Upload
others
View
6
Download
0
Embed Size (px)
Citation preview
2
Cyberincidenten 3 Cyberrisico’s 3 Cybergevolgen 4 Informatiebeveiliging 4
Beschikbaarheid 5 Integriteit 5 Vertrouwelijkheid 5 Overige risico’s 5 MS Amlin First Response Team 5 Preventiediensten 6 Dekkingsoverzicht 7
Belangrijkste algemene uitsluitingen 8 Belangrijkste specifieke uitsluitingen 8
Samenwerking met onafhankelijke professionele distributeurs 9
Permanent actueel vakbekwaam 9
Aanspreekpunt 9
Vergoeding 9
Subagenten of nevenverzekeringstussenpersonen 9
Product Approval & Review Process (PARP) 10
Product Locker 10
3
In dit document ‘Informatie voor de distributeur’ staan de productkenmerken van de
Cyberverzekering voor de distributeur.
In de zogenaamde IPID (Insurance Product Information Document) staan de productkenmerken
van de Cyberverzekering kort en duidelijk opgesomd voor de eindklant. De IPID dient voor het
sluiten van de overeenkomst in het bezit van de eindklant te zijn, zodat deze de informatie tot
zich kan nemen alvorens een product aan te schaffen. De IPID Cyberverzekering kunt u
terugvinden op: msamlin.com/cyberverzekering.
Cyberincidenten
Tegen cybercrime wapen je je met allerlei maatregelen, die we cybersecurity noemen. Maar ook
elders in cyberspace dreigt gevaar. Tegenwoordig zijn allerlei apparaten immers met elkaar en
het internet verbonden. Dat lijkt handig, maar het betekent ook dat bedrijven via talloze
elektronische apparaten kwetsbaar zijn. Ook kunnen criminelen het Internet of Things
misbruiken: ze dringen via printers, (mobiele) telefoons, camera’s en thermostaten binnen in ICT-
systemen. Om gevoelige bedrijfsinformatie te beschermen, is het belangrijk dat bedrijven alle
apparatuur goed beveiligen tegen cybercrime.
Cyberincidenten zijn een van de grootste en snelst groeiende risico’s waarmee bedrijven te
maken krijgen. Bekend zijn de voorbeelden van hackers en cybercriminelen. Minder bekend,
maar niet minder gevaarlijk, zijn de incidenten waarbij eigen medewerkers (vaak onbedoeld) een
rol spelen. Niet alleen grote organisaties lopen risico, ook kleine en middelgrote bedrijven zijn
kwetsbaar voor incidenten. Cyberaanvallen worden steeds complexer en professioneler.
Cyberincidenten zijn dan ook een veelbesproken onderwerp onder ondernemers, van grote
multinationals tot midden- en kleinbedrijven.
Cyberrisico’s
Cybercriminaliteit haalt elke dag het nieuws. Vaak gaat het daarbij om georganiseerde
cybercrime. In vele gevallen gaat het echter om alledaagse technische storingen of menselijke
fouten. Daardoor krijgen bedrijven te maken met systeemuitval of gegevensverlies. Ruim een
derde van de middelgrote bedrijven in Nederland heeft regelmatig last van cyberdreigingen. Bijna
de helft is slachtoffer van e-mailhacks. Ook andere incidenten, zoals ransomware, nemen toe.
Criminelen gebruiken steeds slimmere trucs en geavanceerdere methodes. Hieronder de
belangrijkste cyberrisico’s:
Internet of Things (IoT)
Ransomware
Phishing
Sociale media
Onbeveiligde openbare wifi-netwerken
DDoS-aanvallen
4
Een fout of actie van eigen medewerkers:
- Slechte wachtwoorden
- Verkeerd adresseren van een e-mail
- Verlies van een USB-stick
Oude harde schijven
Identiteitsdiefstal, fraude
Datalek
Cyberincidenten kunnen ook onbedoeld ontstaan. Denk bijvoorbeeld aan het tijdelijk uitvallen van
een systeem door een fout bij de installatie van software of het per ongeluk lekken van
vertrouwelijke gegevens doordat iemand een USB-stick laat slingeren. Er zijn dus veel meer
cyberrisico’s dan u denkt. Een ongeluk zit in een klein hoekje, maar in het geval van cyber
kunnen de gevolgen gigantisch zijn.
Bij de oorzaken van cyberincidenten maken we onderscheid tussen menselijk handelen,
techniek en bedrijfsprocessen. Een fout of actie van eigen medewerkers is een van de meest
voorkomende risico’s. Denk aan het verkeerd adresseren van een e-mail of het openen van
een phishingmail.
Cybergevolgen
Cyberincidenten en andere gebeurtenissen kunnen verschillende soorten schade en kosten
voor organisaties veroorzaken, afhankelijk van hun branche, activiteiten en andere factoren.
Belangrijke cybergevolgen zijn:
Bedrijfsschade
Kosten van herstel van gegevens
Aansprakelijkheidsclaims
AVG-boetes
Afpersingskosten
Reputatieschade
Informatiebeveiliging
Door de digitalisering wordt het belang van informatiebeveiliging steeds groter.
Bedrijfsinformatie is cruciaal om te ondernemen, producten en diensten te optimaliseren en te
concurreren. Daarnaast geldt sinds 2018 de Algemene verordening gegevensbescherming
(AVG) in alle landen van de Europese Unie. De AVG voorziet in een vergaande bescherming
van persoonsgegevens. Ook als bedrijven persoonsgegevens hebben uitbesteed aan externe
partijen, bijvoorbeeld een cloud-dienstverlener, blijven zij verantwoordelijk. Er zijn dus tal van
redenen om goed naar cyberveiligheid te kijken.
Bovenstaande onderdelen vormen de kern van de Cyberverzekering van MS Amlin die voldoet
aan de belangrijkste behoeften van bedrijven.
5
De Cyberverzekering van MS Amlin dekt standaard de drie belangrijkste factoren bij
informatiebeveiliging: Beschikbaarheid, Integriteit en Vertrouwelijkheid. Deze unieke
benadering heeft MS Amlin uitgebreid met de rubriek Overige risico’s. De vier rubrieken
hebben betrekking op cyberrisico’s voor zowel aansprakelijkheid als eigen schade. Naast deze
rubrieken kunnen bedrijven 24/7 beroep doen op het MS Amlin First Response Team. Ook
kunnen bedrijven gebruikmaken van preventiediensten.
Beschikbaarheid
Het waarborgen dat geautoriseerde gebruikers op de juiste momenten tijdig toegang hebben
tot informatie en aanverwante voorzieningen.
Integriteit
Het waarborgen van de juistheid en volledigheid van informatie en de correcte verwerking van
informatie. Goed beheer van bevoegdheden en mogelijkheden tot wijzigen van gegevens voor
een geautoriseerde groep gerechtigden is cruciaal voor de integriteit van de informatie.
Vertrouwelijkheid
Het waarborgen dat informatie alleen toegankelijk is voor geautoriseerde personen.
Overige risico’s
Onder Overige risico’s is het volgende gedekt:
Aanspraken als gevolg van media-aansprakelijkheid
Aanspraken als gevolg van schending van persoonsgegevens
Bedrijfsschade door aantasting van reputatie als gevolg van schending van privacy of
vertrouwelijkheid
Cyberfraude
Beschermingsinbreuk van betaalkaartgegevens (Payment Card Industry)
Telefoonhacking
MS Amlin First Response Team
Bij een cyberaanval is het noodzakelijk om al in de eerste uren na ontdekking belangrijke
maatregelen en besluiten te nemen om schade te voorkomen of te beperken. Daarbij is het van
belang snel, kalm, adequaat en gecoördineerd te reageren. Met de juiste ondersteuning wordt
schade beperkt en het herstel van de bedrijfsvoering versneld. Heeft een bedrijf te maken met
een cyberincident of een vermoeden hiervan? Dan kan het bedrijf 24/7 beroep doen op het MS
Amlin First Response Team.
Voor een adequate crisisondersteuning werkt MS Amlin samen met de gerenommeerde partners
International Security Partners (ISP), Kennedy Van der Laan, Grant Thornton en
Bex*communicatie. Samen vormen zij het MS Amlin First Response Team.
Bij een cyberincident neemt het bedrijf direct contact op met het MS Amlin First Response Team.
Het team staat 24 uur per dag en 7 dagen per week klaar om het bedrijf te begeleiden en te
helpen bij de noodzakelijke acties. Deze nationale én internationale dienstverlening is erop
gericht om risico’s te beperken en te beheersen. Het bedrijf kan daarbij rekenen op de diensten:
6
Crisismanagement
Juridisch advies
IT-ondersteuning
Forensisch onderzoek
Crisiscommunicatie
Voor de eerste 72 uur brengt MS Amlin geen eigen risico in rekening voor deze First Response-
diensten.
Preventiediensten
Het liefst willen bedrijven natuurlijk helemaal geen cyberschade. Daarom helpt MS Amlin
bedrijven graag met aanvullende diensten om cyberrisico’s zoveel mogelijk te beperken. De First
Response Team-partner International Security Partners (ISP) ondersteunt bedrijven met het
beperken van cyberrisico’s. Met een Cyberverzekering van MS Amlin kunnen bedrijven tegen
een gereduceerd tarief gebruik maken van de volgende diensten:
Online Cyber Risicoanalyse
Met de Online Cyber Risicoanalyse wordt het bedrijf geanalyseerd op cyberrisico’s.
Daadwerkelijke bedreigingen en kwetsbaarheden worden in kaart gebracht. Hierdoor het
bedrijf gerichte maatregelen nemen om deze risico’s te beheersen en de eventuele schades
te beperken.
E-learning
De e-learning Cyber Awareness maakt het bedrijf en de medewerkers bewust van
cyberrisico’s binnen het bedrijf.
7
Dekkingsoverzicht
Hieronder vindt u een volledig dekkingsoverzicht van de Cyberverzekering. Een uitgebreidere beschrijving van de dekking leest u in de polisvoorwaarden.
8
Belangrijkste algemene uitsluitingen
Inbreuk op nationale of internationale sanctiewet- en regelgeving
Molest
Terrorisme (anders dan NHT)
Atoomreacties
(Bio-) chemische wapens
Niet nakoming bereddingsplicht
Opzet en fraude
Belangrijkste specifieke uitsluitingen
Zaak- en personenschade
De persoonlijke aansprakelijkheid van bestuurders en commissarissen
Deze uitsluiting geldt niet indien en voor zover deze verzekering dekking had geboden als de
verzekeringnemer was aangesproken.
Het gebruik van illegale of niet gelicentieerde programma’s
Onderlinge aansprakelijkheid
Inbreuk op intellectueel eigendom
Contractuele aansprakelijkheid
Infrastructuur, zoals storing, aantasting of onderbreking in de levering van een
nutsvoorziening of dienstverlening van een telecomprovider of satelliet.
De Cyberverzekering van MS Amlin is er voor alle soorten bedrijven en alle sectoren. Van grote
internationale ondernemingen tot start-ups. De primaire doelgroep is het Midden en Klein bedrijf.
Echter, aan de hand van de acceptatierichtlijnen, aanvraagformulieren en dergelijke beoordelen
de underwriters van MS Amlin en de sluiters/acceptanten van de distributeurs (eventueel in
samenspraak met de klant) of een product geschikt is of niet. MS Amlin streeft ernaar de
Cyberverzekering in vrijwel alle segmenten aan te bieden. MS Amlin wil een breed spectrum aan
organisaties om concentratie te voorkomen.
MS Amlin wil aan de behoeften van zijn klanten voldoen door dit product op de markt te brengen
met een dekking die door distributeurs wordt verwacht. Om aan de behoeften van onze klanten te
kunnen voldoen, hebben we ervoor gezorgd dat dekkingen vallen in het meest gebruikte IT-
beveiligingsraamwerk voor het categoriseren en documenteren van beveiligingsrisico's:
vertrouwelijkheid, integriteit en beschikbaarheid.
Over
9
Samenwerking met onafhankelijke professionele distributeurs
MS Amlin biedt verzekeringen niet rechtstreeks aan, maar werkt hiervoor altijd samen met
onafhankelijke professionele distributeurs (tussenpersonen, makelaars en gevolmachtigd
agenten). MS Amlin en distributeurs worden gezien als financiële ondernemingen en dienen op
basis van de Wet op het financieel toezicht (Wft) ervoor te zorgen dat de organisaties over
voldoende vakbekwaamheid beschikken. Een persoon is vakbekwaam als deze over de juiste
diploma’s en PE- certificaten beschikt om financiële diensten te kunnen verlenen.
Permanent actueel vakbekwaam
Het uitgangspunt van de vakbekwaamheidseisen is dat alle klantmedewerkers in een financiële
onderneming vakbekwaam zijn. Met klantmedewerkers worden alle medewerkers bedoeld die
zich bezighouden met het verlenen van financiële diensten aan klanten. Voor klantmedewerkers
die adviseren geldt een diplomaplicht. Voor andere klantmedewerkers moet een onderneming via
de bedrijfsvoering zorgen voor de noodzakelijke vakbekwaamheid.
Opleidingen zijn er op gericht dat medewerkers in staat zijn risico’s in kaart te brengen en te
analyseren en af te stemmen op de wensen van hun klanten. Zij leren daarbij de vertaling te
maken naar verzekeringsoplossingen.
Als vergunninghouder dient MS Amlin ervoor te zorgen dat alle klantmedewerkers permanent
actueel vakbekwaam zijn. Dit betekent dat klantmedewerkers vakbekwaam zijn, dat zij op de
hoogte zijn van actuele ontwikkelingen op hun vakgebied en deze kunnen toepassen in hun
werk. Deze verplichting geldt voor elke medewerker met inhoudelijk klantcontact.
Aanspreekpunt
Een onafhankelijke distributeur zal voor de klant op zoek gaan naar de verzekering die het best
bij de klant past. Tijdens de looptijd van de verzekering blijft de distributeur het aanspreekpunt
voor de klant. Zo zal de distributeur ook bij een schade de klant bijstaan.
Vergoeding
De distributeur zal het product (van MS Amlin of een concurrent) aan de eindklant presenteren,
vaak in een vergelijk van premie en klantspecifieke condities (clausules). De distributeur krijgt
een vaste procentuele vergoeding als een polis gesloten wordt als kostenvergoeding voor het
werk. Er worden geen andere/separate financiële prikkels gegeven bij het sluiten van een
contract. In geval van een volmacht wordt wel een tekencommissie overeengekomen - via deze
route wordt immers een deel van het werk verplaatst van maatschappij naar volmacht.
Subagenten of nevenverzekeringstussenpersonen
Als de distributeur samenwerkt met subagenten of nevenverzekeringstussenpersonen, dient
deze vast te stellen of zij in het bezit zijn van de benodigde vergunning (tenzij ze onder de
vrijstellingsregeling vallen) en voldoen aan de wettelijke eisen, zoals vakbekwaamheid.
10
In het kader van het project Client Experience zijn alle MS Amlin producten beoordeeld. Nieuwe
producten worden binnen hetzelfde proces beoordeeld. Het gaat erom dat de producten
rechtvaardig en in het belang van de klanten zijn. Hierbij spelen onder meer de volgende
aspecten:
Voldoet het aan de behoefte van onze klanten.
Klant in het middelpunt
Redelijke prijs
Gepast/rechtvaardig product
Geen onredelijke bepalingen
Begrijpelijk
Product Approval & Review Process (PARP)
In Nederland geldt op basis van wet- en regelgeving dat verzekeraars een procedure hebben
waarmee wordt getoetst of nieuwe en bestaande producten begrijpelijk en in het belang van de
klant zijn. Deze procedure wordt in Nederland vaak aangeduid als Product Approval & Review
Process (PARP).
Product Locker
In het Verenigd Koninkrijk gelden vergelijkbare eisen op basis van wet- en regelgeving, maar
daar hebben we ook te maken met eisen vanuit Lloyds. MS Amlin heeft in het Verenigd Koninkrijk
een procedure ontwikkeld in het kader van Client Experience (Product Review) en besloten om
deze procedure ook voor de andere landen te laten gelden. Binnen deze procedure wordt een
tool gebruikt die bestaat uit diverse onderdelen. Het geheel wordt vastgelegd in een zogenaamde
Product Locker.
In de Product Locker zijn onder andere de volgende tabs terug te vinden:
Product Assessment Matrix (PAM)
Door middel van een soort ‘quick scan’ wordt het risico in beeld gebracht en wordt het
Conduct Risk bepaald (High, Medium of Low).
Key Informatie
Op basis van de antwoorden in de PAM wordt bij Key informatie het Conduct Risk
weergegeven.
Conduct Evaluation
De Conduct Evaluation is de kern van de review. Hier wordt stilgestaan bij aspecten, zoals
behoeften van de klant, doelgroep, dekking, wijze van distributie, training van medewerkers,
managementinformatie, communicatie en evaluatie.
Key Performance Indicator (KPI)
Alle relevante kritieke prestatie-indicatoren worden met KPI’s in beeld gebracht.
11
Wording Review
Met een Wording Review wordt stilgestaan bij de polisvoorwaarden. Deze moeten leesbaar
zijn voor de doelgroep en voldoen aan wet- en regelgeving. Daarnaast dient de dekking aan
te sluiten op de behoefte van de klant en geen onredelijke uitsluitingen te bevatten.
Project Oversight Group (POG) Review
Alle stukken worden uiteindelijk beoordeeld binnen de Project Oversight Group (POG). De
uitkomst van de POG review wordt vastgelegd met vermelding van de datum waarop het
product opnieuw bekeken zal worden. Alle MS Amlin producten worden afhankelijk van het
Conduct Risk één keer per jaar of één keer per twee jaar beoordeeld. Als er tussentijds
aanleiding is, wordt er eerder beoordeeld.
Post POG Rating
Bij het invullen van de PAM wordt door de tool automatisch het Conduct Risk bepaald. Na
het doorlopen van de Product Locker wordt bekeken of er argumenten zijn de automatische
gegenereerde scores aan te passen. Dit wordt beoordeeld op basis van de hieronder
genoemde aspecten die bepalend zijn voor de hoogte van een bepaald risico.
Customer risk Ziet er op aan welk type klant het product wordt verkocht en of het
geschikt is voor dat type klant (voor een kwetsbare consument is het
risico veel hoger dan voor een groot bedrijf).
Product
complexity
Ziet toe op eigenschappen als:
is het een complex-product?
zijn de polisvoorwaarden formeel goedgekeurd?
wat is de standaard duur?
wordt het stilzwijgend verlengd?
Sales risk Hoe (met of zonder advies) wordt het verkocht en via welke keten
wordt het verkocht aan de klant?
wordt er reclame gemaakt?
is het een soort koppelverkoop?.
Incentives Welke maatregelen zijn getroffen om te bewerkstelligen dat de klant goed
wordt geadviseerd, geen misleidende informatie krijgt en dat partijen in
de keten goed zijn opgeleid en integer werken.
Service risk Gaat over policy administratie, premie-incassering, claimshandling (doet
MS Amlin dat zelf of is dit uitbesteed aan een gevolmachtigd
agent/service provider) en klachtenafhandeling.
Bezoekadres Van Heuven Goedhartlaan 939 1181 LD Amstelveen
Postadres Postbus 2190 1180 ED Amstelveen
Telefoon 020 503 1100
msamlin.com
© Mei 2019. De informatie in dit document is uitsluitend bedoeld voor informatieve doeleinden en is correct op het
moment van afdrukken. De inhoud kan niet worden aangemerkt als aanbod en er kunnen op geen enkele wijze rechten
aan worden ontleend. De diensten en producten die in deze brochure vermeld worden, zijn mogelijk niet beschikbaar in
bepaalde rechtsgebieden waar MS Amlin geen handelslicentie heeft.
MS Amlin Insurance SE - Van Heuven Goedhartlaan 939, Amstelveen - Postbus 2190, 1180 ED Amstelveen –
Tel. +31 (0)20 503 1100 - www.msamlin.com
Bijkantoor Nederland - Handelsregister 64815323, BTW NL8558.65.817.B.01, IBAN NL76ABNA0636720675
BIC ABNANL2A Hoofdkantoor: MS Amlin Insurance SE, Koning Albert II-Laan 37, 1030 Brussel, België