Vragenformulier Cyberverzekering A
Algemeen
1.
Naam bedrijf _______________________________________________________________________
2.
Datum oprichting ____________________________________________________________________
3.
Contactpersoon _____________________________________________________________________
4.
Adres hoofdkantoor __________________________________________________________________
5.
Postcode/plaats _____________________________________________________________________
6.
Telefoon ___________________________________________________________________________
7.
Webadres _________________________________________________________________________
8.
Bedrijfsactiviteiten ___________________________________________________________________
9.
Eventuele nevenactiviteiten ____________________________________________________________
10. Aantal personeelsleden _______________________________________________________________ 11. Omzetgegevens (in EUR) lopend boekjaar
volgend boekjaar
Totale omzet
Geografische verdeling (%) Nederland EU USA/Canada Rest van de wereld
B 1.
Toelichting op activiteiten Welke soort gegevens worden door u verzameld, bewerkt en/of opgeslagen: Bedrijfs- en klanteninformatie Medische gegevens Belasting gegevens Creditcardinformatie Financiële gegevens Intellectueel eigendom/ Handels- en bedrijfsgeheimen Andere, zoals ____________________________________________________________________
2.
Beschikt u over persoonsgegevens of bedrijfsinformatie van business partners, leveranciers of derden, benodigd voor de levering van producten en/of diensten? Ja Nee
3.
Worden bedrijfsinformatie dan wel de persoonsgegevens ook naar andere landen gezonden of in andere landen opgeslagen? Ja Nee
1
4.
Worden door u online verkopen gedaan waarbij tevens betalingsgegevens zoals rekeningen of creditcardgegevens worden opgeslagen? Ja Nee Zo ja, wat is het aandeel van de totale omzet die online wordt gemaakt? _________________________ %
5.
Slaat u – al dan niet tijdelijk – betaalkaartgegevens op uw netwerk op? Ja Nee
6.
Zijn al uw SQL (Structured Query Language) servers waarop betaalkaartgegevens binnen kunnen komen zodanig geprogrammeerd dat zij SQL-injectie aanvallen kunnen voorkomen? Ja Nee
C
Toelichting op beveiliging/gegevensbescherming
Organisatie van informatiebeveiliging 1.
Is er spraken van fysieke beveiliging om ongeoorloofde toegang tot computersystemen en datacentra te voorkomen en op te sporen? Ja Nee
2.
Is er geformaliseerd beleid en zijn er procedures ten aanzien van informatiebeveiliging? Ja Nee
3.
Is een medewerker aangesteld die verantwoordelijk is voor informatiebeveiliging? Ja Nee
4.
Worden periodieke audits uitgevoerd op het beleid en de procedures ten aanzien van informatiebeveiliging? Ja Nee
5.
Worden de uit de audits als genoemd onder vraag 4, voortvloeiende aanbevelingen geïmplementeerd? Ja Nee
6.
Wanneer is voor het laatst een audit uitgevoerd in verband met ICT- beveiliging en door wie? Datum:
_____ - ______ - ______
Uitgevoerd door _____________________________________________________________________
2
Beveiligingssoftware en versleuteling 7.
Wordt gebruik gemaakt van antivirus software en zijn er procedures voor het installeren en implementeren van updates op alle desktops, laptops, handhelds, e-mailsystemen, servers etc. om worms, spyware en andere malware tegen te gaan? Ja Nee. Toelichting __________________________________________________________________
8.
Hoe vaak wordt deze software ge-update? Dagelijks Wekelijks Maandelijks Anders, te weten __________________________________________________________________
9.
Beschikt uw organisatie over firewalls, die up-to-date zijn, voor alle internettoegangen en bestaan er procedures over de inrichting van genoemde firewalls? Ja Nee
10. Zijn er firewalls aanwezig tussen draadloze toegangspunten en systemen welke persoonlijke informatie opslaan dan wel verwerken? Ja Nee. Toelichting __________________________________________________________________
11. Beschikken alle gebruikers van systemen en applicaties, welke persoonlijke informatie opslaan of persoonlijke informatie verwerken, over een unieke inlogcode? Ja Nee 12. Bestaat er binnen uw organisatie een methode om alle vertrouwelijke informatie en persoonlijke informatie te versleutelen? Ja Nee Zo ja, op welke wijze vindt deze versleuteling plaats? ________________________________________ __________________________________________________________________________________ 13. Dient uw organisatie te voldoen aan de PCI DSS normering (Payment Card Industry Data Security Standard v1.2, als opgesteld door de creditcardmaatschappijen)? Ja Nee Zo ja, aan welk niveau voldoet uw organisatie?_____________________________________________ __________________________________________________________________________________
3
14. Beschikt u over schriftelijk vastgelegde en in het bedrijfscontinuïteitsplan opgenomen procedures en te nemen maatregelen in het geval er sprake is van verlies van data? Ja Nee
Back-up van digitale informatie 15. Wordt tenminste één maal per week een back-up gemaakt? Ja Nee 16. Wordt controle op de juistheid van de back-ups uitgevoerd? Ja Nee 17. Wordt er periodiek een restore test (herstel na crash of hardware storing) uitgevoerd? Ja Nee
D 1.
Outsourcing Vindt uitbesteding van uw computernetwerk, computersysteem of informatiebeveiligingsfuncties plaats? Ja Nee Zo ja, betreft dit de een of meer van de volgende onderwerpen: Personeelsgegevens Klantenservice Marketing en verkoopactiviteiten Business Development / R&D IT-systemen Interne audits Anders, te weten __________________________________________________________________
2.
Aan wie wordt uitbesteed? _____________________________________________________________ __________________________________________________________________________________
3.
Worden er periodiek controles uitgevoerd op het beveiligingsbeleid van de bedrijven of hulppersonen waaraan diensten worden uitbesteed? Ja Nee
4.
Worden aan de bedrijven of hulppersonen waaraan diensten worden uitbesteed eisen gesteld t.a.v. de mate van gegevensbescherming? Ja Nee
4
5.
Worden bedrijven of hulppersonen waaraan diensten worden uitbesteed verplicht een eigen cyberverzekering te hebben? Ja Nee
6.
Wordt in contracten overeengekomen dat de bedrijven of hulppersonen, waaraan diensten worden uitbesteed, u in geval van aanspraken zullen vrijwaren? Ja Nee
E 1.
Gewenste dekking Door derden geleden schade (cyber aansprakelijkheid) Gewenste limiet EUR 2.500.000 EUR 5.000.000 EUR 10.000.000 Anders EUR _____________________________________________________________________ Gewenste eigen risico EUR ____________________________________________________________
2.
Gewenste uitbreidingen voor eigen schade/kosten Crisismanagementkosten Reconstructiekosten Bedrijfsstilstand met een gewenste wachttijd van ___ uur (minimale wachttijd is 8 uur) Boetes Cyberafpersing
F 1.
Schadeverleden Heeft er de afgelopen 3 jaar een gebeurtenis plaatsgevonden, waarbij digitale informatie werd verloren, ontvreemd, beschadigd of gemanipuleerd als gevolg van een computervirus, hacker of andere oorzaak? Ja Nee Indien ja, graag uw toelichting __________________________________________________________
2.
Is u ooit verzocht informatie te verstrekken aan een toezichthouder (College Bescherming Persoonsgegevens) of vergelijkbare instantie met betrekking tot de bescherming van (persoons)gegevens? Ja Nee Indien ja, graag uw toelichting __________________________________________________________
Strafrechtelijk verleden (zie hier onder ook de toelichting op de reikwijdte van de mededelingsplicht) Bent u, ter uitvoering van een opgelegde (straf)maatregel in de laatste acht jaar, dan wel op dit moment als verdachte in een lopende procedure, in aanraking (geweest) met politie of justitie, in verband met:
wederrechtelijk verkregen of te verkrijgen voordeel, zoals diefstal, verduistering, bedrog oplichting,
5
valsheid in geschrifte of poging(en) daartoe;
wederrechtelijke benadeling van anderen, zoals vernieling of beschadiging, mishandeling, afpersing en afdreiging of enig misdrijf gericht tegen de persoonlijke vrijheid of tegen het leven of poging(en) daartoe;
overtreding van de vuurwapenwet, de opiumwet, de Wet economische delicten?
Zo ja, geef dan aan om welk strafbaar feit het ging, of het tot een rechtszaak is gekomen, wat het resultaat daarvan was en of eventuele (straf)maatregelen al ten uitvoer zijn gelegd. Indien het niet tot een rechtszaak is gekomen, geef dan aan of er sprake is geweest van een schikking met het Openbaar Ministerie, en zo ja, tegen welke voorwaarden de schikking tot stand kwam. (U kunt deze informatie desgewenst vertrouwelijk aan de directie zenden.) Let op: indien de kandidaat-verzekeringnemer een rechtspersoon, maatschap of (commanditaire) vennootschap onder firma is, geldt deze vraag ook voor de in de toelichting omschreven personen. Door ondertekening van dit formulier verleent ondergetekende Aon uitdrukkelijk toestemming voor de verwerking van de op dit formulier ingevulde persoonsgegevens ten behoeve van haar eigen bedrijfsvoering en administratie. Dit formulier is naar waarheid ingevuld en ondertekend door de persoon die bevoegd is de kandidaatverzekeringnemer in deze te vertegenwoordigen. ______________________________________ Naam
____________________________________________ Functie
____________________
_____________________
________________________________________
Plaats
Datum
Handtekening
Belangrijk: Toelichting op de reikwijdte van de mededelingsplicht Als aanvrager/kandidaat-verzekeringnemer bent u verplicht de gestelde vragen in dit aanvraagformulier zo volledig mogelijk te beantwoorden. Vragen waarvan u het antwoord al bij de verzekeraar bekend veronderstelt, moet u toch zo volledig mogelijk beantwoorden. Indien u niet volledig aan uw mededelingsplicht heeft voldaan, kan dit ertoe leiden dat het recht op uitkering wordt beperkt of zelfs vervalt. Indien u heeft gehandeld met opzet tot misleiden van de verzekeraar of deze bij kennis omtrent de ware stand van zaken de verzekering niet zou hebben gesloten, heeft hij tevens het recht de verzekering op te zeggen. Indien deze verzekering wordt aangevraagd door een maatschap, een vennootschap onder firma of een rechtspersoon, dan gelden de vragen die gericht zijn op het schadeverleden, opgezegde verzekeringen en het strafrechtelijk verleden, ook voor:
de leden van de maatschap;
de (commanditaire) vennoten van de vennootschap onder firma (VOF);
de statutair directeur(en)/bestuurder(s) van de rechtspersoon.
Feiten en omstandigheden die u bekend worden nadat u deze aanvraag heeft ingezonden, maar voordat de verzekeraar u heeft bericht over zijn definitieve beslissing het door u ter verzekering aangeboden risico al dan niet te verzekeren, moet u alsnog aan de verzekeraar mededelen, indien deze vallen onder de vraagstelling in het aanvraagformulier.
6