Fraude-cyber en milieu

07-07-2015


Inleiding cyber_boef_handboeien312_01 (7-7-2015)

Deze keer staat de nieuwsbrief-schade in het teken van “updates en previews”. Een groot aantal actuele onderwerpen staat bij ons continu in de schijnwerpers. Sommige onderwerpen behoeven (voorlopig) minder aandacht, andere onderwerpen staan echter permanent hoog op de agenda. Over twee van die hoog genoteerde onderwerpen geven wij een “update annex preview”: fraude-cyber en milieu.  

Als uitsmijter hebben wij nog een geruststellend nieuwtje op het gebied van bestuurdersaansprakelijkheid. 

Fraude en cyber

“Van incident naar dagelijkse praktijk”. Die kreet is zonder meer van toepassing op het fenomeen “fraude in de zorgsector”. Waar tot voor een aantal jaren fraude iets was dat vooral in andere branches leek voor te komen, is de kentering onmiskenbaar. De fraudeur heeft nu ook de zorgsector nadrukkelijk in het vizier. 

Fraude manifesteert zich in grote lijnen op twee manieren. Van binnenuit, en van buitenaf. 

De fraude van binnenuit is vaak de min of meer klassieke vorm van fraude en wordt gepleegd door het eigen personeel, soms in samenwerking met buitenstaanders (zoals leveranciers of criminele opdrachtgevers). De opmars van deze vorm van fraude in de zorgsector is een feit. Dit lijkt te worden veroorzaakt door een combinatie van financiële motieven (de fraudeur heeft geld nodig), de geboden gelegenheid tot fraude, en in zijn algemeenheid een veranderende mentaliteit waardoor de drempel om te frauderen lager wordt. Deze vorm van fraude is vooral te bestrijden door “selectie aan de poort”. Dat wil zeggen, goed nagaan wie er wordt aangenomen en met wie er zaken wordt gedaan. En vervolgens (procedurele) maatregelen treffen waardoor de gelegenheid tot het plegen van fraude wordt verkleind.

Fraude van buitenaf volgt tegenwoordig steeds meer de elektronische weg en wordt dan ook vaak cyberfraude genoemd. De motieven om op deze manier te frauderen zijn hetzelfde: winstbejag, gelegenheid, laagdrempeligheid. Bovendien vindt deze vorm van fraude anoniem en daardoor betrekkelijk veilig plaats wat de pakkans vrijwel nihil maakt. Een extra aanlokkelijke bijkomstigheid die maakt dat deze vorm van fraude een nog veel grotere toekomst tegemoet gaat.

Buitenstaanders weten langs de elektronische weg de organisatie binnen te dringen op zoek naar giraal geld. De welbekende fishingmails die zogenaamd van de bank afkomstig zijn, zijn feitelijk nog het onschuldigst omdat die vooralsnog makkelijk als zodanig te herkennen zijn, maar de fishingmails worden wel steeds professioneler. Lastiger te traceren is de malware die zich stiekem in uw computersysteem nestelt en daar z’n werk doet.

Het bestrijden van dit soort fraude is helaas ingewikkelder dan het bestrijden van de “traditionele” fraude. Hier lijkt het inroepen van professionele hulp geen overbodige luxe maar eerder noodzaak te worden. 

Via “fraude van buitenaf” zijn wij als vanzelf bij het onderwerp “cyberrisico’s” gekomen. Vandaag de dag speelt de fraude zich immers steeds vaker op het internet af. Onder cyberrisico’s wordt echter niet alleen cyberfraude verstaan, maar ook allerhande andere soorten van risico’s die zich langs die weg kunnen openbaren. Te denken valt aan een cyberaanval met als doel om schade aan te richten zoals een gecombineerde doelgerichte aanval van hackers. Van fraude is dan geen sprake, maar het probleem is er niet kleiner door.

Het aanpakken van het gecombineerde probleem van fraude en cyberrisico’s, is iets dat begint met bewustwording. Aan die bewustwording ontbreekt het nogal eens zo is onze ervaring. Het afgelopen jaar heeft het probleem van fraude en cyber onze nadrukkelijke aandacht gekregen. Daarbij is ons opgevallen dat het probleem vaak niet wordt onderkend dan wel wordt gebagatelliseerd. Opmerkingen als “het zal zo’n vaart niet lopen” en “wij hebben alles onder controle” waren de meest gehoorde reacties. En dat terwijl, als je de experts moet geloven (en wij doen dat) het niet meer de vraag is óf je er mee te maken krijgt, maar wannéér je ermee te maken krijgt. En als men dan aan de beurt is, is het de vraag hoe groot de schade zal zijn.

Dat het probleem van cyberrisico’s ook tot op overheidsniveau is doorgedrongen én is onderkend, bewijst het feit dat op 26 mei jongstleden de wetswijziging Meldplicht Datalekken door de Eerste Kamer is goedgekeurd. Elke organisatie die persoonsgegevens heeft (en elke zorgorganisatie behoort daartoe), is nu verplicht om datalekken bij het College Bescherming Persoonsgegevens te melden. En in sommige gevallen moeten ook de personen van wie de gegevens zijn gelekt, worden geïnformeerd. Tot voor kort vormden datalekken vooral kans op reputatieschade. Nu leidt een datalek al snel tot het verplicht nemen van maatregelen. Bovendien voorziet de wet nu in een mogelijkheid om de organisatie waar het lek ontstond, een boete op te leggen van maximaal € 810.000,00.  

Hoe het fraude-cyberprobleem aan te pakken? Op die vraag bestaat nog geen pasklaar antwoord. Wél is duidelijk dat het begint met het onderkennen van het probleem op directieniveau en de bewustwording vervolgens de gehele organisatie te laten “afdalen”. Oftewel, dit onderwerp hoort hoog op de agenda te staan en verdient een integrale en continue aanpak. Een verzekering afsluiten, is niet dé oplossing, hooguit het sluitstuk van de integrale aanpak. Los hiervan zijn er reeds delen van het cyberrisico verzekerbaar onder de meer traditionele verzekeringen zoals de Fraudeverzekering en de Uitgebreide Technische Verzekering. 

Nogmaals, het begint met bewustwording. Daarna volgt inventarisatie, dan organisatie en vervolgens preventie. Met name op die punten willen wij trachten u een helpende hand te bieden. Daartoe zijn wij in gesprek met professionele partijen met wie wij tot een werkbare aanpak proberen te komen. 

Wordt vervolgd.

Milieu

Dat het milieu kwetsbaar is en bescherming behoeft, is niet nieuw. Daar is de gehele maatschappij inmiddels wel goed van doordrongen. Dat het beschermen van het milieu vaak op gespannen voet staat met het handelen van de mens, is echter ook een feit. Het resultaat is dat regelmatig en op veel verschillende manieren het milieu het kind van de rekening is. 

Van overheidswege wordt steeds meer het credo “de vervuiler betaalt” aangehangen. En dit vertaalt zich in wetgeving, zelfs op Europees niveau. 

Hoe groot is het probleem voor de zorgsector? Gelukkig niet heel groot. Immers, de zorgsector kent geen specifieke milieuverontreinigende processen. Wel zijn er een paar risico’s die niet-specifiek voor de zorgsector gelden, maar die er wél zijn én zich zouden kunnen openbaren. Een niet-ondenkbeeldig voorbeeld hiervan is verontreiniging door het vrijkomen van asbest. Een relatief klein brandje van bijvoorbeeld een oud asbesthoudend schuurtje ergens op het terrein van een zorginstelling, kan al voor verontreiniging van een grote oppervlakte zorgen. De verontreinigende organisatie (de “bron”) is dan verantwoordelijk voor het laten opruimen en schoonmaken, óf, wanneer de overheid dit op zich neemt, draait men op voor de gemaakte kosten (óók als men geen eigenaar maar huurder/gebruiker van het schuurtje is). 

Dus hoewel er sprake lijkt van een relatief kleine kans op schade, zijn de gevolgen verstrekkend, zeker ook  in financiële zin.          

De oplossing van dit probleem begint uiteraard ook met bewustwording en preventie, maar leent zich wél veel meer voor een afsluitende verzekeringsoplossing. Een aantal vormen van milieuschade is al gedekt onder de traditionele brandverzekeringen maar een aanvullende specifieke milieuschadeverzekering zal een welkome (zo niet noodzakelijke) oplossing voor de financiële kant van het probleem kunnen betekenen.

Wij zijn in gesprek met een aantal specialisten op dit gebied. Op korte termijn hopen wij de reikwijdte van het probleem te hebben geïnventariseerd en een adequate verzekeringsoplossing te kunnen aanbieden.

Wordt vervolgd.      

Bestuurdersaansprakelijkheid

Naast de leden van de Raad van Bestuur en de Raad van Toezicht, kunnen ook andere functionarissen binnen een zorgorganisatie persoonlijk aangesproken worden. In het kader van de onlangs door de Eerste Kamer aangenomen wetsvoorstel Meldplicht Datalekken, valt hierbij te denken aan het hoofd van een ICT-afdeling die aangesproken zou kunnen worden in geval van falende informatiebeveiliging. 

Binnen onze aansprakelijkheidsverzekering voor bestuurders en toezichthouders (ABT) is hier op geanticipeerd door middel van een artikel waarin wordt bepaald dat een persoon, niet zijnde een bestuurder, die wel als zodanig functioneert, ook onder de dekking valt. (Artikel 2.2e van de ABT-2015-voorwaarden.)

Afsluitend

Hoewel wij de komende tijd met de onderwerpen fraude-cyber en milieu verder aan de slag gaan en u daar nader over zullen informeren, adviseren wij u, binnen uw organisatie een en ander tenminste alvast bij de betrokkenen “in de week” te leggen.

Uitgelicht

  • 2019
  • 2018
  • 2017
  • 2016
  • 2015
  • 2014