Cyberverzekering

msamlin.com

2

Cyberincidenten 3 Cyberrisico’s 3 Cybergevolgen 4 Informatiebeveiliging 4

Beschikbaarheid 5 Integriteit 5 Vertrouwelijkheid 5 Overige risico’s 5 MS Amlin First Response Team 5 Preventiediensten 6 Dekkingsoverzicht 7

Belangrijkste algemene uitsluitingen 8 Belangrijkste specifieke uitsluitingen 8

Samenwerking met onafhankelijke professionele distributeurs 9

Permanent actueel vakbekwaam 9

Aanspreekpunt 9

Vergoeding 9

Subagenten of nevenverzekeringstussenpersonen 9

Product Approval & Review Process (PARP) 10

Product Locker 10

3

In dit document ‘Informatie voor de distributeur’ staan de productkenmerken van de

Cyberverzekering voor de distributeur.

In de zogenaamde IPID (Insurance Product Information Document) staan de productkenmerken

van de Cyberverzekering kort en duidelijk opgesomd voor de eindklant. De IPID dient voor het

sluiten van de overeenkomst in het bezit van de eindklant te zijn, zodat deze de informatie tot

zich kan nemen alvorens een product aan te schaffen. De IPID Cyberverzekering kunt u

terugvinden op: msamlin.com/cyberverzekering.

Cyberincidenten

Tegen cybercrime wapen je je met allerlei maatregelen, die we cybersecurity noemen. Maar ook

elders in cyberspace dreigt gevaar. Tegenwoordig zijn allerlei apparaten immers met elkaar en

het internet verbonden. Dat lijkt handig, maar het betekent ook dat bedrijven via talloze

elektronische apparaten kwetsbaar zijn. Ook kunnen criminelen het Internet of Things

misbruiken: ze dringen via printers, (mobiele) telefoons, camera’s en thermostaten binnen in ICT-

systemen. Om gevoelige bedrijfsinformatie te beschermen, is het belangrijk dat bedrijven alle

apparatuur goed beveiligen tegen cybercrime.

Cyberincidenten zijn een van de grootste en snelst groeiende risico’s waarmee bedrijven te

maken krijgen. Bekend zijn de voorbeelden van hackers en cybercriminelen. Minder bekend,

maar niet minder gevaarlijk, zijn de incidenten waarbij eigen medewerkers (vaak onbedoeld) een

rol spelen. Niet alleen grote organisaties lopen risico, ook kleine en middelgrote bedrijven zijn

kwetsbaar voor incidenten. Cyberaanvallen worden steeds complexer en professioneler.

Cyberincidenten zijn dan ook een veelbesproken onderwerp onder ondernemers, van grote

multinationals tot midden- en kleinbedrijven.

Cyberrisico’s

Cybercriminaliteit haalt elke dag het nieuws. Vaak gaat het daarbij om georganiseerde

cybercrime. In vele gevallen gaat het echter om alledaagse technische storingen of menselijke

fouten. Daardoor krijgen bedrijven te maken met systeemuitval of gegevensverlies. Ruim een

derde van de middelgrote bedrijven in Nederland heeft regelmatig last van cyberdreigingen. Bijna

de helft is slachtoffer van e-mailhacks. Ook andere incidenten, zoals ransomware, nemen toe.

Criminelen gebruiken steeds slimmere trucs en geavanceerdere methodes. Hieronder de

belangrijkste cyberrisico’s:

Internet of Things (IoT)

Ransomware

Phishing

Sociale media

Onbeveiligde openbare wifi-netwerken

DDoS-aanvallen

4

Een fout of actie van eigen medewerkers:

- Slechte wachtwoorden

- Verkeerd adresseren van een e-mail

- Verlies van een USB-stick

Oude harde schijven

Identiteitsdiefstal, fraude

Datalek

Cyberincidenten kunnen ook onbedoeld ontstaan. Denk bijvoorbeeld aan het tijdelijk uitvallen van

een systeem door een fout bij de installatie van software of het per ongeluk lekken van

vertrouwelijke gegevens doordat iemand een USB-stick laat slingeren. Er zijn dus veel meer

cyberrisico’s dan u denkt. Een ongeluk zit in een klein hoekje, maar in het geval van cyber

kunnen de gevolgen gigantisch zijn.

Bij de oorzaken van cyberincidenten maken we onderscheid tussen menselijk handelen,

techniek en bedrijfsprocessen. Een fout of actie van eigen medewerkers is een van de meest

voorkomende risico’s. Denk aan het verkeerd adresseren van een e-mail of het openen van

een phishingmail.

Cybergevolgen

Cyberincidenten en andere gebeurtenissen kunnen verschillende soorten schade en kosten

voor organisaties veroorzaken, afhankelijk van hun branche, activiteiten en andere factoren.

Belangrijke cybergevolgen zijn:

Bedrijfsschade

Kosten van herstel van gegevens

Aansprakelijkheidsclaims

AVG-boetes

Afpersingskosten

Reputatieschade

Informatiebeveiliging

Door de digitalisering wordt het belang van informatiebeveiliging steeds groter.

Bedrijfsinformatie is cruciaal om te ondernemen, producten en diensten te optimaliseren en te

concurreren. Daarnaast geldt sinds 2018 de Algemene verordening gegevensbescherming

(AVG) in alle landen van de Europese Unie. De AVG voorziet in een vergaande bescherming

van persoonsgegevens. Ook als bedrijven persoonsgegevens hebben uitbesteed aan externe

partijen, bijvoorbeeld een cloud-dienstverlener, blijven zij verantwoordelijk. Er zijn dus tal van

redenen om goed naar cyberveiligheid te kijken.

Bovenstaande onderdelen vormen de kern van de Cyberverzekering van MS Amlin die voldoet

aan de belangrijkste behoeften van bedrijven.

5

De Cyberverzekering van MS Amlin dekt standaard de drie belangrijkste factoren bij

informatiebeveiliging: Beschikbaarheid, Integriteit en Vertrouwelijkheid. Deze unieke

benadering heeft MS Amlin uitgebreid met de rubriek Overige risico’s. De vier rubrieken

hebben betrekking op cyberrisico’s voor zowel aansprakelijkheid als eigen schade. Naast deze

rubrieken kunnen bedrijven 24/7 beroep doen op het MS Amlin First Response Team. Ook

kunnen bedrijven gebruikmaken van preventiediensten.

Beschikbaarheid

Het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben

tot informatie en aanverwante voorzieningen.

Integriteit

Het waarborgen van de juistheid en volledigheid van informatie en de correcte verwerking van

informatie. Goed beheer van bevoegdheden en mogelijkheden tot wijzigen van gegevens voor

een geautoriseerde groep gerechtigden is cruciaal voor de integriteit van de informatie.

Vertrouwelijkheid

Het waarborgen dat informatie alleen toegankelijk is voor geautoriseerde personen.

Overige risico’s

Onder Overige risico’s is het volgende gedekt:

Aanspraken als gevolg van media-aansprakelijkheid

Aanspraken als gevolg van schending van persoonsgegevens

Bedrijfsschade door aantasting van reputatie als gevolg van schending van privacy of

vertrouwelijkheid

Cyberfraude

Beschermingsinbreuk van betaalkaartgegevens (Payment Card Industry)

Telefoonhacking

MS Amlin First Response Team

Bij een cyberaanval is het noodzakelijk om al in de eerste uren na ontdekking belangrijke

maatregelen en besluiten te nemen om schade te voorkomen of te beperken. Daarbij is het van

belang snel, kalm, adequaat en gecoördineerd te reageren. Met de juiste ondersteuning wordt

schade beperkt en het herstel van de bedrijfsvoering versneld. Heeft een bedrijf te maken met

een cyberincident of een vermoeden hiervan? Dan kan het bedrijf 24/7 beroep doen op het MS

Amlin First Response Team.

Voor een adequate crisisondersteuning werkt MS Amlin samen met de gerenommeerde partners

International Security Partners (ISP), Kennedy Van der Laan, Grant Thornton en

Bex*communicatie. Samen vormen zij het MS Amlin First Response Team.

Bij een cyberincident neemt het bedrijf direct contact op met het MS Amlin First Response Team.

Het team staat 24 uur per dag en 7 dagen per week klaar om het bedrijf te begeleiden en te

helpen bij de noodzakelijke acties. Deze nationale én internationale dienstverlening is erop

gericht om risico’s te beperken en te beheersen. Het bedrijf kan daarbij rekenen op de diensten:

6

Crisismanagement

Juridisch advies

IT-ondersteuning

Forensisch onderzoek

Crisiscommunicatie

Voor de eerste 72 uur brengt MS Amlin geen eigen risico in rekening voor deze First Response-

diensten.

Preventiediensten

Het liefst willen bedrijven natuurlijk helemaal geen cyberschade. Daarom helpt MS Amlin

bedrijven graag met aanvullende diensten om cyberrisico’s zoveel mogelijk te beperken. De First

Response Team-partner International Security Partners (ISP) ondersteunt bedrijven met het

beperken van cyberrisico’s. Met een Cyberverzekering van MS Amlin kunnen bedrijven tegen

een gereduceerd tarief gebruik maken van de volgende diensten:

Online Cyber Risicoanalyse

Met de Online Cyber Risicoanalyse wordt het bedrijf geanalyseerd op cyberrisico’s.

Daadwerkelijke bedreigingen en kwetsbaarheden worden in kaart gebracht. Hierdoor het

bedrijf gerichte maatregelen nemen om deze risico’s te beheersen en de eventuele schades

te beperken.

E-learning

De e-learning Cyber Awareness maakt het bedrijf en de medewerkers bewust van

cyberrisico’s binnen het bedrijf.

7

Dekkingsoverzicht

Hieronder vindt u een volledig dekkingsoverzicht van de Cyberverzekering. Een uitgebreidere beschrijving van de dekking leest u in de polisvoorwaarden.

8

Belangrijkste algemene uitsluitingen

Inbreuk op nationale of internationale sanctiewet- en regelgeving

Molest

Terrorisme (anders dan NHT)

Atoomreacties

(Bio-) chemische wapens

Niet nakoming bereddingsplicht

Opzet en fraude

Belangrijkste specifieke uitsluitingen

Zaak- en personenschade

De persoonlijke aansprakelijkheid van bestuurders en commissarissen

Deze uitsluiting geldt niet indien en voor zover deze verzekering dekking had geboden als de

verzekeringnemer was aangesproken.

Het gebruik van illegale of niet gelicentieerde programma’s

Onderlinge aansprakelijkheid

Inbreuk op intellectueel eigendom

Contractuele aansprakelijkheid

Infrastructuur, zoals storing, aantasting of onderbreking in de levering van een

nutsvoorziening of dienstverlening van een telecomprovider of satelliet.

De Cyberverzekering van MS Amlin is er voor alle soorten bedrijven en alle sectoren. Van grote

internationale ondernemingen tot start-ups. De primaire doelgroep is het Midden en Klein bedrijf.

Echter, aan de hand van de acceptatierichtlijnen, aanvraagformulieren en dergelijke beoordelen

de underwriters van MS Amlin en de sluiters/acceptanten van de distributeurs (eventueel in

samenspraak met de klant) of een product geschikt is of niet. MS Amlin streeft ernaar de

Cyberverzekering in vrijwel alle segmenten aan te bieden. MS Amlin wil een breed spectrum aan

organisaties om concentratie te voorkomen.

MS Amlin wil aan de behoeften van zijn klanten voldoen door dit product op de markt te brengen

met een dekking die door distributeurs wordt verwacht. Om aan de behoeften van onze klanten te

kunnen voldoen, hebben we ervoor gezorgd dat dekkingen vallen in het meest gebruikte IT-

beveiligingsraamwerk voor het categoriseren en documenteren van beveiligingsrisico's:

vertrouwelijkheid, integriteit en beschikbaarheid.

Over

9

Samenwerking met onafhankelijke professionele distributeurs

MS Amlin biedt verzekeringen niet rechtstreeks aan, maar werkt hiervoor altijd samen met

onafhankelijke professionele distributeurs (tussenpersonen, makelaars en gevolmachtigd

agenten). MS Amlin en distributeurs worden gezien als financiële ondernemingen en dienen op

basis van de Wet op het financieel toezicht (Wft) ervoor te zorgen dat de organisaties over

voldoende vakbekwaamheid beschikken. Een persoon is vakbekwaam als deze over de juiste

diploma’s en PE- certificaten beschikt om financiële diensten te kunnen verlenen.

Permanent actueel vakbekwaam

Het uitgangspunt van de vakbekwaamheidseisen is dat alle klantmedewerkers in een financiële

onderneming vakbekwaam zijn. Met klantmedewerkers worden alle medewerkers bedoeld die

zich bezighouden met het verlenen van financiële diensten aan klanten. Voor klantmedewerkers

die adviseren geldt een diplomaplicht. Voor andere klantmedewerkers moet een onderneming via

de bedrijfsvoering zorgen voor de noodzakelijke vakbekwaamheid.

Opleidingen zijn er op gericht dat medewerkers in staat zijn risico’s in kaart te brengen en te

analyseren en af te stemmen op de wensen van hun klanten. Zij leren daarbij de vertaling te

maken naar verzekeringsoplossingen.

Als vergunninghouder dient MS Amlin ervoor te zorgen dat alle klantmedewerkers permanent

actueel vakbekwaam zijn. Dit betekent dat klantmedewerkers vakbekwaam zijn, dat zij op de

hoogte zijn van actuele ontwikkelingen op hun vakgebied en deze kunnen toepassen in hun

werk. Deze verplichting geldt voor elke medewerker met inhoudelijk klantcontact.

Aanspreekpunt

Een onafhankelijke distributeur zal voor de klant op zoek gaan naar de verzekering die het best

bij de klant past. Tijdens de looptijd van de verzekering blijft de distributeur het aanspreekpunt

voor de klant. Zo zal de distributeur ook bij een schade de klant bijstaan.

Vergoeding

De distributeur zal het product (van MS Amlin of een concurrent) aan de eindklant presenteren,

vaak in een vergelijk van premie en klantspecifieke condities (clausules). De distributeur krijgt

een vaste procentuele vergoeding als een polis gesloten wordt als kostenvergoeding voor het

werk. Er worden geen andere/separate financiële prikkels gegeven bij het sluiten van een

contract. In geval van een volmacht wordt wel een tekencommissie overeengekomen - via deze

route wordt immers een deel van het werk verplaatst van maatschappij naar volmacht.

Subagenten of nevenverzekeringstussenpersonen

Als de distributeur samenwerkt met subagenten of nevenverzekeringstussenpersonen, dient

deze vast te stellen of zij in het bezit zijn van de benodigde vergunning (tenzij ze onder de

vrijstellingsregeling vallen) en voldoen aan de wettelijke eisen, zoals vakbekwaamheid.

10

In het kader van het project Client Experience zijn alle MS Amlin producten beoordeeld. Nieuwe

producten worden binnen hetzelfde proces beoordeeld. Het gaat erom dat de producten

rechtvaardig en in het belang van de klanten zijn. Hierbij spelen onder meer de volgende

aspecten:

Voldoet het aan de behoefte van onze klanten.

Klant in het middelpunt

Redelijke prijs

Gepast/rechtvaardig product

Geen onredelijke bepalingen

Begrijpelijk

Product Approval & Review Process (PARP)

In Nederland geldt op basis van wet- en regelgeving dat verzekeraars een procedure hebben

waarmee wordt getoetst of nieuwe en bestaande producten begrijpelijk en in het belang van de

klant zijn. Deze procedure wordt in Nederland vaak aangeduid als Product Approval & Review

Process (PARP).

Product Locker

In het Verenigd Koninkrijk gelden vergelijkbare eisen op basis van wet- en regelgeving, maar

daar hebben we ook te maken met eisen vanuit Lloyds. MS Amlin heeft in het Verenigd Koninkrijk

een procedure ontwikkeld in het kader van Client Experience (Product Review) en besloten om

deze procedure ook voor de andere landen te laten gelden. Binnen deze procedure wordt een

tool gebruikt die bestaat uit diverse onderdelen. Het geheel wordt vastgelegd in een zogenaamde

Product Locker.

In de Product Locker zijn onder andere de volgende tabs terug te vinden:

Product Assessment Matrix (PAM)

Door middel van een soort ‘quick scan’ wordt het risico in beeld gebracht en wordt het

Conduct Risk bepaald (High, Medium of Low).

Key Informatie

Op basis van de antwoorden in de PAM wordt bij Key informatie het Conduct Risk

weergegeven.

Conduct Evaluation

De Conduct Evaluation is de kern van de review. Hier wordt stilgestaan bij aspecten, zoals

behoeften van de klant, doelgroep, dekking, wijze van distributie, training van medewerkers,

managementinformatie, communicatie en evaluatie.

Key Performance Indicator (KPI)

Alle relevante kritieke prestatie-indicatoren worden met KPI’s in beeld gebracht.

11

Wording Review

Met een Wording Review wordt stilgestaan bij de polisvoorwaarden. Deze moeten leesbaar

zijn voor de doelgroep en voldoen aan wet- en regelgeving. Daarnaast dient de dekking aan

te sluiten op de behoefte van de klant en geen onredelijke uitsluitingen te bevatten.

Project Oversight Group (POG) Review

Alle stukken worden uiteindelijk beoordeeld binnen de Project Oversight Group (POG). De

uitkomst van de POG review wordt vastgelegd met vermelding van de datum waarop het

product opnieuw bekeken zal worden. Alle MS Amlin producten worden afhankelijk van het

Conduct Risk één keer per jaar of één keer per twee jaar beoordeeld. Als er tussentijds

aanleiding is, wordt er eerder beoordeeld.

Post POG Rating

Bij het invullen van de PAM wordt door de tool automatisch het Conduct Risk bepaald. Na

het doorlopen van de Product Locker wordt bekeken of er argumenten zijn de automatische

gegenereerde scores aan te passen. Dit wordt beoordeeld op basis van de hieronder

genoemde aspecten die bepalend zijn voor de hoogte van een bepaald risico.

Customer risk Ziet er op aan welk type klant het product wordt verkocht en of het

geschikt is voor dat type klant (voor een kwetsbare consument is het

risico veel hoger dan voor een groot bedrijf).

Product

complexity

Ziet toe op eigenschappen als:

is het een complex-product?

zijn de polisvoorwaarden formeel goedgekeurd?

wat is de standaard duur?

wordt het stilzwijgend verlengd?

Sales risk Hoe (met of zonder advies) wordt het verkocht en via welke keten

wordt het verkocht aan de klant?

wordt er reclame gemaakt?

is het een soort koppelverkoop?.

Incentives Welke maatregelen zijn getroffen om te bewerkstelligen dat de klant goed

wordt geadviseerd, geen misleidende informatie krijgt en dat partijen in

de keten goed zijn opgeleid en integer werken.

Service risk Gaat over policy administratie, premie-incassering, claimshandling (doet

MS Amlin dat zelf of is dit uitbesteed aan een gevolmachtigd

agent/service provider) en klachtenafhandeling.

Bezoekadres Van Heuven Goedhartlaan 939 1181 LD Amstelveen

Postadres Postbus 2190 1180 ED Amstelveen

Telefoon 020 503 1100

msamlin.com

© Mei 2019. De informatie in dit document is uitsluitend bedoeld voor informatieve doeleinden en is correct op het

moment van afdrukken. De inhoud kan niet worden aangemerkt als aanbod en er kunnen op geen enkele wijze rechten

aan worden ontleend. De diensten en producten die in deze brochure vermeld worden, zijn mogelijk niet beschikbaar in

bepaalde rechtsgebieden waar MS Amlin geen handelslicentie heeft.

MS Amlin Insurance SE - Van Heuven Goedhartlaan 939, Amstelveen - Postbus 2190, 1180 ED Amstelveen –

Tel. +31 (0)20 503 1100 - www.msamlin.com

Bijkantoor Nederland - Handelsregister 64815323, BTW NL8558.65.817.B.01, IBAN NL76ABNA0636720675

BIC ABNANL2A Hoofdkantoor: MS Amlin Insurance SE, Koning Albert II-Laan 37, 1030 Brussel, België