Kijk naar de inhoud in plaats van de prijs

Bran Grundmeijer 2

(Door Bram Grundmeijer, Klap)

Klap verwacht dat cyber tot de kern gaat horen van het verzekeringslandschap. Nu wordt cyber vaak nog als cross-sell mogelijkheid gezien. Hoe mooi zou het zijn als dit net zo’n belangrijke positie gaat innemen als brand of aansprakelijkheid. Dit domein verdient het!

Waaruit bestaat jullie cyberaanbod precies?

Ons aanbod beslaat grofweg drie domeinen, te weten: bewustwording, preventie en verzekeren. Het aanbod doen we online. Hier kan direct worden afgesloten. Daarnaast bieden we de gehele propositie ook op de traditionele manier aan. Dit naar de wens van klant of prospect.

Op de drie domeinen werken wij nauw samen met diverse verzekeraars en Perfect Day. Perfect Day is een initiatief van onder andere Klap en Nationale-Nederlanden om cybersecurity op een eenvoudige manier onder de aandacht te brengen bij het bedrijfsleven. Dan volgt laagdrempelig advies. Vaak zijn bepaalde risico’s met eenvoudige ingrepen te voorkomen. Na deze bewustwording en preventieve aanpak blijft er een (rest)risico over waarbij de ondernemer al dan niet kan besluiten om dit tegen een aantrekkelijk tarief bij ons te verzekeren.

Waarop ligt in jullie aanbod het accent?

‘Voorkomen is beter dan genezen’. Dat is iets wat we vaak horen in de markt en terecht. Je klant wil maar een ding: kunnen doorgaan met zijn bedrijfsactiviteiten en zo min mogelijk rompslomp om de bijbehorende risico’s adequaat af te dekken. Dan zou je dus zeggen: preventie is de oplossing! Echter zit er nog een cruciale stap vóór; de stap van bewustwording. Daar ligt onze focus. Als de klant zich bewust is van cyberrisico’s kan hij pas een gewogen besluit nemen. Wat wil hij doen aan preventiemaatregelen en wat wil hij verzekeren? Mocht het onverhoopt toch zover komen dat er schade optreedt, dan focussen we ons vooral op het snelle herstel van de bedrijfsactiviteiten van de ondernemer. Dit doen we met een vaste leveranciersschil van hulpverleners met vergaande expertise in de verschillende domeinen.

Wees relevant

Hoe zetten jullie het aanbod in de markt?

Dit doen we op verschillende manieren. We werken nauw samen met een aantal brancheorganisaties die wij voorzien van content. Met die content creëren zij bewustwording bij de leden. Deze content verspreiden we door middel van webinars, seminars, nieuwsitems en specifieke landingspagina’s voor de branche. Hiermee vergroten we de toegevoegde waarde van de brancheorganisatie naar haar leden en maken wij de kans op conversie ook groter waardoor een lid ook klant wordt van Klap. Wees dus relevant!

Daarnaast hebben we een eigen online portaal ontwikkeld (cyberrisicoverzekering.nl). Zowel particulieren als ondernemers kunnen hun verzekeringen eenvoudig online samenstellen en afsluiten.

Last but not least: dit domein leent zich zeer goed om je toegevoegde waarde als adviseur te laten zien. Alle collega’s van Klap bespreken cyber dan ook als vast onderdeel bij hun relaties en prospects.

Met welke risicodragers werken jullie?

Wij werken met diverse Nederlandse verzekeraars voor zakelijke cyberrisico’s en met een buitenlandse partij voor particulier. Het aanbod is breed en iedere verzekeraar legt eigen accenten, de één zet vol in op preventie, de ander juist op de verzekering en de schade. Het is belangrijk voor de adviseurs om goed te weten wie welk aanbod heeft, want tussen de verzekeraars zitten nogal wat verschillen. Ook de uitvoering als er schade is, is verschillend. Het aanbod moet dan ook echt goed passen bij de behoefte van de klant. De adviseur is daarin echt relevant, die moet de vertaling maken van de wensen van de klant naar welk aanbod van welke verzekeraar het beste past. Prijs moet daarbij van minder belang zijn dan inhoud en soort. Cyber is geen verzekering die iedere verzekeraar moet willen ontwikkelen. Er is veel specifieke kennis voor nodig om het echt goed te doen. Dus als verzekeraars deze markt willen opzoeken, is het van groot belang dat ze goed kijken naar welke waarde zij nog kunnen toevoegen in het concurrentieveld en of ze daarvoor genoeg expertise in huis hebben.

Nog onvoldoende bewust

Wat zijn jullie ervaringen tot nu toe? Wordt er veel beroep gedaan op (onderdelen van) jullie cyberpropositie? Gaat het om forse schades? Een praktijkvoorbeeld mag!

Onze ervaring leert dat ondernemers nog onvoldoende ‘bewust’ zijn van de cybergevaren die op de loer liggen. Een brand of aansprakelijkheidspolis? Uiteraard! Je goed wapenen tegen cyberincidenten? Daar moeten de meesten over nadenken. Dit terwijl wereldwijd de schatting is dat er een verlies wordt geleden door cyberincidenten van circa zes miljard dollar in 2021. Bizar!

Minder dan 20 procent van ondernemend Nederland heeft een dergelijke dekking afgesloten. Er is dus nog een hele weg af te leggen. Ondanks dat het aantal cyberincidenten in de wereld afneemt, zien we de hoogte van de individuele schadeclaims oplopen waarbij het MKB vaker doelwit is. Ook zien we een verschuiving van aandacht naar medewerkersbewustzijn en identity & access management omdat er steeds nieuwe manieren worden gezocht om gebruik te maken van menselijke zwaktes.

Overigens, vaak draait het niet alleen om geldelijk verlies. Schade kan namelijk ook indirect optreden. Een mooi voorbeeld uit de praktijk. Als de grootste makelaar op het gebied van evenementen hebben we te maken gehad met een ticketingbureau dat gehackt was, waardoor veel persoonsgegevens op straat kwamen te liggen. Los van een mogelijke schadeclaim van de gedupeerden was de kans op imagoschade nog vele malen groter. Wat het einde van dit bedrijf kon betekenen. Per slot van rekening: wie wil er nou zakendoen met een partij die persoonsgegevens niet goed beschermt. Wat zeg je dan tegen de pers bijvoorbeeld? Maar er lag al een keurig draaiboek klaar voor het geval zo’n gebeurtenis zich voor zou doen. Ook hebben de ondernemers zich laten bijstaan door een imago deskundige om het hele communicatietraject te begeleiden. Wat communiceer je wel, wat niet, via welk medium en hoe doe je dat? Een mooi voorbeeld hoe je jezelf toch kunt beschermen bij een cyberaanval. Dat kan als je bewust, preventief en adequaat deze risico’s omgaat. En het bedrijf? Dat is er uiteindelijk goed uitgekomen!

‘Laat je niet het bos insturen omdat iemand zegt dat alles goed geregeld is.’

Wat is exact gedekt?

Waar moet men nou ontzettend goed op letten als men een cyberpropositie adviseert of sluit?

Wat is exact gedekt? We zien in de markt spotgoedkope dekkingen, maar die zijn veelal uitgekleed. Je koopt een ‘kat in de zak’. Mede gezien het feit dat men niet precies weet wat belangrijk in een dekking is. Bij een gebouw dat afbrandt, heeft iedereen beeld. Een cyberincident is daarentegen nog steeds erg abstract.

Daarnaast en nog belangrijker: welke additionele diensten zijn gedekt onder de verzekering die per direct kunnen worden ingezet om de bedrijfsactiviteiten zo snel mogelijk op gewenst niveau te brengen? Werkt de risicodrager bijvoorbeeld met een vaste groep aan dienstverleners die kunnen bijstaan op specifieke aandachtsgebieden? Kortom: kijk naar de inhoud in plaats van de prijs. Als dit ergens goed is uit te leggen, dan is het wel bij een cyberpolis.

Wat kan er beter aan cyberverzekeringen?

Differentiatie. De markt is nog relatief jong, waardoor er nog beperkt ervaring is op het gebied van branchespecifieke cyberincidenten. Ik denk dat het goed is om specifieker in te zoomen op de activiteiten van een bedrijf, waardoor er meer aandacht is voor specifieke dekkingen als het gaat om de cyberrisico’s. Ook als een bedrijf zaken zeer goed op orde heeft: haal deze dan uit de dekking waardoor datgene overblijft waar écht behoefte aan is. Als deze differentiatie ook in prijs wordt doorgevoerd, dan zullen mogelijk meer bedrijven (die in mindere mate tot de risicogroep horen) toch een passende dekking afsluiten voor het geval het toch mis gaat.

Phishing mails

Hoe gaan jullie zelf om met cyberrisico’s?

Wij voeren binnen Klap een actief beleid voor wat betreft cybercriminaliteit. Er liggen draaiboeken op de plank voor als het toch mis gaat en we besteden veel aandacht aan het morele risico. Je kunt de zaken nog zo goed hebben afgedicht, de kans dat een collega op een foute email klikt blijft bestaan. Zo sturen wij naar alle medewerkers, periodiek, phishingmails. We kunnen precies zien wie klikt en wie niet. Deze resultaten delen we binnen de organisatie om, daar is ie weer, bewustwording te creëren. Tijdens corona is er voor ons niet veel veranderd. We werkten al virtueel via een beveiligde omgeving thuis. Er zijn echter nu meer collega’s die vaker thuiswerken.

De AVG: hoe groot is de impact hiervan uiteindelijk gebleken?

De hele markt viel over AVG. Het leek ontzettend impactvol vol te zijn, zo ook voor ons. Nu het stof is neergedaald, zien we dat het zeer goed te overzien is. Zeker in de dagelijkse operatie. Het werken met standaard verwerkersovereenkomsten of via een beveiligde lijn privacygevoelige informatie verzenden, is binnen ons bedrijf het nieuwe normaal geworden. Ook als we kijken naar de toegang tot onze systemen hebben we iedere functie rechten gegeven voor specifieke applicaties waar deze persoon gebruik van kan maken. De overige applicaties kan deze persoon dan niet in. Zijn er vragen op dit gebied, dan hebben we een speciaal contactpersoon die deze vragen behandelt.

Praktijktips

Geef drie praktijktips voor collega-adviseurs bij het beheersen van cyberrisico’s en/of het verzekeren daarvan.

–Focus op bewustwording. Praat niet over verzekeren, maar inventariseer bij je prospect het kennisniveau. Vraag door. Laat je niet het bos insturen omdat iemand zegt dat alles goed geregeld is. Dit rust vaak op onvoldoende kennis van zaken. Wij zijn als branche moreel verplicht om deze kennis (bewustwording) toe te voegen. Een belangrijke randvoorwaarde is dat je de stof en actualiteiten rondom dit thema up-to-date houdt gezien alle ontwikkelingen op dit toch wat abstracte domein.

–Prijs mag geen issue zijn. Voorwaarden wel. Als het voor een prospect duidelijk is wat zijn of haar risico’s zijn, bepaal dan samen wat acceptabel is voor de ondernemers en wat niet. Het restrisico dat overblijft, zal verzekerd moeten worden. Logisch gevolg. Prijs is dan veelal ondergeschikt.

–De derde tip: dat is het geheim van de smid…

Reactie toevoegen

 
Meer over
Cyberincidenten steeds grotere zorg voor bedrijven

Cyberincidenten steeds grotere zorg voor bedrijven

Bedrijfsschade blijft in de beleving van Nederlandse risk management professionals de grootste zorg, volgens de de Allianz Risk Barometer. Cyberincidenten (bijvoorbeeld...

DNB integreert duurzaamheidsrisico's verder in toezicht verzekeraars

DNB integreert duurzaamheidsrisico's verder in toezicht verzekeraars

DNB zal de duurzaamheidrisico’s bij verzekeraars (en pensioenfondsen) verder integreren in het toezicht. Aldus de toezichthouder in 'Toezicht in Beeld 2023'....

Verzekeraars beheersen informatiebeveiligingsrisico's nog steeds onvoldoende

Verzekeraars beheersen informatiebeveiligingsrisico's nog steeds onvoldoende

Uit een DNB-analyse komt naar voren dat 41 procent van de verzekeraars onvoldoende kan aantonen dat hun risk assessments informatiebeveiliging volwassen zijn. Dat...

Meer dan helft bedrijven betaalt losgeld na grote cyberaanval

Meer dan helft bedrijven betaalt losgeld na grote cyberaanval

Het aantal bedrijven dat na een cyberaanval losgeld betaalt, is jaar na jaar gestegen - van tien procent in 2019 naar 54 procent in 2022, gebaseerd op een analyse...

Organisaties vergroten cyberweerbaarheid onder druk verzekeraars

Organisaties vergroten cyberweerbaarheid onder druk verzekeraars

Het bedrijfsleven neemt in vergelijking met eerdere uitkomsten uit 2020 meer maatregelen en is beter voorbereid op de toegenomen cyberdreiging. Dat blijkt uit het...

MKB-keurmerk cyberveiligheid pas over paar jaar

MKB-keurmerk cyberveiligheid pas over paar jaar

Het CCV mag van demissionair minister Adriaansens het MKB-keurmerk cyberveiligheid ontwikkelen waar door de Tweede Kamer is gevraagd. Adriaansens voorziet een ontwikkelingstijd...

Ransomware: losgeld bij kleine bedrijven soms meer dan helft omzet

Ransomware: losgeld bij kleine bedrijven soms meer dan helft omzet

Ruim 2.000 bedrijven met minstens twee werkzame personen zijn in 2021 slachtoffer geworden van afpersing met behulp van gijzelsoftware (ransomware). Gemiddeld betaalde...

Verbond: verbieden losgeldbetaling na cyberaanval niet effectief

Verbond: verbieden losgeldbetaling na cyberaanval niet effectief

Het Verbond van Verzekeraars vindt een verbod op het verzekeren van losgeldbetaling in het kader van cyberrisico’s niet effectief, zeker als dat alleen door...

Beheersing cyberrisico's door banken moet beter

Beheersing cyberrisico's door banken moet beter

De beheersing van cyberrisico’s vraagt op drie gebieden om meer aandacht, aldus DNB. Deze drie gebieden zijn de basis cyberhygiëne-maatregelen, het testen...

Minder meldingen datalekken financiële dienstverlening

Minder meldingen datalekken financiële dienstverlening

In 2022 is het aantal meldingen van datalekken uit de sector financiële dienstverlening gedaald met 29 procent ten opzichte van 2021. Aldus de Datalekkenrapportage...