Belgische ziekenhuizen kunnen zich voortaan verzekeren tegen cybercriminaliteit. Amma en Relyens bieden hen een pakket op maat aan om cyberrisico's het hoofd te bieden. Deze verzekering dekt niet de terugbetaling van losgeld, maar wel bijstandskosten, schade, exploitatieverlies en burgerlijke aansprakelijkheid.
Cyberbescherming is een prioriteit voor ziekenhuismanagers. Naast de preventie- en beschermingsmaatregelen die intern genomen kunnen worden, is het essentieel om ondersteund te worden door gespecialiseerde bedrijven wanneer zich een IT-aanval voordoet. Amma en Relyens werken al bijna twee jaar aan een verzekeringspakket dat voldoet aan de behoeften van ziekenhuizen.
“We bieden onze klanten onmiddellijke hulp van een multidisciplinair team, waaronder IT-specialisten, deskundigen op het gebied van risicobeheer en crisiscommunicatie”, legt Frédéric Melle, chief product officer bij Amma, uit.
Deze cyberverzekering dekt de kosten voor bijstand als gevolg van de aanval (honoraria van experts en adviseurs, verdedigingskosten en formaliteiten), immateriële en materiële schade (herstel van gegevens en software), met inbegrip van exploitatieverliezen als gevolg van de vertraging of stopzetting van de ziekenhuisactiviteit, evenals de dekking van burgerlijke aansprakelijkheid.
“Dit aanbod dekt niet het losgeld dat wordt geëist door hackers, omdat dit een aantrekkelijk effect zou kunnen hebben op hackers”, legt Frédéric Melle uit. “Bovendien, wanneer een ziekenhuis gegevens herstelt na het betalen van losgeld, weet het niet of de gegevens zijn gewijzigd. Het ziekenhuis loopt dus een risico door de gegevens te herstellen."
Voorwaarden voor verzekerbaarheid
Is deze verzekering betaalbaar - zowel financieel als wat betreft de voorwaarden waaraan voldaan moet worden om verzekerd te zijn - voor instellingen waarvan de financiën toch al onder druk staan?
“We hebben een vragenlijst opgesteld die aan het ziekenhuis wordt voorgelegd om te controleren of het verzekerbaar is voor cybercriminaliteit”, legt Frédéric Melle uit.
Wat betreft de kosten van de verzekeringspremie: “Het is een aanbod op maat op basis van de uitgevoerde cyberaudit”, voegt Dominique Godet toe, Managing Director van Relyens, een toonaangevende Europese speler op het gebied van verzekeringen en risicobeheer in de medische sector en de ziekenhuisbranche. "Wij zijn verzekeringsmaatschappijen en hoeven geen dividend uit te keren aan onze aandeelhouders. Onze aanpak is anders. Relyens zet zich al 100 jaar in om samen te werken met spelers van algemeen belang. De voorzitter van de Raad van Bestuur van Relyens is bijvoorbeeld de Chief Executive Officer van het Universitair Ziekenhuis Saint-Étienne. Wij willen waarde en oplossingen bieden om de veiligheid van patiënten te garanderen. Onze doelstellingen gaan verder dan winstgevendheid. Wij delen deze waarden met Amma."
“Afhankelijk van de grootte van het ziekenhuis en de mate van cyberbeveiliging, kunnen de premies voor onze verzekering variëren van enkele tienduizenden tot enkele honderdduizenden euro's per jaar voor een dekking die kan oplopen tot enkele miljoenen euro's”, voegt Frédéric Melle toe.
Boetes en financiële risico's
Ter herinnering: de wet NIS2 van 26 april 2024 legt een aantal verplichtingen op aan essentiële entiteiten zoals ziekenhuizen. Deze omvatten maatregelen voor risicobeheer op het gebied van cyberbeveiliging, melding van significante incidenten, registratie en samenwerking met de autoriteiten. Ziekenhuizen kunnen een boete krijgen tussen €500.000 en €10 miljoen, of 2% van de jaaromzet, voor inbreuken op deze regelgeving. Het is begrijpelijk dat ziekenhuismanagers proberen de financiële risico's van cybercriminaliteit te minimaliseren, zelfs als dat betekent dat ze een verzekering moeten afsluiten.
Individuele verzekering
Amma biedt momenteel geen cyberverzekering voor zorgverleners die een individuele dekking willen afsluiten. Verschillende bedrijven (Axa, Ethias, enz.) verzekeren KMO's tegen cyberdreigingen.
Uit onze grote enquête over cyberveiligheid in de gezondheidszorg bleek dat slechts 6% van de 903 respondenten (artsen en apothekers) vorig jaar een cyberveiligheidsverzekering had afgesloten. Onderschatten ze de dreiging of zetten ze alles in op IT-beveiliging?