Verzekeraars hebben onvoldoende zicht op de organisatie van uitbestedingen van bedrijfsprocessen. Dit kan leiden tot diefstal van gevoelige informatie of uitval van processen, waarschuwt De Nederlandsche Bank.
DNB deed diverse onderzoeken naar uitbestedingen. Steeds vaker worden belangrijke of zelfs kritieke bedrijfsprocessen door verzekeraars aan andere partijen overgedragen. Het aandeel uitbestedingen naar de cloud nam toe van een derde in 2017 naar bijna de helft in 2021. Ook wordt steeds meer uitbesteed aan serviceproviders, die in meer dan de helft van de gevallen taken ook weer doorschuiven naar andere, derde partijen. Zo ontstaan er lange uitbestedingsketens van belangrijke processen die uit meerdere schakels bestaan.
Schadeafhandeling
Het gaat dan om IT-oplossingen die een kritiek of belangrijk bedrijfsproces ondersteunen, en belangrijke activiteiten zoals de verzekeringsadministratie, excasso/incasso en schadeafhandeling. Ook het onderhouden van klantrelaties en de ondersteuning daarvan, zoals applicatiebeheer, print- en verzendservices, documentverwerking en de financiële administratie worden uitbesteed.
De lange uitbestedingsketens maken inzicht en beheersing voor bestuurders complex. Terwijl juist een volledig zicht op uitbestedingsketens nodig is om de risico’s op het gebied van informatiebeveiliging en beschikbaarheid te kunnen beheersen.
Uit de onderzoeken van DNB blijkt dat verzekeraars onderuitbestedingen in de keten niet volledig in beeld hebben en ook niet altijd zicht hebben of de informatiebeveiliging en continuïteitswaarborgen in de keten op orde zijn.
Vertrouwelijke informatie
DNB geeft als voorbeeld een onderaannemer die (tijdelijk) vertrouwelijke informatie van de verzekeraar opslaat. In dat geval is het van belang dat deze onderaannemer toereikende maatregelen treft voor de beveiliging. Onvoldoende informatiebeveiliging kan leiden tot diefstal.
Ander voorbeeld is de procedure na verstoring van een bedrijfsproces of -systeem. Om tijdig te kunnen herstellen, moeten de continuïteitsplannen van de hoofdaannemer én onderaannemers op elkaar zijn afgestemd en in lijn zijn met de eisen van de verzekeraar. Als een verzekeraar bijvoorbeeld wil dat het systeem na uitval binnen een uur weer opgestart is, dan moet het continuïteitsplan van de serviceprovider hierin voorzien. Wanneer een kritiek bedrijfsproces gezamenlijk wordt uitgevoerd met één of meerdere serviceproviders, is het belangrijk om gezamenlijk te testen of de gehele keten werkt in het geval van een calamiteit.
De toezichthouder geeft enkele adviezen om grip te houden op uitbestedingsketens:
verzekeraars kunnen risicoanalyses uitvoeren, toezicht houden op (naleving van) contractuele afspraken, eisen stellen ten aanzien van informatiebeveiliging en continuïteit, zekerheidsrapportages opvragen, waaronder assurance rapporten, en een centrale registratie van belangrijke uitbestedingen en onderuitbestedingen inrichten en onderhouden.
Nieuwe wetgeving
DNB verwacht van verzekeraars dat zij verbeteringen doorvoeren. De toezichthouder zelf werkt aan vergroting van haar inzicht in concentratierisico’s. Daarnaast wijst ze op nieuwe wetgeving. Zo treedt eind 2024 de Digital Operational Resilience Act (DORA) in werking. Dit is een verordening van de Europese Commissie om de digitale weerbaarheid van de sector te vergroten. Eén van de doelen is bewuster omgaan met de risico’s van uitbesteding. Eind 2022 moet er meer duidelijkheid komen over de invulling van de verordening.
Daarnaast stelt Solvency II eisen aan de uitbesteding van kritieke of belangrijke functies. Ook worden in de EIOPA-richtsnoeren 60 en 64 voor het governancesysteem handvatten gegeven.
Bron: DNB
