Wat dekt cyberverzekering?

Eerstehandsdekking omvat: kosten voor incidentrespons (forensisch onderzoek, juridisch, PR), bedrijfsonderbrekingsverliezen, gegevensherstelkosten, ransomwarebetaling en -onderhandeling, regelgevingsboetes en sancties (waar verzekerbaar) en notificatiekosten. Derdehandsdekking omvat: aansprakelijkheid door datalekken die klanten treffen, claims door netwerkbeveiligingsfalen, media-aansprakelijkheid en kosten voor regelgevingsverdediging. Dekking verschilt aanzienlijk tussen polissen.

Wat dekt cyberverzekering niet?

Veelvoorkomende uitsluitingen zijn: reeds bestaande inbreuken of bekende kwetsbaarheden, oorlogshandelingen of door staten gesponsorde aanvallen (oorlogsuitsluting), het niet handhaven van minimale beveiligingsstandaarden, opzettelijke of frauduleuze handelingen, lichamelijk letsel of materiele schade, verlies van toekomstige inkomsten of marktwaarde, onversleutelde gegevensverliezen (bij sommige polissen) en boetes in rechtsgebieden waar het verzekeren van boetes illegaal is. Beoordeel uitsluitingen altijd zorgvuldig met een makelaar.

Welke beveiligingscontroles vereisen verzekeraars?

De meeste cyberverzekeraars vereisen nu: multifactorauthenticatie (MFA) voor alle toegang op afstand en e-mail, endpoint detection and response (EDR) op alle endpoints, regelmatig patchen met gedefinieerde SLA's, versleutelde backups die regelmatig worden getest (inclusief offline/onwijzigbare kopieen), e-mailbeveiliging (DMARC, SPF, DKIM), privileged access management, security awareness training en een incidentresponsplan. Het ontbreken van deze controles kan leiden tot afwijzing van de aanvraag of polisuitsluitingen.

Hoe beinvloedt compliance cyberverzekeringspremies?

Het aantonen van een sterke compliancehouding — ISO 27001-certificering, SOC 2-rapport, gedocumenteerd beveiligingsprogramma — vermindert premies doorgaans met 10-25%. Verzekeraars beschouwen complianceframeworks als bewijs van volwassen beveiligingspraktijken. Omgekeerd worden organisaties zonder formele beveiligingsprogramma's, die basiscontroles zoals MFA missen of een claimgeschiedenis hebben, geconfronteerd met hogere premies of zijn mogelijk niet in staat dekking te verkrijgen.

Wat is het verschil tussen cyberverzekering en beroepsaansprakelijkheidsverzekering?

Beroepsaansprakelijkheidsverzekering (errors and omissions / E&O) dekt claims die voortvloeien uit professionele nalatigheid of het niet leveren van diensten. Cyberverzekering dekt specifiek verliezen door cyberincidenten — datalekken, netwerkaanvallen, ransomware. Sommige polissen combineren beide (Tech E&O + Cyber). Voor technologiebedrijven zijn doorgaans beide nodig. Cyberverzekering adresseert technologiespecifieke risico's die E&O-polissen uitsluiten.

Hoeveel kost cyberverzekering?

Cyberverzekeringspremies varieren sterk op basis van: bedrijfsgrootte en omzet, branche (gezondheidszorg en financiele dienstverlening betalen meer), beveiligingshouding en -controles, claimgeschiedenis, dekkingslimieten en eigen risico, en gegevensvolume en -gevoeligheid. Voor het MKB liggen typische premies tussen EUR 2.000-20.000 per jaar voor EUR 1-5M dekking. Zakelijke polissen met hogere limieten kunnen EUR 50.000-500.000+ kosten. Premies zijn 50-100% gestegen sinds 2020 door ransomwareverliezen.

Vereisen complianceframeworks cyberverzekering?

Hoewel geen enkel groot framework expliciet cyberverzekering verplicht, verwijzen verschillende ernaar: ISO 27001 (A.5.6 — Contact met speciale belangengroepen, waaronder verzekeraars), NIS2 (moedigt risico-overdrachtmechanismen aan) en DORA (Artikel 6 — ICT-risicobeheerframework kan verzekering omvatten). Veel B2B-contracten en beveiligingsbeoordelingen van klanten vereisen nu bewijs van cyberverzekeringsdekking. Het wordt steeds meer als een zakelijke basisvereiste beschouwd.

Cyberverzekering: de complete gids voor compliance- en beveiligingsteams

Published 8 mrt 2026

By Emre Salmanoglu

Cyberverzekering: de complete gids voor compliance- en beveiligingsteams

Q: Wat is cyberverzekering?

Cyberverzekering (ook wel cyberaansprakelijkheidsverzekering genoemd) is een gespecialiseerd verzekeringsproduct dat organisaties helpt financiele verliezen te dekken als gevolg van cyberincidenten — datalekken, ransomware-aanvallen, bedrijfsonderbreking, regelgevingsboetes en claims van derden. Cyberverzekering draagt het resterende cyberrisico over aan een verzekeraar nadat een organisatie redelijke beveiligingscontroles heeft geimplementeerd. Het complementeert maar vervangt geen beveiligingsprogramma.

Leer hoe cyberverzekering werkt, wat het dekt en hoe het samenhangt met ISO 27001, SOC 2, NIS2 en DORA-compliance. Behandelt polissoorten, dekkingslacunes, aanvraagvereisten en strategieen voor premievermindering.

cyberverzekering

risico-overdracht

compliance

cybersecurity

risicobeheer

Wat is cyberverzekering?

Cyberverzekering is een gespecialiseerd risico-overdrachtsproduct dat financiele bescherming biedt tegen verliezen als gevolg van cybersecurityincidenten. Het dekt kosten die organisaties niet kunnen voorkomen door beveiligingscontroles alleen — incidentrespons, bedrijfsonderbreking, regelgevingssancties en aansprakelijkheidsclaims.

Voor compliance-gedreven organisaties complementeert cyberverzekering de controles die worden vereist door ISO 27001, SOC 2, NIS2 en DORA door het resterende risico te adresseren dat niet volledig kan worden gemitigeerd door technische en organisatorische maatregelen.

Dekkingssoorten

Dekking	Type	Wat het dekt
Incidentrespons	Eerstehandsdekking	Forensisch onderzoek, juridisch advies, inbreuknotificatie
Bedrijfsonderbreking	Eerstehandsdekking	Verloren inkomsten en extra kosten tijdens uitvaltijd
Gegevensherstel	Eerstehandsdekking	Kosten om verloren of beschadigde gegevens te herstellen of opnieuw te creëren
Ransomware	Eerstehandsdekking	Losgeldbetalingen, onderhandelingsdiensten, herstelkosten
Regelgeving	Eerstehandsdekking	Boetes, sancties en kosten voor regelgevingsverdediging
Aansprakelijkheid datalekken	Derdehandsdekking	Claims van getroffen personen of bedrijven
Aansprakelijkheid netwerkbeveiliging	Derdehandsdekking	Claims door netwerkfalen dat anderen treft
Media-aansprakelijkheid	Derdehandsdekking	Claims door online-inhoud of reclame

Beveiligingsvereisten van verzekeraars

Controle	Prioriteit verzekeraar	Impact op dekking
MFA voor toegang op afstand	Kritiek	Aanvraag afgewezen zonder
EDR op alle endpoints	Kritiek	Kan dekking ongeldig maken als afwezig tijdens claim
Offline/onwijzigbare backups	Kritiek	Ransomwareclaims vereisen bewezen backup
Patchbeheer	Hoog	Ongepatchte bekende kwetsbaarheden uitgesloten
E-mailbeveiliging	Hoog	Claims door zakelijke e-mailcompromittering worden nauwkeurig onderzocht
PAM	Hoog	Claims door privilege-escalatie worden onderzocht
Security awareness training	Gemiddeld	Phishing-gerelateerde claims worden beoordeeld
Incidentresponsplan	Gemiddeld	Snellere respons vermindert claimomvang
Netwerksegmentatie	Gemiddeld	Vermindert impactradius van incidenten
Kwetsbaarheidsscanning	Gemiddeld	Toont proactieve risico-identificatie

Selectiecriteria voor polissen

Criterium	Overweging	Te stellen vragen
Dekkingslimieten	Afstemmen op realistisch worstcasescenario	Wat is ons maximale potentiele verlies?
Eigen risico	Premiekosten afwegen tegen eigen risicobehoud	Wat kunnen we opvangen zonder verzekering?
Retroactieve datum	Dekking voor incidenten die plaatsvonden voor polisingang	Worden reeds bestaande onontdekte inbreuken gedekt?
Sublimieten	Specifieke plafonds voor bepaalde dekkingsgebieden	Zijn ransomwarebetalingen apart begrensd?
Uitsluitingen	Wat specifiek niet wordt gedekt	Is staatsactiviteit uitgesloten?
Notificatievereisten	Termijnen voor het melden van incidenten aan de verzekeraar	Hoe snel moeten we de verzekeraar notificeren?
Panelaanbieders	Verplicht gebruik van door de verzekeraar goedgekeurde leveranciers	Kunnen we ons eigen incidentresponsteam gebruiken?

Strategieen voor premievermindering

Strategie	Verwachte impact	Vereist bewijs
ISO 27001-certificering	10-20% reductie	Certificaat en bereikdocumentatie
SOC 2 Type II-rapport	10-15% reductie	Actueel SOC 2-rapport
MFA-uitrol (100%)	5-15% reductie	MFA-dekkingsrapport
EDR-dekking (100%)	5-10% reductie	EDR-implementatiebewijs
Getest incidentresponsplan	5-10% reductie	Tabletop-oefenrapporten
Onwijzigbare backupstrategie	5-10% reductie	Backuparchitectuurdocumentatie
Security awareness-programma	3-5% reductie	Trainingsvoltooiingsregistraties
Geen eerdere claims	Significante impact	Schone claimgeschiedenis

Claimproces

Fase	Acties	Tijdlijn
Detectie	Potentieel incident identificeren, ernst beoordelen	Onmiddellijk
Notificatie	Contact opnemen met de claimhotline van de verzekeraar binnen polistermijn	Binnen 24-72 uur
Triage	Verzekeraar wijst breach coach, forensisch team en juridisch adviseur toe	1-3 dagen
Onderzoek	Forensisch onderzoek om omvang en oorzaak te bepalen	1-4 weken
Respons	Inbreuknotificatie, kredietmonitoring, PR-respons	Zoals wettelijk vereist
Herstel	Systeemherstel, remediatie van kwetsbaarheden	2-8 weken
Claimafhandeling	Documentatie van alle kosten, indiening voor vergoeding	30-90 dagen

Raakvlakken met compliance

Framework	Verzekeringrelevantie	Overlap met controles
ISO 27001	Risicobehandelingsoptie (A.5.6, risico-overdracht)	Beveiligingscontroles verlagen premies
SOC 2	Toont volwassenheid van controleomgeving aan	SOC 2-rapport verlaagt premies
NIS2	Risicobeheermaatregelen (Art. 21)	Compliancehouding ondersteunt aanvragen
DORA	ICT-risicobeheerframework (Art. 6)	Vereisten voor operationele veerkracht sluiten aan
AVG	Financiele bescherming voor inbreukkosten	Dekking van regelgevingsboetes (waar verzekerbaar)

Veelgemaakte fouten

Fout	Risico	Oplossing
Verzekering behandelen als beveiligingsvervanging	Claim afgewezen wegens ontoereikende controles	Verzekering complementeert beveiliging, vervangt het nooit
Uitsluitingen niet lezen	Onverwachte claimafwijzing voor uitgesloten scenario's	Beoordeel alle uitsluitingen met makelaar, begrijp oorlogsclausules
Onderverzekeren	Kosten overschrijden dekkingslimieten tijdens groot incident	Modelleer realistische worstcasescenario's voor limietselectie
Late notificatie aan verzekeraar	Claim afgewezen wegens te late melding	Ken notificatiedeadlines, meld vroeg bij twijfel
Polis niet bijwerken bij bedrijfswijzigingen	Dekkingslacunes door overnames, nieuwe diensten of cloudmigratie	Jaarlijkse polisbeoordeling afgestemd op bedrijfswijzigingen
Sublimieten negeren	Belangrijke dekkingsgebieden begrensd onder verwachte kosten	Beoordeel en onderhandel sublimieten voor ransomware, bedrijfsonderbreking

Hoe Orbiq cyberverzekeringgereedheid ondersteunt

Orbiq helpt u de beveiligingshouding aan te tonen die verzekeraars vereisen:

Bewijsverzameling — Centraliseer beveiligingsbeleid, controlebewijs en compliancerapporten
Continue monitoring — Volg controledekking over verzekeraarvereisten
Trust Center — Deel uw beveiligingshouding via uw Trust Center
Compliancemapping — Koppel controles aan vereisten van verzekeraarvragenlijsten
Auditgereedheid — Kant-en-klare bewijspakketten voor verzekeringsaanvragen en -verlengingen

Verder lezen

Risicomanagement-frameworks — Risicobeoordeling ter ondersteuning van verzekeringsbeslissingen
Incidentrespons — Incidentafhandeling die verzekeringsclaims ondersteunt
Bedrijfscontinuiteitsplanning — Continuiteitsplanning die verzekeringsclaims vermindert
Multifactorauthenticatie — Kritieke verzekeraarvereiste
Endpoint-beveiliging — EDR-vereisten voor dekking