Verzekeraars hebben onvoldoende zicht op langer wordende uitbestedingsketens

DNB signaleert toename van uitbesteding door serviceproviders 

Verzekeraars besteden IT oplossingen ondersteunend aan een kritiek of belangrijk bedrijfsproces frequent uit. Daarnaast worden belangrijke activiteiten zoals verzekeringsadministratie, excasso/incasso, schadeafhandeling en onderhouden van klantrelaties vaak uitbesteed en ook de ondersteuning daarvan zoals: applicatiebeheer, print- en verzendservices, documentverwerking en de financiële administratie. Ook serviceproviders besteden vaak weer verder uit naar andere, derde partijen, waardoor uitbestedingsketens van belangrijke processen vaak uit meerdere schakels bestaan. Dat maakt inzicht en beheersing voor bestuurders complex. Bij meer dan de helft van de uitbestedingen zijn belangrijke onderdelen onderuitbesteed. Het aandeel uitbestedingen naar de cloud als percentage van het totaal is toegenomen van een derde in 2017 naar bijna de helft in 2021. 

Volledig zicht op uitbestedingsketens is nodig om de risico’s op het gebied van informatiebeveiliging en beschikbaarheid te kunnen beheersen. Twee voorbeelden: 

• Als een onderaannemer (tijdelijk) vertrouwelijke informatie van de verzekeraar opslaat, is het van belang dat de onderaannemer - in de ogen van de verzekeraar toereikende - informatiebeveiligingsmaatregelen treft die passen bij de vertrouwelijkheid van de informatie. Onvoldoende informatiebeveiliging kan leiden tot diefstal van deze gevoelige informatie. 
• Om na een verstoring bedrijfsprocessen en systemen tijdig te kunnen herstellen, is het van belang dat de continuïteitsplannen van hoofdaannemer én onderaannemers op elkaar zijn afgestemd en in lijn zijn met de continuïteitseisen die de verzekeraar stelt aan het systeem. Als een verzekeraar bijvoorbeeld wil dat het systeem na uitval binnen een uur weer opgestart is, dan moet het continuïteitsplan van de serviceprovider hierin voorzien. Wanneer een kritiek bedrijfsproces gezamenlijk wordt uitgevoerd met één of meerdere serviceproviders is het belangrijk om gezamenlijk te testen of de gehele keten werkt in het geval van een calamiteit.  

Inzicht in de keten als startpunt voor de beheersing van uitbestedingsrisico’s 

Uit onderzoek van DNB blijkt dat verzekeraars onderuitbestedingen in de keten niet volledig in beeld hebben en ook niet altijd zicht hebben of de informatiebeveiliging en continuïteitswaarborgen in de keten op orde zijn. Verzekeraars zijn verantwoordelijk voor een beheerste bedrijfsvoering, ook voor de onderdelen die zijn uitbesteed. De verzekeraar kan grip houden op uitbestedingsketens, door: 

• Het uitvoeren van een risicoanalyse voorafgaand aan de uitbesteding, waarin wordt vastgesteld of de beheersmaatregelen binnen de uitbestedingsketen voldoen aan het beleid en de eisen van de verzekeraar, bijvoorbeeld op het gebied van informatiebeveiliging en continuïteit. Bij een lopende uitbesteding is het periodiek actualiseren van de risicobeoordeling van belang.  
• Het toezien op (naleving van) contractuele afspraken met de hoofdaannemer, dat: 

• • belangrijke voorgenomen (wijzigingen op) onderuitbestedingen tijdig aan de verzekeraar worden gemeld, zodat deze een eigen risicoafweging kan maken en eventueel maatregelen kan treffen en kan melden bij DNB; 
  • eisen t.a.v. bijvoorbeeld informatiebeveiliging en continuïteit doorwerking hebben op eventuele onderuitbestedingen (dit is in het bijzonder van toepassing op cloud uitbestedingen, zie ook de DNB-publicatie IB Monitor 2021: de beveiliging is zo sterk als de zwakste schakel). 

• Het ontvangen en beoordelen van zekerheidsrapportages, waaronder assurance rapporten, waaruit duidelijk wordt welke beheersmaatregelen de hoofdaannemer heeft getroffen en of deze effectief hebben gewerkt. Tevens moet duidelijk zijn welke onderdelen door de hoofdaannemer zijn uitbesteed en hoe de monitoring daarvan heeft plaatsgevonden. Op basis hiervan analyseert de verzekeraar in hoeverre zekerheid wordt geboden over het geheel van uitbestede beheersingsmaatregelen in de uitbestedingsketen. 
  • DNB ziet in praktijk dat assurance rapporten - als SOC, COS en ISAE-rapportages - vaak niet toereikend zijn. Vaak is de scope (te) beperkt, bijvoorbeeld doordat gedeelten van de gehele uitbestedingsketen worden uitgesloten van dergelijke rapportages.
  • Aanvullend of als alternatief kan de verzekeraar zelf audits (laten) uitvoeren bij de hoofdaannemer en onderaannemers. Het auditrecht is contractueel geregeld, zodanig dat dit doorwerking heeft naar de onderaannemers. In de praktijk wordt hiervan nog beperkt gebruik gemaakt. 

• Het inrichten en onderhouden van een centrale registratie van belangrijke uitbestedingen en onderuitbestedingen, zodat alle belangrijke uitbestedingsketens inzichtelijk zijn. Op basis hiervan kan de verzekeraar beoordelen of de verzekeraar niet teveel afhankelijk is van serviceproviders in de uitbestedingsketens en er mogelijk sprake is van concentratierisico. Bijvoorbeeld: via verschillende hoofddienstverleners is de verzekeraar, voor meerdere processen afhankelijk van één onderaannemer, wat op totaalniveau een continuïteitsrisico met zich meebrengt dat voor de verzekeraar ongewenst is.  

Uitbesteding en (wijzigingen op) onderuitbestedingen van belangrijke of kritieke werkzaamheden geven verzekeraars door via het Digitaal Loket Toezicht (DLT). Zie voor meer informatie de website van DNB (link: Uitbesteding Verzekeraars; Good Practice Uitbesteding en EIOPA Guideline voor uitbesteding naar de cloud (dnb.nl)). 

Vervolgstappen in 2022 

DNB verwacht van verzekeraars dat zij mogelijke en noodzakelijke verbeteringen implementeren. Verder werkt DNB zelf aan vergroting van het inzicht in concentratierisico’s op sector- en nationaal niveau. Ten slotte is het van belang om vooruit te kijken naar nieuwe wetgeving. Naar verwachting komt er eind 2022 meer duidelijkheid over de invulling van de Digital Operational Resilience Act (DORA) die eind 2024 in werking treedt. Dit is een verordening van de Europese Commissie om de digitale weerbaarheid van de sector te vergroten. Eén van de doelen is om bewuster om te gaan met de risico’s van uitbesteding door de financiële sector aan kritieke ICT dienstverleners. Het is belangrijk dat verzekeraars zich hier tijdig op voorbereiden en daarbij zicht en grip hebben op alle uitbestedingen en onderuitbestedingen. 

Solvency II stelt aan de uitbesteding van kritieke of belangrijke functies of werkzaamheden eisen. Daarnaast worden in de EIOPA-richtsnoeren handvatten gegeven, waaronder de melding bij DNB voordat de uitbesteding in gebruik wordt genomen (EIOPA-richtsnoeren 60 en 64 voor het governancesysteem). De Richtsnoeren voor uitbesteding aan aanbieders van clouddiensten gelden met ingang van 1 januari 2021 voor uitbestedingen aan cloudproviders, ook in het geval de hoofdaannemer geen cloudprovider is, maar wel afhankelijk is van een cloudprovider (onderaannemer) verder op in de keten. Hierin is opgenomen dat:

• Verzekeraars met ingang van 1 januari 2021 deze Richtsnoeren hebben verwerkt in hun beleid en interne procedures en vanaf die datum de Richtsnoeren in acht hebben genomen bij alle uitbestedingsovereenkomsten betreffende clouddiensten die op of na deze datum van kracht zijn geworden of zijn gewijzigd.
• Verzekeraars de documentatie van uitbestedingsovereenkomsten, betreffende clouddiensten in verband met kritieke of belangrijke operationele functies of activiteiten, dienovereenkomstig herzien en wijzigen zodat zij per 31 december 2022 aansluiten op deze Richtsnoeren.