‘Verzekeraars hebben onvoldoende zicht op langer wordende uitbestedingsketens’

DNB heeft in 2020 en 2021 diverse onderzoeken en een sectorbrede uitvraag uitgevoerd naar de beheersing van uitbestedingsrisico’s bij verzekeraars. Hieruit blijkt dat verzekeraars vaak onvoldoende zicht hebben op onderuitbestedingen verderop in de keten. Dat kan onverwacht leiden tot diefstal van gevoelige informatie of uitval van bedrijfsprocessen.

Verzekeraars besteden IT-oplossingen ondersteunend aan een kritiek of belangrijk bedrijfsproces frequent uit. Daarnaast worden belangrijke activiteiten zoals verzekeringsadministratie, excasso/incasso, schadeafhandeling en onderhouden van klantrelaties vaak uitbesteed en ook de ondersteuning daarvan zoals: applicatiebeheer, print- en verzendservices, documentverwerking en de financiële administratie. Ook serviceproviders besteden vaak weer verder uit naar andere, derde partijen, waardoor uitbestedingsketens van belangrijke processen vaak uit meerdere schakels bestaan. DNB: “Dat maakt inzicht en beheersing voor bestuurders complex. Bij meer dan de helft van de uitbestedingen zijn belangrijke onderdelen onderuitbesteed. Het aandeel uitbestedingen naar de cloud als percentage van het totaal is toegenomen van een derde in 2017 naar bijna de helft in 2021.”

Informatiebeveiliging en beschikbaarheid

Volledig zicht op uitbestedingsketens is volgens de toezichthouder nodig om de risico’s op het gebied van informatiebeveiliging en beschikbaarheid te kunnen beheersen. Twee voorbeelden:

Als een onderaannemer (tijdelijk) vertrouwelijke informatie van de verzekeraar opslaat, is het van belang dat de onderaannemer, in de ogen van de verzekeraar toereikende, informatiebeveiligingsmaatregelen treft die passen bij de vertrouwelijkheid van de informatie. Onvoldoende informatiebeveiliging kan leiden tot diefstal van deze gevoelige informatie.
Om na een verstoring bedrijfsprocessen en systemen tijdig te kunnen herstellen, is het van belang dat de continuïteitsplannen van hoofdaannemer én onderaannemers op elkaar zijn afgestemd en in lijn zijn met de continuïteitseisen die de verzekeraar stelt aan het systeem. Als een verzekeraar bijvoorbeeld wil dat het systeem na uitval binnen een uur weer opgestart is, dan moet het continuïteitsplan van de serviceprovider hierin voorzien. Wanneer een kritiek bedrijfsproces gezamenlijk wordt uitgevoerd met één of meerdere serviceproviders is het belangrijk om gezamenlijk te testen of de gehele keten werkt in het geval van een calamiteit.

Inzicht in de keten

Uit onderzoek van DNB blijkt dat verzekeraars onderuitbestedingen in de keten niet volledig in beeld hebben en ook niet altijd zicht hebben of de informatiebeveiliging en continuïteitswaarborgen in de keten op orde zijn. Verzekeraars zijn verantwoordelijk voor een beheerste bedrijfsvoering, ook voor de onderdelen die zijn uitbesteed. De verzekeraar kan grip houden op uitbestedingsketens, door:

Het uitvoeren van een risicoanalyse voorafgaand aan de uitbesteding;
Het toezien op (naleving van) contractuele afspraken met de hoofdaannemer;
Het ontvangen en beoordelen van zekerheidsrapportages, waaronder assurance rapporten, waaruit duidelijk wordt welke beheersmaatregelen de hoofdaannemer heeft getroffen en of deze effectief hebben gewerkt;
Het inrichten en onderhouden van een centrale registratie van belangrijke uitbestedingen en onderuitbestedingen, zodat alle belangrijke uitbestedingsketens inzichtelijk zijn. processen afhankelijk van één onderaannemer, wat op totaalniveau een continuïteitsrisico met zich meebrengt dat voor de verzekeraar ongewenst is.

Vervolgstappen in 2022

DNB verwacht van verzekeraars dat zij mogelijke en noodzakelijke verbeteringen implementeren. Verder werkt de toezichthouder zelf aan vergroting van het inzicht in concentratierisico’s op sector- en nationaal niveau. Ten slotte is het van belang om vooruit te kijken naar nieuwe wetgeving. Naar verwachting komt er eind 2022 meer duidelijkheid over de invulling van de Digital Operational Resilience Act (DORA) die eind 2024 in werking treedt. Dit is een verordening van de Europese Commissie om de digitale weerbaarheid van de sector te vergroten. Een van de doelen is om bewuster om te gaan met de risico’s van uitbesteding door de financiële sector aan kritieke ICT dienstverleners. Het is belangrijk dat verzekeraars zich hier tijdig op voorbereiden en daarbij zicht en grip hebben op alle uitbestedingen en onderuitbestedingen.

Elke werkdag het belangrijkste financiële nieuws in uw mailbox? Meld u gratis aan voor InFinance Daily.

Cookie	Duur	Omschrijving
cookielawinfo-checbox-analytics	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics".
cookielawinfo-checbox-functional	11 months	The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional".
cookielawinfo-checbox-others	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other.
cookielawinfo-checkbox-necessary	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary".
cookielawinfo-checkbox-performance	11 months	This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance".
viewed_cookie_policy	11 months	The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data.

Informatiebeveiliging en beschikbaarheid

Inzicht in de keten

Vervolgstappen in 2022

Over de auteur

Gerelateerde berichten

Uitzondering pensioenfondsen haalbaarheidstoets 2024

DNB: ‘Het overgrote deel van de huiseigenaren kan verduurzaming financieren’

Toezicht op AI-gebruik financials wekt vertrouwen