />
viel.”<br />
Mijntje van Paridon, Branche Manager Financial<br />
Lines bij Hienfeld: “Een bedrijf bestelde ieder half jaar<br />
voor zo’n 50.000 tot 100.000 euro aan goederen in Taiwan.<br />
Op een gegeven moment ontving het bedrijf een<br />
factuur van 70.000 euro voor te leveren goederen, die<br />
keurig werd betaald. Maar de goederen kwamen maar<br />
niet. Het bleek dat iemand zich al een half jaar eerder<br />
toegang tot de systemen had verschaft. Zo kon hij meekijken<br />
en op het gebruikelijke moment van bestellen<br />
een nepfactuur sturen.”<br />
René Walstra, commercieel manager intermediair<br />
bij Avéro Achmea: “We hebben nog geen noemenswaardige<br />
praktijkcasussen waaruit een claim is voortgekomen.<br />
De afgelopen jaren hebben we wel veel kennis<br />
opgedaan op het gebied van cyber. Uit onderzoek<br />
(CBS) blijkt dat vijftig procent van de bedrijven met<br />
meer dan tien medewerkers in het MKB vroeg of laat<br />
te maken krijgt met een cyberincident. Dan kun je toch<br />
wel spreken van een reëel gevaar.”<br />
STEEDS GEHAAIDER<br />
Cyberrisico’s bestaan dus! Reijer van Woudenbergh,<br />
Perfect Day: “Als je niks aan cyberbeveiliging doet, is de<br />
kans op een incident inderdaad groot. Toch denken veel<br />
mensen nog steeds dat het hen niet zal overkomen. Criminelen<br />
worden steeds gehaaider. Als je bijvoorbeeld<br />
8 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
naar phishing mails kijkt: die zijn soms zó professioneel<br />
dat zelfs mensen die echt alert zijn, er in trappen.”<br />
Van Woudenbergh noemt het zaak om ‘aan de voorkant’<br />
zoveel mogelijk maatregelen te nemen om cyberincidenten<br />
te voorkomen. “Heb de basishygiëne<br />
op orde én: houd haar op orde. Dat zit ‘m niet alleen in<br />
technische maatregelen, maar ook in het zorgen dat<br />
je op de juiste manier met data en persoonsgegevens<br />
omgaat, dat je mensen weten wat ze doen en dat je<br />
een noodplan hebt. Om een paar voorbeelden te noemen:<br />
zorg voor een firewall en goede antivirussoftware.<br />
Installeer áltijd updates. Leer je medewerkers hoe ze<br />
phishing mails kunnen herkennen én zorg dat ze zich<br />
ook vrij voelen om het te melden als ze toch op een foute<br />
link hebben geklikt. Met een goed noodplan beperk<br />
je altijd schade. Als de basis op orde is, kun je overwegen<br />
het ‘restrisico’ af te dekken.”<br />
Volgens de kennispartners kan het al mis gaan als<br />
de deur ook maar een heel klein beetje open wordt gelaten.<br />
Björn Jalving, Teamleider Markt & Product bij Turien<br />
& Co.: “Net zoals inbrekers hun kans schoon zien<br />
als je de achterdeur van je huis niet op slot doet. Daarbij<br />
kun je digitaal op afstand zien of de deur wel of niet<br />
op slot zit.”<br />
Mensen, aldus de kennispartners, zijn nog te veel<br />
geneigd te denken: wat valt er bij mij nou te halen? Alsof<br />
cybercriminelen hun doel altijd precies uitzoeken. In<br />
de realiteit wordt vaak met hagel geschoten en zijn de<br />
slachtoffers willekeurig. En een paar honderd euro losgeld<br />
van een particulier of een paar duizend euro van<br />
een MKB-bedrijf is ook geld; het ‘massa is kassa’-principe<br />
gaat ook hier op.<br />
De kennispartners benadrukken dat cybercriminelen<br />
wel degelijk ook steeds gerichter te werk gaan<br />
en dat de diversiteit aan cyberincidenten steeds groter<br />
wordt. Denk ook aan bijvoorbeeld schending van de<br />
privacywetgeving. Bovendien, aldus Zijl: “Een cyberincident<br />
kan ook de reputatie van je organisatie schaden.<br />
Gedupeerde klanten kunnen je aansprakelijk stellen.<br />
Daarnaast is goed crisismanagement een cruciale factor,<br />
waarmee aanzienlijke kosten gemoeid kunnen zijn.”<br />
THUISWERKEN<br />
De kennispartners constateren dat particulieren en organisaties<br />
zich gelukkig wel steeds bewuster zijn van<br />
cyberrisico’s. Niet in de laatste plaats trouwens juist<br />
door cyberincidenten. En ook algemene ontwikkelingen.<br />
Een voorbeeld van zo’n ontwikkeling is het thuiswerken,<br />
dat onder invloed van corona explosief is gegroeid.<br />
Jalving: “Ons premie-inkomen uit cyberverzekeringen<br />
ontwikkelt zich gestaag. Maar toen de AVG werd<br />
ingevoerd, ontstond duidelijk extra vraag. Ook het toegenomen<br />
thuiswerken zien wij duidelijk terug in meer<br />
aanvragen dan anders.”<br />
Adviseurs nemen cyberrisico’s ook steeds meer mee<br />
in hun advisering, zien de kennispartners. Zijl: “Zeker de<br />
grote kantoren maken cyberrisico’s al standaard onderdeel<br />
van hun adviesgesprekken. Bij de middelgrote en<br />
kleinere kantoren is het beeld meer divers.”<br />
Walstra: “Wij zien vooral veel verschillen. Er is een<br />
groep adviseurs die al jarenlang bezig is met cybermanagement,<br />
maar waarvan niet alle klanten al zover zijn.<br />
En er is een groep adviseurs die afwachtend is.”<br />
Van Woudenbergh constateert “een behoefte aan<br />
handvatten om het gesprek te kunnen voeren. Wat wij<br />
tegenkomen, is dat adviseurs de materie wel bij klanten<br />
Mijntje van Paridon<br />
(Hienfeld): ‘Adviseren<br />
cyberrisico’s hoeft geen<br />
technisch verhaal te zijn.’<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 9
<strong>CYBER</strong><br />
Reijer van Woudenbergh<br />
(Perfect Day): ‘Heb de<br />
basishygiëne op orde én:<br />
houd haar op orde.’<br />
voor het voetlicht weten te brengen, maar niet altijd<br />
kunnen ‘doordrukken’ als het gesprek de diepte in gaat.<br />
Door ze te helpen met een paar praktische tips en weetjes,<br />
zien we een enorm verschil in effectiviteit.”<br />
ADVISEUR OVERZIET SPEELVELD<br />
Walstra: “Als adviseur kun je je onderscheiden door cyber<br />
actief mee te nemen in adviesgesprekken. Veel ondernemers<br />
in het MKB vertrouwen op hun ICT-leverancier.<br />
Maar het speelveld bij informatiebeveiliging en cybersecurity<br />
is breed en complex. De adviseur kan zijn rol<br />
pakken doordat hij het gehele speelveld overziet. In onze<br />
visie begint het gesprek over cyber bij de adviseur. Wij<br />
denken dat iedere adviseur dat gesprek kan voeren. Van<br />
preventie tot een goede verzekering. Hiervoor bieden<br />
wij ondersteuning op maat: opleidingen, bijeenkomsten,<br />
checklists. In samenwerking met ons kan de adviseur<br />
specialistische kennis inzetten daar waar nodig.”<br />
Van Paridon: “Wij zien dat cyberrisico’s vooral worden<br />
opgepakt door adviseurs die het onderwerp zelf<br />
interessant vinden. Adviseurs laten zich tegen houden<br />
door het idee dat er gespecialiseerde technische of juridische<br />
kennis nodig is, terwijl het juist gaat om het duiden<br />
van de risico’s. Wat gebeurt er als er een laptop met<br />
gevoelige data wordt gestolen? Wat gebeurt er op het<br />
moment dat essentiële machines worden gehackt en<br />
een bedrijf geen productie meer kan draaien?”<br />
“Belangrijk om te beseffen als adviseur”, vervolgt<br />
Van Paridon, “is dat cyberrisicomanagement vooral<br />
draait om weten wat de gevolgen voor de ondernemer<br />
zijn op het moment dat er een datalek is of een cyberincident.<br />
Deze gevolgen kunnen ondervangen worden<br />
door een cyberverzekering te sluiten, maar ook door<br />
maatregelen vooraf te treffen zodat de kans op een incident<br />
kleiner wordt. Bedenk verder dat een ondernemer<br />
met een cyberverzekering veel expertise in huis haalt<br />
op juridisch, ICT- en PR-vlak, en dat de dekking uit een<br />
totaalpakket bestaat van vergoeding van eigen schade,<br />
dekking bij aansprakelijkheid bijvoorbeeld door een<br />
datalek en crisismanagement. Ik denk dat dat nog niet<br />
voldoende leeft.”<br />
Philip van Gangelen, manager Verkoop bij De Goudse:<br />
“Het beeld van wat adviseurs doen is heel verschillend,<br />
maar we zien absoluut erkenning van dit risico en<br />
bereidheid om erover in gesprek te gaan met klanten.<br />
Het probleem is dat zowel de adviseur als de eindklant<br />
meestal niet over de juiste expertise beschikt. Daarnaast<br />
is de ICT-dienstverlener een zeer gewaardeerde kennispartner<br />
voor de eindklant. Hier kom je als adviseur niet<br />
makkelijk tussen. Wij kunnen als verzekeraar beter ons<br />
best doen om deze essentiële spelers op gebied van het<br />
cyberrisico op de juiste manier bij elkaar te brengen.<br />
“Wij vinden dat cyberrisicomanagement voor ieder<br />
kantoor is weggelegd. Op dit moment nemen klanten<br />
over de hele linie gewoon te weinig maatregelen,<br />
terwijl die maatregelen eigenlijk heel simpel te implementeren<br />
zijn. Het CBS meldde in 2018 dat circa 45 procent<br />
slechts nul tot drie maatregelen neemt. Uit eigen<br />
onderzoek van De Goudse komt eenzelfde beeld. We<br />
hebben het dan bijvoorbeeld over slechts 52 procent<br />
van de klanten die doen aan dagelijkse backups en 34<br />
procent van de klanten die aan bewustwording bij hun<br />
medewerkers doen. En dat terwijl dit vrij eenvoudige<br />
10 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
manieren zijn om bijvoorbeeld je risico’s op het gebied<br />
van ransomware te verminderen.”<br />
Zijl noemt het belangrijk om de juiste persoon aan<br />
te spreken. “Als het gaat om zaken als Brand en Aansprakelijkheid<br />
vinden bedrijven de (financieel) directeur<br />
vaak het logische aanspreekpunt. Bij cyber redeneren<br />
ze dat de IT-manager dat moet zijn. Maar als je inzet<br />
op cyberrisicomanagement – of beter nog: volledig<br />
risicobeheer – kun je als adviseur beter de risk manager<br />
aanspreken. Inzicht in de Decision Making Unit bij een<br />
bedrijf is dus van groot belang.”<br />
VERHALEN VERTELLEN<br />
Jalving: “Ik verbaas me er wel eens over dat adviseurs<br />
bij cyberrisico’s al snel denken dat ze veel ICT-kennis<br />
moeten hebben. Terwijl ze dat bij andere branches niet<br />
of veel minder vinden. Het is echt niet zo dat alle adviseurs<br />
alles afweten van bijvoorbeeld constructies van<br />
gebouwen. Als adviseur ben je prima in staat om samen<br />
met de klant cyberrisico’s te duiden. En als je er een specialisme<br />
van wilt maken, is dat natuurlijk prima. Het is<br />
een mooie marktkans. Maar het hoeft niet.”<br />
Volgens Jalving is ‘verhalen vertellen’ een goede<br />
manier om “cyberrisico’s bij de klant over de bühne te<br />
krijgen. Als je concrete schadegevallen gebruikt, maak<br />
je het veel persoonlijker. Veel ondernemers kennen een<br />
ondernemer die het slachtoffer is geworden”.<br />
<strong>CYBER</strong>SCHADE<br />
De ‘cybermarkt’ voor adviseurs en verzekeraars ontwikkelt<br />
zich, zoveel is duidelijk. Ze zal alleen nog maar verder<br />
groeien naarmate het bewustzijn verder groeit en<br />
meer adviseurs cyberrisico’s oppakken.<br />
Het schadeverloop in Nederland ontwikkelt zich,<br />
aldus Zijl, langs de lijnen die internationaal onderzoek<br />
door Allianz te zien geeft. De belangrijkste schade-oorzaken<br />
die in de Allianz Risk Barometer worden<br />
genoemd, zijn: 1. gebrekkige cybersecurity; 2. spionage,<br />
hacks, malware, DDoS-aanvallen; 3. slordigheid en fouten<br />
van medewerkers.<br />
Van Paridon: “Die ontwikkeling is ook terug te zien<br />
in het schadebeeld. MKB-bedrijven gaan soms failliet<br />
door de gevolgen van een cyberaanval en de schades<br />
kunnen flink oplopen.“ Kijkend naar de eigen portefeuille,<br />
denkt Zijl dat er voor de verzekeraars momenteel<br />
geen directe aanleiding is om de premie aan te passen.<br />
Van Gangelen: “Van schades hebben we door de<br />
kleine volumes nog geen eigen beeld. In die zin is het<br />
ook heel moeilijk om iets te zeggen over hoe reëel de<br />
huidige premies zijn. In de VS is een forse stijging van<br />
het aantal claims de oorzaak van de eerste premieverhogingen<br />
en voorwaardenwijzigingen.”<br />
Rob Zijl (Allianz Nederland):<br />
‘Cyberrisicomanagement<br />
onderdeel maken van het<br />
totale risicobeheer.’<br />
Jalving: “Wij krijgen wel signalen dat sommige verzekeraars<br />
op de grootzakelijke markt de premie aan het verhogen<br />
zijn. Ook worden verzekerde bedragen verlaagd.<br />
Maar in de MKB-markt is de premie wel stabiel.” Mogelijk<br />
hebben de aanpassingen op de grootzakelijke markt<br />
te maken met juist de elementen die Zijl noemde: reputatieschade<br />
en aansprakelijkheidsstellingen na cyberincidenten.<br />
Ook Avéro Achmea blijft zich ontwikkelen op het<br />
gebied van cyber. Walstra: “Op basis van de ervaringen<br />
die wij sinds de introductie hebben opgedaan, pas-<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 11
<strong>CYBER</strong><br />
Philip van Gangelen<br />
(De Goudse): ‘Cyberrisicomanagement<br />
voor ieder<br />
kantoor weggelegd.’<br />
René Walstra (Avéro<br />
Achmea): ‘Gesprek<br />
overcyber begint bij<br />
adviseur.’<br />
sen wij onze propositie aan zowel qua voorwaarden als<br />
prijs. Nieuw is ook tooling om snel tot een premie-indicatie<br />
en een offerte te komen. We merken dat daar behoefte<br />
aan is in de markt.”<br />
GRAPPERHAUS<br />
Naar aanleiding van de twee ton losgeld waarmee<br />
de Universiteit Maastricht haar gegijzelde bestanden<br />
vrijkocht, zei minister Grapperhaus: “Het heeft mijn<br />
voorkeur dat de verzekeraar niet het losgeld vergoedt<br />
dat in handen van criminelen terecht komt, maar juist<br />
de geleden schade door het niet betalen van dit losgeld.”<br />
De kennispartners vinden deze uitspraak op z’n minst<br />
ongenuanceerd: “De werkelijkheid is niet zo zwartwit.<br />
Het is sowieso niet bij alle verzekeraars in de dekking<br />
opgenomen. In alle gevallen staat eerst een ICT-oplossing<br />
centraal. Hiervoor worden diverse specialisten ingezet,<br />
zodat de kans op herhaling minimaal wordt. En<br />
dus ook betalen van losgeld niet nodig is. Dat het soms<br />
toch gebeurt, is omdat tijdens de afhandeling van de<br />
schade blijkt dat dit de enig werkbare manier is om de<br />
getroffen ondernemer weer aan de slag te krijgen. Bijvoorbeeld<br />
omdat het de expert niet lukt de getroffen<br />
bestanden te herstellen. Maar het is nooit het uitgangspunt,<br />
het is een laatste redmiddel.” n<br />
12 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
Met de<br />
<strong>VVP</strong> Nieuws App<br />
dagelijks op de<br />
hoogte van al<br />
het nieuws in de<br />
financiële sector<br />
De <strong>VVP</strong> Nieuws App voorziet u van al het verzekerings-,<br />
hypotheek- en ander financieel nieuws!<br />
De <strong>VVP</strong> Nieuws App maakt gebruik van informatie uit<br />
alle betrouwbare en toonaangevende media zoals het FD,<br />
de Telegraaf, Adfiz, AFM, Kifid, New Finacial Forum,<br />
AM en <strong>VVP</strong>.<br />
Naast het laatste nieuws biedt de <strong>VVP</strong> Nieuws App<br />
onder meer:<br />
● maximale hypotheek berekenen;<br />
● boete berekenen;<br />
● hypotheekcheck;<br />
● <strong>VVP</strong> Vacatures Service;<br />
● vakevents;<br />
● actuele hypotheekrentes;<br />
● <strong>VVP</strong> Ondernemerspanel.<br />
Download hem nu<br />
www.vvpapp.nl
PARTNER IN KENNIS<br />
HET MKB LEUNT WAT ACHTEROVER ALS HET OM <strong>CYBER</strong>DREI-<br />
GING GAAT. NOG GEEN KWART VAN DE ONDERNEMERS MAAKT<br />
ZICH ZORGEN OVER HACKING, PHISHING, RANSOMWARE EN<br />
DATALEKKEN, ZO BLIJKT UIT ONDERZOEK*, TERWIJL TOCH DE<br />
HELFT AL EENS TEGEN <strong>CYBER</strong>INCIDENT AANLIEP. EEN MOOIE<br />
KANS VOOR ADVISEURS OM ‘<strong>CYBER</strong>’ IN HET RISICOMANAGE-<br />
MENT VOOR KLANTEN MEE TE NEMEN. “DE WAARDE VAN ADVIES<br />
STAAT HIERBIJ VOOROP.”<br />
Ondernemers<br />
beschermen met<br />
drietrapsraket<br />
TEKST MARTIN NEYT<br />
Het aantal cyberaanvallen en<br />
datalekken steeg de afgelopen<br />
jaren al aanzienlijk, de<br />
coronacrisis zorgt voor extra<br />
dreiging. Het Nationaal Cyber<br />
Security Center (NCSC)* bracht onlangs<br />
zijn jaarlijkse Cybersecuritybeeld Nederland<br />
uit en wijst daarin op het dominoeffect<br />
dat het uitvallen van systemen<br />
na cyberattacks kan veroorzaken. Alles<br />
is immers met elkaar verbonden en we<br />
leunen steeds zwaarder op digitale technologie.<br />
Het MKB blijft natuurlijk niet<br />
gevrijwaard van cyberincidenten, al verschijnen<br />
de berichten over deze schade<br />
heel wat minder in de media.<br />
“Er zijn genoeg gevallen van cyberincidenten<br />
in het MKB bekend,” zegt Ronald<br />
Blom, key accountmanager Schade<br />
Zakelijk & Inkomen bij Avéro Achmea.<br />
“Het gaat in veel gevallen om het gijzelen<br />
van data. Criminelen schieten nep e-<br />
mails als hagel op kleinere ondernemingen<br />
af en er is altijd wel iemand die op de<br />
links klikt. Het MKB beschikt niet over de<br />
IT-budgetten die het grootbedrijf heeft,<br />
dat maakt de sector kwetsbaarder.”<br />
KANS VOOR ADVISEURS<br />
De nonchalance van het MKB met betrekking<br />
tot cyberincidenten kan deels worden<br />
verklaard door onwetendheid, maar<br />
ondernemers verschuilen zich ook achter<br />
schijnveiligheid. Men denkt onterecht<br />
dat antivirussoftware en een ICT-partner<br />
afdoende zijn, stelt Blom. “Antivirussoftware<br />
voorkomt niet dat medewerkers<br />
zwakke wachtwoorden aanmaken of op<br />
links klikken. En de rol van ICT’ers is afhankelijk<br />
van de afspraken die zijn gemaakt.<br />
Overigens verschillen de inzichten<br />
van ondernemers en ICT’ers. Uit onderzoek<br />
van Ipsos en GFK* blijkt dat 58 procent<br />
van de IT-beheerders vindt dat hun<br />
MKB-klanten onvoldoende beschermd<br />
zijn, terwijl bijna hetzelfde percentage<br />
van de ondernemers juist vindt dat de<br />
veiligheid voldoende is gewaarborgd.”<br />
Het MKB beschikt niet over een realistisch<br />
beeld van de cyberdreiging en de<br />
adviseur kan daar verandering in brengen.<br />
Er zit toekomstmuziek in cyber, aangezien<br />
we steeds meer ‘connected’ zijn.<br />
Maar de techniek kan volgens Ronald<br />
Blom tegelijkertijd een obstakel vormen<br />
voor adviseurs. “Ik kan me voorstellen<br />
dat men denkt: ik weet niet zoveel van<br />
ICT, dus laat maar zitten. Het gaat echter<br />
met name om het creëren van bewustwording<br />
bij de klant. Adviseurs hoeven<br />
niet het IT-beheer van een bedrijf door te<br />
lichten of technische adviezen te bieden.<br />
Het inzicht geven in de risico’s en mogelijke<br />
oplossingen voor een specifiek bedrijf<br />
is de eerste stap en van grote toegevoegde<br />
waarde voor de ondernemer.”<br />
WAKE-UP-CALL<br />
Het is volgens Blom raadzaam om bedreigingen<br />
voor ondernemers concreet te<br />
maken. Te denken valt aan voorbeelden<br />
uit de media, maar ook aan praktijkverha-<br />
14 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
len van IT’ers. “Er zijn advieskantoren die<br />
lokale IT-bedrijven uitnodigen bij cyberbijeenkomsten<br />
voor ondernemers. Deze specialisten<br />
kunnen beeldend vertellen over<br />
alle digitale gevaren die op loer liggen en<br />
over het gedrag van medewerkers.”<br />
Zelf toont hij vaak een cyberrisicotest<br />
bij presentaties. De lijst bevat stellingen<br />
als ‘u heeft duidelijk vastgelegd welke<br />
collega’s toegang hebben tot gevoelige<br />
informatie’ en ‘uw medewerkers wisselen<br />
elke maand van wachtwoord’. “Het is een<br />
wake-up-call, de zaal valt soms een beetje<br />
stil. ‘Oei, dat doen wij nog niet’. Ook<br />
lang niet alle advieskantoren hebben de<br />
basale cyberveiligheid op orde. Dat is wél<br />
een vereiste als ze ondernemers over dit<br />
thema willen adviseren.”<br />
Bedrijven kunnen naar zijn inzicht de<br />
risico’s al met eenvoudige preventieve<br />
maatregelen indammen, zoals het<br />
regelmatig trainen van medewerkers,<br />
een protocol voor thuiswerken, een<br />
strikt wachtwoord- en toegangsbeleid,<br />
back-ups en continue updates van<br />
antivirusprogramma’s en firewalls.<br />
“We stellen de laatstgenoemde drie<br />
maatregelen als minimale vereisten voor<br />
het afsluiten van een cyberverzekering.”<br />
<strong>CYBER</strong>INCIDENT? INTERMEDIAIR<br />
BELLEN<br />
Preventie is, na bewustzijn, de tweede<br />
trede van de drietrapsraket waarmee<br />
Avéro Achmea ondernemers bescherming<br />
tegen cyberincidenten biedt. Adviseurs<br />
kunnen de online checklist van de<br />
verzekeraar - via de website - gebruiken<br />
om de elementaire cyberrisico’s van een<br />
bedrijf in kaart te brengen. Voor ondernemers<br />
die een uitgebreid onderzoek wensen,<br />
biedt Avéro Achmea in samenwerking<br />
met Capgemini een assessment aan.<br />
De derde fase bestaat uit het afdekken<br />
van het restrisico. Een bedrijf dat<br />
schade oploopt door een cyberattack of<br />
door een datalek, kan op bijstand van een<br />
professioneel team rekenen. “We willen<br />
dat een onderneming weer snel vooruit<br />
kan, dus na de eerste inventarisatie, gaan<br />
securityspecialisten van onze partner<br />
Fox-IT op locatie aan de slag. Er staat 24/7<br />
een cyberclaimteam klaar. Ondernemers<br />
‘Het gaat met<br />
name om het<br />
creëren van<br />
bewustwording<br />
bij de klant’<br />
kunnen gewoon hun intermediair bellen<br />
als er zich een cyberincident voordoet. Of<br />
als ze het vermoeden hebben. De adviseurs<br />
weten vervolgens de weg.”<br />
MINDER DREMPELS <strong>CYBER</strong>ZEKER<br />
Nu kende het CyberZeker van Avéro<br />
Achmea nog wat drempels, iets waar<br />
sommige adviseurs bij het aanbieden<br />
van verzekeringen tegenaan liepen. Zo<br />
moest er een lange lijst met vragen worden<br />
beantwoord om een premievoorstel<br />
te krijgen. En het product was alleen geschikt<br />
voor bedrijven met een omzet tot<br />
en met 10 miljoen Euro. Naar aanleiding<br />
van feedback van adviseurs, past Avéro<br />
Achmea dit aan. De verzekeraar vervangt<br />
de vragenlijst dit najaar door een online<br />
tool om offertes te maken met veel minder<br />
vragen, en verruimt de omzetgrens<br />
naar 30 miljoen Euro. De maximale verzekerde<br />
som wordt 3 miljoen Euro, de premie<br />
is concurrerender geworden en bestuurlijke<br />
boetes vallen onder de dekking.<br />
“Met een toegankelijker productpallet<br />
anticiperen we op alle ontwikkelingen.<br />
Een intermediair moet een klant ook<br />
daadwerkelijk iets te bieden hebben en<br />
niet een uur bezig zijn met een vragenlijst.<br />
Cyberincidenten komen inmiddels<br />
zo vaak voor en zijn zo schadelijk, dat ze<br />
niet kunnen ontbreken bij goed risicomanagement<br />
voor een ondernemer. De<br />
waarde van advies staat voorop.”<br />
<strong>CYBER</strong>TRAINING OP MAAT<br />
Om adviseurs op weg te helpen, heeft<br />
Avéro Achmea samen met Fox-IT een training<br />
Cyberrisico’s ontwikkeld. In de training<br />
komt een stukje techniek aan bod,<br />
maar de nadruk ligt op adviesvaardigheden.<br />
“Zo geven we tips om het gesprek<br />
aan te gaan en bieden we handige tools.”<br />
Avéro Achmea biedt de training op<br />
maat aan. Voor zowel kleine als grote<br />
groepen. “We vernemen het graag als<br />
adviseurs deze training willen volgen. Ze<br />
kunnen zich bij mij aanmelden”, aldus<br />
Ronald Blom. n<br />
Meer informatie over cyberrisico’s<br />
en tips om het gesprek aan te gaan:<br />
averoachmea.nl/cyber: Ronald.Blom@<br />
achmea.nl<br />
* Bronnen: ncsc.nl, Avéro Achmea – Infographic<br />
risicomanagement – oktober 2019, Alianz/ Ipsos<br />
– Onderzoek cybercriminaliteit – december 2019.<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 15
<strong>CYBER</strong><br />
KLAP VERWACHT DAT <strong>CYBER</strong> TOT DE KERN GAAT HOREN VAN HET<br />
VERZEKERINGSLANDSCHAP. NU WORDT <strong>CYBER</strong> VAAK NOG ALS<br />
CROSSSELL MOGELIJKHEID GEZIEN. HOE MOOI ZOU HET ZIJN<br />
ALS DIT NET ZO’N BELANGRIJKE POSITIE GAAT INNEMEN ALS<br />
BRAND OF AANSPRAKELIJKHEID. DIT DOMEIN VERDIENT HET!<br />
Kijk naar de inhoud<br />
in plaats van de prijs<br />
TEKST BRAM GRUNDMEIJER, COMMERCIEEL DIRECTEUR KLAP<br />
Waaruit bestaat jullie cyberaanbod precies?<br />
Ons aanbod beslaat grofweg drie domeinen, te weten:<br />
bewustwording, preventie en verzekeren. Het aanbod<br />
doen we online. Hier kan direct worden afgesloten. Daarnaast<br />
bieden we de gehele propositie ook op de traditionele<br />
manier aan. Dit naar de wens van klant of prospect.<br />
Op de drie domeinen werken wij nauw samen met<br />
diverse verzekeraars en Perfect Day. Perfect Day is een<br />
initiatief van onder andere Klap en Nationale-Nederlanden<br />
om cybersecurity op een eenvoudige manier onder<br />
de aandacht te brengen bij het bedrijfsleven. Dan volgt<br />
laagdrempelig advies. Vaak zijn bepaalde risico’s met<br />
eenvoudige ingrepen te voorkomen. Na deze bewustwording<br />
en preventieve aanpak blijft er een (rest)risico over<br />
waarbij de ondernemer al dan niet kan besluiten om dit<br />
tegen een aantrekkelijk tarief bij ons te verzekeren.<br />
Waarop ligt in jullie aanbod het accent?<br />
‘Voorkomen is beter dan genezen’. Dat is iets wat we<br />
vaak horen in de markt en terecht. Je klant wil maar<br />
een ding: kunnen doorgaan met zijn bedrijfsactiviteiten<br />
en zo min mogelijk rompslomp om de bijbehorende<br />
risico’s adequaat af te dekken. Dan zou je dus zeggen:<br />
preventie is de oplossing! Echter zit er nog een cruciale<br />
stap vóór; de stap van bewustwording. Daar ligt onze<br />
focus. Als de klant zich bewust is van cyberrisico’s kan<br />
hij pas een gewogen besluit nemen. Wat wil hij doen<br />
aan preventiemaatregelen en wat wil hij verzekeren?<br />
Mocht het onverhoopt toch zover komen dat er schade<br />
optreedt, dan focussen we ons vooral op het snelle herstel<br />
van de bedrijfsactiviteiten van de ondernemer. Dit<br />
doen we met een vaste leveranciersschil van hulpverleners<br />
met vergaande expertise in de verschillende domeinen.<br />
WEES RELEVANT<br />
Hoe zetten jullie het aanbod in de markt?<br />
Dit doen we op verschillende manieren. We werken<br />
nauw samen met een aantal brancheorganisaties die<br />
wij voorzien van content. Met die content creëren zij<br />
bewustwording bij de leden. Deze content verspreiden<br />
we door middel van webinars, seminars, nieuwsitems<br />
en specifieke landingspagina’s voor de branche.<br />
Hiermee vergroten we de toegevoegde waarde van de<br />
brancheorganisatie naar haar leden en maken wij de<br />
kans op conversie ook groter waardoor een lid ook klant<br />
wordt van Klap. Wees dus relevant!<br />
Daarnaast hebben we een eigen online portaal ontwikkeld<br />
(cyberrisicoverzekering.nl). Zowel particulieren<br />
als ondernemers kunnen hun verzekeringen eenvoudig<br />
online samenstellen en afsluiten.<br />
Last but not least: dit domein leent zich zeer goed<br />
om je toegevoegde waarde als adviseur te laten zien.<br />
Alle collega’s van Klap bespreken cyber dan ook als vast<br />
onderdeel bij hun relaties en prospects.<br />
16 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
Met welke risicodragers werken jullie?<br />
Wij werken met diverse Nederlandse verzekeraars voor<br />
zakelijke cyberrisico’s en met een buitenlandse partij<br />
voor particulier. Het aanbod is breed en iedere verzekeraar<br />
legt eigen accenten, de één zet vol in op preventie,<br />
de ander juist op de verzekering en de schade. Het<br />
is belangrijk voor de adviseurs om goed te weten wie<br />
welk aanbod heeft, want tussen de verzekeraars zitten<br />
nogal wat verschillen. Ook de uitvoering als er schade<br />
is, is verschillend. Het aanbod moet dan ook echt goed<br />
passen bij de behoefte van de klant. De adviseur is daarin<br />
echt relevant, die moet de vertaling maken van de<br />
wensen van de klant naar welk aanbod van welke verzekeraar<br />
het beste past. Prijs moet daarbij van minder<br />
belang zijn dan inhoud en soort. Cyber is geen verzekering<br />
die iedere verzekeraar moet willen ontwikkelen. Er<br />
is veel specifieke kennis voor nodig om het echt goed te<br />
doen. Dus als verzekeraars deze markt willen opzoeken,<br />
is het van groot belang dat ze goed kijken naar welke<br />
waarde zij nog kunnen toevoegen in het concurrentieveld<br />
en of ze daarvoor genoeg expertise in huis hebben.<br />
NOG ONVOLDOENDE BEWUST<br />
Wat zijn jullie ervaringen tot nu toe? Wordt er veel beroep<br />
gedaan op (onderdelen van) jullie cyberpropositie?<br />
Gaat het om forse schades? Een praktijkvoorbeeld mag!<br />
Onze ervaring leert dat ondernemers nog onvoldoende<br />
‘bewust’ zijn van de cybergevaren die op de loer liggen.<br />
Een brand of aansprakelijkheidspolis? Uiteraard!<br />
Je goed wapenen tegen cyberincidenten? Daar moeten<br />
de meesten over nadenken. Dit terwijl wereldwijd de<br />
schatting is dat er een verlies wordt geleden door cyberincidenten<br />
van circa zes miljard dollar in 2021. Bizar!<br />
Minder dan 20 procent van ondernemend Nederland<br />
heeft een dergelijke dekking afgesloten. Er is dus nog een<br />
hele weg af te leggen. Ondanks dat het aantal cyberincidenten<br />
in de wereld afneemt, zien we de hoogte van<br />
de individuele schadeclaims oplopen waarbij het MKB<br />
vaker doelwit is. Ook zien we een verschuiving van aandacht<br />
naar medewerkersbewustzijn en identity & access<br />
management omdat er steeds nieuwe manieren worden<br />
gezocht om gebruik te maken van menselijke zwaktes.<br />
Overigens, vaak draait het niet alleen om geldelijk<br />
verlies. Schade kan namelijk ook indirect optreden. Een<br />
mooi voorbeeld uit de praktijk. Als de grootste makelaar<br />
op het gebied van evenementen hebben we te maken<br />
gehad met een ticketingbureau dat gehackt was,<br />
waardoor veel persoonsgegevens op straat kwamen te<br />
liggen. Los van een mogelijke schadeclaim van de gedupeerden<br />
was de kans op imagoschade nog vele malen<br />
groter. Wat het einde van dit bedrijf kon betekenen. Per<br />
slot van rekening: wie wil er nou zakendoen met een<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 17
<strong>CYBER</strong><br />
‘Laat je niet het bos insturen<br />
omdat iemand zegt dat<br />
alles goed geregeld is.’<br />
partij die persoonsgegevens niet goed beschermt. Wat<br />
zeg je dan tegen de pers bijvoorbeeld? Maar er lag al<br />
een keurig draaiboek klaar voor het geval zo’n gebeurtenis<br />
zich voor zou doen. Ook hebben de ondernemers<br />
zich laten bijstaan door een imago deskundige om het<br />
hele communicatietraject te begeleiden. Wat communiceer<br />
je wel, wat niet, via welk medium en hoe doe je<br />
dat? Een mooi voorbeeld hoe je jezelf toch kunt beschermen<br />
bij een cyberaanval. Dat kan als je bewust, preventief<br />
en adequaat deze risico’s omgaat. En het bedrijf?<br />
Dat is er uiteindelijk goed uitgekomen!<br />
WAT IS EXACT GEDEKT?<br />
Waar moet men nou ontzettend goed op letten als men<br />
een cyberpropositie adviseert of sluit?<br />
Wat is exact gedekt? We zien in de markt spotgoedkope<br />
dekkingen, maar die zijn veelal uitgekleed. Je koopt een<br />
‘kat in de zak’. Mede gezien het feit dat men niet precies<br />
weet wat belangrijk in een dekking is. Bij een gebouw<br />
dat afbrandt, heeft iedereen beeld. Een cyberincident is<br />
daarentegen nog steeds erg abstract.<br />
Daarnaast en nog belangrijker: welke additionele<br />
diensten zijn gedekt onder de verzekering die per direct<br />
kunnen worden ingezet om de bedrijfsactiviteiten<br />
zo snel mogelijk op gewenst niveau te brengen? Werkt<br />
de risicodrager bijvoorbeeld met een vaste groep aan<br />
dienstverleners die kunnen bijstaan op specifieke aandachtsgebieden?<br />
Kortom: kijk naar de inhoud in plaats<br />
van de prijs. Als dit ergens goed is uit te leggen, dan is<br />
het wel bij een cyberpolis.<br />
Wat kan er beter aan cyberverzekeringen?<br />
Differentiatie. De markt is nog relatief jong, waardoor er<br />
nog beperkt ervaring is op het gebied van branchespecifieke<br />
cyberincidenten. Ik denk dat het goed is om specifieker<br />
in te zoomen op de activiteiten van een bedrijf,<br />
waardoor er meer aandacht is voor specifieke dekkingen<br />
als het gaat om de cyberrisico’s. Ook als een bedrijf<br />
zaken zeer goed op orde heeft: haal deze dan uit de dekking<br />
waardoor datgene overblijft waar écht behoefte<br />
aan is. Als deze differentiatie ook in prijs wordt doorgevoerd,<br />
dan zullen mogelijk meer bedrijven (die in mindere<br />
mate tot de risicogroep horen) toch een passende<br />
dekking afsluiten voor het geval het toch mis gaat.<br />
PHISHING MAILS<br />
Hoe gaan jullie zelf om met cyberrisico’s?<br />
Wij voeren binnen Klap een actief beleid voor wat betreft<br />
cybercriminaliteit. Er liggen draaiboeken op de plank<br />
voor als het toch mis gaat en we besteden veel aandacht<br />
aan het morele risico. Je kunt de zaken nog zo goed hebben<br />
afgedicht, de kans dat een collega op een foute e-<br />
mail klikt blijft bestaan. Zo sturen wij naar alle medewerkers,<br />
periodiek, phishingmails. We kunnen precies zien<br />
wie klikt en wie niet. Deze resultaten delen we binnen de<br />
organisatie om, daar is ie weer, bewustwording te creëren.<br />
Tijdens corona is er voor ons niet veel veranderd. We<br />
werkten al virtueel via een beveiligde omgeving thuis. Er<br />
zijn echter nu meer collega’s die vaker thuiswerken.<br />
De AVG: hoe groot is de impact hiervan uiteindelijk<br />
gebleken?<br />
De hele markt viel over AVG. Het leek ontzettend impactvol<br />
vol te zijn, zo ook voor ons. Nu het stof is neergedaald,<br />
zien we dat het zeer goed te overzien is. Zeker<br />
in de dagelijkse operatie. Het werken met standaard<br />
verwerkersovereenkomsten of via een beveiligde lijn<br />
privacygevoelige informatie verzenden, is binnen ons<br />
bedrijf het nieuwe normaal geworden. Ook als we kijken<br />
naar de toegang tot onze systemen hebben we iedere<br />
functie rechten gegeven voor specifieke applicaties<br />
waar deze persoon gebruik van kan maken. De overige<br />
applicaties kan deze persoon dan niet in. Zijn er vragen<br />
op dit gebied, dan hebben we een speciaal contactpersoon<br />
die deze vragen behandelt.<br />
PRAKTIJKTIPS<br />
Geef drie praktijktips voor collega-adviseurs bij het beheersen<br />
van cyberrisico’s en/of het verzekeren daarvan.<br />
– Focus op bewustwording. Praat niet over verzekeren,<br />
maar inventariseer bij je prospect het kennisniveau.<br />
Vraag door. Laat je niet het bos insturen omdat<br />
iemand zegt dat alles goed geregeld is. Dit rust<br />
vaak op onvoldoende kennis van zaken. Wij zijn als<br />
branche moreel verplicht om deze kennis (bewustwording)<br />
toe te voegen. Een belangrijke randvoorwaarde<br />
is dat je de stof en actualiteiten rondom dit<br />
thema up-to-date houdt gezien alle ontwikkelingen<br />
op dit toch wat abstracte domein.<br />
– Prijs mag geen issue zijn. Voorwaarden wel. Als het<br />
voor een prospect duidelijk is wat zijn of haar risico’s<br />
zijn, bepaal dan samen wat acceptabel is voor<br />
de ondernemers en wat niet. Het restrisico dat overblijft,<br />
zal verzekerd moeten worden. Logisch gevolg.<br />
Prijs is dan veelal ondergeschikt.<br />
– De derde tip: dat is het geheim van de smid… n<br />
18 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
PARTNER IN KENNIS<br />
HET SCHILDERWERK BIJ EEN SCHILDER THUIS LAAT VAAK TE<br />
WENSEN OVER. EEN DOKTER NEGEERT VAAK DE EIGEN GE-<br />
ZONDHEIDSKLACHTEN. HET IS EEN BEKEND GEGEVEN DAT EEN<br />
<strong>SPECIAL</strong>IST EN EXPERT KLANTEN OF PATIËNTEN GOED ADVI-<br />
SEERT, MAAR DE EIGEN ADVIEZEN ZELF NIET ALTIJD OPVOLGT.<br />
ZORG – ALS FINANCIEEL ADVISEUR DIE ZIJN OF HAAR KLAN-<br />
TEN GOED ADVISEERT OVER <strong>CYBER</strong>VERZEKERINGEN – OOK ZELF<br />
VOOR EEN GOEDE <strong>CYBER</strong>VERZEKERING, WANT <strong>CYBER</strong>AANVAL-<br />
LEN KOMEN REGELMATIG VOOR EN DE IMPACT IS GROOT.<br />
Wees geen dokter: is<br />
uw eigen bedrijf wel<br />
goed verzekerd tegen<br />
cyberrisico’s?<br />
TEKST DE VEREENDE<br />
De Vereende is een bekende<br />
speler als het gaat om onverzekerbare<br />
risico’s. Maar<br />
dat de verzekeraar ook de<br />
beroepsaansprakelijkheid<br />
dekt van onder andere financieel adviseurs<br />
is wellicht minder bekend. Ook<br />
daar speelt de Vereende met de BAVAMpolis<br />
een belangrijke rol in verzekeringsland.<br />
En nu voegt de Vereende een aanvullende<br />
cyberdekking toe aan de BA-<br />
VAM-polis.<br />
Manager Marketing en Acceptatie<br />
Bert Sonneveld: “Financieel adviseurs zijn<br />
vanuit de Autoriteit Financieel Markten<br />
verplicht om een beroepsaansprakelijkheidsverzekering<br />
te hebben. Echter, wij<br />
vinden het belangrijk dat u als financieel<br />
adviseur niet alleen kijkt naar wie de<br />
laagste premie heeft voor een dergelijke<br />
verzekering, maar ook naar wie u het<br />
beste helpt als u aansprakelijk wordt gesteld<br />
voor een beroepsfout. U wilt toch<br />
zelf ook geholpen worden op de manier<br />
waarop u uw klanten helpt?”<br />
“We houden continu onze producten<br />
tegen het licht. Uit onderzoek bij onze<br />
klanten distilleren we wat zij belangrijk<br />
vinden en dat vertalen we weer in aanpassingen<br />
en veranderingen. Zo wordt er<br />
nu hard gewerkt aan het aanbieden van<br />
een cyberdekking voor de verzekeringsnemers<br />
van de BAVAM-polis”.<br />
BAVAM IS BETROUWBAAR<br />
De Vereende deed in juni onderzoek onder<br />
financieel adviseurs op basis van de<br />
Net Promotor Score. Daaruit blijkt dat 86<br />
procent van de financieel adviseurs een<br />
acht of hoger aan de Vereende geeft voor<br />
haar Beroepsaansprakelijkheidsverzekering<br />
voor Assurantietussenpersonen en<br />
Makelaars & taxateurs (BAVAM-polis).<br />
Een kwart van de ondervraagden geeft<br />
de verzekeraar zelfs het cijfer tien. In het<br />
bijbehorende rapport staan reacties van<br />
zeer tevreden financieel adviseurs. “BA-<br />
VAM is betrouwbaar. Ik heb uit ervaring<br />
geleerd dat als er een situatie is, er direct<br />
actie ondernomen wordt.” Een andere<br />
adviseur: “Ik ben enthousiast omdat<br />
ik recent een zaak had met BAVAM-polis.<br />
Ik vind dat ik erg goed ben behandeld en<br />
het contact was zeer prettig.”<br />
VERSCHIL MAKEN<br />
Sonneveld: “Ik ben blij dat we in dit soort<br />
gevallen het verschil kunnen maken. Fouten<br />
maken is menselijk. Als financieel<br />
adviseur kun je danig in de put zitten als<br />
gevolg van een aansprakelijkheidsclaim.<br />
Het levert soms slapeloze nachten op en<br />
het kan zelfs de voortgang van uw be-<br />
20 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
drijf in gevaar brengen. Dan wilt u kunnen<br />
rekenen op betrouwbare hulp. Wij<br />
bieden die. Het liefst laten we het helemaal<br />
niet komen tot een claim. We roepen<br />
financieel adviseurs dan ook op om<br />
niet te wachten tot het escaleert, maar<br />
eerder contact met ons op te nemen. Ons<br />
vroeg inschakelen heeft ook als voordeel<br />
dat we kunnen meedenken en het dossier<br />
al vroeg kennen. Schroom dus niet<br />
om contact op te nemen.”<br />
“Onze klanten beamen dat u met<br />
een BAVAM-polis gewoon goed zit en<br />
weet waar u aan toe bent. We geven dan<br />
ook korting aan ambassadeurs. Als u als<br />
tevreden klant een nieuwe klant aandraagt,<br />
krijgen u en de nieuwe klant een<br />
jaar lang een korting van 10 procent op<br />
de jaarpremie. U steekt dan uw nek uit<br />
voor ons. Dat waarderen we en we willen<br />
die waardering dan ook laten zien.”<br />
<strong>CYBER</strong>VERZEKERING<br />
Binnen het Nederlandse bedrijfsleven is<br />
er veel gedigitaliseerd. Er werd al veel gebruik<br />
gemaakt van mobiele apparatuur<br />
zoals laptops, tablets of telefoons en in de<br />
afgelopen maanden is dit gebruik, door<br />
veelvuldig thuiswerken, alleen maar toegenomen.<br />
Het is volgens Sonneveld dus<br />
van groot belang dat de data die via deze<br />
apparatuur wordt uitgewisseld en verwerkt,<br />
goed beschermd wordt tegen hackers.<br />
“Ook moet u er niet aan denken dat<br />
computersystemen worden vergrendeld<br />
en de dader losgeld eist. Naast het losgeld<br />
dat betaald moet worden kan de bedrijfsschade<br />
door het stil liggen van het<br />
bedrijf aardig oplopen. En dit overkomt<br />
niet alleen grote bedrijven. Juist ook kleine<br />
bedrijven zijn vaak het slachtoffer omdat<br />
zij op dit gebied vaak net iets minder<br />
geregeld hebben dan grote bedrijven.”<br />
Sonneveld: “Het belang van een goede<br />
cyberverzekering begint ook steeds<br />
meer door te dringen bij onze verzekerden<br />
van de BAVAM-polis. Steeds vaker<br />
krijgen wij de vraag of wij iets kunnen<br />
betekenen op het gebied van cyberverzekeringen.<br />
Naar aanleiding hiervan hielden<br />
wij een enquête onder de lezers van<br />
onze nieuwsbrief. Hieruit bleek dat 70<br />
procent van de respondenten niets of<br />
Bert Sonneveld: ‘Geen<br />
ingewikkelde keuzes.’<br />
nauwelijks iets voor het afdekken van<br />
cyberrisico’s heeft geregeld. Ook kwam<br />
naar voren dat 90 procent wel interesse<br />
heeft in het aanvullend afsluiten van een<br />
cyberverzekering.”<br />
Naar aanleiding hiervan heeft de Vereende<br />
de samenwerking gezocht met<br />
een gerenommeerd bedrijf op het gebied<br />
van cyberverzekeringen dat met zorgvuldig<br />
geselecteerde partners samenwerkt.<br />
“Mocht het dan onverhoopt toch tot een<br />
cyberaanval komen, dan moeten klanten<br />
er immers op kunnen vertrouwen dat deze<br />
partners de begeleiding, het advies en het<br />
nemen van maatregelen verder oppakken.<br />
Regelmatig zorgt menselijk handelen<br />
voor het slagen van een cyberaanval. Het<br />
per ongeluk openen van een phishing<br />
e-mail is immers zo gedaan. Het bieden<br />
van een verzekeringsoplossing is dan<br />
cruciaal, maar het zorgen voor een stukje<br />
preventie en bewustwording is net zo<br />
belangrijk. Ook op dit vlak biedt de cyberverzekering<br />
van de Vereende ondersteuning.<br />
Want ook op dit vlak is voorkomen<br />
beter dan genezen.”<br />
Het is vaak lastige materie en klanten<br />
vinden het moeilijk om een dekking te<br />
vinden die bij hen past. De Vereende kiest<br />
er daarom voor om geen ingewikkelde<br />
keuzes voor te leggen. “We willen een<br />
uitgebreide dekking gaan bieden met<br />
één verzekerd bedrag, één eigen risico en<br />
dit tegen een goede premie. Kort gezegd;<br />
binnenkort komen wij met een complete<br />
dekking die ruimschoots volstaat bij de<br />
cyberaanvallen waar onze klanten mee<br />
te maken kunnen krijgen.” n<br />
CONTACT<br />
Bent u geïnteresseerd en wilt u op de<br />
hoogte blijven van de mogelijkheid<br />
van de cyberdekking via de BAVAMpolis?<br />
Neem dan contact op met de<br />
Vereende via verzekeren.bavampolis@vereende.nl<br />
of 070 - 319 53 10<br />
want cyberaanvallen komen regelmatig<br />
voor en de impact is groot.<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 21
<strong>CYBER</strong><br />
Cybersecurity:<br />
een kwestie van<br />
basismaatregelen<br />
<strong>CYBER</strong>CRIMINALITEIT IS EEN WERELDWIJD VERDIENMODEL GEWORDEN. OP HET DARK<br />
WEB KUN JE KANT-EN-KLARE PROGRAMMA’S AANSCHAFFEN OM EEN WEBSITE PLAT<br />
TE LEGGEN. VOLGENS DE FBI WORDT ER MOMENTEEL MEER GELD VERDIEND MET<br />
<strong>CYBER</strong>CRIMINALITEIT DAN IN DE WERELDWIJD GEORGANISEERDE DRUGSHANDEL. HET<br />
CBS MELDT IN HAAR VEILIGHEIDSMONITOR 2019 DAT IN NEDERLAND <strong>CYBER</strong>CRIME DE<br />
TRADITIONELE VORMEN VAN CRIMINALITEIT HEEFT INGEHAALD. <strong>CYBER</strong>INCIDENTEN<br />
VORMEN HET GROOTSTE BEDRIJFSRISICO (39 PROCENT), ALDUS DE ALLIANZ RISK<br />
BAROMETER 2020. KORTOM, <strong>CYBER</strong>CRIMINALITEIT IS EEN INDUSTRIE GEWORDEN MET<br />
DIEPE ZAKKEN, EIGEN R&D-ACTIVITEITEN EN VERREGAANDE PROFESSIONALITEIT.<br />
TEKST LIESBETH HOLTERMAN, BELEIDSADVISEUR <strong>CYBER</strong>VEILIG NEDERLAND<br />
22 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
De financiële sector in Nederland is al jarenlang<br />
een interessant doelwit voor cybercriminelen.<br />
Waar in eerste instantie<br />
vooral de banken een interessant doelwit<br />
waren (denk aan internetbankieren),<br />
zijn dat nu ook steeds meer kleine(re) bedrijven<br />
in de sector. Het is de data die deze bedrijven tot<br />
een aantrekkelijk doelwit maakt, en niet de bedrijfsomvang.<br />
En door de hoeveelheid aan persoons- en bankgegevens<br />
is de sector een interessant doelwit. Tel daarbij<br />
op dat de meeste ondernemingen een geringe bedrijfsomvang<br />
hebben, met weinig eigen cybersecurity expertise,<br />
maar wel erg afhankelijk zijn van IT-systemen. Volgens<br />
verzekeraar Hiscox staat de financiële dienstverlening<br />
dan ook op de tweede plaats van meest getroffen<br />
sectoren als het om cybercriminaliteit gaat. Gemiddelde<br />
schade: 149.000 euro. Het is dus belangrijk om minder<br />
kwetsbaar te zijn voor cybercriminelen. En cybercriminelen<br />
werken net zoals inbrekers. Ze kiezen het liefst<br />
een bedrijf waar ze de deur niet hoeven forceren en snel<br />
weer weg zijn met de buit. Postbus 51 zei het jaren geleden<br />
al: ‘Voorkomen is beter dan genezen.’ Zo geldt het<br />
ook voor cybersecurity. Wanneer je de juiste voorzorgsmaatregelen<br />
(preventie) neemt, ben je uiteindelijk beter<br />
uit dan wanneer je als organisatie de gevolgen van<br />
een cyberincident moet oplossen. Als organisatie, groot<br />
of klein, zijn er een aantal basismaatregelen die je al<br />
snel minder kwetsbaar maakt. Een aantal van de belangrijkste<br />
maatregelen zijn:<br />
• INVENTARISEER DE RISICO’S IN RELATIE TOT JE<br />
BUSINESS<br />
Bij het beschermen van data en informatiesystemen<br />
is het belangrijk dat je nadenkt over de risico’s in relatie<br />
tot je business. Om deze goed in te kunnen schatten<br />
zijn drie aspecten van belang. Vertrouwelijkheid, je<br />
moet bijvoorbeeld persoonsgegevens afschermen. Integriteit,<br />
kun je erop vertrouwen dat de gegevens correct<br />
zijn? Denk bijvoorbeeld aan bankrekeningnummers<br />
waarvan je niet wilt dat deze worden veranderd. En als<br />
derde beschikbaarheid. Hoe erg is het als je systeem uitvalt?<br />
Kun je dan nog doorwerken?<br />
• MAAK MEDEWERKERS BEWUST VAN DE DO’S EN<br />
DONT’S OP HET INTERNET<br />
Bewustwording is heel belangrijk. Je hoeft niet heel<br />
veel te weten over cyberrisico’s, maar je moet je er wel<br />
van bewust zijn dat er risico’s zijn en hoe deze te voorkomen.<br />
Is het bijvoorbeeld zo dat werknemers op hun<br />
werktelefoon of tablet van alles mogen downloaden?<br />
Hierdoor ontstaat het risico op een datalek omdat er regelmatig<br />
apps tussen zitten, waarvan in de voorwaarden<br />
staat dat ze toegang hebben tot je adressenlijst en<br />
andere informatie op je apparaat. Herkennen je medewerkers<br />
een phishing-mail? Controleren zij bijvoorbeeld<br />
de links in e-mails, of de afzender? Is meerfactoridentificatie<br />
ingesteld om te voorkomen dat CXO-fraude<br />
mogelijk is? Zorg voor permanente training van je<br />
medewerkers om het bewustzijn hoog te houden en oefen<br />
dit regelmatig.<br />
• ZORG VOOR GOEDE BACK-UPS<br />
Financieel dienstverleners hebben veel data waar ze<br />
mee werken. Hierdoor zijn financiële dienstverleners<br />
extra kwetsbaar voor bijvoorbeeld een ransomwareaanval.<br />
Ransomware (‘gijzelsoftware’) is kwaadaardige<br />
software waarbij een slachtoffer afgeperst wordt, nadat<br />
de digitale systemen of bestanden met een code op slot<br />
zijn gezet. De aanvaller biedt de code tegen losgeld aan,<br />
zodat het slachtoffer er weer bij kan. Door een goede, recente<br />
(offline) back-up wordt de schade die een ransomware<br />
kan aanrichten minimaal. Zorg er dus voor dat<br />
van je belangrijkste gegevens en documenten back-ups<br />
gemaakt worden. Mochten er toch persoonsgegevens<br />
verloren gaan, dan heb je mogelijk een datalek. Dat<br />
moet je melden bij de Autoriteit Persoonsgegevens.<br />
• VOER UPDATES UIT<br />
Producenten van software zijn doorlopend bezig om<br />
hun producten veiliger te maken. Ontdekte kwetsbaarheden<br />
of een betere beveiliging worden via updates<br />
aangeboden. Dit zijn security patches. Cybercriminelen<br />
maken vaak gebruik van al bekende kwetsbaarheden<br />
om binnen te komen. Installeer dus in elk geval altijd<br />
direct de meest recente patches zodat je organisatie zo<br />
goed als mogelijk beveiligd is.<br />
• KIES VEILIGE INSTELLINGEN<br />
De software die systemen aanstuurt (zoals bijvoorbeeld<br />
voor Windows10) wordt met standaard instellingen geleverd.<br />
Sommige van deze instellingen zijn niet veilig.<br />
Controleer dus altijd de instellingen van je apparatuur,<br />
software en netwerk- en internetverbindingen. Pas altijd<br />
de standaardinstellingen aan en kijk kritisch naar<br />
functies en diensten die automatisch ‘aan’ staan, want<br />
misschien heb je ze niet nodig en kun je ze ‘uit’ zetten.<br />
• GEBRUIK ANTIVIRUS<br />
Malware is kwaadaardige software die computersystemen<br />
verstoort, informatie verzamelt of versleutelt. Er<br />
zijn verschillende manieren waarop malware toegang<br />
krijgt tot een computer, smartphone of netwerk. Een<br />
gebruiker kan een geïnfecteerde e-mail (of bijlage) openen,<br />
een foute website bezoeken of een besmet bestand<br />
via bijvoorbeeld een USB-stick openen. Zodra de malware<br />
binnen is, verspreidt het zichzelf daarna als een<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 23
<strong>CYBER</strong><br />
olievlek naar andere apparaten en/of gebruikers. Om je<br />
netwerk en je systemen veilig te houden is het belangrijk<br />
om antivirussoftware te hebben. Antivirus kan virussen<br />
identificeren, tegenhouden en bestaande virussen<br />
verwijderen.<br />
• BEPERK AUTORISATIES<br />
Bepaalde medewerkers binnen de organisatie, zoals de<br />
administrator, hebben vaak zeer uitgebreide bevoegdheden<br />
om veranderingen aan te brengen op systemen<br />
en binnen applicaties. Voor cybercriminelen is het dus<br />
zeer interessant om toegang te krijgen tot dit type gebruiker.<br />
Zorg daarom dat je zo min mogelijk administrator<br />
rechten geeft aan gebruikers en dat je dit account<br />
zeer goed beschermt.<br />
• MAAK HELDERE AFSPRAKEN MET TOELEVERAN-<br />
CIERS, ZOALS JE CLOUD LEVERANCIER<br />
Welke afspraken heb je gemaakt met anderen over digitale<br />
veiligheid? Wat betekent het voor jou als een ander<br />
een dienst niet kan leveren waar jij afhankelijk van<br />
bent? Hoe kwetsbaar ben jij dan? Voor financiële adviseurs<br />
geldt dit in toenemende mate voor cloud leveranciers.<br />
Denk vooraf na over welke informatie je in de<br />
cloud wilt zetten, wie daarbij mag en onder welke voorwaarden.<br />
Maak ook duidelijke afspraken en leg verantwoordelijkheden<br />
vast. Vragen die in ieder geval beantwoord<br />
moeten worden door de cloud leverancier zijn:<br />
wordt mijn informatie versleuteld? Wie kan er bij mijn<br />
informatie? Welke maatregelen worden getroffen om<br />
<strong>CYBER</strong>VEILIG NEDERLAND<br />
Cyberveilig Nederland is dé belangenorganisatie voor cybersecurity<br />
bedrijven in Nederland. We brengen transparantie<br />
aan in de sector door de ontwikkeling van een gedragscode<br />
en keurmerk. We nemen actief deel aan het publieke debat en<br />
zien cybersecurity niet alleen als een risico, maar juist ook als<br />
een kans om Nederland te positioneren als een land dat veilige<br />
producten en diensten voortbrengt. We gaan het gesprek aan<br />
met de overheid en andere strategische partners om onze kennis<br />
en kunde van het cybersecurity werkveld voor het grotere<br />
belang in te zetten. We brengen verbindingen tot stand, tussen<br />
cybersecurity bedrijven onderling, maar ook brengen we vragers<br />
en aanbieders samen. We praten met de overheid en politiek<br />
om (toekomstige) knelpunten weg te nemen die de digitale<br />
weerbaarheid van Nederland in de weg staan. Maar vooral:<br />
we doen! We zijn initiatiefnemer en uitvoerder van het Cybersecurity<br />
Woordenboek, waarbij ruim 600 cybersecurity termen<br />
door professionals verzameld zijn en in begrijpelijk Nederlands<br />
zijn opgeschreven (download gratis via www.cyberveilignederland.nl/woordenboek).<br />
Liesbeth Holterman:<br />
‘Voorkomen is beter<br />
dan genezen.’<br />
die veiligheid te garanderen en wie controleert dat? Al<br />
deze vragen zijn relevant omdat jij altijd controle moet<br />
houden over de informatie. Niet alleen omdat je die nodig<br />
hebt om te ondernemen, maar ook omdat je je hebt<br />
te houden aan wet en regelgeving (bijvoorbeeld de Algemene<br />
Verordening Gegevensbescherming).<br />
• DEEL ERVARINGEN MET ELKAAR<br />
De eenvoudigste maatregel is het belang van het delen<br />
van ervaringen met elkaar. Daarom mijn oproep<br />
aan iedereen die zelf slachtoffer is geworden of slachtoffers<br />
kent: praat er over. Nog steeds durven maar weinig<br />
organisaties openlijk te praten over hetgeen hun<br />
is overkomen. Terwijl anderen juist kunnen leren van<br />
je incident. Alleen op deze manier voorkomen we dat<br />
slachtoffers zich slachtoffer blijven voelen. Wanneer<br />
we er een aantal kunnen voorkomen door open te zijn<br />
verspreid zich dit als een olievlek en daar worden we allemaal<br />
beter van. Zolang de slachtoffers niet openlijk<br />
durven te praten over hun ervaringen over de impact<br />
van een cybersecurity incident is de financiële sector<br />
onaanvaardbaar kwetsbaar. En daar wordt niemand beter<br />
van. n<br />
24 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
Maria Genova:<br />
‘Kennis testen.’<br />
MARIA GENOVA<br />
Maria Genova is onderzoeksjournalist en schrijfster<br />
van het boek ‘Komt een vrouw bij de h@cker’ (voor<br />
volwassenen) en ‘What the h@ck!’ (voor jongeren<br />
tussen de 10 en 16 jaar).<br />
26 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
BEDRIJVEN KUNNEN OP VEEL MANIEREN GEHACKT WORDEN<br />
EN DAT GEBEURT OOK DAGELIJKS. VOLGENS HACKERS ZIJN ER<br />
SLECHTS TWEE SOORTEN BEDRIJVEN: BEDRIJVEN DIE AL GEHACKT<br />
ZIJN EN BEDRIJVEN DIE GEHACKT GAAN WORDEN. KLOPT DAT?<br />
Goede manieren om je<br />
organisatie te wapenen<br />
tegen hackers<br />
TEKST MARIA GENOVA<br />
Bedrijven en organisaties denken vaak dat ze<br />
niet interessant genoeg zijn om gehackt te<br />
worden. Maar zo kieskeurig zijn de hackers<br />
niet. Vaak komen ze ergens per toeval binnen,<br />
bijvoorbeeld omdat Marike van de administratie<br />
of accountmanager Pieter op een<br />
phishingmail hebben geklikt. Of omdat collega Marc<br />
een website heeft bezocht die besmet bleek te zijn met<br />
een virus, of omdat directeur Jan Verkerk Winter2020<br />
als wachtwoord heeft gebruikt of gewoon Welkom123.<br />
SLACHTOFFERS<br />
Inmiddels is meer dan 60 procent van de kleine en middelgrote<br />
bedrijven in Nederland slachtoffer geworden<br />
van cybercrime. Vorig jaar werd ook een recordaantal<br />
particulieren slachtoffer: meer dan vier miljoen mensen.<br />
Nederland is vanwege de goede digitale infrastructuur<br />
een doelwit voor cybercriminelen uit de hele wereld.<br />
Omdat we veel zaken digitaal regelen, valt er hier<br />
ook heel veel te halen. Ook bij bedrijven en organisaties<br />
die denken dat ze niet interessant zijn. Een voorbeeld is<br />
het Interprovinciaal Overleg (IPO) dat een datalek bij de<br />
Autoriteit Persoonsgegevens meldde: een medewerker<br />
had op een phishinglink geklikt, accountgegevens ingevoerd<br />
en vervolgens werden vanaf haar mailadres valse<br />
mails verzonden. Zo’n hack is niet opmerkelijk, wel de<br />
reactie van hun woordvoerder. Hij zei desgevraagd dat<br />
IPO-medewerkers niet worden getraind om phishingmails<br />
te herkennen. De reden? “Wij zijn slechts een<br />
kleine organisatie met ongeveer dertig medewerkers.<br />
Vooral de ICT-afdeling houdt zich bezig met dit soort zaken.”<br />
Deze woordvoerder snapt blijkbaar niet dat de ICTafdeling<br />
niet kan voorkomen dat de medewerkers op<br />
phishingmails klikken en hun wachtwoorden invoeren.<br />
En dat als de ICT-afdeling dat niet kan voorkomen, hun<br />
computers gehackt worden.<br />
SLAP EXCUUS<br />
Een kleine organisatie is een slap excuus om de medewerkers<br />
niet op te leiden op digitaal gebied. Want bij<br />
elke organisatie valt wat te halen. Bij IPO is vooral het<br />
netwerk van hun partners interessant. Als je zo’n kleine<br />
organisatie hackt en namens haar een phishingmail<br />
stuurt naar de partners, dan trappen die er waarschijnlijk<br />
wel in. Wie de partners zijn, staat op hun website.<br />
Het Interprovinciaal Overleg behartigt de gezamenlijke<br />
belangen van de provincies en deelt veel kennis met<br />
‘Een kleine organisatie is<br />
een slap excuus om de<br />
medewerkers niet op te<br />
leiden op digitaal gebied’<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 27
<strong>CYBER</strong><br />
andere organisaties. “Het IPO beschikt hiertoe over een<br />
uitgebreid netwerk en onderhoudt contact met onder<br />
andere het kabinet, het parlement, de ministeries, de<br />
Europese Unie en maatschappelijke organisaties.”<br />
Nou, dat zijn nogal wat interessante doelen.<br />
IDENTITEITSFRAUDE<br />
Veel medewerkers denken dat de ICT-afdeling in staat<br />
is om te voorkomen dat een hacker via bijvoorbeeld<br />
een kwaadaardige mail het computernetwerk binnendringt.<br />
Dat is vaak niet het geval. De ICT-afdelingen van<br />
veel bedrijven weten dat er kwetsbaarheden zijn in de<br />
gebruikte software, maar voeren de updates niet op tijd<br />
uit. Thuis werken updates meestal zonder problemen,<br />
maar niet op de ingewikkelde computersystemen van<br />
bedrijven. Daar moet eerst alles uitgebreid getest worden<br />
zodat systemen niet uitvallen. Dat duurt vaak veel<br />
langer dan nodig. De ene keer is het gebrek aan tijd door<br />
onderbezetting, een andere keer slordigheid. Een mooi<br />
voorbeeld is de grote hack van kredietbureau Equifax.<br />
De persoonlijke gegevens van zo’n 143 miljoen klanten<br />
werden daarbij gestolen. Katie van Fleet kreeg na de<br />
hack vijftien verschillende kredietaanvragen op haar<br />
naam en was maandenlang bezig met het herstellen<br />
van haar kredietreputatie. Equifax werd gehackt door<br />
het niet oplossen van een kwetsbaarheid die volgens<br />
het interne beleid binnen 48 uur gedicht moest worden.<br />
Soms is het gebrek aan capaciteit, maar de ICT-afdeling<br />
was best ruim bezet met 255 IT-specialisten in dienst.<br />
‘A fool with a tool is still<br />
a fool’<br />
LOSGELD<br />
Veel bedrijven denken dat ze na een hack gewoon de<br />
back-up terug kunnen zetten om verder te werken, maar<br />
heel vaak blijkt de back-up ook besmet of gewoon vergrendeld.<br />
Dat was recentelijk het geval bij de Universiteit<br />
Maastricht. Omdat niemand meer kon werken, besloot<br />
de organisatie 197.000 euro aan de hackers te betalen om<br />
weer toegang te kunnen krijgen tot haar eigen computers.<br />
Hoeveel weken kan jullie bedrijf zonder computers<br />
werken? En stel dat de back-up besmet is en je bent alles<br />
kwijt, ga je wel of niet de cybercriminelen betalen?<br />
Bedrijven die niet voor dat soort dilemma’s willen<br />
komen te staan, proberen het risico op hacks en datalekken<br />
te verkleinen. Omdat technische maatregelen<br />
niet alles kunnen oplossen, is het handig om bij de bron<br />
te beginnen. Toen ik research deed voor mijn boek Komt<br />
een vrouw bij de h@cker vroeg ik aan diverse hackers<br />
wat de makkelijkste manier was om binnen te komen.<br />
“De medewerkers,” zeiden ze. “Bedrijven verzinnen allerlei<br />
tools om het computersysteem veilig te houden,<br />
maar a fool with a tool is still a fool.”<br />
FOOLS<br />
Hoe komt het dat de medewerkers volgens de hackers<br />
zulke ‘fools’ zijn? Vaak heeft niemand de moeite genomen<br />
om ze op een simpele manier en door middel van<br />
voorbeelden uit te leggen hoe ze zichzelf en het bedrijf<br />
tegen hackers kunnen wapenen. Tijdens mijn lezingen<br />
Komt een vrouw bij de h@cker en interactieve webinars<br />
over privacy en cybercrime, merk ik aan de reacties dat<br />
het voor de meeste mensen allemaal vrij nieuw is: hoe<br />
werken de hackers precies, waarom zijn ze zo succesvol,<br />
hoe herken je de betere phishingmails, waarom is<br />
een berichtje in Whatsapp net zo gevaarlijk, hoe werkt<br />
factuurfraude precies, hoe onthoud je honderd verschillende<br />
wachtwoorden, wat is de simpelste manier om je<br />
computer en mobiel tegen hackers te beschermen, wat<br />
valt er precies onder een datalek, waar moet je als thuiswerker<br />
op letten…? Online veiligheid is een van de meest<br />
boeiende onderwerpen, omdat iedereen van ons vroeg<br />
of laat ermee te maken krijgt. Investeren in awareness<br />
hoeft helemaal niet duur te zijn, terwijl het een miljoenenschade<br />
en ook veel reputatieschade kan voorkomen.<br />
Op basis van de meest gestelde vragen tijdens honderden<br />
lezingen heb ik een e-learning in quiz-vorm gemaakt,<br />
met elke maand een nieuw thema op het gebied<br />
van privacy en cybersecurity. Een aantal tests stel<br />
ik gratis beschikbaar. Hackers gebruikten bijvoorbeeld<br />
veel phishingmails over corona en kwaadaardige corona-wereldkaarten<br />
en apps om binnen te komen. Wil je<br />
je kennis testen? Stuur een mail naar genova@casema.<br />
nl, dan mail ik je de corona cyberquiz. Slechts vijf van<br />
de tien vragen worden gemiddeld goed beantwoord,<br />
terwijl alle voorbeelden uit de praktijk komen. De quiz<br />
mag kosteloos door bedrijven gebruikt worden om de<br />
medewerkers te trainen de toenemende digitale gevaren<br />
te herkennen. n<br />
28 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
Ruim 75 jaar hét platform voor onafhankelijk adviseurs.<br />
Word abonnee en profiteer mee!<br />
Speciaal<br />
aanbod<br />
voor adviseurs!<br />
<strong>VVP</strong> is het enige platform in Nederland puur gericht op onafhankelijke financieel adviseurs. Missie van <strong>VVP</strong> is<br />
adviseurs praktisch ondersteunen in hun dagelijkse adviespraktijk, het onderstrepen van het maatschappelijk<br />
belang van onafhankelijk advies én de versterking van de trots op het eigen adviesvak. Dit doen we met<br />
relevante kennis, praktijkgerichte tools, inspiratie, het praktijkgerichte katern Ken je vak!, een dagelijkse<br />
nieuwsbrief, een kennissite, vakevents, etc, etc.<br />
Voor nog geen zes tientjes per jaar biedt <strong>VVP</strong> u als adviseur:<br />
· Zes inspirerende en ondernemende bewaaredities<br />
· Het kenniskatern ‘Ken je vak!’ met onder meer de vertaling van Kifid-uitspraken naar de adviespraktijk en<br />
de rubriek Permanent Actueel<br />
· Exclusieve specials met verdieping op een adviesonderwerp<br />
· Netwerk- en kennisbijeenkomsten met korting voor abonnees, zoals de Events Inkomen, Bijzondere Risico’s,<br />
Duurzaamheid, Innovatie en de Dag van het Topadvies met de uitreiking van de Advies Award voor het<br />
meest klantvriendelijke kantoor<br />
· Dagelijkse e-mail nieuwsbrief met op vrijdag de nieuwsbrief Ken je vak! op vrijdag<br />
· De kennissite www.vvponline.nl<br />
· Webinars<br />
· Het <strong>VVP</strong> Ondernemerspanel, de gratis vraagbaak voor abonnees van <strong>VVP</strong>. Zes vakexperts delen met u hun<br />
kennis en geven raad over uw eigen ondernemersvraagstukken.<br />
· De <strong>VVP</strong> Nieuws App verzamelt al het actuele verzekerings-, hypotheek- en ander financieel nieuws:<br />
www.vvpapp.nl<br />
Word nu abonnee<br />
Word voor nog geen zes tientjes per jaar (56 euro) abonnee van het meest complete platform voor financieel<br />
adviseurs. Schrijf u in op: https://www.vvponline.nl/abonnementaanvragen en u maakt deel uit van het enige<br />
platform puur gericht op onafhankelijk adviseurs. Een kleine investering die zich dubbel en dwars terugverdient!
PARTNER IN KENNIS<br />
HDI GLOBAL <strong>SPECIAL</strong>TY SE IS EEN NIEUWE VERZEKERAAR MET<br />
EEN “START-UP-MENTALITEIT” DIE ZICH FOCUST OP GROEI IN<br />
HET MIDDEN- EN KLEINBEDRIJF. DE NADRUK LIGT OP PART-<br />
NERSCHAPPEN, DUURZAME RELATIES MET HET INTERMEDIAIR<br />
EN OP KENNISDELING.<br />
Waardevolle<br />
cyberoplossingen<br />
voor het MKB<br />
TEKST MARTIN NEYT<br />
Startup klinkt wellicht wat eigenaardig<br />
voor een verzekeraar<br />
die al meer dan een eeuw<br />
bestaat, maar HDI Global Specialty<br />
SE vertoont alle kenmerken<br />
van een frisse nieuwkomer. Het bedrijf<br />
zag vorig jaar het levenslicht, werkt<br />
met agile multidisciplinaire expertteams,<br />
vertrekt binnenkort naar een hip bankgebouw<br />
nabij station Rotterdam Blaak (zie<br />
kader) en maakt in no-time een enorme<br />
digitaliseringsslag. Het laatstgenoemde<br />
is een positief neveneffect van de coronacrisis.<br />
Het vele thuiswerken levert een gedroomde<br />
testcase voor medewerkers op.<br />
“Thuiswerken houden we er sowieso<br />
in”, vertelt Richard Qaiser, business owner<br />
Niche Markets. “Het biedt extra flexibiliteit.<br />
Digitalisering gaat hand in hand met<br />
de compacte multidisciplinaire teams, die<br />
we begin dit jaar hebben ingevoerd. Voorheen<br />
waren de kennisvelden wat meer<br />
gescheiden, nu werken we – ondanks dat<br />
we niet op kantoor zitten – nauwer samen<br />
en zijn dus beter op de hoogte van<br />
wat een ieder doet. Geen eilandjes meer.<br />
We horen het ook terug van financieel<br />
adviseurs. Jullie zijn sneller en beter bereikbaar!<br />
Een mooi compliment en het is<br />
precies ons streven. Wij willen de nummer<br />
één Specialty verzekeraar van Nederland<br />
zijn, maar dan wel een verzekeraar<br />
met wie je makkelijk kunt praten.”<br />
STEEDS GERAFFINEERDER<br />
Het voordeel van een grote organisatie<br />
met een legacy - HDI is onderdeel van de<br />
Duitse Talanx Group - is de aanwezige<br />
hoeveelheid kennis en ervaring. ‘Specialty’<br />
maakt van die kracht gebruik voor expertises<br />
als beroeps- en bestuurdersaansprakelijkheid,<br />
product contaminatie verzekeringen,<br />
crisismanagement (bijvoorbeeld<br />
kidnapping, afpersing & losgeld)<br />
en niches, zoals kunstgras, kunst- en juweliersverzekeringen.<br />
De deskundigheid<br />
wordt nu doorgetrokken naar een relatief<br />
nieuw fenomeen als cybercrime.<br />
Zorgvuldig crisismanagement is eveneens<br />
noodzakelijk bij gegijzelde data en<br />
afpersing met ransomware, stelt Janine<br />
Hendriks (product owner Crisis Management).<br />
“De impact is natuurlijk anders,<br />
maar in de kern gaat het om een misdrijf<br />
dat een bedrijf stil legt. De methoden<br />
van cybercriminelen worden steeds<br />
geraffineerder. Fake e-mails uit naam van<br />
instanties en banken zijn bijna niet van<br />
echt te onderscheiden en ook de voorheen<br />
veilig geachte Apple-producten bieden<br />
inmiddels geen garantie meer tegen<br />
hacks. Menselijk handelen ligt vaak ten<br />
grondslag aan een cybermisdrijf. We eisen<br />
dan ook dat bedrijven de nodige preventiemaatregelen<br />
nemen, maar als de nood<br />
aan de man is kunnen bedrijven op advies<br />
van een consultant rekenen. Deze expert<br />
trekt alle lijnen samen en zorgt ervoor dat<br />
een onderneming weer snel in lucht is.”<br />
<strong>CYBER</strong> EN BEROEPS-<br />
AANSPRAKELIJKHEID<br />
Valerie van Voorthuysen (product owner<br />
Professional Indemnity): “De cyberschades<br />
die wij nu zien zijn vaak gerelateerd<br />
30 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
Janine Hendriks Richard Qaiser Valerie van Voorthuysen<br />
aan beroepsfouten. De toenemende dreiging<br />
van cybercrime, de AVG en de continu<br />
groeiende afhankelijkheid van data<br />
en IT-systemen brengen dit met zich<br />
mee. Aangezien beroepsaansprakelijkheid<br />
en cyberaansprakelijkheid niet altijd<br />
goed te scheiden zijn en in veel van<br />
de gevallen toch als beroepsfout kunnen<br />
worden gekwalificeerd en binnen de verzekerde<br />
hoedanigheid zullen vallen, denk<br />
ik dat BAV-verzekeraars er niet aan gaan<br />
ontkomen om duidelijk te zijn over wat<br />
er precies onder de dekking valt.”<br />
“Voor de eigen schade van onze verzekerden<br />
hebben we de Cyber eigen<br />
schade dekking (Cyber add-on) ontwikkeld.<br />
Deze bieden wij momenteel aan<br />
‘Niet elke<br />
cyberpolis is<br />
hetzelfde.’<br />
in volmacht, makelaarsopmaak en voor<br />
collectieven. Ons systeem is bijna zover<br />
om het ook zelf aan te bieden voor eigen<br />
opmaak. Cyber add-on is ontwikkeld<br />
als aanvulling op de beroepsaansprakelijkheidsverzekering,<br />
om bescherming<br />
te bieden voor eigen schade als gevolg<br />
HDI verhuist naar Blaak House<br />
De medewerkers van HDI verhuizen begin januari 2021 naar het gerenoveerde<br />
Blaak House in Rotterdam. Dit rijksmonument vormde in de jaren vijftig samen<br />
met de aanpalende gebouwen van de Twentsche Bank en de Amsterdamsche<br />
Bank het financiële district van de Maasstad. Het nieuwe onderkomen ligt op vijf<br />
minuten lopen van de huidige HDI-vestiging aan de Westblaak. HDI betrekt drie<br />
verdiepingen in Blaak House. Kenmerkend element is het lichte atrium in het<br />
hart van het monument, dat bij de renovatie in 2018 nadrukkelijk de functie van<br />
ontmoetingsplek kreeg. “Openheid en transparantie passen bij onze hernieuwde<br />
visie”, zeggen Janine Hendriks en Richard Qaiser. “We werken met korte lijnen en<br />
collega’s ontmoeten elkaar makkelijker in het gebouw. Er zijn flexplekken en mooi<br />
ingerichte ruimtes om onze agile werkwijze te versterken.”<br />
van een cyberincident. Hieronder wordt<br />
verstaan een privacy-, vertrouwelijkheids-<br />
en netwerkbeveiligingsincident.<br />
Of de informatie dan op de computer,<br />
een USB-stick of in de cloud staat maakt<br />
voor ons niet uit. Meerdere verzekeraars<br />
hebben een beperking of uitsluitingen<br />
opgenomen met betrekking tot data die<br />
in de cloud is opgeslagen. Echter: in deze<br />
tijd werkt bijna elke onderneming met<br />
cloudoplossingen. Klanten en adviseurs<br />
dienen daarom goed te letten op de verschillen<br />
tussen de losse cyberproducten<br />
en de aanvullende producten in de<br />
markt. Niet elke cyberpolis is hetzelfde.”<br />
WORKSHOPS VOOR ADVISEURS<br />
HDI Global Specialty gaat in elk geval<br />
door met de ontwikkeling van praktische<br />
oplossingen voor MKB’ers. Kennisdeling<br />
speelt daarbij een belangrijke rol en niet<br />
in de laatste plaats met en voor financieel<br />
adviseurs. Het liefst wil de verzekeraar<br />
workshops voor het intermediair op<br />
locatie gaan houden, al is dit afhankelijk<br />
van de coronamaatregelen. Richard Qaiser:<br />
“Desnoods worden het digitale sessies,<br />
maar we gaan zeker iets voor adviseurs<br />
organiseren. We hechten veel waarde<br />
aan interactie met onze partners.” n<br />
www.hdi-specialty.com<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 31
<strong>CYBER</strong><br />
BIJ ALLES WAT WIJ COMMUNICEREN RICHTING DE MARKT,<br />
MAKEN WIJ DUIDELIJK WAT DE TOEGEVOEGDE WAARDE IS<br />
VAN <strong>CYBER</strong>WEERBAARHEID, HOE JE DE <strong>CYBER</strong>RISICO’S (EN<br />
AANVERWANTE RISICO’S) IN KAART BRENGT EN BESCHERMT EN<br />
WAT AON’S ROL DAARIN IS.<br />
Cyberweerbaarheid<br />
vereist totaalaanpak<br />
TEKST MARIE-LOUISE DE SMIT EN MAARTEN VAN WIEREN, <strong>CYBER</strong>EXPERTS AON<br />
Waaruit bestaat jullie cyberaanbod precies?<br />
Wij zien cyberweerwaarheid als een combinatie van beveiliging,<br />
monitoring, beleid, incident response, crisismanagement<br />
en verzekeren. Aon hanteert daarom een<br />
benadering die wij de Cyber Loop noemen. Dit stelt dat<br />
elke organisatie op een ander moment kan beginnen<br />
met het versterken van haar cyberweerbaarheid: met<br />
assessment, kwantificering, verzekeren of incident response/crisismanagement.<br />
Deze vier instapmomenten<br />
zijn circulair met elkaar verbonden en versterken elkaar<br />
onderling. Het is als het ware een ecosysteem voor<br />
cyberweerbaarheid, continu bezig met evaluatie, verbeteringen<br />
en investeringen in cyberrisicobeheer. Dat is<br />
ook hoe wij ons aanbod in de markt zetten.<br />
Afhankelijk van de klant en zijn wens starten wij het<br />
gesprek bij een van deze vier instapmomenten. Wij adviseren<br />
preventief over het crisismanagement bij een<br />
cyberincident, maar ondersteunen ook op het moment<br />
dat een cyberincident zich daadwerkelijk voordoet. Wij<br />
kwantificeren de risico’s, kijken naar de huidige verzekeringen,<br />
wat er eventueel ontbreekt en welke limieten<br />
het beste passen bij de organisatie. Daarnaast gebruiken<br />
wij (scenario)analyses en crisisoefeningen om organisaties<br />
te leren om te reageren op cyberincidenten.<br />
Bij grotere organisaties voeren we penetratietesten uit<br />
of zelfs red-teaming-opdrachten, waarbij wij een realistische<br />
cyberaanval simuleren. Uiteindelijk adviseren<br />
wij altijd om naar het gehele plaatje te kijken en cyber<br />
te benaderen vanuit de Cyber Loop-aanpak.<br />
Waarop ligt in jullie aanbod het accent: de preventie,<br />
de verzekering of de hulpverlening bij een onverhoopt<br />
cyberincident? Is het hoe dan ook mogelijk deze onderdelen<br />
los van elkaar te zien?<br />
Het accent ligt bij ons dus op het totale plaatje, de Cyber<br />
Loop. In onze optiek is het niet mogelijk om de vier<br />
onderdelen los van elkaar te zien. Stel je doet niet aan<br />
preventie, dan is het vrijwel onmogelijk om een cyberverzekering<br />
af te sluiten. Gelukkig zijn we nog geen organisatie<br />
tegengekomen die niks aan preventie doet.<br />
Het is alleen wel de vraag of de genomen maatregelen<br />
adequaat zijn en passen bij het risicoprofiel van de organisatie.<br />
Wij helpen bedrijven om die maatregelen te<br />
nemen die daadwerkelijk bijdragen aan de cyberweerbaarheid<br />
van een organisatie.<br />
VERSCHILLENDE ZAKEN<br />
Hoe zetten jullie het aanbod in de markt?<br />
Veel organisaties stellen een cyberverzekering nog<br />
steeds gelijk aan cyberveiligheid. Onze communicatie<br />
en de accountmanagers die bij de klant zitten, maken<br />
heel goed duidelijk dat dit twee verschillende dingen<br />
zijn. De accountmanagers zijn goed opgeleid zodat zij<br />
de meeste vragen kunnen beantwoorden. Wanneer de<br />
vragen technischer worden, halen zij de specialisten erbij.<br />
Er staat op de achtergrond een heel team klaar voor<br />
de klant.<br />
32 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
Marie-Louise de Smit.<br />
Met welke risicodragers werken jullie? Is het buitenlandse<br />
aanbod voldoende toegesneden op de Nederlandse<br />
markt? Zouden meer Nederlandse verzekeraars<br />
een aanbod moeten ontwikkelen?<br />
Wij werken vooral samen met AIG, Chubb, AXA en in<br />
sommige situaties ook met een kleine groep andere<br />
verzekeraars. Een aantal Nederlandse verzekeraars, zoals<br />
Achmea en De Goudse, heeft al een aanbod, maar<br />
worstelt nog met het goed neerzetten in de markt. Het<br />
kost ook veel tijd voordat klanten de toegevoegde waarde<br />
van cyberverzekeringen kunnen waarderen. Wanneer<br />
wij als Aon met buitenlandse verzekeraars werken,<br />
is dat meestal via Nederlandse underwriters. Wij<br />
sturen bij de ontwikkeling van producten en dekkingen<br />
specifiek aan op de behoefte van Nederlandse organisaties.<br />
Daardoor zorgen we ervoor dat het aanbod geschikt<br />
is voor de Nederlandse markt.<br />
CORONACRISIS<br />
Wat zijn jullie ervaringen tot nu toe? Wordt er veel beroep<br />
gedaan op (onderdelen van) jullie cyberpropositie?<br />
Klanten begrijpen de filosofie van onze Cyber Loop over<br />
het algemeen heel goed. Ons team van specialisten,<br />
ondersteund door de rest van de organisatie, is sinds<br />
de start van de coronacrisis zeer druk omdat klanten<br />
steeds meer kiezen voor onze integrale aanpak. Zo hebben<br />
we onlangs een klant geholpen met een assessment<br />
en kwantificatie waardoor zij zich nog meer bewust<br />
zijn geworden van het belang van een goede verzekering,<br />
inclusief de capaciteit om snel en adequaat te<br />
kunnen reageren als zich een incident voor zou doen.<br />
Waar moet men nou ontzettend goed op letten als men<br />
een cyberpropositie adviseert of sluit?<br />
Een cyberpolis is de kroon op een gezond bedrijf, maar<br />
geen alternatief voor cyberveiligheid. Dat gaat vooral<br />
om preventie, assessments en het (cyber)risicoprofiel<br />
en de risicobereidheid kwantificeren; dit alles samengebracht<br />
in goed cyberrisicomanagement. Idealiter gebaseerd<br />
op de Cyber Loop-aanpak. Door te snappen welke<br />
cyberrisico’s jouw organisatie loopt, weet je welke dekkingen<br />
van de cyberpolis aansluiten op jouw organisatie.<br />
Verzekeraars accepteren het daarnaast niet als je<br />
niet je stinkende best doet om cyberrisico’s het hoofd te<br />
bieden.<br />
ZORG VOOR GOEDE AANSLUITING<br />
Wat kan er beter aan cyberverzekeringen?<br />
De beperkende factor voor verzekeraars is dat niet alle<br />
risico’s even tastbaar zijn. Zo zijn bijvoorbeeld reputatieschade<br />
en diefstal van intellectueel eigendom lastig te<br />
kwantificeren. Toch zijn deze schadeposten vaak direct<br />
het gevolg van een cyberincident. Maar hoe kun je dat<br />
verzekeren? Voor intellectueel eigendom hebben wij inmiddels<br />
goede producten ontwikkeld waarmee we de<br />
kwaliteit van cyberverzekeringen gaan verbeteren.<br />
Ook is de taal bij sommige voorwaarden niet in alle ge-<br />
‘Veel organisaties stellen<br />
een cyberverzekering<br />
nog steeds gelijk aan<br />
cyberveiligheid’<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 33
<strong>CYBER</strong><br />
Maarten van Wieren.<br />
vallen voldoende duidelijk en eenduidig, hetgeen problemen<br />
kan opleveren bij eventuele schade. Daarnaast<br />
sluiten verschillende verzekeringen niet altijd goed op<br />
elkaar aan, zoals de bedrijfsschade-, ongevallen-, aansprakelijkheids-<br />
en cyberverzekeringen. De scheidslijnen<br />
en eventuele overlap moeten duidelijk zijn. Een<br />
goede broker kan dat toelichten en gaten in de dekking<br />
voorkomen.<br />
Welke toekomst dichten jullie cyberverzekeringen toe?<br />
Alle risico’s hebben in de toekomst op een of andere<br />
manier een cybercomponent. Silent cyber is daarbij<br />
een grote uitdaging. Uitgangspunt van de silent cyberclausule<br />
is dat er wordt uitgesloten wat doorgaans op<br />
een cyberverzekering wordt ingesloten. Wat daar echter<br />
kan ontstaan, is dat hetgeen wordt uitgesloten, niet<br />
altijd verzekerd kan worden op een cyberverzekering<br />
waardoor onverzekerbaarheid dreigt. Je krijgt dan bijvoorbeeld<br />
de situatie dat er een brand door een cyberincident<br />
ontstaat die nergens onder gedekt wordt als de<br />
cybertrigger uit de brandpolis wordt gehaald.<br />
Als verzekeraar moet je op lange termijn een bijdrage<br />
leveren. De digitalisering zet door en het spectrum<br />
van het cyberrisico niet goed begrijpen kan je je<br />
niet veroorloven. Niet als bedrijf en niet als verzekeraar.<br />
Daarnaast zullen de traditionele risico’s minder verrassingen<br />
meebrengen dankzij Big Data, waardoor er<br />
meer op maat gesneden standaardoplossingen komen.<br />
Het autonoom rijden, met minder onverwachte schadeclaims,<br />
is daar een goed voorbeeld van<br />
Hoe gaan jullie zelf om met cyberrisico’s? Zijn jullie als<br />
gevolg van corona ook meer thuis gaan werken en hoe<br />
beheersen jullie de risico’s hiervan?<br />
Simpel gezegd: wat wij adviseren, voeren wij zelf ook<br />
uit. Het thuiswerken was al flink ingebed in Aon’s way<br />
of working, dus de vervolgstap was relatief klein. We<br />
zijn eigenlijk zonder problemen overgeschakeld. Omdat<br />
het zwaartepunt nu wel wat verschoven is van kantoor<br />
naar thuis hebben wij wat aanvullende maatregelen<br />
genomen.<br />
De AVG: hoe groot is de impact hiervan uiteindelijk op<br />
jullie bedrijfsvoering gebleken? En waar moeten adviseurs<br />
volgens jullie speciaal op letten in AVG-verband?<br />
Naleving van de AVG valt natuurlijk onder de cyberrisico’s<br />
en is daarmee onderdeel van ons cyberweerbaarheidsaanpak.<br />
Adviseurs moeten in hun risicoanalyse<br />
het niet-compliant zijn meenemen in hun risicoanalyses<br />
en de klant erop attent maken. Er is nog wel af en<br />
toe onduidelijkheid over of het wettelijk is toegestaan<br />
om een AVG-boete te claimen. Dus die onzekerheid<br />
moet benoemd worden.<br />
PRAKTIJKTIPS<br />
Geef drie praktijktips voor collega-adviseurs bij beheersen<br />
cyberrisico’s en/of verzekeren daarvan.<br />
– Zorg dat je niet alleen met een risicomanager of verzekeringsmanager<br />
aan tafel zit, maar ook met de ITmanager,<br />
CISO of CFO.<br />
– Wees volledig voorbereid en ga met het totale spectrum<br />
van cyberrisico’s een gesprek in. Maak duidelijk<br />
dat het een enterprise (bedrijfsbreed) risk is, niet<br />
‘slechts’ een van de risico’s.<br />
– Aangaande verzekering: weet wat er gedekt is en<br />
ook wat niet. Cyberverzekering is geen cyberveiligheid.<br />
Schep volledige duidelijkheid zodat er achteraf<br />
geen teleurstellingen zijn met eventuele vervelende<br />
bijkomstigheden zoals negatieve persaandacht. n<br />
34 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
PARTNER IN KENNIS<br />
OVER EEN AANTAL JAREN IS EEN <strong>CYBER</strong>POLIS EVEN INGEBUR-<br />
GERD ALS EEN VERZEKERING VOOR BEROEPS- EN BESTUURDERS-<br />
AANSPRAKELIJKHEID, ZEGT MIJNTJE VAN PARIDON, BRANCHEMA-<br />
NAGER FINANCIAL LINES BIJ HIENFELD. NU AL STELLEN GROOT-<br />
BEDRIJF EN OVERHEID EISEN AAN <strong>CYBER</strong>VEILIGHEID BIJ AANBE-<br />
STEDINGEN, DAT WORDT VOLGENS HAAR DE NORM. HIENFELD<br />
WIL ADVISEURS DAN OOK ACTIEF ONDERSTEUNEN OM HET THE-<br />
MA HELDER BIJ ONDERNEMERS IN BEELD TE BRENGEN. “<strong>CYBER</strong><br />
HOORT BIJ DE EXPERTISE VAN DE ADVISEUR.”<br />
“Cyber is een nieuw<br />
risico dat we samen<br />
moeten oppakken”<br />
TEKST MARTIN NEYT<br />
Hienfeld was er relatief vroeg<br />
bij. Toen het grote publiek cybersecurity<br />
nog min of meer<br />
als sciencefiction beschouwde,<br />
iets wat vooral een probleem<br />
van de overheid en multinationals<br />
was, bood de assuradeur al cyberpolissen<br />
voor ondernemers aan. Inmiddels kost<br />
het weinig moeite om ook voorbeelden<br />
van hacks, ransomware-aanvallen en datalekken<br />
in het MKB te vinden. Onlangs<br />
werd bekend dat de gegevens van honderden<br />
Nederlandse bedrijven na een<br />
massale hack online stonden. Het ministerie<br />
van Justitie en Veiligheid wist ervan,<br />
maar bezit naar eigen zeggen geen mandaat<br />
om ‘niet vitale’ bedrijven te waarschuwen.<br />
Mijntje van Paridon vindt het kenmerkend<br />
voor het stadium waarin cybercrime<br />
zich bevindt. “Het is zo nieuw,<br />
dat zelfs de wetgever zich even achter de<br />
oren krabt. Landelijke coördinatie ter bescherming<br />
van bedrijven ontbreekt nog.<br />
Veel ondernemers hebben er ook nauwelijks<br />
een beeld bij. Een brand is concreet,<br />
maar wie of wat zit er achter een cyberaanval?<br />
Daarnaast rust er een taboe op<br />
het onderwerp. In ons acceptatietraject<br />
zien we dat een verrassend groot aantal<br />
ondernemers al een cyberincident heeft<br />
meegemaakt, maar daar uit schaamte<br />
liever niet over praat. Het is absoluut<br />
geen schande. Cybercriminelen gooien<br />
een sleepnet uit, daar kun je als MKB’er<br />
eenvoudig in verstrikt raken.”<br />
TEST LEIDT TOT HACK<br />
Tijdens de coronacrisis is het aantal<br />
hacks en ransomware-aanvallen verder<br />
toegenomen. Hienfeld ziet dat in de dagelijkse<br />
praktijk terug. Een bedrijf dat<br />
een cyberpolis heeft via de assuradeur,<br />
testte zijn remote desktop om het thuiswerken<br />
voor medewerkers te optimaliseren.<br />
De desktop was beveiligd met een<br />
enkel wachtwoord. Terwijl het systeem<br />
gedurende het weekend draaide, brak<br />
een hacker in. Hij eiste losgeld om de<br />
data vrij te geven. Achteraf bleek dat de<br />
hacker zich ook toegang tot de back-up<br />
had verschaft.<br />
“Gelukkig kon de forensische ondersteuning<br />
vanuit de verzekering het<br />
grootste deel van de bedrijfsgegevens<br />
herstellen”, vertelt Mijntje van Paridon,<br />
“maar er ging toch het één en ander verloren.<br />
Het bedrijf had tweestapsverificatie<br />
moeten instellen in plaats van inloggen<br />
met een enkel wachtwoord. Er ontstond<br />
een panieksituatie in het bedrijf,<br />
gelukkig kon ons team door snel handelen<br />
erger voorkomen. Daarom is het naturagedeelte<br />
van de polis zo belangrijk.<br />
De uitkering dekt omzetverlies en andere<br />
kosten, maar onze 24/7-bereikbaarheid,<br />
36 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
Mijntje van Paridon:<br />
‘Cyberveiligheid<br />
maakt deel uit van<br />
de expertise van<br />
de adviseur’<br />
coördinator en technische, juridische en<br />
PR-ondersteuning beperken de schade<br />
en zorgen ervoor dat een bedrijf weer<br />
vooruit kan.”<br />
DOORDRINGEN VAN NOODZAAK<br />
De vraag na een cyberattack is tevens<br />
hoeveel en welke data er zijn gelekt. Dat<br />
kan een vervelend staartje krijgen. Een<br />
datalek vereist sowieso een melding bij<br />
de Autoriteit Persoongegevens, het niet<br />
tijdig melden kan een forse boete opleveren.<br />
Afhankelijk van het soort gegevens,<br />
hangt ondernemers ook claims van<br />
klanten en reputatieschade boven het<br />
hoofd. Een bedrijf dat de financiële gegevens<br />
van gefortuneerde klanten beheert,<br />
loopt wat dat betreft een groter risico<br />
dan pakweg een groothandel.<br />
“Cyberveiligheid is maatwerk, het<br />
maakt deel uit van de expertise van de<br />
adviseur. Maar het kan lastig zijn om ondernemers<br />
te doordringen van de noodzaak.<br />
Het is een abstract onderwerp en<br />
klanten zitten niet te springen om extra<br />
premies. Het helder illustreren van de<br />
gevolgen is dan ook essentieel. Als gegevens<br />
in de cloud verloren gaan, weet een<br />
ondernemer dan wie hij of zij moet benaderen?<br />
Wat zijn de gevolgen voor klanten?<br />
Hoe worden gegevens hersteld? En<br />
hoe lang zou het bedrijf stilliggen? Het<br />
gaat niet om de technische kant van cybersecurity,<br />
maar om de risico’s. Als ondernemers<br />
de gevaren onderkennen, zijn<br />
we goed op weg.”<br />
INHOUDELIJKE KENNIS<br />
Hienfeld is ervan overtuigd, dat de beste<br />
resultaten worden geboekt als financieel<br />
adviseurs en verzekeraars een nieuw thema<br />
als cyberrisk samen oppakken. Het<br />
advies is het domein van het intermediair,<br />
de assuradeur biedt de polissen aan<br />
én ondersteunt de adviseur desgewenst<br />
met inhoudelijke kennis. Zo geeft Hienfeld<br />
jaarlijks vijftig trainingen aan adviseurs.<br />
Accountmanagers verzorgen deze<br />
cursussen op locatie, eventueel samen<br />
met acceptanten.<br />
Adviseurs kunnen de nichespeler<br />
ook rechtstreeks benaderen met inhoudelijke<br />
vragen. “Wat is een goed verzekerd<br />
bedrag?”, zo geeft Mijntje van Paridon<br />
als voorbeeld. “Is er voorraad aanwezig<br />
en kan een bedrijf in geval van nood<br />
daarmee vooruit? Wil de ondernemer<br />
het hele risico dekken of een deel? Het<br />
zijn vraagstukken waarover een adviseur<br />
wellicht even wat meer wil weten.<br />
Wij doorlopen dan samen met het intermediair<br />
het risico. Desgewenst gaan we<br />
mee naar de ondernemer om het één en<br />
ander te verduidelijken. We willen adviseurs<br />
op alle mogelijke manieren bijstaan.<br />
Cyber vergt ook snel handelen.<br />
Onze acceptanten zijn rechtstreeks bereikbaar<br />
en we bieden doorgaans binnen<br />
een dag een offerte aan.”<br />
STEVIG VANGNET<br />
Cyber is volgens Mijntje van Paridon een<br />
snelle beweging die constante aanpassing<br />
vereist. Zoals de technologie voortschrijdt<br />
en cybercriminelen daarin meegroeien,<br />
zo moet ook cyberrisicomanagement<br />
zich ontwikkelen. Ze schat in<br />
dat een cyberpolis over vijf jaar net zo<br />
gebruikelijk is als een beroeps- en bestuurdersaansprakelijkheidsverzekering.<br />
“Ook daar werd aanvankelijk met enige<br />
scepsis tegenaan gekeken, nu wordt zo’n<br />
verzekering niet zelden als voorwaarde<br />
gesteld. Hetzelfde gaat met cyber gebeuren.<br />
Bedrijven die zaken met elkaar willen<br />
doen, leggen cybersecurity onder de<br />
loep. Hoe heb jij dat geregeld? Een cyberverzekering<br />
is dan een garantie. Het<br />
biedt uiteraard geen honderd procent<br />
veiligheid, maar het is een stevig vangnet<br />
voor als het mis gaat.” n<br />
The Best in Niches – www.hienfeld.nl<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 37
<strong>CYBER</strong><br />
38 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 39
<strong>CYBER</strong><br />
Aan de slag<br />
met cyberrisico<br />
advies<br />
Koppen waarin gewag wordt gemaakt van<br />
een gehackt bedrijf, een universiteit die<br />
geconfronteerd wordt met ransomware of<br />
een ziekenhuis dat te maken krijgt met een<br />
datalek, (ont)sieren steeds vaker de krantenpagina’s.<br />
Bijna zeven op tien ondernemers in<br />
Nederland heeft al eens te maken gehad met een<br />
cybersecurityincident en de gemiddelde schadelast<br />
voor Nederlandse bedrijven en overheden wordt geschat<br />
op ongeveer 300.000 per incident.<br />
Gezien de grote kans en impact van een cybersecurityincident<br />
heeft cybersecurity<br />
een volwaardige plek ingenomen in de adviesgesprekken<br />
die je als adviseur met je zakelijke<br />
klanten voert. Adfiz helpt adviseurs daarbij met de<br />
checklist ‘Aan de slag met advies cyberrisico’s’. Deze<br />
checklist is een waardevol handvat bij het aan de<br />
slag gaan met bestaande klanten om hen te doordringen<br />
van de noodzaak van het treffen van cybersecuritymaatregelen.<br />
Want getroffen worden door<br />
een cybersecurityincident is vaak niet iets wat bedrijven<br />
overkomt, maar wat ze hebben laten gebeuren.<br />
Met de juiste preventieve en schadelastbeperkende<br />
maatregelen, kunnen namelijk al veel cybersecurityincidenten<br />
voorkomen worden en kan de te<br />
verzekeren (financiële) schade beperkt blijven. n<br />
‘Getroffen worden door<br />
een cybersecurityincident is<br />
vaak niet iets wat bedrijven<br />
overkomt, maar wat ze<br />
hebben laten gebeuren’<br />
40 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
PARTNER IN KENNIS<br />
EEN BAKKER MET GEHACKTE KASSA. EEN BOUWBEDRIJF<br />
WAARBIJ DIGITALE TEKENINGEN ZIJN GESTOLEN. OF EEN<br />
NOTARIS VAN WIE HET KLANTENBESTAND OP STRAAT LIGT.<br />
<strong>CYBER</strong>CRIMINALITEIT KOMT STEEDS VAKER VOOR. HACKERS<br />
KUNNEN IN KORTE TIJD VEEL SCHADE AANRICHTEN. TOCH<br />
ONDERSCHATTEN VEEL ONDERNEMERS DE RISICO’S. ETHISCH<br />
HACKER SIJMEN RUWHOF VERTELT HOE HIJ EEN BEDRIJF IN<br />
ZES STAPPEN KAN ONTREGELEN.<br />
Een bedrijf ontregelen in zes stappen<br />
Een hack zit in<br />
een klein hoekje<br />
TEKST NATIONALE-NEDERLANDEN<br />
Sijmen Ruwhof (34) hackt binnen<br />
de kaders van de wet en<br />
heeft als doel cybercriminaliteit<br />
tegen te gaan. In opdracht<br />
van bedrijven en overheidsinstanties<br />
spoort hij fouten en veiligheidslekken<br />
in hun systemen en netwerken<br />
op. Zo helpt hij ze hun digitale<br />
beveiliging te verbeteren.<br />
DIT ZIJN SIJMENS ZES STAPPEN<br />
VOOR EEN BEDRIJFSHACK:<br />
Stap 1: het bedrijf verkennen<br />
“Ik begin met verkennen via de website:<br />
aantal medewerkers, adres, KvK-nummer,<br />
vacatures, dat soort data. Via LinkedIn<br />
zoek ik werknemersgegevens op zoals e-<br />
mailadressen, geboortedata en telefoonnummers.<br />
Zo breng ik het aanvalsoppervlak<br />
in kaart. En deze informatie kan me<br />
later helpen bij het kraken van wachtwoorden<br />
van gebruikersaccounts. Als<br />
ervaren hacker heb ik talloze trucjes om<br />
een computer binnen te komen. Bijvoorbeeld<br />
via de digitale beveiliging van de<br />
internetservers of het contentmanagementsysteem.<br />
Ik zoek naar beveiligingslekken<br />
en kom er al snel achter hoe goed<br />
een bedrijf beveiligd is.”<br />
Stap 2: het netwerk binnendringen<br />
“Als ik persoonsgegevens van een aantal<br />
werknemers heb, kan ik hen een<br />
phishing mail of sms sturen: een vals<br />
bericht dat van een betrouwbare afzender<br />
lijkt te komen. Ik schrijf een persoonlijk<br />
bericht over een actueel onderwerp,<br />
zoals corona, en zorg ervoor dat de mail<br />
afkomstig lijkt van MijnOverheid. Vervolgens<br />
voeg ik een pdf-bestand met de<br />
nieuwe coronarichtlijnen toe als bijlage.<br />
Ik zorg dat de timing klopt, bijvoorbeeld<br />
net na een persconferentie. Met een<br />
stukje code plak ik een zogeheten ‘exploit’<br />
in het pdf-bestand, een klein computerprogramma<br />
dat misbruik maakt<br />
van niet bijgewerkte pdf-lezers. Wanneer<br />
een werknemer het bestand opent,<br />
komt de computer onder mijn controle te<br />
staan en ben ik binnen!”<br />
Stap 3: het netwerk dieper binnendringen<br />
“Ik heb nu toegang tot de computer van<br />
een werknemer: ik kan alle bestanden<br />
inzien en de webcam en microfoon gebruiken.<br />
Vanuit deze computer kan ik<br />
meer systemen van het bedrijf bereiken.<br />
Ik breng het hele netwerk in kaart, zoek<br />
de zwakke plekken op en krijg zo controle<br />
over steeds meer belangrijke systemen<br />
en (beheer)accounts van werknemers.<br />
Hacken is een kat- en muisspel.<br />
Soms moet ik een week wachten voor ik<br />
verder kan, omdat ergens een antivirusscanner<br />
afgaat. Onzichtbaar een bedrijf<br />
met duizenden werknemers hacken en<br />
overnemen kost ongeveer twee à drie<br />
maanden.”<br />
42 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
Cybercriminaliteit in de praktijk:<br />
e-mailaccount gehackt<br />
Het e-mailaccount van de directeur<br />
van een uitzendbureau werd gehackt.<br />
Vanuit zijn account werd een e-mail<br />
gestuurd aan een medewerker met<br />
het verzoek om een bedrag van ruim<br />
€ 15.000 over te boeken naar een<br />
buitenlands rekeningnummer. De<br />
nietsvermoedende medewerker deed<br />
de betaling en het geld was foetsie.<br />
Gelukkig was het bedrijf verzekerd en<br />
kregen ze vrijwel het gehele bedrag<br />
weer terug.<br />
Stap 4: toegang tot de bestanden<br />
“Door systematisch simpele en veelgebruikte<br />
wachtwoorden uit te proberen<br />
op accounts, krijg ik na verloop van tijd<br />
steeds meer rechten. Via de overgenomen<br />
accounts krijg ik toegang tot vertrouwelijke<br />
informatie van het bedrijf.<br />
Veel werknemers hebben maar een paar<br />
wachtwoorden die ze voor al hun systemen<br />
gebruiken. Daar maak ik als hacker<br />
natuurlijk misbruik van.”<br />
Cybercriminaliteit in de praktijk:<br />
ransomware<br />
Een IT-hostingbedrijf werd slachtoffer<br />
van een ransomware aanval. De<br />
hacker had toegang tot de systemen<br />
en versleutelde alle bestanden van<br />
het bedrijf en haar klanten. De hackers<br />
vroegen een afkoopsom van 1<br />
miljoen euro. Omdat het bedrijf was<br />
verzekerd, werden er snel IT forensische<br />
experts en Cyber Security consultants<br />
ingeschakeld om onderzoek<br />
te doen en te onderhandelen met<br />
de cybercriminelen. Juristen en PRconsultants<br />
adviseerden het bedrijf<br />
bij het inlichten van instanties en de<br />
communicatie met klanten. Gelukkig<br />
werden hierdoor de systemen snel<br />
hersteld en bleef de schade relatief<br />
beperkt.<br />
Ethisch hacker Sijmen Ruwhof: ‘Zorg dat<br />
iedereen in je bedrijf zich bewust is van<br />
nut en noodzaak van cybersecurity.’<br />
Stap 5: bestanden extern opslaan en/of<br />
blokkeren<br />
“De buitgemaakte informatie moet ik<br />
‘veiligstellen’ door deze te uploaden naar<br />
mijn eigen server op het internet. Als ik<br />
een criminele hacker was, zou ik het hele<br />
bedrijfsnetwerk kunnen versleutelen<br />
met gijzelsoftware. Zo blokkeer ik de toegang<br />
voor alle werknemers en zet ik het<br />
bedrijf op slot. Vervolgens laat ik een bericht<br />
achter. Als ze de bestanden en het<br />
interne netwerk terug willen, moeten ze<br />
bijvoorbeeld eerst een groot bedrag aan<br />
bitcoins overmaken.”<br />
Stap 6: ongezien wegkomen<br />
“Mijn missie zit er bijna op. Maar eerst<br />
moet ik nog mijn sporen uitwissen. Ik<br />
verwijder logboeken, bestanden en uitgevoerde<br />
opdrachten om te voorkomen dat<br />
een IT’er ze later ontdekt. Voor de zekerheid<br />
zou een criminele hacker een ‘back<br />
door’ installeren: een verdekt stukje software<br />
waarmee je op een later moment<br />
weer kan binnenkomen in het systeem.<br />
DE DRIE BESTE BEVEILIGINGSTIPS<br />
VOOR BEDRIJVEN VAN SIJMEN:<br />
Stel tweetrapsverificatie in: naast je<br />
wachtwoord een steeds wijzigende code<br />
die je ontvangt via een sms of app;<br />
Installeer een wachtwoordmanager, zodat<br />
werknemers per website een uniek<br />
en sterk wachtwoord kunnen instellen;<br />
Het belangrijkste: zorg dat iedereen in<br />
het bedrijf zich bewust is van de nut en<br />
noodzaak van cybersecurity. En hun eigen<br />
verantwoordelijkheid hierin.<br />
<strong>CYBER</strong>CRIMINALITEIT VERZEKEREN<br />
De Cyberverzekering van Nationale-Nederlanden<br />
beschermt bedrijven tegen de<br />
gevolgen van hacking, systeeminbraak,<br />
verloren data, gegevensdiefstal en andere<br />
vormen van cybercriminaliteit. Deze<br />
verzekering is uit te breiden met een Cyberscan<br />
om de risico’s in kaart te brengen<br />
en een abonnement met 24/7 hulp<br />
van professionals bij cyberincidenten.<br />
Kijk voor meer informatie op nn.nl/cyberpreventie.<br />
n<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 43
OPINIE<br />
“IMPACT <strong>CYBER</strong>RISICO’S NOG ALTIJD<br />
ONDERSCHAT”, “INFORMATIEBEVEILIGING<br />
IN DE GEHELE KETEN NOG ONVOLDOENDE<br />
BEHEERST”, “DE KWALITEIT VAN IT-<br />
RISKMANAGEMENT MOET VERBETEREN”.<br />
<strong>VVP</strong> SCHREEF ER AL VAAK OVER: ER IS WERK<br />
AAN DE WINKEL RONDOM <strong>CYBER</strong>RISICO’S.<br />
WAT DOET EN VINDT DE AFM?<br />
TEKST JAN BERNDSEN, HOOFD TOEZICHT<br />
VERZEKERINGEN & PENSIOENEN AFM<br />
Velen van ons werken momenteel thuis,<br />
wat mogelijk een blijvend karakter zal<br />
krijgen. Toch werkt een kwart van de Nederlanders<br />
volgens onderzoek niet altijd<br />
via het beveiligde netwerk van hun<br />
werkgever. Ook werkgevers kunnen de<br />
risico’s van cyberaanvallen onderschatten. Dit, terwijl<br />
de gemiddelde schade van een ‘succesvolle’ aanval met<br />
ransomware meer dan 800.000 euro bedraagt.<br />
Het grootste risico achter cyberrisico’s is wellicht<br />
wel de gedachte: dit gebeurt mij niet. Mensen verwachten<br />
niet van zichzelf in een phishing-aanval te trappen<br />
of een datalek te veroorzaken. Maar laten we niet vergeten<br />
dat ook tachtig procent van de automobilisten<br />
zichzelf een betere bestuurder vindt dan het gemiddelde.<br />
Een ongeluk kan eenieder overkomen.<br />
OPINIE<br />
44 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
OPINIE<br />
“Dit gebeurt<br />
mij niet”<br />
Alle reden voor de AFM om in mei van dit jaar financiële<br />
ondernemingen te vragen alert te zijn op risico’s<br />
rondom informatiebeveiliging, nu we collectief thuiswerken.<br />
Om wat voor risico’s gaat het hier? Soms om<br />
heel basale zaken. Het op tijd installeren van security<br />
patches om lekken tegen te gaan of de risico’s van thuis<br />
printen verkleinen.<br />
MENSEN<br />
Cyberrisico’s zien niet echter alleen op techniek, maar<br />
des te meer op mensen. Zijn medewerkers voldoende<br />
getraind om veiligheidsrisico’s te herkennen? En wat<br />
gebeurt er bijvoorbeeld in een kleine organisatie als de<br />
enige IT-expert langdurig uitvalt door ziekte? Een oplossing<br />
kan zijn om kritieke functies te spreiden over<br />
meerdere medewerkers of om te werken met A/Bteams<br />
om te voorkomen dat alle kennis in één keer<br />
wegvalt als gevolg van coronabestemmingen op kantoor.<br />
Hoewel cyberrisico’s door de coronacrisis extra actueel<br />
zijn geworden, heeft de AFM er al langer aandacht<br />
voor. Zo publiceerden we eind vorig jaar de Principes<br />
voor Informatiebeveiliging, die handvatten bieden aan<br />
financiële ondernemingen voor de beheersing van ITrisico’s.<br />
Ook heeft de AFM recent een uitvraag gedaan<br />
over uitbesteding. Hoewel uitbesteding een begrijpelijke<br />
(en vaak verstandige) keuze is voor ondernemingen,<br />
brengt dit ook risico’s met zich mee, waaronder concentratie-<br />
en continuïteitsrisico’s.<br />
‘Neem de Principes<br />
voor Informatiebeveiliging<br />
door’<br />
<strong>CYBER</strong>VERZEKERINGEN<br />
Je kunt je als onderneming verzekeren tegen cyberrisico’s.<br />
De rol van AFM is om bij deze producten toe te<br />
zien of ze zorgvuldig zijn ontwikkeld. Kortgezegd: productontwikkelaars<br />
mogen vanzelfsprekend geld verdienen<br />
aan een verzekering, maar het belang van de klant<br />
moet evenwichtig zijn meegenomen bij de ontwikkeling.<br />
Dit is de gedachte achter de normen voor productontwikkeling<br />
(de PARP-normen) en de KNVB-criteria.<br />
Ontwikkelt uw organisatie cyberverzekeringen? Onthoud<br />
dan dat PARP de basis is van goede financiële<br />
dienstverlening.<br />
WAT KUNT U ZELF DOEN?<br />
Als financieel adviseur vervult u een nutsfunctie in de<br />
maatschappij: dankzij uw inspanningen zijn consumenten<br />
niet alleen verzekerd van een inhoudelijk gedegen<br />
advies, maar bovenal van een betrokken, menselijk<br />
element hierbij. Uw klanten moeten kunnen vertrouwen<br />
op de continuïteit van uw dienstverlening.<br />
Daarom is informatiebeveiliging in uw beroepsgroep<br />
essentieel. Ik raad u van harte aan de Principes voor Informatiebeveiliging<br />
door te nemen en uzelf ervan te<br />
verzekeren dat u zich gedegen beschermt tegen cyberrisico’s.<br />
Zodat de kans dat criminelen uw bedrijfsvoering<br />
verstoren minimaal is – en de Nederlandse consument<br />
onverminderd kan rekenen op uw grote toegevoegde<br />
waarde. n<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 45
PARTNER IN KENNIS<br />
DE ALLIANZ RISK BAROMETER 2020 LAAT ER GEEN TWIJFEL<br />
OVER BESTAAN: <strong>CYBER</strong>INCIDENTEN ZIJN HET GROOTSTE<br />
BEDRIJFSRISICO. HET AANTAL HACKS STIJGT, CRIMINELEN<br />
EISEN HOGERE LOSGELDBEDRAGEN, PHISHINGMAILS ZIEN<br />
ER STEEDS REALISTISCHER UIT EN DATALEKKEN HEBBEN<br />
ZWAARDERE GEVOLGEN. TOCH BESTAAT ER MET NAME BIJ<br />
HET MKB NOG EEN BLINDE VLEK VOOR DE GEVAREN. ‘MIJN<br />
ICT’ER REGELT DAT’, IS VOLGENS DE TAFELGASTEN EEN<br />
VEELGEHOORDE MISVATTING. HOE KRIJGT DE FINANCIEEL<br />
ADVISEUR <strong>CYBER</strong>RISK OP DE AGENDA VAN ONDERNEMERS?<br />
Adviseur onmisbaar bij<br />
aanpak cyberdreiging<br />
TEKST MARTIN NEYT<br />
Zo’n veertig procent van de<br />
2.700 riskmanagementexperts<br />
plaatst cyberincidenten<br />
dit jaar ‘met stip’ op één in de<br />
Allianz Risk Barometer. Nog<br />
niet zo lang geleden, in 2013 om precies<br />
te zijn, zag slechts zes procent van de<br />
ondervraagden ‘cyber’ als een groot probleem.<br />
Het risico stond destijds op een<br />
vijftiende plek in de lijst. Inmiddels zijn<br />
we zo afhankelijk van digitale processen,<br />
dat een hack of lek vrijwel meteen een<br />
calamiteit veroorzaakt en de bedrijfscontinuïteit<br />
in gevaar brengt. Om maar te<br />
zwijgen van de reputatieschade en torenhoge<br />
boetes die bedrijven riskeren voor<br />
het onzorgvuldig omgaan met gegevens.<br />
De coronacrisis heeft de dreiging<br />
van cyberincidenten verder vergroot. De<br />
Nationaal Coördinator Terrorismebestrijding<br />
en Veiligheid (NCTV) sprak onlangs<br />
van een verlammend effect voor<br />
de maatschappij en wees onder andere<br />
op de aangetoonde kwetsbaarheid van<br />
Citrix-systemen, waarmee overheden,<br />
ziekenhuizen en grootbedrijven werken.<br />
Incidenten binnen het MKB krijgen doorgaans<br />
minder aandacht, niettemin is het<br />
gevaar ook in deze sector enorm toegenomen,<br />
zeggen de deelnemers aan het<br />
rondetafelgesprek over cybersecurity.<br />
“Medewerkers loggen ’s ochtends<br />
thuis in op het bedrijfsnetwerk en laten<br />
het systeem de hele dag open staan”, zo<br />
schetst René van Etten van ThreadStone<br />
een praktijkvoorbeeld. “Tussendoor kijken<br />
zoon en dochter even op de laptop<br />
en downloaden het één en ander. Een recept<br />
voor rampen, want als in zo’n download<br />
een vorm van malware meekomt<br />
kan de hele organisatie getroffen worden<br />
door bijvoorbeeld ransomware. Je ziet<br />
ook dat de klikratio van onze phishingcampagnes<br />
sinds de coronacrisis is gestegen.<br />
Ook criminelen maken dus meer<br />
kans. Bedrijven kunnen aan de preventiekant<br />
al iets doen met een centraal geregeld<br />
veiligheidssysteem, zoals “endpoint<br />
detection and response”. Daarmee monitor<br />
je continu cyberdreigingen op alle apparaten<br />
die op het bedrijfsnetwerk aangesloten<br />
zijn. Daarbij wordt niet alleen<br />
gekeken naar de virussen van gisteren,<br />
maar ook naar gedrag op de systemen.<br />
Zo kunnen nieuwe aanvallen worden<br />
gedetecteerd. Ook het werken met bedrijfslaptops<br />
kan aan de veiligheid bijdragen,<br />
net als het indelen van het systeem<br />
in compartimenten, waardoor aanvallen<br />
minder schade veroorzaken.”<br />
BEWUSTZIJN CREËREN<br />
Ondanks de risico’s halen veel MKB’ers<br />
nog altijd hun schouders op als het over<br />
cyberincidenten gaat. De gespreksdeelnemers<br />
kennen alle tegenwerpingen, van<br />
‘ik ben niet interessant genoeg’ tot ‘mijn<br />
ICT’er regelt het’. Waarom kloppen deze<br />
aannames niet, wil gespreksleider Jaap<br />
de Lange, productmanager bij Allianz,<br />
Gespreksdeelnemers<br />
– René van Etten, algemeen directeur<br />
ThreadStone Cyber Security<br />
– Robbert-Paul Verkade, risicomanager<br />
VMD Koster Verzekeringsgroep<br />
– Jaap de Lange, productmanager<br />
Allianz.<br />
46 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
weten. De eerste kan al meteen worden<br />
ontkracht, elk bedrijf loopt volgens<br />
de discussiepartners in meer of mindere<br />
mate gevaar. “Een klant, een veehouder,<br />
vroeg: wat willen ze nu met mij?”, vertelt<br />
Robbert-Paul Verkade, risicomanager<br />
bij VMD Koster. “Wel, de bedrijfsprocessen,<br />
zoals het melken van de koeien, zijn<br />
gedigitaliseerd. Stel je eens voor dat een<br />
hack alles stil legt, wat gaat dat kosten?<br />
Toen was zijn interesse gewekt. Maar ik<br />
begrijp het wel: cyber staat niet zonder<br />
meer op het netvlies. Ook voor ons als<br />
adviseurs was het een omschakeling.”<br />
Van Etten hamert op het creëren van<br />
bewustzijn bij de eindklant, een taak die<br />
naar zijn inzicht bij uitstek voor de adviseur<br />
is weggelegd. “Ik ben blij dat Robbert-Paul<br />
dit onderwerp bespreekbaar<br />
maakt, want er heerst nog veel onwetendheid<br />
bij ondernemers. Wij voeren<br />
veiligheidsscans uit, we nemen als het<br />
ware een foto van een bedrijf. Zo krijgen<br />
ondernemers een realistisch beeld van<br />
de kwetsbaarheden. Toch kijkt men over<br />
het algemeen nog vreemd aan tegen een<br />
cyberverzekering, terwijl het in de kern<br />
niet anders werkt dan een brandverzekering.<br />
Net als bij brand doe je zoveel mogelijk<br />
ter preventie. Als er schade ontstaat,<br />
zijn het detecteren van problemen<br />
en het minimaliseren van schade belangrijk.<br />
De laatste stap bestaat uit de financiële<br />
afhandeling.”<br />
SLA’S OPVRAGEN<br />
ICT’ers zijn volgens de gespreksdeelnemers<br />
ook niet zonder meer de beschermengelen<br />
waarvoor sommige ondernemers<br />
ze houden. Een systeem- of een<br />
applicatiebeheerder is niet automatisch<br />
gespecialiseerd in cyberveiligheid. Daarnaast<br />
is het maar de vraag wat bedrijven<br />
precies met hun externe partner hebben<br />
afgesproken. Verkade vraagt om die reden<br />
bij klanten alle Service Level Agreements<br />
(SLA), leveringsvoorwaarden, algemene<br />
voorwaarden etc. op. “Wij lezen<br />
graag mee met onze klanten hoe de aansprakelijkheid<br />
van de leverancier is verwoord.<br />
Het kan voorkomen dat een ondernemer<br />
contractueel helemaal niet zo<br />
goed beschermd is als hij denkt.”<br />
René van Etten (ThreadStone):<br />
‘Iedereen moet doordrongen<br />
zijn van cyberveiligheid’.<br />
Ook komt het voor dat de aansprakelijkheid<br />
zomaar op het bord van een ICT-leverancier<br />
belandt. De rechter oordeelde<br />
recentelijk dat een IT-bedrijf zijn klant,<br />
een administratiekantoor, schadevergoeding<br />
moet betalen na een ransomwareaanval.<br />
Hoewel het administratiekantoor<br />
voorgestelde veiligheidsmaatregelen<br />
wegwuifde, is de IT-partner volgens de<br />
rechtbank toch verantwoordelijk.<br />
Een cruciale uitspraak, stelt René<br />
van Etten. “Komt de aansprakelijkheid<br />
daarmee bij de IT’er te liggen? Wij zijn<br />
benieuwd hoe zich dat ontwikkelt. Het<br />
vonnis benadrukt nog eens waar het bij<br />
cybersecurity om gaat. De techniek is<br />
slechts één onderdeel, menselijk handelen<br />
is minstens zo belangrijk. Cyberveiligheid<br />
moet volledig in de organisatie<br />
ingebed zijn. En als er een probleem ontstaat,<br />
is adequaat crisismanagement van<br />
groot belang. Bedrijven kunnen immers<br />
met imagoschade, claims van klanten en<br />
boetes te maken krijgen.”<br />
Volgens Van Etten kan een bedrijf zelf al<br />
een eenvoudige ‘scan’ uitvoeren door potentiële<br />
cyberdreigingen en reeds genomen<br />
beveiligingsmaatregelen op een rijtje<br />
te zetten. Deze analyse kan resulteren<br />
in een draaiboek voor dagelijks gebruik.<br />
“Zo creëer je awareness en zet je in op<br />
preventie, tegen lage kosten.”<br />
ALTIJD OP VRIJDAG<br />
Medewerkers van bioscoopketen Pathé<br />
trapten in CEO-fraude -nep e-mails uit<br />
naam van de directeur- wat het bedrijf 19<br />
miljoen euro kostte. Universiteit Maastricht<br />
raakte in de problemen na een datagijzeling<br />
en de Belastingdienst kreeg<br />
een zware DDoSS-aanval voor de kiezen.<br />
De dader: een 18-jarige jongen die ook talloze<br />
banken het leven zuur maakte. Het<br />
is ook niet al te ingewikkeld om een ransomware-pakketje<br />
aan te schaffen of een<br />
hackersinstructievideo te downloaden,<br />
zeggen de tafelgasten “Op YouTube staat<br />
al hoe je een website moet leegtrekken.”<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 47
PARTNER IN KENNIS<br />
Uit de Allianz OndernemersBarometer<br />
blijkt dat vorig jaar 22 procent van<br />
de MKB’ers het doelwit werd van cyberattacks.<br />
Allesbehalve een ver-vanmijn-bed-show<br />
zou je denken, niettemin<br />
meent nog altijd meer dan de helft van<br />
de ondernemers dat cybercrime bij hen<br />
buiten de deur blijft. Hoe kan een adviseur<br />
dit dan inzichtelijk maken? Gespreksleider<br />
Jaap de Lange legt de discussiepartners<br />
een praktijkcase voor. Een<br />
detailhandelaar -omzet 1,5 miljoen euroverkoopt<br />
goederen in een fysieke winkel<br />
en binnen een online assortiment. Welke<br />
risico’s loopt hij?<br />
“Als consumenten op rekening kunnen<br />
kopen in zijn online winkel, kan hij<br />
zijn geld voor al die bestellingen kwijt<br />
zijn”, antwoordt René van Etten. “Achterhaal<br />
de gegevens dan nog maar eens. Wij<br />
raden daarom altijd aan klanten vooraf<br />
via iDeal of met creditcard te laten betalen.<br />
Daarnaast komt zijn bedrijf tot<br />
stilstand, waardoor hij omzet misloopt.<br />
Onze kwetsbaarhedenscan toont bedrijven<br />
of er bijvoorbeeld digitale achterdeurtjes<br />
open staan en we geven alle onderdelen<br />
een rapportcijfer. Een afzonderlijk,<br />
technisch rapport gaat naar de ICT’er<br />
van het bedrijf.”<br />
Robbert-Paul Verkade heeft inmiddels<br />
meerdere ondernemers bij cyberschade<br />
ondersteund. De ervaringen met<br />
het crisismanagement en herstel vanuit<br />
de cyberpolis zijn volgens hem zeer goed.<br />
“Klanten staan versteld over de snelheid<br />
waarmee alles weer op de rit wordt gezet.<br />
Een cyberincident komt onverwacht,<br />
altijd op vrijdagmiddag, dat hebben we<br />
al driemaal meegemaakt. Het tempo<br />
van handelen en de uitgebreide dienstverlening<br />
zijn uitstekende argumenten<br />
om bedrijven te overtuigen. In het voortraject<br />
hanteren we een risicochecklist,<br />
maar dat is niet een kwestie van een riedeltje<br />
afdraaien. Elk bedrijf is anders, het<br />
vereist maatwerk.”<br />
ETHISCH HACKEN<br />
Ander praktijkvoorbeeld. Hoe kan een adviseur<br />
de risico’s voor een financieel advieskantoor<br />
-omzet 3,5 miljoen euro- dat<br />
data verwerkt van gefortuneerde klanten,<br />
visualiseren? Het eerste gevaar laat<br />
zich volgens de experts raden: gegevens<br />
die op straat komen te liggen. Deze informatie<br />
leent zich voor CEO-fraude en het<br />
lospeuteren van geld met valse profielen.<br />
Daarnaast ligt er een boete van de Autoriteit<br />
Persoonsgegevens op de loer vanwege<br />
een datalek. Het is zeer afhankelijk<br />
van de vooraf genomen veiligheidsmaatregelen<br />
of de verzekeraar in dit geval iets<br />
uitkeert, stelt Verkade.<br />
Ethisch hacken, het bewust binnendringen<br />
van een systeem om eventuele<br />
problemen bloot te leggen, levert vaak<br />
interessante inzichten op, reageert Van<br />
Etten. “Dan blijkt opeens dat ze via een<br />
smart lamp of een camera het netwerk<br />
kunnen betreden. Ondernemers vergeten<br />
wel eens hoeveel apparaten ze in<br />
hun bedrijf hebben. Die apparatuur heeft<br />
beveiliging en continue updates nodig.”<br />
HET WACHTWOORD, PIET?<br />
Een laatste praktijkschets: wat staat een<br />
productiebedrijf -omzet 10 miljoen eurote<br />
wachten als het plotseling stil komt<br />
te liggen door een ransomware-aanval?<br />
Een financieel adviseur heeft hier naar<br />
inzicht van de tafelgasten alle gewenste<br />
kaarten in handen om een klant te<br />
overtuigen. Een stilstand van enkele dagen<br />
zou immers zware verliezen opleveren.<br />
Verkade: “Het contractmanagement<br />
komt op tafel: welke afspraken zijn er en<br />
48 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
met wie zijn er contacten? Kun je in geval<br />
van nood met bepaalde machines doordraaien?<br />
Het is natuurlijk ook afhankelijk<br />
van het geleverde product. Als het bijvoorbeeld<br />
een unieke receptuur betreft,<br />
kan stringenter risicomanagement noodzakelijk<br />
zijn. Maar je wilt niet weten hoe<br />
het er soms aan toe gaat op de fabrieksvloer.<br />
Tien man aan de productiemachines<br />
die met één wachtwoord werken. En<br />
dan over de vloer gillen: Piet, wat is ook<br />
alweer het wachtwoord?”<br />
Het klinkt Van Etten bekend in de<br />
oren. Geeltjes met codes die rondslingeren,<br />
Dropbox-accounts die lang actief<br />
blijven, mensen die uit dienst zijn maar<br />
nog altijd kunnen inloggen op het systeem…<br />
“Wij onderzoeken dan ook het<br />
volledige proces op de werkvloer. Wat<br />
doet een bedrijf precies aan bewustwording?<br />
Als we aan tafel gaan, willen we<br />
niet alleen de IT’er erbij, ook management<br />
en HR moeten aanwezig zijn. Iedereen<br />
moet doordrongen zijn van cyberveiligheid.”<br />
VERDIEPING ZOEKEN<br />
Aangezien ondernemers geneigd zijn de<br />
cyberveiligheid voornamelijk in de ICThoek<br />
te zoeken, is de financieel adviseur<br />
hard nodig om het thema aan te kaarten.<br />
Dat vergt de nodige inspanningen, maar<br />
Robbert-Paul Verkade (VMD Koster):<br />
‘Tien man aan de snijmachines die<br />
met één wachtwoord werken…’<br />
het loont de moeite, geeft Robbert-Paul<br />
Verkade aan. Hij vat de vereisten in drie<br />
tips samen: bouw kennis op, specialiseer<br />
je en bied compleet advies. “Verdieping<br />
in de materie en in alle aanwezige verzekeringsoplossingen<br />
is een noodzaak,<br />
maar dat heeft even tijd nodig. Het is<br />
dan ook de vraag of een oudere nestor<br />
van het kantoor deze specialistische rol<br />
op zich moet nemen; de jongere generatie<br />
adviseurs heeft vaak meer affiniteit<br />
en raakvlakken met ICT. Daarnaast mag<br />
het geen productverkoop zijn. Een cyberpolis<br />
maakt deel uit van degelijk en zorgvuldig<br />
risicomanagement voor een specifieke<br />
onderneming.”<br />
Verkade start met een brede inventarisatie<br />
en duikt geleidelijk de diepte in.<br />
De aangeboden Cyber Risicoscan van de<br />
verzekeraar is naar zijn zeggen een goed<br />
begin. “Het geeft snel een overzicht van<br />
potentiële risico’s, van daaruit kun je verder<br />
inventariseren, de vraagstelling formuleren<br />
en de meeste optimale oplossingen<br />
eraan verbinden. Er zijn echter<br />
ook ondernemers die zeggen: ik neem<br />
dit risico voor lief want ik heb voldoende<br />
geld achter de hand.”<br />
Van Etten hoopt dat dergelijke klanten<br />
dan in elk geval op preventie inzetten.<br />
“Zelfs als je betaalt na een ransomware-aanval,<br />
weet je niet zeker of data<br />
wordt vrijgegeven. Ondernemers zullen<br />
bepaalde risico’s acceptabel vinden, maar<br />
er zijn ook schades die een bedrijf acuut<br />
de das om kunnen doen. Een adviseur<br />
maakt een indeling en laat zien welke situaties<br />
en oplossingen er mogelijk zijn.<br />
Bij zeer impactvolle schade na een cyberincident<br />
heeft de getroffen ondernemer<br />
wel behoefte aan een 24/7 hulpdienst,<br />
IT-specialisten van gerenommeerde cyber<br />
security-bedrijven, juridische en communicatieve<br />
ondersteuning en een coördinator<br />
die alles overziet. Het verschilt<br />
van bedrijf tot bedrijf, maar advies in het<br />
nemen van preventieve maatregelen is<br />
sowieso voor iedereen wenselijk.” n<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 49
<strong>CYBER</strong><br />
Jeroen Smit: ‘Zorg<br />
dat de aandacht<br />
niet verslapt.’<br />
50 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
ALS JE HET OVER <strong>CYBER</strong>SECURITY HEBT, ZIJN BEGRIPPEN ALS MALWARE, PHISHING,<br />
RANSOMWARE EN HACKS DOORGAANS HET EERSTE WAAR JE AAN DENKT. OP<br />
ZICH LOGISCH, WANT DAAROVER LEES EN HOOR JE OOK HET MEEST. VEEL MINDER<br />
AANDACHT GAAT UIT NAAR ANDERE, MINSTENS ZO BELANGRIJKE ZAKEN DIE<br />
OOK NAUW SAMENHANGEN MET <strong>CYBER</strong>SECURITY. <strong>VVP</strong> SPRAK MET JEROEN SMIT,<br />
CHIEF TECHNOLOGY OFFICER BIJ DE NATIONALE HYPOTHEEKBOND, OVER DE VELE<br />
ALLEDAAGSE RISICO’S EN WAT WE ZELF KUNNEN DOEN AAN BEVEILIGING VAN DATA.<br />
VAAK HEEL SIMPEL, MAAR HET VRAAGT HET WEL OM DISCIPLINE.<br />
Cybersecurity: een<br />
kwestie van gezond<br />
verstand en discipline<br />
TEKST RIENK ANDRIESSEN<br />
Smit: “Om met de deur in huis te vallen, het<br />
gaat bij cybersecurity globaal over de volgende<br />
zaken: beveiliging, wachtwoorden,<br />
updates, back-ups, systeemkeuze, providerkeuze,<br />
databeveiliging en welke impact het<br />
heeft als data op straat komen te liggen of<br />
geblokkeerd worden door kwaadwillende cybercriminelen.”<br />
Wat Smit wil zeggen, dit zijn zaken waar je zelf veel<br />
aan kunt doen. Daarbij komen nog zaken als falende<br />
apparatuur, of gedrag van collega’s dat de organisatie<br />
schaadt. “Denk aan de medewerker die het klantenbestand<br />
per ongeluk wist, terwijl er geen back-up van is,<br />
of de bekende USB-stick die in de trein blijft liggen. Ook<br />
daar is het nodige tegen te doen, mits je goede afspraken<br />
maakt en je je er vervolgens ook aan houdt. Zonder<br />
discipline is er schijnveiligheid.”<br />
Een simpel voorbeeld toont aan hoe snel het verkeerd<br />
kan gaan. Veel ondernemers maken regelmatig<br />
een back-up, maar als deze back-up vervolgens in een<br />
kluis op kantoor wordt bewaard loop je nog steeds het<br />
risico dat bij brand alle data verloren gaan. Of de backup<br />
die in de auto ligt en wordt gestolen, dat levert mogelijk<br />
een groot datalek op. “Allemaal zaken waar je<br />
grondig over moet nadenken en vervolgens consequent<br />
moet uitvoeren. Ik zou er sowieso voor kiezen om alle<br />
data realtime in de cloud te bewaren. Dan heb je daar<br />
geen omkijken naar. Het gekke is dat iedereen dat wel<br />
weet, maar niet iedereen dat ook doet.” En dat terwijl<br />
volgens Smit de grote clouddiensten zeer betaalbaar en<br />
ongelofelijk veilig zijn, zeker als je er een kiest die onder<br />
EU-regelgeving valt.<br />
VOORDEUR CONSEQUENT OP SLOT<br />
Hoewel veel van de risico’s van binnenuit komen, wil<br />
Smit de risico’s van buiten zeker niet bagatelliseren:<br />
“Die zijn er zeker en op bepaalde gebieden zijn de aanvallen<br />
geautomatiseerd. Je hoort regelmatig van ondernemers<br />
dat ze zijn getroffen door ransomware of<br />
phishing mails. Dat zijn geen gerichte aanvallen zoals<br />
waar grote ondernemingen mee te maken kunnen krijgen,<br />
maar veelal programma’s die op het web zoeken<br />
naar lekken in jouw beveiliging. Zie het als iemand die<br />
even kijkt of je voordeur op slot zit, en dan naar de vol-<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 51
<strong>CYBER</strong><br />
‘Zonder discipline is<br />
er schijnveiligheid’<br />
gende deur gaat. Consequent de voordeur op slot doen<br />
is de oplossing. Veel ellende is dus al eenvoudig te voorkomen<br />
als je je beveiliging maar op orde brengt en ook<br />
houdt.”<br />
Dan de risico’s van binnenuit, welke onderscheid je?<br />
Smit: “De ISO-standaard met betrekking tot beveiliging<br />
kent drie aandachtsgebieden: beschikbaarheid, integriteit<br />
en vertrouwelijkheid. De eerste, beschikbaarheid,<br />
gaat over de vraag: kan ik bij mijn data komen, heb ik<br />
nog toegang? Denk aan uitval van systemen, brand of<br />
ook ransomware. De tweede, integriteit, gaat over de<br />
vraag hoe je voorkomt dat de data niet corrupt raken,<br />
of ten onrechte worden aangepast. Dat heeft te maken<br />
met de software, maar ook met de rechten die je collega’s<br />
toekent om de data te benaderen of te bewerken.<br />
En dan rest vertrouwelijkheid, zijn mijn data veilig en<br />
liggen ze niet op straat? Wie is bevoegd ze in te zien?<br />
Dat risico zit een klein hoekje, bijvoorbeeld een gerichte<br />
mailing aan klanten over de aanpak van hypotheken<br />
die onder water staan die wordt verzonden via de cc en<br />
niet via de bcc. Dat mag niet gebeuren, je geeft niet alleen<br />
prijs wie je klanten zijn, maar lekt ook informatie<br />
over de financiële situatie van deze klanten. Daar kun je<br />
een hoop gedoe mee krijgen!”<br />
FYSIEK GESCHEIDEN<br />
De drie hoofdgroepen zijn duidelijk, beschikbaarheid,<br />
integriteit en vertrouwelijkheid. Wat kunnen we volgens<br />
Smit doen om ons op deze vlakken te beveiligen?<br />
“Qua beschikbaarheid: zorg dat je goede back-ups hebt,<br />
het liefst op fysiek gescheiden locaties, zodat je altijd bij<br />
je data kunt. Bijvoorbeeld via een standaard cloudoplossing.<br />
Dan is het vaak veel beter geregeld dan je het zelf<br />
zou kunnen organiseren.<br />
“Bij integriteit gaat het erom dat je data kloppen en<br />
niet ten onrechte vervuild raken door er verkeerde gegevens<br />
aan toe te voegen of onterechte mutaties. Beschrijf<br />
heel goed wie welke rechten heeft om ze in te<br />
zien, te muteren, verplaatsen en welke controles daarop<br />
plaatsvinden. De onervaren stagiair kan zomaar twee<br />
bestanden verkeerd koppelen. Ook hier zijn recente<br />
back-ups van belang voor als het toch misgaat. Dan zijn<br />
de juiste gegevens terug te zetten.<br />
“Ook op het gebied van vertrouwelijkheid is er veel<br />
zelf te doen. Gebruik voor alle systemen en programma’s<br />
verschillende wachtwoorden, laat de wachtwoorden<br />
niet rondslingeren, schrijf ze niet allemaal in een<br />
notitieboekje dat in je lade ligt, plak ze niet op de computer.<br />
Dat is hetzelfde als een touwtje uit je voordeur.<br />
Ook kun je instellen dat je meerdere malen per dag<br />
moet inloggen of dat je computer automatisch blokkeert<br />
als je een bepaalde tijd niet actief bent. Beveilig<br />
USB-sticks en laptops goed met wachtwoorden. Je<br />
kunt ook per medewerker de toegangsrechten tot systemen<br />
vastleggen. Allemaal zaken om te zorgen dat je<br />
data vertrouwelijk blijven. Zorg er ook voor dat je systemen<br />
altijd up-to-date zijn, de besturingssystemen<br />
van je computers maar ook van de zakelijke mobiele<br />
telefoons, zo ben je verzekerd van de laatste beveiligingen.<br />
Dus klik die update waarschuwing niet weg en<br />
stel automatisch updaten in waar mogelijk. Maak gebruik<br />
van tweestapsverificatie. Het zijn allemaal kleine<br />
stappen die samen veel opleveren. Ontwikkel hier<br />
goed beleid voor en zorg dat het wordt nageleefd, het<br />
draait immers om de discipline dat beleid ook echt uit<br />
te voeren, anders is het een papieren tijger. Spreek je<br />
collega’s daar ook op aan en leg ze het belang ervan uit.<br />
Of haal gewoon eens een grap uit bij een collega die<br />
zijn scherm niet vergrendeld heeft, dat blijft vaak beter<br />
hangen!”<br />
De ontwikkelingen gaan snel en je kunt bijna onmogelijk<br />
alle relevante informatie bijhouden. Het is volgens<br />
Smit daarom raadzaam om als organisatie tijd te<br />
reserveren om hiermee bezig te zijn. Smit: “De vraag is<br />
natuurlijk, wil je als adviseur met je klanten of met je<br />
systemen bezig zijn? Ik denk het eerste, maar het laatste<br />
is ook van groot belang. Heb je er zelf te weinig tijd<br />
of kennis voor kijk dan naar een partij die je kan ontzorgen.<br />
Houd iedereen scherp en zorg dat de aandacht niet<br />
verslapt. Wees alert en gedisciplineerd. Dat voorkomt<br />
veel ellende.” n<br />
52 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
Wie wint de Advies Award 2020?<br />
DE FINALERONDE VAN DE ADVIES<br />
AWARD 2020 VINDT DIT JAAR IN DIGITALE<br />
VORM PLAATS OP 7 OKTOBER 2020. HET<br />
PUBLIEK BEPAALT WIE ZICH HET MEEST<br />
KLANTGERICHTE ADVIESKANTOOR VAN<br />
NEDERLAND MAG NOEMEN. “HET BELANG<br />
VAN ONAFHANKELIJK FINANCIEEL<br />
ADVIES IS BIJZONDER WAARDEVOL,<br />
IETS WAT JUIST ONDERSTREEPT WORDT<br />
IN DEZE MOEILIJKE TIJD. ERKENNING<br />
VAN HET ADVIESVAK IS TE BELANGRIJK<br />
OM EEN JAAR OVER TE SLAAN”, ALDUS<br />
JURYVOORZITTER ASTRID DUITS.<br />
De Advies Award werd in 2019 in het leven geroepen om het maatschappelijk<br />
enorm belangrijke adviesvak in het zonnetje te zetten<br />
en de trots op het eigen vak te versterken. Vorig jaar won het<br />
advieskantoor Robbe Financiële Raadgevers.<br />
Dit jaar wordt de uitreiking van de award losgekoppeld van de Dag van<br />
het Topadvies. Dit event, dat <strong>VVP</strong> voor de zesde keer organiseert, is vanwege<br />
de coronacrisis verplaatst naar 15 juni 2021.<br />
Voor de coronacrisis maakte de jury, samen met 22 spotters, de namen<br />
van 33 genomineerden bekend. Inmiddels heeft de jury de draad weer opgepakt<br />
en is de verkiezing in volle gang. Verkiezing en uitreiking worden<br />
uiteraard volledig uitgevoerd volgens de RIVM-richtlijnen.<br />
Op 7 oktober geven de drie landelijke finalisten een<br />
digitale pitch, die live zal worden uitgezonden. Uw stem<br />
bepaalt wie de landelijke winnaar wordt. Doet u ook mee?<br />
Samen zetten we het adviesvak (nog) beter op de kaart!<br />
www.adviesawards.nl
PARTNER IN KENNIS<br />
ONDERNEMERS ADVISEREN OVER <strong>CYBER</strong>RISICO’S IS NIET MAKKE-<br />
LIJK. DE KANS IS NAMELIJK GROOT DAT UW RELATIE ZICH HIER-<br />
VOOR LIEVER WENDT TOT ZIJN ICT-DIENSTVERLENER. TOCH IS ER<br />
EEN BELANGRIJKE ROL VOOR U WEGGELEGD. Ú BENT NAMELIJK<br />
RISICO-EXPERT; Ú DENKT NA OVER DE GEVOLGEN VAN EEN ON-<br />
DERBREKING VAN DE BEDRIJFSCONTINUITEÏT. EN <strong>CYBER</strong>CRIME IS<br />
EEN VAN DE FACTOREN DIE IMPACTVOLLE GEVOLGEN KAN HEB-<br />
BEN, HELEMAAL NU DOOR CORONA HET <strong>CYBER</strong>RISICO IS GE-<br />
GROEID EN VERANDERD.<br />
Tijd voor goed risicomanagement<br />
is nú<br />
TEKST PHILIP VAN GANGELEN, MANAGER VERKOOP DE GOUDSE<br />
Zoals gebruikelijk maken cybercriminelen<br />
gebruik van actuele<br />
ontwikkelingen om hun criminele<br />
acties aan op te hangen.<br />
Corona is voor hen een dankbaar<br />
onderwerp. Ieder mogelijk slachtoffer<br />
kent het, is zeer geïnteresseerd en is<br />
misschien zelfs een beetje bang. De kans<br />
dat iemand ‘hapt’ is dus groter dan ooit.<br />
Niet gek dat cybercriminelen hun pogingen<br />
flink opgeschaald hebben in de eerste<br />
helft van 2020. Bij de politie kwamen<br />
in mei 2020 volgens RTL Nieuws 6,8 keer<br />
zoveel meldingen van digitale misdaad<br />
binnen. Nepwebwinkels voor mondkapjes<br />
en desinfectiegel, antibacteriële bankpassen,<br />
nepmails uit naam van de World<br />
Health Organisation en het RIVM… ze<br />
schoten als paddenstoelen uit de grond.<br />
ENORME VLUCHT<br />
Door corona werkt een groot deel van<br />
Nederland nu thuis. Hoewel de versoepelingen<br />
langzaam opgeschaald worden,<br />
durf ik wel te stellen dat er voorgoed iets<br />
veranderd is. Zo meldt het Kennisinstituut<br />
voor Mobiliteitsbeleid dat 44 procent<br />
van de Nederlanders door corona<br />
is gaan thuiswerken en een kwart daarvan<br />
dat ook na de coronacrisis wil blijven<br />
doen. Hierdoor vindt communicatie<br />
veel minder plaats op kantoor. Vergaderen<br />
doen we via Zoom, Teams of Skype.<br />
Ook het brainstormen is gedigitaliseerd.<br />
Hingen post-its en je innovatieve ideeën<br />
vroeger relatief veilig aan de muur van je<br />
vergaderzaaltje, ze hangen nu via applicaties<br />
als Slack en Miro in cyberspace.<br />
Maatschappelijk gezien is dit een<br />
prachtige ontwikkeling. We besparen<br />
veel kosten door een afname van de<br />
reistijd en mogelijk straks ook van de<br />
kantoorruimte, om over de verbetering<br />
van de luchtkwaliteit nog maar te zwijgen.<br />
Maar je hele bedrijfsvoering digitaal<br />
doen heeft ook keerzijdes. Want hoe<br />
meer we digitaliseren, hoe groter de kans<br />
op cybercrime. En als het dan misgaat, is<br />
je bedrijfscontinuiteït nog meer dan voor<br />
corona in het geding.<br />
OP STEL EN SPRONG<br />
Naast de toegenomen digitalisering is<br />
ook van belang onder welke omstandigheden<br />
die tot stand is gekomen. Door<br />
corona is dit namelijk, noodgedwongen,<br />
in allerijl gebeurd. Veel bedrijven zijn op<br />
stel en sprong overgegaan tot digitalisering<br />
van hun bedrijfsprocessen. Hierbij is<br />
de ondernemer in sommige gevallen ineens<br />
afhankelijk van de beveiliging van<br />
thuiscomputers van zijn medewerkers.<br />
Ook is onder de grote druk veel gebruikgemaakt<br />
van allerlei gratis (en dus wellicht<br />
minder beveiligde) apps. Zo gingen<br />
we massaal gebruikmaken van videobelapp<br />
Zoom, die vervolgens zo lek bleek<br />
als een mandje. Cybercriminelen maakten<br />
zo een half miljoen wachtwoorden<br />
buit. En die te betalen factuur die je baas<br />
vroeger met de pen aftekende, werd van<br />
de ene op de andere dag via de e-mail<br />
geaccordeerd.<br />
Ik kan me goed voorstellen dat bij<br />
deze acute digitalisering risicomanagement<br />
een van de laatste zorgen van on-<br />
54 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
dernemers moet zijn geweest. Maar het<br />
is wel de hoogste tijd om te beginnen<br />
met het managen van deze plots ontstane<br />
risico’s. We stonden er voor corona namelijk<br />
ook al niet zo goed voor.<br />
NUL TOT DRIE MAATREGELEN<br />
Uit onderzoek blijkt dat ondernemers ervan<br />
uitgaan dat hun ICT-dienstverlener<br />
de cyberrisico’s allemaal wel geregeld<br />
heeft. Ze vinden zelfs dat de ICT’er aansprakelijk<br />
is als er zich tóch een cyberincident<br />
voordoet. Nu blijkt óók uit onderzoek<br />
dat de gemiddelde ondernemer eigenlijk<br />
maar een paar cybermaatregelen<br />
treft. Een virusscanner en een Wifi-wachtwoord<br />
hebben de meeste ondernemers<br />
nog wel: circa 75 procent. Daarna wordt<br />
het al snel minder. Het CBS geeft aan dat<br />
circa 45 procent slechts nul tot drie maatregelen<br />
neemt. Uit eigen onderzoek van<br />
De Goudse komt eenzelfde beeld. Zo zien<br />
wij dat slechts 52 procent van de ondernemers<br />
dagelijkse back-ups laat maken<br />
en dat niet meer dan 34 procent aan bewustwording<br />
bij de medewerkers doet.<br />
Het belang van goede voorlichting van<br />
medewerkers, beveiliging en back-ups<br />
werd begin dit jaar nog maar eens aangetoond<br />
bij de Universiteit Maastricht.<br />
Op 2 januari 2020 meldden de media dat<br />
‘Perfect moment om een risicoinventarisatie<br />
onder de aandacht<br />
van uw relaties te brengen’<br />
de universiteit slachtoffer was geworden<br />
van ransomware. Cybercriminelen waren<br />
diep doorgedrongen tot de systemen en<br />
blokkeerden de toegang tot e-mail, Windows<br />
en wetenschappelijke gegevens.<br />
De universiteit zag uiteindelijk geen andere<br />
mogelijkheid dan het betalen van<br />
losgeld van 197.000 euro om de controle<br />
over hun systemen terug te krijgen. De<br />
oorzaak? Eén phishing-mailtje.<br />
Het gekke is dat back-ups en voorlichting<br />
juist vrij makkelijke en goedkope<br />
manieren zijn om je cyberrisico’s te verkleinen.<br />
DÉ KANS VOOR RISICOMANAGEMENT<br />
Tijdens deze coronacrisis staan ondernemers,<br />
wellicht onbewust, meer open voor<br />
risicomanagement. Er is in korte tijd veel<br />
veranderd en wellicht hebben ze het gevoel<br />
minder dan ooit grip op hun (cyber)<br />
risico’s te hebben. Wellicht zijn ze ook,<br />
breder dan alleen het cyberrisico, op zoek<br />
naar hulp bij het inschatten van nieuwe<br />
risico’s die nog op hen afkomen en horen<br />
ze graag hoe zij hier zo goed mogelijk<br />
op kunnen inspelen. Weinig ondernemers<br />
waren voorbereid op deze situatie<br />
en dat willen ze in de toekomst niet<br />
nog een keer laten gebeuren. Een perfect<br />
moment dus om een risico-inventarisatie<br />
onder de aandacht van uw relaties te<br />
brengen.<br />
Zoals gezegd, zijn er relatief eenvoudige<br />
en betaalbare manieren voor ondernemers<br />
om het risico op en de gevolgen<br />
van een cyberincident te verkleinen. Toch<br />
kan het risico nooit helemaal worden uitgesloten.<br />
De bedrijfscontinuiteït kan ernstig<br />
in gevaar komen als er toch iets gebeurt.<br />
Het is dus altijd aan te raden om<br />
een cyberverzekering af te sluiten om de<br />
gevolgen hiervan te kunnen opvangen.<br />
Veel succes bij uw advisering! n<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 55
<strong>CYBER</strong><br />
‘Basismaatregelen<br />
blijven van het<br />
grootste belang.’<br />
Cyberalerts!<br />
DE ONTWIKKELINGEN BIJ INFORMATIEBEVEILIGING EN <strong>CYBER</strong>SECURITY<br />
GAAN SNEL. <strong>VVP</strong> ZET EEN AANTAL TRENDS OP EEN RIJ: <strong>CYBER</strong>ALERTS!<br />
TEKST TOON BERENDSEN<br />
In deze <strong>VVP</strong> Special Cyber veel aandacht voor de cyberdienstverlening<br />
van financieel adviseurs aan hun<br />
klanten. Maar advieskantoren en de financiële sector<br />
zijn zélf natuurlijk ook potentiële slachtoffers van cyberincidenten.<br />
In dit artikel een aantal ‘alerts’ in dit<br />
verband.<br />
Een paar opmerkingen vooraf: bij het schrijven van<br />
dit artikel hebben we heel wat rapporten en documenten<br />
geraadpleegd. Het beeld dat daaruit naar voren<br />
komt, stemt niet vrolijk. Steeds weer wordt geconstateerd<br />
dat grip houden op cyberrisico’s - zeker bij complexe<br />
systemen en ketens - ontzettend lastig zo niet ondoenlijk<br />
is. Dat is uiteraard geen excuus om uw hoofd<br />
dan maar in het zand te steken. Maar wat ons betreft, is<br />
een van de belangrijkste tips uit alle documentatie die<br />
van de kroonjuwelen: bepaal wat de werkelijke kroonjuwelen<br />
van uw organisatie zijn en focus u om te beginnen<br />
daarop.<br />
En laat u niet gek maken. De toezichthouders willen<br />
dat het topkader van financiële ondernemingen informatiebeveiliging<br />
en cyber security hoog op de agenda<br />
plaatsen én houden. De Nederlandsche Bank (DNB) verwacht<br />
zelfs, zoals ze schrijft in haar eerder dit jaar verschenen<br />
tweede Informatiebeveiligingsmonitor, dat “het<br />
56 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
bestuur/de directie trainingen en opleidingen volgt om<br />
de belangrijkste IT-risico’s en beheersingsmaatregelen<br />
voor de instelling te kunnen begrijpen en basiskennis<br />
van informatiebeveiliging en cybersecurity te borgen”.<br />
Maar als er nou iets steeds duidelijker wordt, dan is het<br />
juist dat het enorm specialistische materie betreft. De<br />
uitdaging lijkt dan ook veel meer om grip te houden op<br />
de specialisten. Belangrijk in dit verband is dat het Centrum<br />
voor Criminaliteitspreventie en Veiligheid werkt<br />
aan een risicomodel, een kwaliteitsregeling en een certificeringsschema<br />
voor leveranciers van cybersecuritydiensten.<br />
Naar verwachting begin 2021 vindt de definitieve<br />
vaststelling en publicatie plaats.<br />
GOOD PRACTICE<br />
Om een idee te krijgen van wat er allemaal bij komt<br />
kijken als men écht werk wil maken van informatiebeveiliging<br />
en cybersecurity als financieel dienstverlener,<br />
moet u de Good Practice Informatiebeveiliging<br />
2019/2020 van DNB eens lezen. Hele goede informatie<br />
(bedoeld voor financiële instellingen maar goed door<br />
te trekken naar andere financiële dienstverleners).<br />
Maar meteen ook wordt duidelijk dat informatiebeveiliging<br />
en cybersecurity niet iets is dat men er zomaar<br />
even bij doet. Dat geldt overigens voor adviseren erover.<br />
De kennispartners van deze <strong>VVP</strong>-special dragen<br />
de boodschap uit dat cyberrisicomanagement voor iedere<br />
adviseur is weggelegd. Dat is ook zo, maar de adviseur<br />
moet zich het onderwerp toch wel goed eigen maken<br />
en goed beslagen ten ijs komen. En hij moet vooral<br />
ook de samenwerking zoeken met de verzekeraars/assuradeuren<br />
en andere partijen die dag in dag uit met<br />
de materie bezig zijn.<br />
Algemener dan de Good Practice zijn de elf Principes<br />
voor Informatiebeveiliging die de AFM eind 2019 publiceerde.<br />
Die principes verwoorden wat de toezichthouder<br />
verwacht van het beleid van financiële dienstverleners<br />
inzake informatiebeveiliging. Ook hieruit blijkt dat<br />
van vrijblijvendheid geen sprake is.<br />
PREVENTIE ALLEEN NIET GENOEG<br />
Een belangrijke alert uit alle rapporten en ook de praktijkervaring<br />
die er inmiddels is: met preventie alleen<br />
ben je er niet bij cyberrisico’s. In haar al aangehaalde<br />
Informatiebeveiligingsmonitor stelt DNB zelfs onomwonden:<br />
“Preventie alleen is heden ten dage niet meer<br />
genoeg, de nadruk komt meer te liggen op detectie en<br />
respons. De vraag is namelijk niet meer of een instelling<br />
risico’s loopt ten aanzien van informatiebeveiliging<br />
en cybersecurity, maar hoe de instelling ermee omgaat<br />
als zij daadwerkelijk is getroffen door een cyberaanval<br />
of -incident.”<br />
‘Informatiebeveiliging<br />
en cybersecurity doe je<br />
er niet zomaar even bij’<br />
De tijd dat cyberincidenten vooral toevalstreffers van<br />
criminelen en hackers waren, is ook voorbij. DNB heeft<br />
het beeld dat “instellingen tegenwoordig bij digitale<br />
aanvallen specifiek worden uitgezocht en zeer gericht<br />
op van te voren uitgezochte doelen binnen hun instelling<br />
worden aangevallen. Was het voorheen voldoende<br />
dat je huis met voldoende sloten beter beveiligd was<br />
dan dat van de buurman, nu is het niet meer genoeg<br />
om betere sloten dan de buurman te hebben.”<br />
Snelle detectie en adequate respons, heeft aan belang<br />
gewonnen. Helaas is het met de snelheid van detectie<br />
slecht gesteld. Het Cybersecuritybeeld Nederland<br />
2020: “Het vroegtijdig detecteren van aanvallen is een<br />
basismaatregel. Des te eerder, des te beter. Dat blijft<br />
echter voor veel organisaties een complexe opgave. Volgens<br />
een onderzoek was in 2019 de gemiddelde detectietijd<br />
van een aanval 56 dagen. Deze gemiddelde detectietijd<br />
is niet in verhouding met de snelheid waarmee<br />
een aanvaller zijn doel kan bereiken. Die heeft slechts<br />
enkele uren nodig.”<br />
De Inspectie van het Onderwijs stelde een onderzoek<br />
in na de cyberaanval die de Universiteit Maastricht<br />
(UM) eind vorig jaar trof. De Inspectie in haar rapport:<br />
“Fox-IT heeft vastgesteld dat na het openen van een<br />
phishing mail er onvoldoende detectie, monitoring en<br />
opvolging heeft plaatsgevonden, waardoor hackers op<br />
23 december 2019 een ransomwareaanval konden uitvoeren<br />
op een deel van het UM-netwerk.” Die phishing<br />
mail was al op 15 oktober geopend…<br />
Phishing blijft een enorm probleem. Phishing vindt<br />
traditioneel plaats via e-mail, maar het Cybersecuritybeeld<br />
Nederland 2020 geeft aan dat “cybercriminelen<br />
ook gebruik maken van phishing via sms (smishing).<br />
Ook ontfutselen aanvallers steeds vaker succesvol gevoelige<br />
informatie via sociale media om iemand gericht<br />
te benaderen, zogeheten spear phishing. Daardoor is<br />
voor een ontvanger lastig om te onderkennen dat het<br />
gaat om phishing”.<br />
BASISMAATREGELEN CRUCIAAL<br />
Volgens het Cybersecuritybeeld Nederland 2020 is de<br />
aanval op de Universiteit Maastricht “een voorbeeld<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 57
<strong>CYBER</strong><br />
van een geavanceerde aanval waarbij basismaatregelen<br />
de impact waarschijnlijk hadden kunnen reduceren.<br />
Diverse basismaatregelen waren niet op orde, zoals een<br />
juiste afhandeling van meldingen van phishing, installatie<br />
van beveiligingsupdates, segmentatie van het netwerk,<br />
toepassing van monitoring en detectie en het opslaan<br />
van offline backups”.<br />
Het Rathenau Instituut onderzocht in opdracht van<br />
de Cyber Security Raad wat nieuwe technologie kan bijdragen<br />
aan vergroting van de cyberweerbaarheid. Het<br />
onderzoeksrapport, begin juli uitgebracht, stelt: “Nieuwe<br />
technologieën als (opnieuw) machine learning, postkwantumcryptografie,<br />
LiFi, 5G-netwerken of gedistribueerde<br />
systemen bieden kansen om de cyberweerbaarheid<br />
te verhogen.” Maar het instituut noemt het “ook<br />
van groot belang om meer en beter gebruik te maken<br />
van bestaande, maar onderbenutte technologieën. Als<br />
zelfs basisveiligheidsmaatregelen als sterke wachtwoorden<br />
of software-updates onderbenut blijven, heeft het<br />
weinig zin om in te zetten op de nieuwste innovaties”.<br />
‘Medewerkers en je zelf<br />
scherp houden is de<br />
grootste uitdaging’<br />
VIJF BASISPRINCIPES<br />
Om phishing minder effectief te maken, aldus het Jaarbeeld<br />
Cybersecurity 2020, “voeren steeds meer organisaties<br />
campagnes uit onder werknemers om het bewustzijn<br />
van de gevaren van phishing te verhogen. Ook<br />
de overheid startte een bewustwordingscampagne. Uit<br />
onderzoek blijkt dat dit effect heeft: bij phishing-oefeningen<br />
dalen de clickrates”.<br />
Het Digital Trust Center van het ministerie van Economische<br />
Zaken en Klimaat, opgericht in 2018, formuleert<br />
op haar site ‘De vijf basisprincipes van veilig digitaal<br />
ondernemen’. Deze zijn: inventariseer kwetsbaarheden,<br />
kies veilige instellingen (controleer de instellingen<br />
van apparatuur, software en netwerk- en internetverbindingen.<br />
Pas standaardinstellingen aan en kijk kritisch<br />
naar functies en diensten die automatisch ‘aan’<br />
staan), voer updates uit, beperk toegang (definieer per<br />
medewerker tot welke systemen en data toegang vereist<br />
is om te kunnen werken. Zorg dat toegangsrechten worden<br />
aangepast als iemand een nieuwe functie krijgt of<br />
bij de onderneming vertrekt), voorkom virussen en andere<br />
malware (stimuleer veilig gedrag van medewerkers,<br />
gebruik een antivirusprogramma, download apps veilig<br />
en beperk de installatiemogelijkheden van software).<br />
Het probleem is dat iedereen de basisprincipes eigenlijk<br />
wel kent, maar dat ze in de dagelijkse drukte en routine<br />
steeds weer ondersneeuwen. De medewerkers en je<br />
zelf scherp houden is dan eigenlijk ook de grootste uitdaging.<br />
Maar wel belangrijk dus. Helemaal nu er – aangejaagd<br />
door corona – steeds vaker thuisgewerkt wordt.<br />
<strong>CYBER</strong>VERZEKERING<br />
Een cyberverzekering (of een cyber add on op een bestaande<br />
polis) is ook een essentieel onderdeel van cyberrisicomanagement,<br />
al was het maar voor de ondersteuning<br />
die wordt geboden bij preventie en bij een<br />
incident. Dus ja, als financieel dienstverlener doet u er<br />
verstandig aan zelf ook zo’n verzekering af te sluiten. U<br />
beheert immers databestanden. Belangrijk wel om te<br />
beseffen, is dat een cyberverzekering geen alternatief<br />
is voor slechte informatiebeveiliging en cybersecurity.<br />
Verzekeraars zijn immers ook niet gek, en zeker niet bij<br />
cyber waar het om enorme bedragen kan gaan.<br />
De verzekeraars vergoedden de bijna twee ton losgeld<br />
die de Universiteit Maastricht betaalde om weer<br />
toegang te hebben tot haar eind vorig jaar gehackte bestanden.<br />
Geen goede zaak, meende minister Grapperhaus:<br />
“Het heeft mijn voorkeur dat de verzekeraar niet<br />
het losgeld vergoedt dat in handen van criminelen terecht<br />
komt, maar juist de geleden schade door het niet<br />
betalen van dit losgeld. Mijn opvattingen heb ik bij het<br />
Verbond van Verzekeraars onder de aandacht gebracht.<br />
Het Verbond van Verzekeraars heeft mij laten weten<br />
dat zij de geuite zorgen onder de aandacht zal brengen<br />
van de leden en hierover met hen in gesprek zal gaan.”<br />
Toch denken wij niet dat verzekeraars hun polissen<br />
gaan aanpassen (voor zover ze al losgeld en boetes<br />
vergoeden). Aanpassingen gaan er eerder komen als de<br />
schadelast zou exploderen. Daarvan lijkt op dit moment<br />
geen sprake. Sterker, de Wetenschappelijke Raad van<br />
het Regeringsbeleid (WRR) pleitte vorig jaar in haar rapport<br />
‘Voorbereiden op digitale ontwrichting’ voor een<br />
cyberpool maar minister Grapperhaus vindt zo’n pool<br />
niet nodig. Grapperhaus: “Het kabinet ziet dat op het<br />
gebied van verzekeringen schade na cyberincidenten<br />
steeds vaker onder normale bedrijfspolissen vallen en<br />
dat er ook steeds meer cyberpolissen worden aangeboden.<br />
Op dit moment ziet het kabinet daarom geen aanleiding<br />
voor aanvullende maatregelen.”<br />
PERSOONSGEGEVENS<br />
Een goede informatiebeveiliging en cybersecurity zijn<br />
niet alleen van belang om cyberincidenten, maar ook<br />
58 | <strong>VVP</strong> <strong>SPECIAL</strong> SEPTEMBER 2020
<strong>CYBER</strong><br />
schending van de privacywetgeving - en dan helemaal<br />
de AVG van 2018 - te voorkomen. Zo’n schending kan<br />
duur uitpakken, laten boetes zien die de Autoriteit Persoonsgegevens<br />
(AP) inmiddels heeft opgelegd. Enkele<br />
alerts in dit verband.<br />
Een duidelijke trend is digitaal delen van de eigen<br />
gegevens bij de overheid met derden. Dit komt de betrouwbaarheid<br />
van de gegevens en daarmee de efficiency,<br />
bijvoorbeeld bij een hypotheekaanvraag, ten<br />
goede. De consensus is dat de persoon in kwestie in<br />
control moet zijn bij het gegevensdelen. Het kabinet<br />
gaat echter niet zover om juridisch eigendom van persoonsgegevens<br />
in te voeren, “omdat het eigendomsrecht<br />
daar niet op is ingericht en er bovendien grenzen<br />
aan de zeggenschap over de eigen gegevens zijn. Het is<br />
veel beter om de rechten en plichten van de persoonsgegevens<br />
van een burger zo veel mogelijk op een andere<br />
manier te beschermen. De in de AVG vastgelegde<br />
rechten en plichten zijn in de beleidsbrief Regie op Gegevens<br />
van 11 juli 2019 nader ingevuld en uitgebreid,<br />
ten aanzien van inzage en correctie, eenmalige verstrekking<br />
van gegevens, en (vooral) het digitaal kunnen<br />
delen van de eigen gegevens bij de overheid met<br />
derden”.<br />
De Nederlandse Vereniging van Banken (NVB) vindt<br />
dat voor een juiste balans tussen de verschillende partijen<br />
in de data-economie een nieuw wettelijk kader<br />
nodig is voor de toegang tot en het delen van persoonlijke<br />
data, waarbij individuen meer controle krijgen<br />
over hun data die in het beheer zijn van bedrijven en<br />
de overheid (de datagebruikers). Hiervoor zou een zogenaamde<br />
Data Services Regulation moeten worden ingevoerd.<br />
Dit als voortbouwing op de eisen rond data-toegang<br />
en -deling zoals die al zijn vastgelegd in de AVG.<br />
De banken hebben hier zelf ook een belang bij. De<br />
NVB: “Particuliere en zakelijke gebruikers van betaaldiensten<br />
kunnen eenvoudig hun betaaldata met derde<br />
partijen delen. Maar dat kunnen zij niet met andere<br />
type data. Hierdoor hebben klanten slechts beperkt<br />
controle over hun data, kunnen zij de waarde van hun<br />
data niet optimaal benutten en bestaat de kans dat<br />
data slechts ten dienste staat van een beperkt aantal<br />
BigTech-spelers. Met de introductie van PSD2 is een ongelijk<br />
speelveld ontstaan, waarbij klanten (data-eigenaren)<br />
eenzijdig bancaire data kunnen delen met gelicenseerde<br />
data-gebruikers. Maar omgekeerd banken geen<br />
data van niet-bancaire partijen kunnen ontvangen.”<br />
DATAMINIMALISATIE<br />
Het eindwoord is hier nog lang niet gesproken. Maar de<br />
materie is wel belangrijk, omdat gegevens steeds meer<br />
het nieuwe goud voor ondernemingen worden. Daar<br />
horen waarborgen voor de consument bij. Zo’n waarborg<br />
is misschien al aangereikt door de AP. De Autoriteit<br />
meent dat zo min mogelijk gegevens moeten worden<br />
verzameld!<br />
De AP in zijn ‘Focus 2020-2023: dataprotectie in een<br />
digitale samenleving’: “Mede door de komst van de AVG<br />
en de Richtlijn politie en justitie ziet de AP dat bedrijven,<br />
organisaties en burgers zich langzaamaan meer<br />
bewust worden van de privacyrisico’s en grip willen<br />
krijgen op hun persoonsgegevens. Het is van groot belang<br />
dat organisaties hun verantwoordelijkheid nemen.<br />
Het toepassen van privacy by design en privacy by default<br />
is noodzakelijk in een datasamenleving waarin<br />
continu nieuwe producten en diensten worden ontwikkeld.<br />
Dit betekent bijvoorbeeld dat er bij het ontwerp<br />
van systemen zo min mogelijk persoonsgegevens worden<br />
verzameld (dataminimalisatie) (by design). En dat<br />
bijvoorbeeld bij (IoT)-producten automatisch de meest<br />
privacyvriendelijke optie wordt gebruikt (by default).”<br />
Vanuit oogpunt van privacy gezien, geldt dan dus:<br />
minder is meer. Of de fans van Big Data daar oren naar<br />
hebben? n<br />
Principes voor Informatiebeveiliging: https://www.afm.nl/<br />
nl-nl/nieuws/2019/dec/principes-informatiebeveiliging en<br />
Good Practice Informatiebeveiliging 2019/2020: https://<br />
www.toezicht.dnb.nl/5/50-237689.jsp<br />
<strong>SPECIAL</strong> SEPTEMBER 2020 <strong>VVP</strong> | 3
<strong>VVP</strong> is trots op alle organisaties<br />
die de special ‘Cyber’ mede<br />
mogelijk hebben gemaakt