Aon neemt cybercrime voortaan standaard in inboedelverzekering op

Verzekeraar Aon neemt vanaf 1 september cybercrime standaard op in de inboedelverzekering. Dat las ik bij Tweakers onlangs. In de polis staat te lezen dat voornamelijk onkosten worden betaald voor situaties zoals phishing, ransomware of identiteitsfraude. De daadwerkelijke schade wordt zelden vergoed, wat niet zo gek is want juridisch gezien heb je als consument geen schade bij dataverlies (data is niets) of benodigde herinstallatie (je tijd kost geen geld).

De polisvoorwaarden zijn nog best leesbaar en to the point, wat natuurlijk mede komt omdat het wettelijk verplicht is om in eenvoudige taal te communiceren. En oh wat zou het fijn zijn als privacyverklaringen eens net zo goed leesbaar zouden zijn.

Even lezen geeft dan toch wat aardige dingen. Het eerste dat mij opviel, is dat je de app van de bank moet gebruiken. Als je wordt beroofd via internetbankieren via de site, dan valt dat buiten de dekking. Dat laat wel zien hoe men de risico’s inschat bij bankieren via browsers.

Oh, jailbreak je je systeem dan ben je niet gedekt. Die term is breder gedefinieerd dan alleen iOS overigens, hoewel het mij raar aandoet om deze toch Apple-specifieke term te gebruiken. Het gaat om iedere vorm van het uitschakelen of omzeilen van de beveiliging van de fabrikant tegen het zomaar installeren van apps. Daar zit natuurlijk achter dat je zo malafide apps binnen kunt krijgen, zodat je het risico op schadebrengende gebeurtenissen vergroot.

Wat me in negatieve zin opvalt, is dat de voorwaarden niet eisen dat je je OS en veelgebruikte software bijwerkt. Zou dat zijn omdat de meeste moderne OS’en dat toch al doen automatisch (Windows 10 zelfs zonder optie dat te weigeren)? Anders voelt het als een merkwaardige omissie.

Ik lees in de comments nog diverse mensen die zelf prima weten hoe ze de beveiliging van hun computer regelen, maar daarbij desondanks de regels van de verzekeraar zouden overtreden. Bijvoorbeeld door hun telefoon te rooten maar wél keurig de malware buiten de deur houden. Moeten die dan wel of niet onder de dekking vallen? Altijd een lastige.

Ik ben uiteindelijk toch geneigd te zeggen van wel, máár met een hoge bewijslast dat je systeem echt veilig was ondanks al je eigen knutselwerk. Want de verzekeraar kan het verschil niet zien tussen een hacker (een echte) die beter dan Linus weet hoe zijn kernel dicht te timmeren, en een gedachteloze amateur die zomaar overtypt wat mensen op vage forums vertellen dat je moet doen om gratis Bejeweld te spelen. En gezien de eerste categorie veel zeldzamer is dan de tweede, vind ik dat je als echte hacker moet bewijzen dat je dat bent om alsnog aanspraak op de verzekering te maken.

Arnoud

26 reacties

  1. Uit de polisvoorwaarden

    Gebruik geen computersysteem met een jailbreak. Met het installeren van een jailbreak worden de door de fabrikant ingebouwde systeembeveiligingen van het computersysteem omzeild;
    Hieronder lees ik niet het unlocken van de bootloader als de fabrikant hier een officiële methode voor bied. Omzeilen impliceert een onbedoelde omweg om de beveiliging heen. Daar is hier geen sprake van. Het installeren van een custom geroote rom zie ik in dan ook niet als een omweg, zolang dit via bedoelde kanalen gaat.

    De clausule over het gebruiken van de bank app lees ik als dat dat alleen van toepassing is op tablets en telefoons, niet op desktop computers of laptops.

    Ook de clausule over het moeten aanpassen van de standaard wachtwoorden kan problematisch zijn. Sommige (goedkope) apparaten hebben / hadden een verborgen admin account met een vast wachtwoord.

    1. Dat wordt een lastige.

      Hierin lees ik (en kan je op een briefje schrijven dat Aon dit ook zo wil lezen) juist elke manier van het omzeilen van de vooraf ingestelde beveiligingen van de fabrikant. Hierbij maakt het niet uit of de fabrikant de methode zelf levert. “Omzeilen” betekent enkel “ontwijken” en niet “ontwijken op een onbedoelde manier”.

      Waar ik me zorgen over maak is of ze een poging gaan doen om sideloaden op Android, of misschien zelfs “Ja” kiezen bij “Weet je zeker dat je deze software van een derde partij wilt installeren?” op een desktop willen meenemen.

      1. Dat zou dan wel een heel erg onduidelijke clausule zijn. Als je die interpretatie doortrekt tot het einde dan mag je je apparaat helemaal niet meer aanzetten want een apparaat dat uit staat is compleet ongevoelig voor virussen terwijl een apparaat dat aan staat wel besmet kan worden.

        Het lastige hier is om te bepalen wat normaal gebruik is. Grootmoeder die alleen maar whatsapped met haar kleinkinderen heeft een heel ander beeld van wat normaal gebruik is dan een iemand die een specifieke telefoon koopt omdat de fabrikant open staat voor mensen die hun telefoon willen hacken en dus het unlocken van de bootloader mogelijk maakt. Of zelfs nog een stap verder, iemand die een open source telefoon koopt waar helemaal geen lock op de bootloader of welke andere beveiliging dan ook in zit.

      2. “Omzeilen” impliceert wat mij betreft wel degelijk iets van niet-bedoeld, niet legitiem. Als ik een verkeerscontrole omzeil, dan bedoel ik niet dat ik toevallig over de Amsteldijk reed terwijl de controle ergens anders stond. Dan heb ik gehoord of gezien dat ze ergens staan en neem ik gauw een steegje naar de Amsteldijk.

        Als de fabrikant een knopje “Uitschakelen sideload-blokkade” heeft, dan is het geen omzeilen als je dat knopje gebruikt.

        1. Nou ja, “niet legitiem” ben ik het niet mee eens. “Niet bedoeld”, of “ongewenst” ja, maar “legitiem” impliceert toch iets formeels, juridisch of wettelijks. Als ik belasting ontduik door boekhoudfraude te plegen dan is dat niet legitiem, als ik belasting ontwijk door binnen het Europees recht bepaalde assets in Ierland te parkeren dan is dat misschien ongewenst, of onbedoeld, maar zeker niet illegaal en ook niet “niet legitiem”. Een verkeerscontrole omzeilen door een andere route over de openbare weg te nemen (en dus niet via een busstrook of de verkeerde kant op een eenrichtingsweg in) lijkt me om dezelfde reden ongewenst maar niet illegaal en dus ook niet niet legitiem.

          1. Het is inderdaad niet hetzelfde als iets illegaals, onwettigs doen, dat ben ik met je eens. Maar het heeft wel een geurtje. Ik weet dat we met z’n allen heel hard roepen dat belastingontwijken legaal is omdat belasting moreel neutraal is (of zoiets) maar ondertussen weten we allemaal dat het niet solidair is naar de maatschappij, dat jij miljoenen belasting ontwijkt met je Dutch-Irish sandwich. Die ondertoon van maatschappelijk onwenselijk, dat is waar ik op doelde. Legitiem is voor mij geen synoniem voor legaal, maar ik zie nu dat dat wel een kernbetekenis is. Ik zal het voortaan anders formuleren.

            1. ‘Grappig’ dat jij nu rooten dus eigenlijk met maatschappelijk onwenselijk vergelijkt. Terwijl ik juist fabrikanten die na verkoop zeggenschap willen houden over het product, in plaats van de eigenaar waar het hoort te liggen, maatschappelijk onwenselijk vind.

              Er is op basis van DMCA en EUCD een uitholling van het eigendomsrecht gaande. Fabrikanten gebruiken het verbod op omzeilen om achter die zelfde blokkade zichzelf nog veel meer rechten toe te eigenen.

              1. In de context van verzekeren vind ik die vergelijking gepast. Je vraagt van een verzekeraar nu om een bedrag uit te keren nadat jij de beveiliging hebt verzwakt op een wijze die door de fabrikant niet is bedoeld. Als ik een dragende muur sloop in mijn huis, is het dan redelijk dat de opstalverzekering de herbouw gewoon financiert? Ik vind van niet, hoewel ik besef dat het mijn recht is om de dragende muur van mijn eigendom eruit te halen (de hypotheeknemer even negerend).

                1. (de hypotheeknemer even negerend).

                  Yesss!!! Iemand die die termen goed hanteert. De leningnemer is de hypotheekgever en andersom. Wordt bijna altijd fout gedaan.

                  Mensen zeggen “Ik heb een hypotheek.” Nee hoor, vast niet, tenzij je in je eentje een bank bent, en dat gaat je niet lukken, dat vindt DNB niet goed.

                  1. Ik spotte ‘m ook, maar vond het niet zo spannend voor een jurist als Arnoud (we hebben je hoog zitten!).

                    Dat mensen zaken in de volksmond enigszins verbasteren, tsja… Strikt genomen bedoelen ze “hypothecaire lening”, maar dan klinkt ‘hypotheek’ gewoon wat makkelijker. Net zoals je liever zegt “Gas geven!” in plaats van “Meer voorverwarmd mengsel van lucht en vernevelde benzine (geen gas!) naar de cilinders!”.

                    Overigens mag iedereen die een lening verstrekt, dus ook een particulier, een hypotheek als voorwaarde stellen waarmee het per definitie een hypothecaire lening wordt. DNB vind daar niets van.

                    1. Ik doe dan ook niet aan gas geven, ik voer de spanning (en frequentie) op.

                      In het dagelijks gebruik maakt het natuurlijk niets uit zolang maar d duidelijk is wat men bedoelt. In contracten e.d. luistert het terecht wat nauwer.

                      Alhoewel ik wel mensen uitlach die de handvaten van hun deuren aan het vervangen zijn, zoals mijn buren niet lang geleden beweerden te doen.

                      1. Ik ben ook heel pro handvatten, maar ‘handvaten’ schijnt (tegenwoordig?) toch ook gewoon correct te zijn. Toch klinkt het niet OK… Waarschijnlijk omdat het synoniem voor vastpakken ‘vatten’ is en handvat daarin zijn oorsprong vindt.

                        1. En waarschijnlijk ook omdat een handvat gewoon geen cylindrische voorraadhouder voor een product is.

                          Handvaten is gewoon fout, maar omdat de dommeriken (oh, sorry, ik bedoel de welbewuste taalontwikkelaars die de levendheid van de taal keer op keer bevestigen) in de meerderheid zijn……..

                          1. Historisch misschien, maar zowel onzetaal (https://onzetaal.nl/taaladvies/handvatten-handvaten) als taaladvies (https://taaladvies.net/taal/advies/vraag/1391) zeggen dat beide meervoudsvormen goed zijn. Het Nederlands is levend, als maar genoeg mensen dezelfde fout blijven maken veranderd de taal en wordt het vanzelf officieel. De taal is het voertuig van de geest, etc etc..

                            Hoe je precies het onderscheid moet maken tussen de meervoudsvorm van handvat en een ton vol met handen laat ik even voor wat het is, dat is een vraag die alleen relevant is voor de wat lugubere medemens (Igor! Als je de ton met handen geleegd hebt, wil je dan ook de voetenbak legen?).

                            1. ‘als maar genoeg mensen dezelfde fout blijven maken veranderd de taal en wordt het vanzelf officieel’

                              Ja daar verzet ik me dus tegen. Fout is fout.

                              Ik heb niets tegen het levend zijn van het Nederlands waarhet gaat om versimpelingen van nodeloos complexe zaken, begrippen voor nieuwe concepten, leenwoorden uit andere talen die nauwkeuriger een betekenis weergeven etc. Dus als het bewust gebeurt om het Nederlands te verbeteren, is het prima.

                              Maar fouten blijven fouten. En dan ook de foutenmakers nog belonen door het officieel te maken!!!

                              Moet je je eens voorstellen dat de scholen zo zouden werken bij het onderwijs geven!

                              1. We raken behoorlijk off-topic, maar goed.. Je hebt natuurlijk het volste recht om je te verzetten tegen veranderingen in de taal, bijvoorbeeld door die regels niet te volgen. Ik denk alleen niet dat je kan zeggen dat het fout is in dit geval, omdat de instantie die er over gaat (in dit geval de Taalunie) heeft vastgesteld dat beide vormen goed zijn. Je kan het daar niet mee eens zijn en je kan weigeren het te gebruiken, maar als je zegt dat het fout is, dan heb je het mis. Je kan ook niet zeggen dat iets illegaal is omdat jij van mening bent dat het illegaal zou moeten zijn; in de wet staat of het illegaal is of niet.

                                Voor de volledigheid wil ik zeggen dat ik zelf ook “handvatten” gebruik, maar mijn kinderen niet. Zij weten niet beter. Sterker nog, als ze het zouden gebruiken denk ik dat ze raar aangekeken worden op school, want het “de jeugd” doet het anders. Such is life..

                2. Mwoa, ik vind die vergelijking toch wel een beetje scheef gaan. Als ik een huis koop ben ik niet door wet of verzekeraar verplicht voortaan alleen de originele bouwers te mogen vertrouwen met het onderhoud en verbouwingen op dat huis. Met vergunningen en gekwalificeerd personeel kan ik iedereen laten zien goede verbouwingen te doen. De originele bouwers hebben wetmatig gebouwd conform de dan geldende wetten en eisen. Ze hebben hun geld verdiend en gaan weer verder met andere projecten.

                  De gemiddelde goedkope Android krijgt helemaal geen onderhoud, en vrijwel alle grote fabrikanten laten onderhoud op z’n best versloffen. Ik mag zonder de sloten te breken die telefoon in en de hele inhoud ervan vervangen door iets wat meestal op exact dezelfde gemoderniseerde wetmatigheden en eisen is gebaseerd (de Android open source). Argumenteerbaar heb ik daarmee de veiligheid en integriteit van het apparaat (drastisch) verbeterd. Alleen is er geen enkele structuur om dat te laten zien of geloofwaardig te maken.

                  Een iPhone huis is niet beter in die redenatie. Immers, de enige reden dat jij die steunmeur er uit kon slopen was omdat je al uitgevogeld had dat het slot van de achterdeur niet werkte en het hele huis dus eigenlijk onveilig was.

                  En nu heb je dus de verzekeraars die in principe zeggen dat je je telefoon beter veel kwetsbaarder kan laten blijven, omdat ze dan wél uitkeren als het ding gehackt wordt. Dus als ik constateer dat de sloten van mijn deur niet goed functioneren, mag ik daar niets aan doen omdat bij inbraak mijn verzekering dan niet uit keert???

                  1. Dit is nieuw terrein voor verzekeraars, dus wie weet keren ze wel uit als jij een goed verhaal hebt dat je telefoon veiliger is dan stock Android. Alleen, hoe kon het datalek/de diefstal/hack/inbraak dan gebeuren terwijl jij beter dan normaal beveiligd was?

                    Ik weet dat bij opstal klussers ook op achterstand staan als hun huis instort door een fout: dan kun je wel zeggen dat je twintig jaar in de bouw werkte, je hebt wel een dragende muur gesloopt en je hebt geen erkend aannemer ingeschakeld. Dus dat noemen we dan toch gewoon jouw fout?

  2. Met dat argument mag het sideloaden van apps op Android waarschijnlijk ook niet dan? Dat is nogal een drempel, gezien dat vrij makkelijk is om te doen. Gelukkig is het nog steeds verstopt achter een aantal eng-klinkende menu-opties, dus heel veel mensen zullen dit niet doen natuurlijk.

  3. Wat me in negatieve zin opvalt, is dat de voorwaarden niet eisen dat je je OS en veelgebruikte software bijwerkt. Zou dat zijn omdat de meeste moderne OS’en dat toch al doen automatisch (Windows 10 zelfs zonder optie dat te weigeren)? Anders voelt het als een merkwaardige omissie.

    Windows 10 heeft wel degelijk een optie het te weigeren/voorkomen dat het automatisch gebeurd. Je moet dan de automatische download uitschakelen (hier zijn meerdere opties voor). Wat hier mogelijk een rol speelt is dat voor veel mobieltjes amper/geen updates uitkomen. En als ze al uitkomen vaak voor een kortere periode dan de apparaten feitelijk gebruikt worden of voor de rest technisch functioneren. Er worden nog steeds mobieltjes verkocht (nieuw) waar al geen updates meer voor uitkomen.

  4. juridisch gezien heb je als consument geen schade bij dataverlies (data is niets) of benodigde herinstallatie (je tijd kost geen geld).

    De achterliggende gedachte dat data an sich niets is volg ik, maar bedoel je hier niet eerder te zeggen dat vakantiefoto’s, mails en scans doorgaans geen waarde vertegenwoordigen? Ik kan me namelijk bestanden voorstellen die je in een hack permanent kan kwijtraken die wel degelijk op geld waardeerbaar zijn vanwege de kosten om ze te vervangen.

    Dezelfde nuancering geldt denk ik overigens ook voor de herinstallatie, je krijgt volgens art. 2.1.2. gewoon specialistische hulp voor het herstellen van je systeem vergoed. Dat de uren die het kost om windows opnieuw te installeren en je bestanden terug te zetten in je eigen tijd moeten vindt ik dan eigenlijk weinig bijzonder, je autoverzekering vergoed de uren dat jij met ze aan de telefoon zit toch ook niet?

  5. Het eerste dat mij opviel, is dat je de app van de bank moet gebruiken. Als je wordt beroofd via internetbankieren via de site, dan valt dat buiten de dekking. Dat laat wel zien hoe men de risico’s inschat bij bankieren via browsers.

    En is dat nou terecht? Ik vraag dit voor mezelf, want ik heb geen smartphone, en ben ook niet van plan er binnenkort een aan te schaffen, want ik zou er toch vrijwel niks mee doen dan.

    Het principe “iets wat je hebt en iets wat je weet” is net zo goed afgedekt met een echte computer (bijv. laptop) en zo’n rekenmachientje van de bank.

    En ik draai Linux, dus geen kwetsbaarheid voor Windows-virussen en eavesdroppers.

    (PS. Is kwestbaarheid een leuke woordspeling? Nee hè? Stond er per ongeluk wel, toch maar weggehaald.)

    1. Ja, ik denk dat er wel een aantal argumenten zijn waarom een bankier-app over het algemeen veiliger is.

      * Na registratie van de app is er een binding met het device. Mocht je iets afluisteren dan kun je dat niet zomaar elders hergebruiken.

      * De app heeft één specifieke taak en kan bv uitsluitend verbindingen opzetten over https met bankieren.jouwbank.nl. Een browser is general purpose; betekenend dat hij ook een verbinding zal opzetten met bankieren-jouwbank.nl (en jij moet het verschil spotten in de adresbalk), en dat je er allerhande andere sites mee bezoekt die de mogelijkheid hebben iets in je browser te installeren (ja, niet zomaar, maar genoeg mensen die “een handige toolbar” accepteren).

Geef een reactie

Handige HTML: <a href=""> voor hyperlinks, <blockquote> om te citeren, <UL>/<OL> voor lijsten, en <em> en <strong> voor italics en vet.