Bijna geen onderneming werkt tegenwoordig nog autonoom. Samenwerken is het toverwoord. Prima, maar het levert ook de nodige risico’s op. Zeker in de cyberwereld, waarin ondernemingen tegenwoordig functioneren. Hoe kunnen we deze risico’s vanuit het perspectief van verzekeraars verminderen?
Van Leeuwen gaat tijdens de sessie ‘verzekeraars als veiligheidsregisseurs’ dieper in op de rol van verzekeraars bij ‘resilience’. Volgens hem kunnen onder andere brand, inbraak, diefstal, storm, ongelukken, aansprakelijkheid en cybercriminaliteit behoorlijke schade aanrichten aan ondernemingen. Niet alleen fysiek, maar vooral ook als het gaat om bedrijfscontinuïteit.
Een klein incident kan de bedrijfscontinuïteit al in gevaar brengen
Hoe meer bedrijven in een netwerk samenwerken, des te minder controle ze hebben over wat er om hen heen gebeurt, en hoe meer risico’s ze lopen en de bedrijfscontinuïteit in gevaar komt. Van Leeuwen: “Bedrijven zullen daarom verder moeten kijken dan hun eigen bedrijfsgrens. Een klein incident kan namelijk soms grote gevolgen hebben. Neem het voorbeeld uit 2012 toen door een brand in de Rotterdamse Cairostraat het naastgelegen gebouw van telecomprovider Vodafone ernstige schade opliep. Meer dan 1 miljoen klanten in de regio Rotterdam-Den Haag hadden daardoor problemen met bellen en sms’en. Het Rotterdamse zakencentrum lag plat. Met als gevolg een enorme schadelast voor de provider. Er was vooraf niet goed nagedacht over de kwetsbaarheid.”
Elk bedrijfsproces heeft zijn eigen kwetsbaarheden
De risico’s zijn volgens Van Leeuwen ook afhankelijk van het soort bedrijf en daarmee het proces. Bij een zakelijke dienstverlener moet het internet altijd werken. Voor een koekjesfabriek is het van belang, dat de grondstoffen er op tijd zijn en de machines blijven draaien. De aswolk als gevolg van een orkaanuitbarsting – zoals op IJsland in 2010 – kan ertoe leiden dat de aanvoer van producten stagneert. “Het is belangrijk na te denken waar in het bedrijfsproces de grootste kwetsbaarheden zitten om stagnatie van genoemde bedrijfscontinuïteit te voorkomen”, aldus Van Leeuwen.
Verantwoordelijkheid ligt niet alleen bij de baas
De hoogste baas in een bedrijf is verantwoordelijk voor veiligheid en schadepreventie. “Maar”, vervolgt Van Leeuwen, “eigenlijk is elke medewerker medeverantwoordelijk voor het goed verlopen van het bedrijfsproces. Ziet hij mankementen, dan is het verstandig deze te melden. Zijn er instructies, dan moet hij zich daar redelijkerwijs aan houden. Instructies en regels zijn voor de bedrijfs- en sociale veiligheid nu eenmaal een noodzakelijk kwaad.”
Marko van Leeuwen spreekt op ASMC 2018 (21 juni)
Bedrijven onderschatten vaak de omvang van de risico’s en de mogelijk gevolgen van incidenten op de bedrijfscontinuïteit. Ze kunnen risico’s verminderen door bewustwording te bevorderen, preventie te stimuleren en restrisico’s af te dekken met verzekeringen. In het proces van acceptatie en/of verlenging van zakelijke verzekeringen spelen risicodeskundigen een belangrijke rol. Zij zijn in dienst van een verzekeraar, een verzekeringsmakelaar of een adviesbureau en inventariseren de (financiële) risico’s die bedrijven lopen. Het Verbond van Verzekeraars ontwikkelt en promoot samen met deze risicodeskundigen preventieve maatregelen. lees meer
Wettelijke regels sluiten risico’s niet uit
En zijn wettelijke regels belangrijk? Van Leeuwen: “Die zijn van belang, omdat we deze met elkaar belangrijk vinden. Echter, houdt een bedrijf zich aan deze regels, dan betekent dit niet dat het geen risico’s meer loopt. Het Bouwbesluit zegt bijvoorbeeld alles over brandveiligheid en ontvluchten. Deze regels zijn erop gericht dat er geen persoonlijke ongelukken gebeuren. Maar er kan nog steeds brand uitbreken, met als gevolg dat een bedrijf volledig afbrandt. En dan kan – daar hebben we het weer – de bedrijfscontinuïteit in gevaar komen.”
Wat te doen om risico’s zoveel mogelijk in te dammen?
Deskundigen inzetten om risico’s in te dammen
Wat nu te doen om risico’s zoveel mogelijk in te dammen? Van Leeuwen: “Verzekeraars en verzekeringsmakelaars werken vaak met risicodeskundigen. Zij inventariseren welke (financiële) risico’s die bedrijven lopen. Beschikt het bedrijf over keuringsrapporten van de sprinklerinstallatie? Zijn er veiligheidsregels? Is het personeel goed geïnstrueerd? Hebben zij daar procedures voor en zijn deze aantoonbaar? Enzovoort. Doet het bedrijf in de ogen van de verzekeraar/verzekeringsmakelaar voldoende aan het uitsluiten van risico’s om schade te voorkomen, dan is verzekeren mogelijk.”
Verzekeraars kunnen eigen normen hanteren
Voor alle duidelijkheid, verzekeraars kennen gezamenlijk opgestelde regels. Zoals een regel voor inspectie van elektra in bedrijven. Toch is elke verzekeraar vrij om deze regel al dan niet te hanteren. Dat is het spel in de markt. Ook hebben verzekeraars ieder hun eigen normen en die kunnen sectorspecifiek zijn. Van Leeuwen: “Voor een bakkerij gelden andere regels, dan voor een webwinkel. Uiteindelijk is het aan het bedrijf om de voorwaarden – inclusief premie en eventueel eigen risico – te accepteren.”
Er zijn allerlei soorten verzekeringen. Verzekeraars kennen bijvoorbeeld een verzekering die de winstderving verzekert als een bedrijf (voor een deel) stil ligt. Want stel, een bedrijf is afgebrand waardoor er bijvoorbeeld een half jaar niet gewerkt kan worden terwijl de personeelslasten wel door lopen. Deze zijn niet verzekerd in een standaard brandverzekering. Ook kan een bedrijf zich verzekeren tegen het niet kunnen leveren aan derden wanneer er bijvoorbeeld een brand uitbreekt. “Schadeclaims kunnen in zo’n geval enorm zijn en de bedrijfscontinuïteit in gevaar brengen”, aldus Van Leeuwen. Hij vervolgt: “Juist daarom is het van belang de kritische elementen van een bedrijfsproces goed in kaart te brengen en te voorkomen dat deze catastrofaal worden. Dat kan met het afsluiten van een voor het bedrijf en het bedrijfsproces goede verzekering.”
Bedrijfsschade door cybercriminaliteit
We maken een uitstapje naar cybercriminaliteit. Hoe kan een bedrijf zich hiertegen verzekeren? Van Leeuwen: “Dat is lastig. Cybercriminaliteit verandert snel en het kan op veel plekken tegelijkertijd voorkomen. In verzekeraarstaal heet dit cumulatie. Verzekeraars hebben hier nog weinig schade-ervaring in, dus het is zoeken. Het kan een onderdeel zijn van bijvoorbeeld een brandverzekering. ‘Je tikt geen ruitje in en neemt juwelen mee, maar je hackt een computer en neemt de bitcoins of de klantgegevens mee’. Eigenlijk kan cyber in vele verzekeringen meegenomen worden. Ook in een bedrijfscontinuïteitverzekering. Want wordt een bedrijf slachtoffer van bijvoorbeeld een DDoS-aanval, dan raakt dit ook de bedrijfscontinuïteit.”
Van Leeuwen: “Met z’n allen roepen we nog steeds dat cybercriminaliteit nieuw is. Maar is dat wel zo? Vroeger was er sprake van en fysieke inbraak, nu noemen we het een cyberinbraak. Vroeger werd er een persoon gegijzeld, nu een computer. Cybercriminaliteit is een andere aanpak, maar de achterliggende risico’s op bedrijfsschade zijn hetzelfde.”
Verzekeren is toch duur, of niet?
Afweging maken tussen kans op schade, kosten van preventie en afsluiten verzekering
Verzekeren is duur, of toch niet? Van Leeuwen: “Ook al heeft een bedrijf zijn zaken op orde, er kan toch altijd een incident plaatsvinden. Aan dat risico wordt door de verzekeraar een prijskaartje gehangen. Het is vervolgens aan het bedrijf om te gaan shoppen en/of een makelaar in dienst te nemen om de beste deal te sluiten. Is verzekeren dan duur? De ondernemer moet een afweging maken tussen de kans op en de kosten van schade, de kosten van preventieve maatregelen en van de verzekeringspremie.”
Samenwerken met ‘third parties’
Concluderend stelt Van leeuwen dat intensief samenwerken met third parties de norm is geworden voor succes. Maar dit succes levert ook de nodige bedrijfsrisico’s op. Met verzekeringen kunnen bedrijven zich hiertegen indekken. En hoe het uiteindelijke verzekeringsplaatje er dan uit komt te zien? “Dat is Stratego, een spel vol avontuur, verrassing en – als het goed is – uiteindelijk winst voor zowel verzekeraar als bedrijf.”
Bron: https://www.securitymanagement.nl/risicopreventie-verzekeraar-en-bedrijf-samen-aan-zet