Adviesalerts uitbesteding

volmacht uitbesteding

(VVP katern Volmacht Vooruit! VVP 01-2022) Het beheersen van de risico’s van uitbesteding door financiële ondernemingen, de toezichthouders zitten er steeds meer bovenop. Een aantal praktijktips, ook voor het provinciale kantoor.

Eén van de ultieme vormen van uitbesteding is het uitlenen door de verzekeraar van zijn pen aan een Gevolmachtigd Agent. Geen wonder – kijkend naar het enorme premievolume bij met name schadeverzekeringen dat via volmachten loopt – dat DNB van verzekeraars inmiddels nadrukkelijk eist dat zij de risico’s van deze uitbesteding beheersen. Maar GA’s en financieel adviseurs besteden zelf ook tal van zaken uit, ook van hen wordt steeds meer verwacht dat zij grip houden op de risico’s hiervan.

De AFM vroeg medio vorig jaar nog eens nadrukkelijk aandacht voor de beheersing van belangrijke en kritieke uitbestedingsrisico’s. Uit een verkenning onder 246 financieel dienstverleners met samen in totaal 1.081 uitbestedingen, was onder meer gebleken dat “bij 70 procent van de uitbestedingen geen risicoanalyse is uitgevoerd. Hierbij is er weinig verschil tussen intragroep en externe uitbesteding. Ook is er geen verband tussen de grootte van het risico van de uitbesteding en de mate waarin risicoanalyses worden uitgevoerd. Bij uitbestedingen met een hoog risico waren ook vaak geen risicoanalyses aanwezig”.

‘Ook zonder verplichting, is een risicoanalyse gewenst’

Het maken van een risicoanalyse is wettelijk niet vereist, leert navraag bij de AFM. De toezichthouder: “Op basis van bestaande wet- en regelgeving (dat wil zeggen artikel 4:15 Wft) is er geen sprake van verplichting voor een risicoanalyse. De AFM Principes voor Informatiebeveiliging bieden een handreiking op het gebied van informatiebeveiliging voor onder AFM-toezicht staande instellingen, hierin is (onder meer) bedoelde risicoanalyse opgenomen.” Maar ook zonder verplichting, lijkt ons een risicoanalyse een goed idee. Immers, beheersen van risico’s begint met inzicht.

De AFM geeft als handvatten mee: “Bij een risicoanalyse moet worden gekeken naar zowel het risicoprofiel van de serviceprovider als de aard van de dienstverlening die de serviceprovider levert (ondernemingen waar activiteiten naartoe zijn uitbesteed, duidt de AFM aan als serviceprovider, red.). Bij de risicoanalyse moeten in ieder geval de volgende risico’s meegenomen worden: het risico dat er een te grote afhankelijkheid ontstaat van de serviceprovider, waardoor het moeilijk wordt om over te stappen naar een ander serviceprovider; het risico dat er onvoldoende kennis en personeel aanwezig is bij de financieel dienstverlener om leveranciersselectie, implementatie van de uitbesteding en monitoring van de uitbesteding adequaat uit te voeren; het risico dat de onderneming niet compliant is aan wet- en regelgeving omdat de serviceprovider niet voldoet aan wet- en regelgeving; het risico dat de serviceprovider niet voldoet aan de gemaakte afspraken vanuit zowel kwantitatief (bijvoorbeeld servicelevels) als kwalitatief (bijvoorbeeld assurance) perspectief; het risico dat er gegevens gestolen worden of dat de dienstverlening wordt verstoord door cyberaanvallen.”

Iso 27001

Dat financieel dienstverleners nadrukkelijk worden geacht IT-risico’s in hun analyse mee te nemen, verwondert niet. Meer dan de helft van de in de AFM-verkenning gemelde uitstedingen, betreft IT.

Uiteraard mag van een partij aan wie IT wordt uitbesteed worden verwacht dat zij haar informatiebeveiliging op orde heeft. Maar het ontslaat de uitbestedende partij niet van de eindverantwoordelijkheid. De AFM stelt dan ook, in haar vorig jaar gepubliceerde ‘Aandachtspunten bij het gebruik van adviessoftware’: “Zorg ervoor dat u zeker weet dat uw softwareleverancier een goede invulling geeft aan de informatiebeveiliging. Als eindverantwoordelijke is het belangrijk dat u er zich van verzekert dat uw softwareleverancier een goede invulling geeft aan haar informatiebeveiligingsverantwoordelijkheden. Erkende certificeringen zijn een mogelijkheid om dat te doen. De meeste leveranciers van adviessoftware zijn (gedeeltelijk) ISO 27001 gecertificeerd of van plan om op deze certificering op korte termijn te halen. ISO 27001 is een voorbeeld van een internationaal erkende norm voor informatiebeveiliging. Door hieraan te voldoen biedt een leverancier enige zekerheid dat zij haar verantwoordelijkheden kan nakomen. Een andere manier is om eisen aan informatiebeveiliging op te nemen in de overeenkomst met uw softwareleverancier, bijvoorbeeld met betrekking tot bewaartermijnen of beveiligingsmaatregelen.”

Externe uitbesteding financiële dienstverleners (Top 200). Bron: AFM-verkenning ‘Beheerst uitbesteden’.

De AFM verder: “Bescherm de toegang tot uw (klant) data in de cloud. U blijft verantwoordelijk voor de beschikbaarheid, integriteit en vertrouwelijkheid van uw (klant)data. Daarom is het aan te bevelen om een sterke toegangsbeveiliging tot de data te implementeren. Dit kan door een moeilijk te raden wachtwoord te gebruiken, aangevuld met een secundaire authenticatiemethode, zoals een authenticator app. Daarnaast is het aan te raden om de data te versleutelen met een actuele versleutelingstechniek en de sleutel veilig te bewaren. Let in het bijzonder op de zorgvuldige bewaring van documenten die u uit de cloudomgeving downloadt naar uw lokale omgeving (wat vaak het geval is bij een afgerond adviesrapport).”

Werk aan de winkel

Lees zeker ook de Leidraad IT-risico’s Volmachten die NVGA en Verbond van Verzekeraars in 2021 hebben uitgegeven, waarin overigens veel van de AFM-principes terug te vinden zijn.

In GA-magazine van december stelde Ron Krisman (Cumela Assuradeuren), lid van de werkgroep die de leidraad heeft opgesteld: “Zet je de zaken die in de leidraad beschreven zijn af tegen de huidige beheersmaatregelen van het gemiddelde volmachtbedrijf, dan zitten we, denk ik, op zo’n 60 tot 65 procent van wat er gevraagd wordt. Er is dus nog een gat te overbruggen, bijvoorbeeld in het beschrijven van procedures in de organisatie en het opstellen van risicoanalyses.” Er is dus nog wel wat werk aan de uitbestedingswinkel.

Reactie toevoegen

 
DORA-Update AFM: aandacht voor beheren van ICT-risico’s van derde aanbieders

DORA-Update AFM: aandacht voor beheren van ICT-risico’s van derde aanbieders

De AFM heeft haar tweede publicatie uitgegeven waarin de inhoudelijke aspecten van de Digital Operations Resilience Act (DORA) worden toegelicht. In deze editie...

DNB integreert duurzaamheidsrisico's verder in toezicht verzekeraars

DNB integreert duurzaamheidsrisico's verder in toezicht verzekeraars

DNB zal de duurzaamheidrisico’s bij verzekeraars (en pensioenfondsen) verder integreren in het toezicht. Aldus de toezichthouder in 'Toezicht in Beeld 2023'....

Volmachtmarkt stijgt ook in 2023

Volmachtmarkt stijgt ook in 2023

Het totale premievolume van de sectoren Schade en Inkomen in de volmachtmarkt stijgt naar verwachting met vier procent tot 4,61 miljard euro in 2023 (2022: 4,43...

Verbond en NVGA presenteren VSV en VPV 2023

Verbond en NVGA presenteren VSV en VPV 2023

Het Verbond van Verzekeraars en de NVGA hebben een nieuwe Voorbeeld Samenwerkingsovereenkomst Volmacht (VSV) en een Voorbeeld Poolovereenkomst Volmacht (VPV) gemaakt....

Checklist voor beoordelen assurance-verklaring cyberrisico's

Checklist voor beoordelen assurance-verklaring cyberrisico's

Verzekeraars die werk uitbesteden zijn verplicht om het cyberrisico van partners en providers in kaart te brengen en te beheersen. Dat kan door het beoordelen...

Financieel Fit draait ook in hoger beroep op voor schade na overtreden volmacht

Financieel Fit draait ook in hoger beroep op voor schade na overtreden volmacht

(Rechtspraak) De vraag ligt voor of Financial Fit haar volmacht heeft overschreden toen zij in 2018 met gebruikmaking van de volmacht een verzekeringsovereenkomst...

Jos Baeten (a.s.r.): “Kosten volmacht mogen niet hoger zijn dan onze eigen kosten”

Jos Baeten (a.s.r.): “Kosten volmacht mogen niet hoger zijn dan onze eigen kosten”

a.s.r. behoudt vol het geloof in de volmachttekening. Deze is belangrijk, aldus CEO Jos Baeten. Baeten tegenover VVP bij de presentatie van de jaarcijfers: “Steeds...

Nog steeds onvoldoende grip op datakwaliteit en uitbestedingsrisico's

Nog steeds onvoldoende grip op datakwaliteit en uitbestedingsrisico's

Bij ongeveer twee derde van de verzekeraars bestaan er volgens DNB tekortkomingen in de beheersmaatregelen ten aanzien van datakwaliteit, zoals hiaten in het datakwaliteitsbeleid,...

NVGA Marktvisie 2023-2025: marktwerking stimuleren

NVGA Marktvisie 2023-2025: marktwerking stimuleren

Zes pijlers telt de maandag gepubliceerde NVGA Marktvisie 2023-2025. De pijlers betreffen al langer lopende dossiers als de volmachtbeloning maar ook nieuwe uitdagingen...

Bugs Business introduceert Imago Insights

Bugs Business introduceert Imago Insights

Met Imago Insights heeft Bugs Business haar nieuwe oplossing geïntroduceerd om datalogistiek in volmacht te borgen. De komende maanden wordt de oplossing verder...