Nieuws uit de technische commissie Cyber - juli 2026

Nieuws uit de technische commissie Cyber - juli 2026

Nieuws uit de technische commissie Cyber - juli 2026

Graag presenteren we de nieuwsupdate over de afgelopen periode. Vanaf nu zullen we jullie regelmatiger op de hoogte gaan houden van de belangrijkste ontwikkelingen binnen onze branchecommissie én daarbuiten. Zo zorgen we ervoor dat adviseurs meer tools en achtergrondinformatie krijgen om het (toenemende) cyberrisico met hun klanten te bespreken en dat adviseurs en leden weten wat er in de technische commissie Cyber speelt en wat er op ons afkomt.

Lees mee en ontdek wat er speelt in de technische commissie Cyber.

Shinyhunters: massaclaims, losgelddiscussie en supply chain attacks

Afgelopen maanden werd het cybernieuws gedomineerd door hackersgroepering Shinyhunters. Door misbruik te maken van configuratiefouten in de veelgebruikte CRM-software Salesforce konden zij binnendringen bij tientallen grote organisaties. Via deze wijze kregen zij toegang tot honderden miljoenen persoonsgegevens. Wij lichten drie bijzonderheden gerelateerd aan Shinyhunters nader toe:

#1 Cyberaansprakelijkheid in opkomst

In Nederland is de hack bij Odido het meest impactvolle wapenfeit geweest van Shinyhunters. De hack wordt ‘het grootste datalek ooit in Nederland’ genoemd en er is een massaclaim in de maak. Vorig jaar hebben we dit ook zien gebeuren bij het datalek van Onderzoeksinstituut Baarmoederhalskanker. Ook in deze zaak werden slachtoffers van de hack opgeroepen om zich te scharen in een class action. Het lijkt er dan ook op dat ‘cyberaansprakelijkheid’ in Nederland voet aan de grond begint te krijgen. Deze ontwikkeling kan druk gaan zetten op de verzekeringspremies voor bedrijven die met veel persoonsgegevens werken.

#2 Losgelddiscussie weer opgelaaid

Nog een bijeffect van Shinyhunters is dat in Nederland het publieke debat weer is opgelaaid over het wel of niet betalen van losgeld. Odido besloot namelijk het geëiste losgeld van een miljoen euro niet te betalen, een beslissing die niet door iedereen werd begrepen. Een miljoen euro zou immers een schijntje zijn voor Odido en niet in verhouding staan tot de schade die zou ontstaan als de data openbaar gemaakt zou worden. Wat in de beslissing echter zwaar is meegewogen, is dat Shinyhunters geen ‘dertien in een dozijn’ hackersgroepering is waar in de regel goed mee te onderhandelen valt. Sterker nog, deze hackersgroep staat er om bekend dat zij er geen enkele ethische moraal op na houden. Met de komst van Shinyhunters zijn losgeldonderhandelingen dan ook nóg complexer geworden.

#3 Supplychain attack Canvas

Een andere spraakmakende actie van Shinyhunters was de hack bij softwareplatform Canvas. Canvas wordt wereldwijd gebruikt door onderwijsinstellingen waaronder veel universiteiten. Ook tientallen Nederlandse onderwijsinstellingen konden Canvas dagenlang niet gebruiken en hadden mogelijk te maken met een datalek. Als er veel organisaties slachtoffer worden van hetzelfde incident kan dit tot cummulatie schades leiden bij verzekeraars. Dergelijke supply chain attacks kunnen de verzekerbaarheid onder druk zetten, aangezien verzekeraars juist niet hieraan blootgesteld willen worden. Tegelijkertijd pleiten deze aanvallen juist voor een cyberverzekering omdat klanten het risico bij externe dienstverleners nauwelijks zelf kunnen beheersen.

Gaat Mythos een gamechanger worden?

Er wordt in cybersecuritykringen al geruime tijd over gesproken; gaat de AI-tool Mythos ervoor zorgen dat hackers veel gemakkelijker kunnen binnendringen bij organisaties? Mythos legt namelijk op een zeer geavanceerde manier kwetsbaarheden in de software bloot. Zeer nuttig natuurlijk voor securitymedewerkers die hun organisatie goed beveiligd willen houden, maar evengoed voor hackers die hier misbruik van willen maken! Dit past in het algemene beeld dat AI zowel de beveiliging als de aanvaller sterker maakt, dus wat dat betreft niets nieuws onder de zon. Tóch wel wellicht, want veel van de door Mythos gevonden kwetsbaarheden kunnen door de softwareleverancier niet zomaar gerepareerd worden. Hier kunnen mogelijk weken of maanden overheen gaan en in de tussentijd kunnen hackers de kwetsbaarheid misbruiken. Of het écht zo’n vaart zal lopen, daar zijn de meningen over verdeeld. De verzekeringsmarkt lijkt zich in ieder geval nog geen grote zorgen te maken aangezien de markt nog onveranderd zacht is.

Vanuit de commissie

Hieronder een greep uit de acties die vanuit de commissie afgelopen tijd zijn geïnitieerd, dan wel voor komende tijd op de agenda staan.

Introductie Coassurantie Cyber

Naast dat wij een belangrijk aandeel hebben gehad in de samenstelling van het programma van de Introductie Coassurantie, hebben wij ook één van de sessies verzorgd. Tijdens deze sessie werd de dekking van de cyberverzekering besproken, de rol van de makelaar en de verzekeraar toegelicht en er is een heuse crisissimulatie uitgevoerd.

VNAB Co-podium Newsroom

Tijdens Co-podium heeft de technische commissie Cyber een break out sessie verzorgd waarin twee stellingen werden aangepakt. Stelling 1: ‘’Verzuimt het intermediair massaal hun zorgplicht voor cyberrisico’s bij hun klanten?'' Stelling 2: ‘’NIS2 Verzekeren van NIS2 boetes moreel verwerpelijk?'' De eerste stelling werd zowel bevestigd als ontkracht. Er zijn inderdaad veel makelaars die nog niet goed weten hoe ze het gesprek over cyber moeten aangaan. Maar er zijn beslist ook makelaars die dit wel heel goed doen. Over de tweede stelling was de meerderheid van de deelnemers van mening dat boetes wél verzekerd moeten worden.

Losgeldprotocol

Sanctiebepalingen en conflicts of interests tussen verzekeraar en verzekerde kunnen het proces van losgeldbetalingen behoorlijk compliceren en soms ook frustreren. Er wordt daarom gekeken naar de mogelijkheden voor een marktbreed gedragen losgeldprotocol.   

Actualiseren basisdocument

Twee jaar geleden is door de technische commissie het basisdocument cyberverzekering gepubliceerd. Inmiddels is de markt op bepaalde punten weer veranderd en daarom is er behoefte aan een update.

Begrippenlijst cyber

Binnen de cyberwereld worden veel technische begrippen gebruikt die het voor nieuwkomers extra lastig maken de materie te doorgronden. Een begrippenlijst beoogt het voor hen gemakkelijker te maken.

Een fijne zomer!

Namens de technische commissie Cyber,

Joppe Willeboordse

Zoeken binnen VNAB