Service aanvraag Neem contact op
Branches
Hoofdmenu
Contact
Support Bereikbaar
Vandaag bereikbaar t/m 17:00
Veenendaal
Wiltonstraat 41e
3905 KW Veenendaal


info@masugro.nl
088 040 8200
Neem contact met ons op Service aanvraag
Werken bij Masugro? Bekijk vacatures
Samenwerken? Met plezier gaan we voor jou aan de slag!
Waarom je cyberverzekering niet uitkeert als het misgaat
Blog

Waarom je cyberverzekering niet uitkeert als het misgaat

Jasper van Riessen op 8 jun 2026

Je hebt een cyberverzekering afgesloten. De premie wordt netjes betaald. Je gaat ervan uit dat je gedekt bent als het misgaat. Klopt dat? In deze blog vertelt Jasper van Riessen, mede-eigenaar van Masugro, waarom veel directeuren pas bij een incident ontdekken dat hun polis niet doet wat ze dachten.

De premie betalen is niet hetzelfde als gedekt zijn

Een cyberverzekering werkt anders dan een brandverzekering. Bij brand is het overzichtelijk: er was brand, er is schade, de verzekeraar keert uit. Bij een cyberincident stelt je verzekeraar eerst een hele reeks vragen. Waren je systemen bijgewerkt? Had je een informatiebeveiligingsbeleid? Kun je aantonen welke maatregelen je had getroffen? Had je een incident response plan?

Als je op één van die vragen geen goed antwoord hebt, wordt het een financieel probleem bovenop het technische probleem dat je al had.

De voorwaarden die niemand leest

In vrijwel elke cyberverzekering staan voorwaarden over de staat van je IT-omgeving. De meest voorkomende die wij tegenkomen bij klanten:

Je primaire systemen moeten in kaart gebracht zijn. Dat zijn de systemen waarmee je geld verdient: je ERP, je facturatie, je productieaansturing. De verzekeraar wil weten of die systemen beveiligd, bijgewerkt en beperkt op uitval zijn. “In de basis beveiligd” volstaat niet. Als updates worden uitgesteld vanwege stabiliteit, en dat gebeurt vaker dan je denkt, dan loop je risico. In de meeste polissen staat dat als een systeem een bepaald aantal dagen achterloopt met updates, er nog maar een percentage van de schade wordt uitgekeerd.

Daarnaast moet er een incident response plan aanwezig zijn. Een plan waar inhoudelijk over is nagedacht, geen document dat ergens in een la ligt. Wie doet wat als het misgaat? Wie communiceert met de verzekeraar? Wie isoleert de getroffen systemen? Als dat plan ontbreekt of onrealistisch is, keert de verzekeraar uit op basis van een gangbare uitvaltijd. De daadwerkelijke tijd die je niet hebt kunnen draaien telt dan niet mee.

Het verschil kan enorm zijn. Stel dat je zonder plan zeven dagen stilligt, terwijl de verzekeraar een gangbare hersteltijd van vijf dagen hanteert. Dan betalen ze vijf dagen. De andere twee dagen zijn voor eigen rekening.

Wat je denkt te hebben vs. wat je werkelijk hebt

De meeste directeuren die wij spreken, gaan ervan uit dat hun cyberverzekering werkt zoals elke andere verzekering. Je betaalt, er gebeurt iets, je wordt gecompenseerd. Een cyberverzekering is eerder een voorwaardelijke afspraak: wij dekken je, mits jij je deel doet.

Dat “je deel doen” is concreter dan de meeste bedrijven beseffen. Het draait om aantoonbaar beleid, gedocumenteerde processen en actief onderhoud van je systemen. Een firewall en een virusscanner zijn onvoldoende. ISO 27001 kan dienen als bewijs dat je adequate maatregelen hebt getroffen. Ook zonder certificering kun je veel regelen, zolang je het vastlegt en kunt laten zien.

Lagere kosten als je het goed doet

Er zit ook een positieve kant aan dit verhaal. Bedrijven die investeren in hun cyberbeveiliging, betalen lagere verzekeringspremies. Logisch, want het risico voor de verzekeraar is kleiner.

Sterker nog, er zijn partijen die een assurance-pot beschikbaar stellen. Het idee: als je hun beveiligingsoplossing gebruikt en je wordt toch getroffen, staan zij garant voor een bedrag van 500.000 of zelfs een miljoen euro. Klinkt aantrekkelijk, en dat is het ook. Lees wel de kleine lettertjes. De voorwaarden bepalen of die garantie in de praktijk standhoudt.

Drie vragen die je vandaag kunt stellen

Je hoeft geen compliance-expert te worden om grip te krijgen op je cyberverzekering. Begin met drie vragen aan je IT-partner of interne IT-afdeling:

Ten eerste: zijn onze primaire systemen in kaart en worden ze actief bijgewerkt? Aantoonbaar, met data en overzichten.

Ten tweede: hebben we een incident response plan dat realistisch is? Weet iedereen wat hij moet doen als het misgaat, of moeten we dat op dat moment nog uitzoeken?

Ten derde: voldoen we aan de voorwaarden van onze polis? De voorwaarden zoals ze er werkelijk staan, niet zoals wij aannemen dat ze zijn.

Als het antwoord op één van deze vragen “dat weet ik niet” is, dan is dat precies het punt waar je moet beginnen.

Meer weten?

Wil je weten of jouw organisatie voldoet aan de voorwaarden van je cyberverzekering? Bel Jasper op 088 040 8200 of plan een afspraak in voor een kop koffie en een eerlijk gesprek. Geen verplichtingen, wel duidelijkheid.

Jasper van Riessen, mede-eigenaar Masugro

Terug naar blog