De Parijse cyberverzekeraar Stoïk start vandaag in Nederland. Het bedrijf is een managing general agent (MGA) en werkt via lokale adviseurs. Stoïk combineert cyberdekking met preventietools voor het mkb. Dat roept vragen op over de Europese AI-verordening en de gevolgen voor overheid en verzekeraars.
Franse cyber-MGA start in NL
Stoïk is een Franse cyber-MGA die zich richt op kleine en middelgrote bedrijven. Het bedrijf betreedt vandaag de Nederlandse markt met een pakket van verzekering en digitale beveiliging. De uitrol loopt via onafhankelijke tussenpersonen en volmachtpartijen.
De stap komt op een moment dat cyberincidenten en ransomware Nederlandse organisaties blijven raken. Bedrijven zoeken betaalbare dekking én praktische hulp bij preventie en herstel. Stoïk wil beide combineren in één propositie voor het mkb.
Een MGA is een gevolmachtigde agent die namens verzekeraars risico’s mag accepteren en polissen beheren. Deze constructie moet snelle acceptatie en maatwerk mogelijk maken. In Nederland concurreert Stoïk met bestaande cyberaanbieders van schadeverzekeraars en gespecialiseerde labels.
Een managing general agent (MGA) is een gevolmachtigde tussenpartij die namens één of meer verzekeraars polissen accepteert, beheert en soms claims afhandelt.
Focus op mkb en adviseurs
De doelgroep zijn bedrijven zonder groot eigen securityteam, zoals winkelketens, zakelijke dienstverleners en productiebedrijven. De dekking richt zich doorgaans op datalekken, ransomware, bedrijfsonderbreking en aansprakelijkheid. Daarbij hoort vaak 24/7 incidentrespons en herstelbegeleiding.
Stoïk koppelt de polis aan hulpmiddelen voor risicobeperking. Denk aan een kwetsbaarheidsscan (een automatische controle van publiek bereikbare IT-systemen) en phishingtraining voor medewerkers. Zo wil het bedrijf schade beperken en de verzekerbaarheid vergroten.
Tussenpersonen krijgen meestal toegang tot een digitaal portaal voor offertes, binders en clausules. Snelle acceptatie en duidelijke polisvoorwaarden zijn belangrijk in dit segment. Ook verwacht de markt inzicht in vereiste beveiligingsmaatregelen vooraf.
Algoritmen sturen risicometing
De propositie leunt op geautomatiseerde risicomodellen voor intake en prijszetting. Zulke algoritmen wegen signalen uit scans en vragenlijsten, en geven een voorlopig risicoprofiel. Bij uitzonderingen blijft menselijke beoordeling nodig.
Voor deze gegevensverwerking geldt de AVG. Dat betekent dataminimalisatie, duidelijke doelen en passende versleuteling. Een Data Protection Impact Assessment (DPIA) is verstandig wanneer scans ook persoonsgegevens kunnen raken, bijvoorbeeld via blootgestelde mailboxen of accounts.
Als Stoïk AI inzet in underwriting, kan de Europese AI-verordening (AI Act) aanvullende plichten vragen. Denk aan documentatie van data, transparantie over modelgebruik en menselijke controle, afhankelijk van de risicoklasse. Op het moment van schrijven is schadeverzekeringsunderwriting niet expliciet als hoog risico aangewezen, maar governance-eisen en zorgplicht blijven van kracht.
NIS2 drijft vraag naar cyberdekking
NIS2 is de Europese richtlijn die strengere cybereisen oplegt aan “essentiële” en “belangrijke” organisaties. Nederland werkt op het moment van schrijven aan de definitieve wetgeving en toezicht. Bedrijven krijgen meldplichten en moeten technische en organisatorische maatregelen nemen.
Verzekeraars spelen hierbij een praktische rol. Zij bieden audits, awarenesstraining en richtlijnen voor basismaatregelen zoals multifactorauthenticatie en back-ups. Polisvoorwaarden kunnen aansluiten op incidentrespons, forensisch onderzoek en juridische bijstand.
Ook toeleveranciers voelen de druk, omdat NIS2-keteneisen doorwerken in contracten. Verzekerbaarheid en security-hygiëne worden selectiecriteria bij aanbestedingen. Dat vergroot de vraag naar duidelijke dekking én aantoonbare preventie.
Toezicht en vergunning in Nederland
Als MGA opereert Stoïk onder afspraken met een risicodragende verzekeraar. Voor distributie in Nederland gelden de regels van de AFM en de richtlijn verzekeringsdistributie (IDD). Grensoverschrijdende paspoorting vanuit Frankrijk is mogelijk, mits aan de Nederlandse consumentenbescherming en zorgplicht wordt voldaan.
AFM en DNB letten op productgovernance, uitbesteding en soliditeit bij gevolmachtigden. Heldere informatie voor klanten en passende acceptatiecriteria zijn verplicht. Tussenpersonen moeten het advies en de geschiktheid van de dekking kunnen onderbouwen.
Databeheer en incidentafhandeling moeten passen binnen de AVG en de Nederlandse praktijk. Denk aan opslag in de EU, afspraken over verwerkers, en bereikbaarheid van hulpdiensten in het Nederlands. Dit is extra belangrijk bij tijdkritische cyberincidenten.
Impact op prijzen en voorwaarden
Nieuwe toetreders kunnen premiedruk geven, maar eisen vaak strengere preventiemaatregelen. Wie basisbeveiliging op orde heeft, profiteert meestal van snellere acceptatie en lagere premies. Bedrijven met verouderde systemen krijgen juist voorwaarden of uitsluitingen.
Voor mkb-adviseurs ontstaat meer keuze in segment en limieten. Verschillen zitten in dekking voor bijvoorbeeld grootschalige cloudstoringen, sociale engineering en boetes na privacyinbreuken. Vergelijken op incidentrespons en herstelbudget is net zo belangrijk als op premie.
Voor de Nederlandse markt telt vooral of verzekeraars en MGA’s hun digitale tooling waarmaken. Effectieve scans en snelle responsteams verlagen schades, wat stabiliteit in prijzen en capaciteit kan geven. De komende maanden moet blijken hoe Stoïk zich hiermee onderscheidt.
