Verzekering en schadevergoeding: wat polishouders moeten weten over cyberverliezen

6 december 2023

Deel op LinkedIn Deel op Facebook Delen op X

In de verzekeringswereld specificeert het concept van een schadevergoedingsperiode het tijdsbestek waarbinnen de verzekeringnemer (verzekerde) compensatie kan eisen voor financiële verliezen die voortvloeien uit een verzekerde gebeurtenis. Het dient als grens voor de dekking die door de verzekering wordt geboden en beperkt deze voor verliezen door bedrijfsonderbreking (BI) tot het kortste van de volgende twee mogelijkheden: het moment waarop de impact op het bedrijf ophoudt of de maximale periode die in de polis is vastgelegd.

Toch wordt dit belangrijke aspect van een polis vaak over het hoofd gezien als het tijd is voor verlenging. Laten we eens kijken wat daar de reden van is en wat polishouders kunnen doen om vooruit te komen. 

Hoe wordt een schadevergoedingsperiode vastgesteld?

Laten we eerst eens kijken hoe schadevergoedingsperioden worden vastgesteld in een standaard ISR-programma (Industrial Special Risks). Aangezien het om een onroerendgoedpolis gaat, staat het fysieke herstel vaak op de voorgrond bij het overwegen van polisvoorwaarden en hoe een schadeclaim in de praktijk kan verlopen. Dit kan soms contra-intuïtief zijn, aangezien de schadevergoedingsperiode zo moet worden vastgesteld dat de meeste denkbare financiële gevolgen voor het bedrijf als gevolg van verzekerde schade zich voordoen binnen de maximale schadevergoedingsperiode (MIP) die in de polis is opgenomen.

Een typische ISR stelt een maximale schadeloosstellingsperiode vast van minstens 12 maanden. Deze periode wordt meestal vastgesteld op basis van de tijd die nodig is om een hypothetisch totaal verlies te herstellen, rekening houdend met de waarschijnlijke herstellingsperiode van het verzekerde eigendom. Er wordt echter vaak over het hoofd gezien dat claims voor bedrijfsonderbreking niet noodzakelijk stoppen bij het herstel van de schade. 

Er zijn verschillende redenen waarom een bedrijfsschadeclaim kan doorlopen tot na de datum waarop de verzekerde schade is verholpen. Verlies van marktaandeel, timingproblemen met betrekking tot de erkenning van inkomsten en het gebruik van bestaande voorraden, en een langere aanloop naar normale operationele niveaus om er maar een paar te noemen. In de meeste gevallen zou de maximale schadevergoedingsperiode voldoende moeten zijn om verliezen te dekken die zich uitstrekken tot na de voltooiing van de fysieke herstellingen. Voor langere en complexere reparaties kunnen verliezen na het einde van de schadevergoedingsperiode echter een probleem worden bij een claim. 

Cyberbeleid en hoe het verschilt van een ISR

Het plaatje wordt complexer en de schadeloosstellingsperiode exponentieel belangrijker als we de bovenstaande concepten toepassen op een cyberpolis. De impact van een cyberinbreuk op de bedrijfsonderbreking kan veel moeilijker te voorzien zijn voordat het gebeurt. Er zijn geen fysieke tijdlijnen voor het herstel van gebouwen of andere eigendommen die gebruikt kunnen worden als basis voor het vaststellen van een schadeloosstellingsperiode. De schade die een cyberinbreuk kan veroorzaken, kan ook verstrekkend en moeilijk te voorspellen zijn in een omgeving die voorafgaat aan de schade, gezien het potentiële bereik en de reikwijdte van de gevolgen voor het bedrijf, vooral gezien de beperktere geschiedenis van cyberinbreuken in vergelijking met traditionele materiële schade en reparaties. Bedenk verder dat een typische cyberinbraak kort en krachtig is en meestal binnen een paar dagen of weken voorbij is. De gevolgen van de inbreuk kunnen echter vaak veel langer duren. 

Als we de bovenstaande denkrichting overnemen bij het opstellen van ISR-polissen, is het redelijk om aan te nemen dat de schadeloosstellingsperiode voor een cyberpolis meestal zal worden vastgesteld op basis van de cyberinbreuk zelf, in plaats van de voortdurende impact op het bedrijf. Een website of server met een grote impact kan vaak binnen enkele uren, dagen of hooguit weken weer online zijn door middel van back-ups of recreatie. Een schadeloosstellingsperiode in een cyberpolis zal dit vaak weerspiegelen en is meestal vastgesteld op ongeveer 90 dagen. Is dit, gezien de complexiteit die een bedrijfsschadeclaim met zich mee kan brengen, voldoende om de blootstelling van zowel de verzekerde als de verzekeraar adequaat vast te leggen?

Invloed op een claim

Laten we nu een scenario bekijken waarbij een bedrijf een cyberinbreuk ondervindt die leidt tot een aanzienlijke verstoring van de activiteiten.

Als het bedrijf succesvol herstelt en de normale activiteiten hervat binnen de schadeloosstellingsperiode, worden alle vergoede verliezen die tijdens die periode worden opgelopen (of dat nu winstderving is of extra gemaakte kosten) doorgaans gedekt door de polis.

Als het herstelproces echter langer duurt dan verwacht, of, wat gebruikelijker is, als de werkelijke financiële gevolgen voor het bedrijf zich pas manifesteren nadat de schadevergoedingsperiode is verstreken, dan is de dekking van de verzekeringspolis niet langer van toepassing. Er zijn een aantal manieren waarop dit kan leiden tot een claim. Een verzekerde kan bijvoorbeeld langetermijncontracten verliezen als gevolg van het niet kunnen uitvoeren van zijn normale activiteiten, of hij kan per kwartaal/na voltooiing van een project factureren en hoewel er werk verloren is gegaan, is er geen financiële impact op het bedrijf binnen de schadeloosstellingsperiode. Cyberverliezen krijgen ook veel publiciteit en de kans op voortdurende reputatieschade is een belangrijk punt van zorg.

Beperkingen van de dekking

Zodra een schadevergoedingsperiode afloopt, dekt de verzekeringspolis over het algemeen geen bijkomende verliezen die na die periode worden geleden. Dit betekent dat verliezen die na het verstrijken van de schadevergoedingsperiode worden geleden, niet door de verzekeraar worden vergoed, zelfs als ze rechtstreeks voortvloeien uit de oorspronkelijke gebeurtenis.

Wat belangrijk is, en waar soms minder bij stilgestaan wordt, is dat het omgekeerde ook waar is en verzekeraars blootstelt. Als een verzekerde een verlies lijdt tijdens de gehele schadevergoedingsperiode, maar dit verlies na afloop van de schadevergoedingsperiode volledig recupereert, zijn verzekeraars verplicht om de verzekerde te vergoeden voor de geleden verliezen, zelfs als er een gedeeltelijke of volledige recuperatie heeft plaatsgevonden die normaal de geclaimde verliezen zou compenseren.

Dit is vooral relevant als het gaat om cyberverliezen, en wel om twee belangrijke redenen. Ten eerste, zoals eerder besproken, bevatten cyberpolissen doorgaans kortere schadevergoedingsperioden. Ten tweede is het soms moeilijk om de volledige impact van een inbreuk te begrijpen tot lang na het herstel. Hoewel de netwerkinfrastructuur van de verzekerde dus volledig hersteld kan zijn, zijn de operationele gevolgen misschien nog niet zichtbaar.

Samenvatting

Samengevat, als de schadeloosstellingsperiode te kort is en de impact van de verzekerde langer duurt dan die periode, kan het bedrijf geconfronteerd worden met niet-vergoede financiële verliezen voor de periode na het einde van de dekking. Omgekeerd moeten verzekeraars zich ervan bewust zijn dat, hoewel een korte schadevergoedingsperiode voordelig kan lijken om een verlies te vergoeden, dit in het voordeel van een verzekerde kan werken als er na afloop van de schadevergoedingsperiode een terugvordering plaatsvindt.

De juiste vaststelling van een schadevergoedingsperiode bij de aanvang of verlenging van een polis kan een wezenlijk verschil maken voor de praktische gevolgen van een schadeclaim. Het is belangrijk dat experts die vertrouwd zijn met bedrijfsschade die specifiek is voor de polis in kwestie worden geraadpleegd om ervoor te zorgen dat de juiste afwegingen worden gemaakt. Hopelijk resulteert dit in een vlotte en passende schade-ervaring voor alle partijen.

Meer informatie > Contact [email protected].