Magazines | Vallei Business nummer 3 2017

Ondernemers realiseren zich vaak niet dat ze flinke risico's lopen wanneer ze slachtoffer worden van cybercriminaliteit.

Ze zijn zich er niet van bewust dat deze nieuwste vorm van misdaad niet alleen grote spelers, als KPN, Yahoo of TNT,

kan treffen, maar ook henzelf. Nynke Brouwer advocaat bij Dirkzwager advocaten & notarissen in Arnhem en Nijmegen,

doet promotieonderzoek naar cyberrisico's en verzekeringsrecht; een flinke aanwinst voor het Arnhemse en Nijmeegse

advocatenkantoor in een tijd waarin cybersecurity een steeds belangrijkere rol speelt.

Tekst en Fotografie: Elly Molenaar

Cybercriminaliteit is van deze tijd. De media staan er tegenwoordig bol van. Bekende bedrijven worden om de haverklap geraakt door digitale virussen die bestanden bevriezen en losgeld eisen. Cyberaanvallen zijn aan de orde van de dag. Brouwer waarschuwt: "Het lijkt misschien een ver-van-mijn-bed-show, omdat in het nieuws alleen grote namen worden genoemd, maar dat is het zeker niet. Het mkb en kleinere ondernemers kunnen er net zo goed door geraakt worden en flink ook." Brouwer denkt dat veel bedrijven zich niet realiseren welke risico's ze lopen. Neem bijvoorbeeld een kapper. Die heeft ongetwijfeld een computer staan waarop de reserveringen binnenkomen, bestellingen worden geplaatst en klantgegevens worden bewaard. Als het systeem crasht door een cyberaanval, dan ligt alles plat. Betalingen kunnen dan ook niet meer elektronisch gedaan worden. Bedenk je eens wat dat voor impact heeft op zo'n bedrijf."

Brouwer is als advocaat vooral geïnteresseerd in de juridische kant van het verhaal. "Hoe Nederlandse verzekeraars omgaan met deze nieuwe vorm van schade en de afwikkeling daarvan, over welke issues in de toekomst geprocedeerd gaat worden en of het onder de zorgplicht van een tussenpersoon valt om op bepaalde cyberrisico's te wijzen bijvoorbeeld." Tijdens haar promotieonderzoek probeert ze deze, en andere juridische vraagstukken, in kaart te brengen en te beantwoorden.

Dirkzwager loopt voorop in Nederland als het gaat om kennis van cybersecurity en privaatrecht. Brouwer brengt het kennisniveau met haar promotieonderzoek flink omhoog. "Dat past bij het kantoor", legt ze uit. "Dirkzwager is altijd innovatief ingesteld. Mijn werkgever steunt me daarom tijdens mijn onderzoek. Dirkzwager ziet wel in dat het alleen maar goed is om je te verdiepen in dit onderwerp. Cybersecurity is tenslotte een wezenlijk onderdeel van de maatschappij en kennis van het bijbehorende verzekeringsrecht moet een kantoor als dit dus ook hebben."

Brouwer is één dag in de week op de Radboud Universiteit in Nijmegen te vinden om aan haar onderzoek te werken. "Ik hoop het in vijf jaar af te ronden. Niet gemakkelijk. Zeker omdat er continu ontwikkelingen zijn rond cybersecurity en privaatrecht. Als je net een uitspraak hebt gedaan, kan die de volgende dag alweer achterhaald zijn. Dat is de reden dat ik niet aan een traditioneel proefschrift werk, maar losse artikelen schrijf die in wetenschappelijke tijdschriften gepubliceerd worden. Het is een moderne manier van promoveren die goed bij dit onderwerp past."

Brouwer werkt sinds 2011 bij Dirkzwager als advocaat. "Ik houd me vooral bezig met schade, aansprakelijkheid en verzekeringen. Letselschade, wegbeheerdersaansprakelijkheid, brandschade en dekkingsgeschillen bijvoorbeeld. Maar sinds eind 2012 ben ik met wat andere jonge collega's een innovatiewerkgroep gestart. We bekijken innovatierisico's en ik heb me gespecialiseerd in het cyberaspect. Ik ben actualiteiten gaan bijhouden en ontwikkelingen gaan volgen. Daarover heb ik artikelen geschreven. Cybersecurity, bekeken vanuit het aansprakelijkheids- en verzekeringsrecht, is op veel punten onontgonnen terrein. Het is de reden dat ik regelmatig gevraagd word lezingen te geven over het onderwerp en te spreken tijdens seminars. Cyberrisico's en het verzekeringsrecht dat daar mee samenhangt is tenslotte een actueel onderwerp." Brouwer hoorde medio vorig jaar over het onderzoeksproject dat de Radboud Universiteit wilde starten. "Exact waar ik mee bezig was op dat moment. Ik wilde me heel graag aansluiten bij het project. Tegelijkertijd vond ik mijn baan als advocaat nog altijd veel te leuk om daarmee te stoppen en me fulltime op het onderzoek te richten. Gelukkig stond de universiteit ervoor open om het op deze manier te doen. De combinatie tussen praktijk en wetenschap vind ik onwijs leuk."

Nieuwe cyberrisico's vragen om nieuwe verzekeringen. Behalve financiële schade aan je bedrijf, kun je door een cyberaanval ook te maken krijgen met een een privacyinbreuk. Klantgegevens kunnen tenslotte op straat komen te liggen. "Dit soort schades vallen vaak tussen de traditionele verzekeringen in", zegt Brouwer. "Cyberrisico's worden door traditionele verzekeringen niet altijd gedekt. Er is een aantal relatief nieuwe, veelal van oorsprong Amerikaanse producten, op de markt gekomen die wel dekking bieden bij cyberaanvallen. Maar vaak vinden klanten ze behoorlijk onduidelijk, er worden termen gebruikt die wij in Nederland niet gewend zijn. Ondernemers weten vaak niet precies welke polis bij hen past." De verwachting is dat ook Nederlandse verzekeraars in de nabije toekomst polissen gaan aanbieden die cyberrisico's dekken. "Maar dat is lastig omdat er geen geschiedenis in schade is. Verzekeraars hebben weinig gegevens waarop ze een premie kunnen baseren en verzekerden vinden het ingewikkeld om in te schatten welke risico's ze lopen."

Dat ondernemers zich bewuster worden van de risico's die ze lopen, vindt Brouwer belangrijk. "Die zijn in veel gevallen namelijk enorm. Sinds de Wet bescherming persoonsgegevens is uitgebreid met de meldplicht datalekken en een boetebevoegdheid voor de toezichthouder, verdiepen meer ondernemers zich er gelukkig in. Ook moet iedere organisatie voor 25 mei 2018 de manier waarop met data omgegaan wordt op orde hebben. Vanaf dan is de Algemene Verordening Gegevensbescherming van toepassing. Bedrijven die falen, riskeren een hoge boete. Dat helpt ook. Ondernemers komen vaak in actie om een boete te ontlopen. Eigenlijk zouden ze zich moeten realiseren dat ze hun cybersecurity op orde moeten brengen om ook andere, mogelijk veel grotere, schade te voorkomen." Ondernemers zouden bij zichzelf moeten bedenken wat voor effect het heeft als systemen het niet meer doen, zegt Brouwer. "Ga eens bij jezelf na hoe afhankelijk je bedrijfsvoering is van internet en ICT. En bedenk je dan ook eens in hoeverre je bezig bent met persoonsgegevens. Dan kom je er wel achter wat de gevolgen zijn als het computersysteem niet meer werkt of gegevens op straat komen te liggen. Je kunt jezelf afvragen of die gevolgen voor jou aanvaardbaar zijn of dat je maatregelen moet nemen. Investeren in cybersecurity bijvoorbeeld, je huidige contracten en verzekeringen onder de loep nemen of een andere geschikte polis zoeken." Brouwer adviseert ondernemers de gevolgen in elk geval niet te onderschatten.

Tot nu toe vallen de juridische cyberconflicten waarbij een advocaat in beeld kwam in Nederland mee. "Er moet allereerst schade ontstaan en een conflict tussen twee partijen waar ze samen niet uitkomen. Dat lijkt tot nu toe nog mee te vallen of bedrijven komen er niet mee naar buiten als ze geraakt worden door een cyberaanval of een virus. Ze willen niet aan de grote klok hangen dat ze niet goed beveiligd zijn." Maar Brouwer verwacht dat daar in de nabije toekomst verandering in komt. "Er is veel aan de gang. Bedrijven moeten tegenwoordig aan steeds meer privacyverplichtingen voldoen. Cybersecurity gaat onder andere over informatiebeveiliging en heeft alles te maken met privacy. Dat daar conflicten gaan ontstaan, ligt voor de hand. En dan komen ongetwijfeld ook de verzekeraars in beeld."

Een cyberaanval kan ontzettend veel partijen raken. Brouwer: "Een restaurant dat geen reserveringen meer kan aannemen is een simpel voorbeeld, maar een multinational kan ook volledig platgelegd worden. As we speak zijn er grote problemen in de containerterminal van Rotterdam en is bijvoorbeeld ook TNT door hetzelfde virus getroffen. Bedenk je eens hoeveel mensen daardoor in de problemen kunnen komen. Niet alleen TNT zelf, maar ook alle klanten worden daardoor geraakt."

Nynke Brouwer is als advocaat vooral geïnteresseerd in de juridische kant van het verhaal.

MEER WETEN?

Kijk op www.dirkzwager.nl

delen: