Bedrijfsschade kent tal van variaties: brand, stormschade, inbraak, hackers die een systeem binnendringen, noem maar op. De gevolgen ervan kunnen groot zijn. Denk aan de fabriek die al na een klein brandje een paar dagen stil kan komen te liggen, of aan de webshop die na een hack niets meer kan verkopen. Loonkosten en andere vaste lasten moeten in de periode dat een bedrijf stilligt immers gewoon worden doorbetaald. Wat de kansen op de verschillende vormen van schade zijn, verschilt uiteraard per bedrijf.
Een bedrijf dat smartphones verhandelt, zal zich op een andere manier tegen inbraak moeten beschermen dan een bedrijf dat betonnen platen verkoopt. Gelukkig hoef je niet zelf het wiel opnieuw uit te vinden. Specialisten bij verzekeraars of onafhankelijke tussenpersonen en adviesbureaus kunnen je helpen bij het bepalen waar voor jou de risico’s liggen. Die zijn afhankelijk van het gebouw waarin het bedrijf is gehuisvest en de locatie ervan – hartje stad, of aan de rand van een dorp in Oost-Groningen, van het soort werkzaamheden dat een bedrijf verricht, van het aantal medewerkers en nog tal van andere variabelen. En vergeet ook niet om werknemers te raadplegen over de risico’s: zij zijn immers degenen die zich met de alledaagse processen bezighouden en weten waar het daar makkelijk mis kan gaan.
Preventie van een cyberattack nodig voor continuïteit
Als de risico’s zijn ingeschat volgen de preventieve maatregelen. “Denk hierbij aan basale zaken als de aanleg van een sprinklerinstallatie, een inbraakalarm en cameratoezicht, maar bijvoorbeeld ook aan bescherming tegen een cyberattack”, zegt Marko van Leeuwen, beleidsadviseur bij het Verbond van Verzekeraars. Dat laatste krijgt steeds meer aandacht, ook van verzekeraars, mede doordat sinds begin vorig jaar de Meldplicht Datalekken van kracht is.
Volgens Van Leeuwen denken bedrijven vaak dat het wel goed zit als ze een webbeheerder en een professionele softwareleverancier hebben. Maar als data het belangrijkste bezit is van je organisatie en je voor een groot deel afhankelijk bent van geautomatiseerde processen, zal je toch echt veel meer beschermingsmaatregelen moeten nemen. ISO27001, een ISO-standaard voor informatiebeveiliging, is een goed uitgangspunt bij preventieve maatregelen op dit vlak, aldus Peter Voshol, managing director van Kiwa NCP, een certificatie-instelling op het gebied van preventie. “Wat helpt bij deze beveiliging is goed nadenken over het daderprofiel: wat zou het uitgangspunt van de persoon kunnen zijn die jouw systeem wil binnendringen?”
Prioriteiten stellen aan preventiemaatregelen continuïteit
Niet alle preventie is voor de volle honderd procent waterdicht en dus zijn er verzekeringen om de bedrijfscontinuïteit verder te borgen. Een bedrijf kan zich tegen bijna alles verzekeren, maar daar zijn ook kosten mee gemoeid. Je zal dus keuzes moeten maken, al dan niet in overleg met je adviseur. Welke risico’s kun je zelf dragen, en welke niet? Welke preventieve maatregelen zijn er en wat zijn de kosten daarvan? Brand- en inbraakverzekeringen zijn vaak vrij generiek, maar er zijn ook zeer specialistische verzekeringen, voor bijvoorbeeld ingewikkelde bouwprojecten of bepaalde vormen van transport. In het algemeen geldt: hoe groter de organisatie hoe meer variatie er mogelijk is. De precieze prijzen en polisvoorwaarden verschillen per verzekeraar, simpelweg omdat ze concurreren en het verboden is om hier afspraken over te maken. Preventieve maatregelen zijn voor veel verzekeraars wel een vereiste om je toe te laten, vaak zullen zij een risicodeskundige langs sturen om de risico’s en genomen maatregelen te beoordelen.
Verzekeringscontracten gebonden aan bedrijfsactiviteiten
Als er voldoende preventie is en de verzekeringscontracten getekend en wel in de la liggen, is het geen kwestie van achterover leunen. Vooral bij kleinere organisaties gaat het nogal eens mis, vertelt Van Leeuwen. Die houden dan onvoldoende rekening met de precieze voorwaarden van de verzekering, zoals eisen op het gebied van preventie of het aanmelden van nieuwe activiteiten. Een bedrijf dat eerst schoenen verkocht en nu ook smartphones gaat verkopen krijgt een ander risicoprofiel en dient dat bijvoorbeeld te melden aan de verzekering. Een regelmatige update is dus nodig. Je wil bijvoorbeeld ook het verzekerde bedrag omhoog schroeven als je bedrijf is gegroeid, anders kom je alsnog in de problemen als er zich schade voordoet. Mocht er sprake zijn van schade, dan neem je contact op met je verzekeraar of tussenpersoon.
Die stuurt dan een schade-expert langs. “Het is onze opdracht om de aard, omvang en toedracht van de schade vast te stellen Wij rapporteren dat aan de verzekeraars die ons rapport weer langs de polis houden”, zegt Johan Fröhlich, voorzitter van het NIVRE, belangenbehartiger van schade-experts. Als je het als verzekerde niet eens bent met de schade-experts van de verzekeraar, heb je het recht om contra-expertise in te schakelen. In Nederland gebeurt dit vooral als het gaat om grotere bedragen. Wanneer je een financieel adviseur inschakelt, zal die ook kijken naar of je niet bent oververzekerd of dubbel bent verzekerd, zo zeggen de experts. Mocht er toch sprake zijn van dubbeling, dan zullen de verzekeraars het uit te keren bedrag delen, van een dubbele uitkering is nooit sprake.
Risicobewustzijn noodzakelijk in waarborgen continuïteit
Hoe je je ook verzekert en op wat voor manier je ook aan preventie doet: de belangrijkste manier om je bedrijfscontinuïteit te waarborgen is door iedereen in het bedrijf bewust te maken van de risico’s. “Als dat er bij het management niet is, zal er niets veranderen. En als dat er in een later stadium bij werknemers niet is, dan kan de directie nog zo hard z’n best doen, maar dan gebeurt er ook niets”, aldus Voshol. Van Leeuwen geeft een voorbeeld: “Ik kan een vijfsterrenslot op m’n deur plaatsen, maar als er vervolgens allemaal sleutels bij ex-medewerkers liggen, heb ik daar weinig aan.” En Fröhlich waarschuwt: “Als in je polis staat opgenomen dat brandbaar afval op afstand van je gebouw moet worden geplaatst, en je medewerkers plaatsen het toch tegen het gebouw dan keert je verzekering niets of minder uit.”
