Vallen activiteiten die worden geoutsourced ook onder de dekking van een verzekering tegen cyberrisico's?

Bij outsourcing kunt u denken aan het uitbesteden van de salarisadministratie, het inkopen van cloudcomputingdiensten en het onderbrengen van data bij datacenters. In de Wet bescherming persoonsgegevens (Wbp) is vastgelegd dat een bedrijf zelf verantwoordelijk blijft voor de integriteit en de beveiliging van de verzamelde (gevoelige) gegevens, ongeacht of een en ander is uitbesteed. Uitbesteding zorgt er (als het goed is) voor dat bepaalde activiteiten worden overgelaten aan een professionele partij, met als gevolg dat de ‘verantwoordelijke’ een stuk minder grip op de zaak krijgt. Neemt de partij aan wie het werk en de gegevens zijn uitbesteed het wel zo nauw met alle regels rondom privacyschending en gegevensbeveiliging? Zal hij het eerlijk doorgeven als er sprake is van een lek? Op het moment van schade is het ook nog maar de vraag of het bedrijf direct toegang krijgt tot de serverruimtes en of het lek direct kan worden gedicht zonder al te veel beschadigingen aan de data. Het is voor bedrijven dan ook erg belangrijk om doordachte beslissingen te nemen bij uitbesteding. Zeker op het moment dat er veel gevoelige gegevens worden verwerkt of opgeslagen, is het van belang om in ieder geval te weten waar dit gebeurt (is dit wel binnen Nederland?), hoe dit gebeurt, hoe ervoor gezorgd wordt dat het veilig gebeurt en hoe de crisisherstelplannen van een insourcer er uitzien. Cyberrisico’s via uitbesteding zijn verzekerbaar. Bovengenoemde punten zijn daarbij belangrijk voor de acceptatie van risico’s. Ongeacht of de data worden beheerd bij een serviceprovider en of er gebruik wordt gemaakt van IT-systemen van de provider, nemen de meeste cyberverzekeringen dit mee in de dekking.