Cyberrisicopool: coöperatie maakt compensatie schade mogelijk
De oprichting van een coöperatie is een belangrijke volgende stap die programma Cyberveiligheid zet op weg naar een mbo-brede cyberrisicopool. Dat zegt juridische adviseur Peter Vermeijs van de MBO Raad. Deze instantie is nodig zodat scholen straks betalingen kunnen doen.
Het idee van de pool is dat mbo-instellingen samenwerken aan cyberveiligheid en garant staan voor elkaars securityrisico’s. Een belangrijk uitgangspunt is dat scholen eventuele schade die het gevolg is van een cyberaanval onderling verdelen. ‘Het ministerie van OCW heeft echter aangegeven dat we schade niet rechtstreeks aan elkaar mogen compenseren met bekostigde middelen’, zegt Vermeijs. ‘Want die middelen verstrekt de overheid aan instellingen om onderwijs te verzorgen.’
Idee verder uitwerken
De oplossing die nu is bedacht, is dat instellingen zelfstandige rechtspersoon oprichten en alle betalingen via deze vereniging of coöperatie laten verlopen. De mogelijkheden zijn besproken met Edwin van Hoorn (Christelijke Onderwijs Groep), bestuurlijk trekker van de risicopool. ‘De slotsom is dat de coöperatie de meest waarschijnlijke vorm is’, zegt Vermeijs. ‘We zijn nu bezig om dit idee verder uit te werken in conceptstatuten en toetredingsvoorwaarden.’
Heel wat regels
Het programma Cyberveiligheid kreeg vorig jaar oktober groen licht van mbo-bestuurders om verder uit te zoeken hoe de pool vorm kan worden gegeven. ‘Er blijken heel wat verzekeringstechnische, financiële en juridische regels te zijn waarmee we rekening moeten houden’, zegt Vermeijs. De onderlinge verdeling van schade is er daar dus één van.
Toelating tot de pool en andere voorwaarden
De toelatingsvoorwaarden worden op dit moment ook uitgewerkt. Daarvoor is volgens Vermeijs een inventarisatie gemaakt van bepalende statements uit het toetsingskader IB, aangevuld met enkele concrete securitymaatregelen. ‘De uitkeringsvoorwaarden baseren we op wat gangbaar is in de verzekeringsmarkt.’
Gezamenlijke incidentrespons
Tot slot zet het programma Cyberveiligheid ook op het gebied van incidentrespons flinke stappen. Programmamanager Martijn Bijleveld: ‘Samen met de collega’s van SURFcert zijn we een marktverkenning gestart. Hierin onderzoeken we hoe marktpartijen aankijken tegen het scenario waarbij alle mbo-instellingen een gezamenlijk contract aangaan. Het idee is dat SURFcert dan voor het hele mbo als eerstelijns-incidentrespons optreedt.’
Meer informatie
Meer weten over cyberrisicopooling? Bekijk dan de animatie hieronder of klik hier. Of neem contact op met Martijn Bijleveld of Peter Vermeijs.