Uitbesteding door de Gevolmachtigd Agent

1. 23 februari 2021, door Richard Meinders
2. 0 reacties

De werkzaamheden die de Gevolmachtigd Agent uitvoert voor een verzekeraar kwalificeren in het kader van de Wft als uitbestede werkzaamheden. Hier worden door Solvency II en de Wft zware eisen aan gesteld. Zo mag er bijvoorbeeld niet worden uitbesteed als het de interne toetsingen in gevaar brengt en moet de verzekeraar beschikken over een goede risicoanalyse ten aanzien van het uitbesteden. Daar waar risico’s zijn gesignaleerd, moeten deze zijn gemitigeerd voordat wordt gestart met het uitbesteden. Daarnaast moet de verzekeraar beschikken over beleid, procedures en voldoende deskundigheid en kennis om de uitbestede werkzaamheden te monitoren. Tenslotte moet een verzekeraar die start met uitbesteding dit melden bij DNB.

Volgens de Wft is er sprake van uitbesteding als een financiële onderneming opdracht verleent aan een derde tot het, ten behoeve van de financiële onderneming, verrichten van werkzaamheden die deel uitmaken van of voortvloeien uit het uitoefenen van haar bedrijf of het verlenen van financiële diensten of die deel uitmaken van de wezenlijke bedrijfsprocessen ter ondersteuning daarvan.

Om dit wat nader te duiden kan de vraag worden gesteld of je als financiële onderneming jouw primaire dienstverlening nog kunt leveren als deze uitbestede werkzaamheden wegvallen. Is het antwoord ‘nee’, dan is er in ieder geval sprake van uitbesteding ingevolge de Wft. Zo gaat het dus niet alleen om de primaire processen, zoals acceptatie en schadebehandeling maar ook over belangrijke ondersteunende processen, zoals het uitbesteden van de IT. Tenslotte zullen er altijd discussiepunten zijn of een bepaalde dienst kwalificeert als uitbesteding of niet. Denk bijvoorbeeld aan het verzenden van de polissen en nota’s. Wordt dit via PostNL verzonden, dan is er geen sprake van uitbesteding. Worden er echter digitale bestanden aangeleverd bij een servicepartij voor het al dan niet digitaal verzenden van de polissen en nota’s, dan kwalificeert dit wel weer als uitbesteding. Niet eens zozeer door de aard van de werkzaamheden, maar vooral door de aard van de data.

Steeds vaker

Ook GA’s besteden steeds vaker werkzaamheden uit. Over het algemeen gaat het om het uitbesteden van de IT-omgeving aan een SaaS-leverancier, maar in sommige gevallen ook over onderdelen van het primaire proces, zoals schadebehandeling of zoals eerdergenoemd postverzending.

In de samenwerkingsovereenkomst tussen verzekeraar en Gevolmachtigd Agent zijn dan ook de nodige bepalingen opgenomen ten aanzien van het uitbesteden van werkzaamheden. Zo is onder andere opgenomen dat het de gevolmachtigde niet is toegestaan kernactiviteiten of delen daarvan uit te besteden zonder toestemming van de verzekeraar. Onder kernactiviteiten wordt in ieder geval verstaan acceptatie en schadebehandeling. Ook moet voor elke vorm van uitbesteding een samenwerkingsovereenkomst worden gesloten, waarvan de inhoud op aanvraag van de verzekeraar beschikbaar moet zijn. Daarnaast moet de GA meewerken aan informatieverzoeken van DNB en - indien gewenst ter plaatse - toegang tot de administratie verlenen, voor zover dit niet in strijd is met de geheimhoudingsplicht van de gevolmachtigde.

Deze toezichtbepaling moet door de Gevolmachtigd Agent ook worden opgenomen in de uitbestedingsovereenkomsten met partijen waaraan hij uitbesteed, bijvoorbeeld de SaaS-partner. Maakt de SaaS-partner weer gebruik van een datacentrum om zijn toepassingen te plaatsen, dan zal ook in de overeenkomst tussen de SaaS-partner en het datacentrum deze gedelegeerde toezichtbepaling moeten worden opgenomen.

Aantoonbaar en toetsbaar

Doordat de GA zijn IT-omgeving uitbesteedt, geschieden deze werkzaamheden veelal op een veel beter en veiliger niveau dan in die gevallen waarin de gevolmachtigde deze werkzaamheden zelf zou hebben uitgevoerd. Dit is ook de reden dat er weinig wordt gecontroleerd naar de wijze van uitvoering van de werkzaamheden. Hier schiet de gevolmachtigde dan ook al snel tekort. Het is dus de taak van de Gevolmachtigd Agent om periodiek te toetsen of de werkzaamheden, zoals deze met de uitbestedingspartner zijn overeengekomen, worden uitgevoerd op de overeengekomen wijze.

Hier wringt dan ook gelijk de spreekwoordelijke schoen; om te toetsen of bijvoorbeeld een SaaS-partner de werkzaamheden op de juiste wijze uitvoert is een bovengemiddelde IT-kennis noodzakelijk. Het zal niet tot verbazing wekken dat deze kennis vaak ontbreekt, anders had men deze werkzaamheden wellicht niet hoeven uit te besteden. Ook een SaaS-partner zal niet zitten te wachten op periodieke audits door partijen die hun werkzaamheden aan hem hebben uitbesteed. Veelal zie je dat de professionele SaaS-partners beschikken over certificeringen of assuranceverklaringen om voldoende zekerheid te bieden over een beheerste uitbesteding. Denk aan ISO 27001, ISAE 3402 en/of SOC1 en SOC2. Deze rapportages zien wij regelmatig terug in het dossier bij onze klant, maar zonder dat deze inhoudelijk zijn beoordeeld of dat het management heeft geoordeeld dat de uitbesteding op een beheerste en integere wijze wordt uitgevoerd.

Als er werkzaamheden zijn uitbesteed, moet de GA de kwaliteit van deze uitbesteding periodiek beoordelen. Dit moet aantoonbaar en toetsbaar geschieden. Zoals uit dit artikel blijkt, kan dit door zelf een audit uit te voeren, een deskundige partner in te huren of door zich te baseren op de ontvangen certificeringen en/of assuranceverklaringen. Hierbij is het geen kwestie van het simpel afvinken van de aanwezigheid van deze rapportages, maar moeten deze worden doorgenomen en beoordeeld. Het resultaat hiervan moet worden vastgelegd. Uiteindelijk blijft het management van de gevolmachtigde verantwoordelijk voor de kwaliteit van uitbesteding.

Reactie toevoegen

Naam

E-mailadres

Reactie

Organisatie

Telefoonnummer

VVPVIP HypothekenVVP Innovatie PlatformVIP SchadeVVP Twitter

Toevoegen