Cyberschadeclaims met maar liefst 83% toegenomen in Europa

Het aantal schadeclaims bij stand alone-cyberverzekeringen is vorig jaar gestegen met maar liefst 83% in Europa. Dat blijkt uit het rapport The Changing Face of Cyber ​​Claims dat is opgesteld door CMS, Marsh en Wavestone. Hoewel het risico wijdverspreid was over de economie, blijkt dat met name de financiële sector, industriële sector en de communicatie-, media- en technologiesector werden getroffen.

Het rapport is gebaseerd op analyses van cyberverzekeringsclaims die zijn behandeld door Marsh in Continentaal Europa. De drie onderzoekspartijen doen in het rapport aanbevelingen voor organisaties om effectiever om te gaan met cyberrisico's. Ook deelt CMS in het rapport praktijkervaringen over het omgaan met de meldplicht datalekken en de handhaving hiervan door Europese privacy toezichthouders. CMS put hierbij uit jarenlange ervaring die zij wereldwijd heeft opgedaan als juridisch adviseur van organisaties die worden geconfronteerd met cyberincidenten.

Bedrijfsonderbreking
Uit het rapport blijkt verder dat 67% van de cyberschades het gevolg was van kwaadwillende cyberaanvallen waarbij ransomware-incidenten 14% van het totaal aantal claims betrof, een stijging van 100% sinds 2018. Aanvallen worden steeds geavanceerder en brengen ook langere periodes van bedrijfsonderbreking met zich mee. Deze kunnen vaak meerdere weken duren. Dit heeft ertoe geleid dat 71% van de kosten en uitgaven in verband met cyberclaims nu betrekking hebben op de begeleiding van gedupeerden en het herstellen van de ontstane schade.

Better safe than sorry
Erik Jonkman, advocaat bij CMS in het Privacy & Data Protection-team, zegt in de praktijk vaak te merken dat een gebrek aan informatie over een incident (zoals loggegevens) structureel tot problemen leidt in de besluitvorming van organisaties om een incident wel of niet te melden op grond van privacywetgeving. "Toezichthouders spelen hier handig op in door te stellen dat ieder datalek moet worden gemeld waarvan de afwezigheid van risico's op nadelige gevolgen niet kan worden aangetoond. Het is vooralsnog niet duidelijk of die opvatting in lijn is met de Algemene Verordening Gegevensbescherming (AVG)." Toch lijken organisaties – niet zelden uit angst voor sancties of reputatieschade – er in sommige EU-landen massaal voor te kiezen om datalekken zekerheidshalve te melden, zelfs als er geen indicaties zijn dat een datalek negatieve gevolgen heeft voor betrokkenen. "In Nederland schatten wij dat 60% van het totaal aantal meldingen bij de Autoriteit Persoonsgegevens dit soort 'better safe than sorry'-meldingen betreft."

Melding datalek niet zonder risico
Edmon Oude Elferink, hoofd van het CMS Privacy & Data Protection Team in Nederland, benadrukt in dit verband dat de beslissing om een datalek te melden niet zonder risico is en altijd een zorgvuldige afweging vereist. "Informatie uit een datalekmelding kan door een toezichthouder bijvoorbeeld worden gebruikt om een breder onderzoek te starten naar de naleving van de AVG. Zo kan een datalek een aanwijzing zijn voor het niet-naleven van de wettelijke plicht om persoonsgegevens adequaat te beveiligen, een verplichting die door Europese toezichthouders zeer actief wordt gehandhaafd. Volgens onze CMS Enforcement Tracker, die openbaar aangekondigde AVG-boetes bijhoudt, blijkt dat ongeveer 25% van alle boetes verband houdt met een gebrek aan adequate beveiligingsmaatregelen."