INVENTARISATIEFORMULIER CYBER VERZEKERING A - Algemeen 1.
Naam bedrijf
: ………………………………………………………………………….
2. 3.
Datum oprichting Contactpersoon
: …………………………………………………………………………. : ………………………………………………………………………….
4.
Hoofdadres
: ………………………………………………………………………….
5.
Postcode/plaats
: ………………………………………………………………………….
6.
Telefoon
: ………………………………………………………………………….
7.
Webadres
: ………………………………………………………………………….
8.
Bedrijfsactiviteiten
: ………………………………………………………………………….
..…………………………………………………………..…………………………………………. ..…………………………………………………………..…………………………………………. Eventuele nevenactiviteiten: ..…………………………………………………………………….
9.
..…………………………………………………………..…………………………………………. 10.
Aantal personeelsleden : ………………………………………………………………………….
11.
Omzetgegevens (in EUR)
lopend boekjaar
volgend boekjaar
Totale omzet
Geografische verdeling (%) Nederland EU USA/Canada Rest van de wereld B – Toelichting op activiteiten
1) Worden door u online verkopen gedaan waarbij tevens betalingsgegevens zoals rekeningen of creditcard gegevens worden opgeslagen?
Ja Nee
Zo ja, wat is het aandeel van de totale omzet die online wordt gemaakt? …………………%
1
2) Slaat u – al dan niet tijdelijk – betaalkaartgegevens op uw netwerk op?
Ja Nee
3) Zijn al uw SQL (Structured Query Language) servers waarop betaalkaartgegevens binnen kunnen komen zodanig geprogrammeerd dat zij SQL- injectie aanvallen kunnen voorkomen?
Ja Nee
4) Welke soort persoonsgegevens worden door u verzameld, bewerkt en/of opgeslagen:
Bedrijfs- en klanteninformatie Medische gegevens Belasting gegevens Credit Card Informatie Financiële gegevens Intellectueel eigendom / Handels- en bedrijfsgeheimen
5) Wordt (gevoelige) informatie dan wel persoongegevens ook naar andere landen gezonden of in andere landen opgeslagen?
Ja Nee
6) Beschikt aanvrager over persoonsgegevens of bedrijfsinformatie van business partners, leveranciers of derden, benodigd voor de levering van producten en/of diensten?
Ja Nee
C – Outsourcing 1) Vindt outsourcing van primaire bedrijfsfuncties bij derden plaats?
Ja Nee
Zo ja, betreft dit de een of meer van de volgende onderwerpen:
Personeels gegevens Klantenservice Marketing en verkoop activiteiten Business Development / R&D IT-systemen Interne audits Anders, te weten …….………………………………………………………………………………
2) Aan wie wordt uitbesteed en worden er periodiek controles uitgevoerd op het beveiligingsbeleid van de bedrijven of hulppersonen waaraan diensten worden uitbesteed? …………………………………………………………………………………………………………… ……………………………………………………………………………………………………………
2
3) Worden bedrijven of hulppersonen waaraan diensten worden uitbesteed verplicht een eigen Cyber aansprakelijkheidsverzekering te hebben?
Ja Nee
4) Wordt in contracten overeengekomen dat de bedrijven of hulppersonen waaraan diensten worden uitbesteed u in geval van aanspraken zal vrijwaren?
Ja Nee
5) Worden aan de bedrijven of hulppersonen waaraan diensten worden uitbesteed eisen gesteld t.a.v. de mate van gegevensbescherming?
Ja Nee
D – Toelichting op beveiliging / gegevens bescherming Organisatie van informatiebeveiliging: 1) Is er sprake van fysieke beveiliging om ongeoorloofde toegang tot computersystemen en data centra te voorkomen en op te sporen?
Ja Nee
2) Is er beleid en zijn er procedures ten aanzien informatiebeveiliging en zijn deze geformaliseerd?
Ja Nee
3) Worden periodieke audits uitgevoerd met implementatie van daaruit voortvloeiende aanbevelingen?
Ja Nee
4) Wanneer is voor het laatst een audit uitgevoerd in verband met ICT beveiliging en door wie? d.d.…………/…………../ 201………,uitgevoerd door……………………………………………………. 5) Is een medewerker aangesteld die verantwoordelijk is voor het informatie beveiliging?
Ja Nee
6) Wordt gebruik gemaakt van antivirus software en zijn er procedures op alle desktops, laptops, handhelds, email systemen, servers etc. om worms, spyware en andere malware tegen te gaan?
Ja Nee
3
7) Hoe vaak worden deze software en procedures ge-update?
Dagelijks Wekelijks Maandelijks Anders, te weten ……………………………………………………………………………..
8) Beschikt u over schriftelijk vastgelegde en in het bedrijfscontinuïteitsplan opgenomen procedures en te nemen maatregelen in het geval er sprake van verlies van data?
Ja Nee
9) Bestaat er binnen uw organisatie een methode om alle vertrouwelijke informatie en persoonlijke informatie te versleutelen?
Ja Nee
Zo ja, op welke wijze vindt deze versleuteling plaats? ..……….…………………………………………………………………………………………………….….. …………………………………………………………………………….……………………………………… 10) Dient uw organisatie te voldoen aan de PCI DSS normering (Payment Card Industry Data Security Standard v1.2., als opgesteld door de creditcard maatschappijen)?
Ja Nee
Zo ja, aan welke niveau voldoet uw organisatie? ……………………………………………………………………………………………………………….……. ………………………………………………………………………………………………………….…………. 11) Beschikt uw organisatie over firewalls, die up-to-date zijn, voor alle internettoegangen en bestaan er procedures over de inrichting van genoemde firewalls?
Ja Nee
Zo ja, aan welke niveau voldoet uw organisatie? ……………………………………………………… ………………………………………………………………………………………………………………… 12) Zijn er firewalls aanwezig tussen draadloze toegangspunten en systemen welke persoonlijke informatie opslaan dan wel verwerken?
Ja Nee
13) Beschikken alle gebruikers van systemen en applicaties, welke persoonlijke informatie opslaan of persoonlijke informatie verwerken, over een unieke inlog code?
Ja Nee 4
Back-up van digitale informatie: 14) Wordt tenminste één maal per week wordt een back-up gemaakt?
Ja Nee
15) Wordt controle op de juistheid van de back-ups uitgevoerd?
Ja Nee
16) Wordt er periodiek een restore tests (herstel na crash of hardware storing) uitgevoerd?
Ja Nee
E - Gewenste dekking 1) Door derden geleden schade (cyber aansprakelijkheid) Gewenste limiet:
Gewenste eigen risico:
EUR 1.000.000 EUR 2.500.000 EUR 5.000.000 EUR 10.000.000 Anders EUR ……………….………….. EUR ……………………..
2) Gewenste uitbreidingen voor eigen schade/kosten
Kosten onderzoek naar netwerk onderbreking / Kosten forensisch onderzoek Notificatiekosten Crisis management kosten / Kosten voor public relations activiteiten Credit monitoring kosten Bedrijfsschade / Extra kosten Boetes Cyber afpersing / beloning
F. Schadeverleden 1) Heeft er de afgelopen 3 jaar een gebeurtenis plaatsgevonden, waarbij digitale informatie werd verloren, ontvreemd, beschadigd of gemanipuleerd als gevolg van een computervirus, hacker, of andere oorzaak?
Ja Nee Indien ja, graag uw toelichting: ……………………………………………………………………………………………………………… ………………………………………………………………………………………………………………
5
2) Is u ooit verzocht informatie te verstrekken aan een toezichthouder (College Bescherming Persoongegevens) of vergelijkbare instantie met betrekking tot de bescherming van (persoons)gegevens?
Ja Nee
Indien ja, graag uw toelichting: ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… ……………………………………………………………………………………………………………… Strafrechtelijk verleden (zie ook de toelichting op de reikwijdte van de mededelingsplicht) Bent u, ter uitvoering van een opgelegde (straf)maatregel in de laatste acht jaar, dan wel op dit moment als verdachte in een lopende procedure, in aanraking (geweest) met politie of justitie, in verband met: wederrechtelijk verkregen of te verkrijgen voordeel, zoals diefstal, verduistering, bedrog oplichting, valsheid in geschrifte of poging(en) daartoe; wederrechtelijke benadeling van anderen, zoals vernieling of beschadiging, mishandeling, afpersing en afdreiging of enig misdrijf gericht tegen de persoonlijke vrijheid of tegen het leven of poging(en) daartoe; overtreding van de vuurwapenwet, de opiumwet, de Wet economische delicten? Zo ja, geef dan aan om welk strafbaar feit het ging, of het tot een rechtszaak is gekomen, wat het resultaat daarvan was en of eventuele (straf)maatregelen al ten uitvoer zijn gelegd. Indien het niet tot een rechtszaak is gekomen, geef dan aan of er sprake is geweest van een schikking met het Openbaar Ministerie, en zo ja, tegen welke voorwaarden de schikking tot stand kwam. (U kunt deze informatie desgewenst vertrouwelijk aan de directie zenden.) Let op: indien de kandidaat-verzekeringnemer een rechtspersoon, maatschap of (commanditaire) vennootschap onder firma is, geldt deze vraag ook voor de in de toelichting omschreven personen. Door ondertekening van dit formulier verleent ondergetekende Aon uitdrukkelijk toestemming voor de verwerking van de op dit formulier ingevulde persoonsgegevens ten behoeve van haar eigen bedrijfsvoering en administratie. Dit formulier is naar waarheid ingevuld en ondertekend door ……………………………………….
………………………………………. (naam), ………………………………………..……(functie), die bevoegd is de kandidaat-verzekeringnemer in deze te vertegenwoordigen. (handtekening)
datum
……………………………………
……………/………………/201…
6
