Bijna helft verzekeraars beheerst operationele risico's nog steeds onvoldoende

Vrouwen achter beeldscherm kantoor via Pixabay

DNB ziet dat, ondanks een lichte verbetering ten opzichte van vorig jaar, bijna de helft van de verzekeraars in Nederland in 2024 nog niet voldoet aan het door de toezichthouder verwachte niveau voor de beheersing van operationele risico’s.

Onder meer ziet DNB dat de beheersing van ICT- en uitbestedingsrisico’s verbetering behoeft. Verder ziet DNB dat het risicomanagement ten aanzien van datakwaliteit in de verzekeringssector een aandachtspunt is.

Dit blijkt uit onderzoeken, gesprekken en de sectorbrede uitvraag operationeel risicomanagement en informatiebeveiliging onder verzekeraars in 2024.

DNB: "Uit onze uitvragen en onderzoeken blijkt enerzijds dat een groot deel van de verzekeraars een volwassen ICT-risicomanagement proces volgt en dat ook kan aantonen. Anderzijds heeft een grote groep verzekeraars weliswaar een functionerend risicomanagement proces, maar zijn er op onderdelen tekortkomingen in de effectiviteit of aantoonbaarheid van dat proces, zie figuur 1. Bij deze laatste groep zien we dat instellingen maatregelen treffen om hun ICT-risico’s te beheersen en nagaan of die maatregelen werken, zonder dat zij regelmatig evalueren in hoeverre hun maatregelen nog passen bij veranderende (cyber)dreigingen. Ook nemen deze verzekeraars (oorzaken van) operationele verstoringen of incidenten niet altijd aantoonbaar mee in hun evaluaties van de effectiviteit van maatregelen. Dit kan ertoe leiden dat maatregelen van instellingen ongemerkt verouderen en uiteindelijk onvoldoende opgewassen blijken te zijn tegen snel veranderende (cyber)dreigingen."

Een aantal verzekeraars gebruikt kritieke IT-systemen die niet langer door leveranciers worden ondersteund. DNB: "Uit de sectorbrede uitvraag blijkt dat 23 procent van de verzekeraars in hun IT-landschap gebruikmaken van kritieke systemen die niet langer door leveranciers worden voorzien van beveiligingsupdates (legacy systemen). Hierdoor kunnen bekende kwetsbaarheden onopgelost blijven. Dat kan leiden tot misbruik door een kwaadwillende met een bedreiging voor de integriteit, beschikbaarheid en beveiliging van gegevens van verzekeraars en hun klanten."

Datalekken

De helft van de verzekeraars gaf aan dat het proces rondom datamanagement op onderdelen onvoldoende volwassen is. Dit betreft name de opslag- en retentieregelingen en het voldoen aan de beveiligingseisen voor datamanagement. Onvolwassenheid in deze processen kan leiden tot inefficiënte dataopslag en datalekken, wat de noodzaak benadrukt voor adequate procedures en technische maatregelen.

DNB: "Het gebruik en beheer van (cryptografische) sleutels behoeft bij een aantal verzekeraars aanvullende aandacht. In de uitvraag gaf ongeveer een derde van de verzekeraars aan dat de processen rondom sleutelbeheer onvoldoende volwassen zijn. Om de integriteit, vertrouwelijkheid en authenticiteit van data nu en in de toekomst te waarborgen, mede gezien de ontwikkeling van quantum computing, is een gedegen sleutelbeheerproces van belang. Quantum computing kan de huidige cryptografische methoden ondermijnen, waardoor het van belang is om regelmatig risicoanalyses uit te voeren en een passend  sleutelbeheerproces te implementeren. Dit omvat het regelmatig veranderen van cryptografische sleutels en het toepassen van de nieuwste beveiligingsprotocollen."

Onveranderlijke back-ups zijn niet de sectorbrede standaard.

Uitbestedingsrisico's

Een groot aantal verzekeraars heeft onvoldoende zicht en grip op haar kritieke uitbestedingsketens.

Uit de uitvraag komt naar voren dat de verzekeraars ten opzichte van vorig jaar hun uitbestedingen beter monitoren qua prestaties en interne beheersing. Desalniettemin voldoet een groot aantal verzekeraars niet aan het gewenste niveau voor de beheersing van de uitbestedingsrisico’s.

Het belangrijkste aandachtspunt bij deze groep is dat er onvoldoende informatie is over de risicobeheersing van alle kritieke dienstverleners in de kritieke uitbestedingsketens.

Datakwaliteit

DNB constateert dat ten opzichte van vorig jaar meer verzekeraars beschikken over een datakwaliteitsbeleid, een gedocumenteerde risicobereidheid en rapportages over datakwaliteit. Desondanks heeft ongeveer 40 procent van de verzekeraars haar beheersing ten aanzien van datakwaliteit nog niet op orde.

Daarnaast constateert DNB dat bij ruim een kwart van de verzekeraars geen periodieke managementinformatie aanwezig is over datakwaliteit. Daar waar deze managementinformatie wel beschikbaar is, ontbreekt in veel gevallen informatie over datakwaliteit incidenten, worden de uitkomsten niet vergeleken met de risicobereidheid of ontbreekt een onafhankelijke opinie van de risicomanagement- en/of compliance functie.

Reactie toevoegen

 
Meer over
Een blik op het inkomen na pensionering

Een blik op het inkomen na pensionering

Nederlandse huishoudens kunnen volgens DNB na pensionering ongeveer 60 procent van het eerdere inkomen vervangen met AOW en aanvullende pensioenen. Als ook spaargeld...

NN haalt particuliere schadeportefeuille weer naar huis

NN haalt particuliere schadeportefeuille weer naar huis

Nationale-Nederlanden gaat per 1 juli 2026 haar intermediaire particuliere schadeverzekeringen weer zelf beheren. Edwin Grutterink, directeur Nationale-Nederlanden...

Groeiende geopolitieke risico’s hebben impact op de financiële sector

Groeiende geopolitieke risico’s hebben impact op de financiële sector

De toegenomen internationale spanningen kunnen een impact hebben op financiële instellingen. Dat zegt De Nederlandsche Bank vandaag bij de presentatie van haar...

Aandachtspunten renterisicobeheersing verzekeraars

Aandachtspunten renterisicobeheersing verzekeraars

Op sectorniveau beheersten verzekeraars het renterisico in 2022, een jaar waarin de rentestanden flink veranderden, redelijk tot goed, is de conclusie van een themaonderzoek...

AFM heeft been bij te trekken op gebied digitalisering

AFM heeft been bij te trekken op gebied digitalisering

De AFM heeft "een ‘been heeft bij te trekken’ op het gebied van digitalisering om de ontwikkelingen in het de AFM-werkveld bij te houden". Aldus minister...

Ook DNB oppert nu verduurzamingsplicht

Ook DNB oppert nu verduurzamingsplicht

Ook De Nederlandsche Bank (DNB) oppert nu een verduurzamingsplicht bij de aankoop van een nieuwe woning. Dit als andere maatregelen niet voldoende werken. Het overgrote...

Netto Combined Ratio Schade verslechterd naar 99,5 procent over 2023

Netto Combined Ratio Schade verslechterd naar 99,5 procent over 2023

Schade exclusief AOV had een premievolume van 13,5 miljard euro over 2023 (2022: 12,8 miljard euro). aldus DNB. De Netto Combined Ratio (NCR) van schade exclusief...

Nederlanders hebben nauwelijks beeld van AI-gebruik door financiële instellingen

Nederlanders hebben nauwelijks beeld van AI-gebruik door financiële instellingen

Maar weinig consumenten hebben een goed beeld van in hoeverre hun bank, verzekeraar of pensioenfonds artificiële intelligentie (AI) gebruikt. Daarnaast zijn...

AFM en DNB schetsen uitgangspunten toezicht op AI

AFM en DNB schetsen uitgangspunten toezicht op AI

In een dinsdag verschenen rapport schetsen AFM en DNB uitgangs- en aandachtspunten te voor het vormgeven van het toezicht op artificiële intelligentie (AI)....

Gita Salden directielid bij DNB

Gita Salden directielid bij DNB

Gita Salden treedt per 1 juni toe tot de directie van De Nederlandsche Bank. Zij wordt in haar nieuwe functie verantwoordelijk voor het toezicht op Verzekeraars...