Adviesalerts uitbesteding

1. 4 maart 2022, door Toon Berendsen
2. 0 reacties

Eén van de ultieme vormen van uitbesteding is het uitlenen door de verzekeraar van zijn pen aan een Gevolmachtigd Agent. Geen wonder – kijkend naar het enorme premievolume bij met name schadeverzekeringen dat via volmachten loopt – dat DNB van verzekeraars inmiddels nadrukkelijk eist dat zij de risico’s van deze uitbesteding beheersen. Maar GA’s en financieel adviseurs besteden zelf ook tal van zaken uit, ook van hen wordt steeds meer verwacht dat zij grip houden op de risico’s hiervan.

De AFM vroeg medio vorig jaar nog eens nadrukkelijk aandacht voor de beheersing van belangrijke en kritieke uitbestedingsrisico’s. Uit een verkenning onder 246 financieel dienstverleners met samen in totaal 1.081 uitbestedingen, was onder meer gebleken dat “bij 70 procent van de uitbestedingen geen risicoanalyse is uitgevoerd. Hierbij is er weinig verschil tussen intragroep en externe uitbesteding. Ook is er geen verband tussen de grootte van het risico van de uitbesteding en de mate waarin risicoanalyses worden uitgevoerd. Bij uitbestedingen met een hoog risico waren ook vaak geen risicoanalyses aanwezig”.

Het maken van een risicoanalyse is wettelijk niet vereist, leert navraag bij de AFM. De toezichthouder: “Op basis van bestaande wet- en regelgeving (dat wil zeggen artikel 4:15 Wft) is er geen sprake van verplichting voor een risicoanalyse. De AFM Principes voor Informatiebeveiliging bieden een handreiking op het gebied van informatiebeveiliging voor onder AFM-toezicht staande instellingen, hierin is (onder meer) bedoelde risicoanalyse opgenomen.” Maar ook zonder verplichting, lijkt ons een risicoanalyse een goed idee. Immers, beheersen van risico’s begint met inzicht.

De AFM geeft als handvatten mee: “Bij een risicoanalyse moet worden gekeken naar zowel het risicoprofiel van de serviceprovider als de aard van de dienstverlening die de serviceprovider levert (ondernemingen waar activiteiten naartoe zijn uitbesteed, duidt de AFM aan als serviceprovider, red.). Bij de risicoanalyse moeten in ieder geval de volgende risico’s meegenomen worden: het risico dat er een te grote afhankelijkheid ontstaat van de serviceprovider, waardoor het moeilijk wordt om over te stappen naar een ander serviceprovider; het risico dat er onvoldoende kennis en personeel aanwezig is bij de financieel dienstverlener om leveranciersselectie, implementatie van de uitbesteding en monitoring van de uitbesteding adequaat uit te voeren; het risico dat de onderneming niet compliant is aan wet- en regelgeving omdat de serviceprovider niet voldoet aan wet- en regelgeving; het risico dat de serviceprovider niet voldoet aan de gemaakte afspraken vanuit zowel kwantitatief (bijvoorbeeld servicelevels) als kwalitatief (bijvoorbeeld assurance) perspectief; het risico dat er gegevens gestolen worden of dat de dienstverlening wordt verstoord door cyberaanvallen.”

Iso 27001

Dat financieel dienstverleners nadrukkelijk worden geacht IT-risico’s in hun analyse mee te nemen, verwondert niet. Meer dan de helft van de in de AFM-verkenning gemelde uitstedingen, betreft IT.

Uiteraard mag van een partij aan wie IT wordt uitbesteed worden verwacht dat zij haar informatiebeveiliging op orde heeft. Maar het ontslaat de uitbestedende partij niet van de eindverantwoordelijkheid. De AFM stelt dan ook, in haar vorig jaar gepubliceerde ‘Aandachtspunten bij het gebruik van adviessoftware’: “Zorg ervoor dat u zeker weet dat uw softwareleverancier een goede invulling geeft aan de informatiebeveiliging. Als eindverantwoordelijke is het belangrijk dat u er zich van verzekert dat uw softwareleverancier een goede invulling geeft aan haar informatiebeveiligingsverantwoordelijkheden. Erkende certificeringen zijn een mogelijkheid om dat te doen. De meeste leveranciers van adviessoftware zijn (gedeeltelijk) ISO 27001 gecertificeerd of van plan om op deze certificering op korte termijn te halen. ISO 27001 is een voorbeeld van een internationaal erkende norm voor informatiebeveiliging. Door hieraan te voldoen biedt een leverancier enige zekerheid dat zij haar verantwoordelijkheden kan nakomen. Een andere manier is om eisen aan informatiebeveiliging op te nemen in de overeenkomst met uw softwareleverancier, bijvoorbeeld met betrekking tot bewaartermijnen of beveiligingsmaatregelen.”

De AFM verder: “Bescherm de toegang tot uw (klant) data in de cloud. U blijft verantwoordelijk voor de beschikbaarheid, integriteit en vertrouwelijkheid van uw (klant)data. Daarom is het aan te bevelen om een sterke toegangsbeveiliging tot de data te implementeren. Dit kan door een moeilijk te raden wachtwoord te gebruiken, aangevuld met een secundaire authenticatiemethode, zoals een authenticator app. Daarnaast is het aan te raden om de data te versleutelen met een actuele versleutelingstechniek en de sleutel veilig te bewaren. Let in het bijzonder op de zorgvuldige bewaring van documenten die u uit de cloudomgeving downloadt naar uw lokale omgeving (wat vaak het geval is bij een afgerond adviesrapport).”

Werk aan de winkel

Lees zeker ook de Leidraad IT-risico’s Volmachten die NVGA en Verbond van Verzekeraars in 2021 hebben uitgegeven, waarin overigens veel van de AFM-principes terug te vinden zijn.

In GA-magazine van december stelde Ron Krisman (Cumela Assuradeuren), lid van de werkgroep die de leidraad heeft opgesteld: “Zet je de zaken die in de leidraad beschreven zijn af tegen de huidige beheersmaatregelen van het gemiddelde volmachtbedrijf, dan zitten we, denk ik, op zo’n 60 tot 65 procent van wat er gevraagd wordt. Er is dus nog een gat te overbruggen, bijvoorbeeld in het beschrijven van procedures in de organisatie en het opstellen van risicoanalyses.” Er is dus nog wel wat werk aan de uitbestedingswinkel.

Reactie toevoegen

Naam

E-mailadres

Reactie

Organisatie

Telefoonnummer

VVPVIP HypothekenVVP Innovatie PlatformVIP SchadeVVP Twitter

Toevoegen