Kwaliteit ingevulde vragenlijsten door verzekeraars en pensioenfondsen in 2025 verbeterd

Om risicogebaseerd toezicht te houden op basis van risicoscores maakt DNB in haar toezichtmethodologie gebruik van informatie die door instellingen wordt aangeleverd. Dit betreft enerzijds kwantitatieve informatie gerelateerd aan financiële risico’s en anderzijds meer kwalitatieve informatie over beheersing van financiële risico’s (BFR) en over niet-financiële risico’s (NFR).

Een bron voor de kwalitatieve informatie vormen de vragenlijsten van de sectorbrede analyse (SBA). Om te komen tot risicoscores die passend zijn bij het feitelijke risicoprofiel van de instelling, is het van belang dat de ingevulde vragenlijsten een realistisch beeld geven van de werkelijke situatie.

In het derde kwartaal van 2025 heeft DNB daarom bij een aantal kleine en middelgrote verzekeraars en pensioenfondsen datavalidaties uitgevoerd om te beoordelen of de ingevulde vragenlijsten voor de verschillende onderdelen van de SBA een realistisch beeld geven. Op deze manier toetst DNB de kwaliteit van de aangeleverde gegevens en de onderlinge vergelijkbaarheid van de verschillende instellingen. 

Deze datavalidatie is uitgevoerd voor de volgende vragenlijsten/onderdelen:

• governance, gedrag & cultuur en beheersing risicomanagement
• beheersing financiële risico’s
• informatiebeveiliging

Al deze vragenlijsten zijn eind maart 2025 ingediend bij DNB.

Uitkomsten en vervolgstappen

Uit de datavalidaties blijkt dat de ingevulde vragenlijsten bij nagenoeg alle in de deelwaarneming betrokken verzekeraars overwegend een realistisch beeld geven van de werkelijke situatie. Dit is een duidelijke verbetering ten opzichte van eerdere metingen. Tegelijkertijd heeft de deelwaarneming ook enkele observaties opgeleverd, die we hieronder delen.

Het is daarbij belangrijk om te benadrukken dat de uitkomsten van de datavalidaties gebaseerd zijn op een beperkte deelwaarneming die niet per se representatief is voor de rest van de populatie verzekeraars en pensioenfondsen. Het is dus van belang dat de instellingen blijvend aandacht houden voor de datakwaliteit van de SBA NFR. DNB verwacht dat de gegeven antwoorden waar mogelijk worden ondersteund door onderliggende (beleids)documenten en rapportages.

Het bestuur is eindverantwoordelijk voor de inhoudelijke juistheid van de ingevulde vragenlijsten.DNB zal het ontvangen van de SBA NFR uitvraag 2026 wederom bij een aantal te selecteren verzekeraars en pensioenfondsen een datavalidatie uitvoeren.

Uitvraag governance, gedrag & cultuur en beheersing risicomanagement

DNB heeft deze datavalidatie uitgevoerd door bij de geselecteerde verzekeraars relevante documentatie op te vragen die de gegeven antwoorden in de vragenlijst moet ondersteunen. Daarnaast is met enkele betrokken verzekeraars een gesprek gevoerd.

De datavalidatie laat zien dat de ingevulde vragenlijsten in de onderzochte gevallen overwegend een realistisch beeld gaven van de werkelijke situatie.

Ook zijn er enkele inhoudelijke observaties bij het onderdeel governance, gedrag & cultuur:

• Bij een aantal verzekeraars is sprake van functievermenging bij risicomanagement, maar dit blijkt niet uit de vragenlijst. De vragenlijst 2026 wordt hierop aangescherpt.
• Bij een paar verzekeraars vindt geen periodieke zelfevaluatie van RvB en RvC plaats, terwijl dit essentieel is om de governance en effectiviteit van deze organen te waarborgen.
• Bij een paar verzekeraars wordt bij besluitvorming niet standaard input van stakeholders en 2e lijns sleutelfuncties gevraagd. Input van de tweede en derde lijn is cruciaal voor een goed geïnformeerde, gedragen en uitvoerbare beslissing.

Uitvraag beheersing financiële risico’s

DNB heeft deze datavalidatie uitgevoerd door bij de geselecteerde verzekeraars relevante documentatie op te vragen die de gegeven antwoorden in de vragenlijst moet ondersteunen.

De validatie laat zien dat de antwoorden over de beheersing van financiële risico’s in nagenoeg alle onderzochte gevallen konden worden onderbouwd met onderliggende documenten.

Bij de datavalidatie van het onderdeel beheersing financiële risico’s hebben we de volgende observatie:

• Bij meerdere verzekeraars bevatten de risicomanagementrapportages en/of interne auditrapportages van het afgelopen jaar geen expliciet onderbouwd oordeel over de beheersing van genoemde financiële risico’s n.a.v. uitgevoerd onderzoek door een 2e of 3e lijn sleutelfunctie. 
  DNB verwacht dat de risicomanagementrapportage en/of interne auditrapportage periodiek een expliciet oordeel bevat over de beheersing van genoemde financiële risico’s.

Uitvraag informatiebeveiliging

DNB heeft datavalidaties uitgevoerd bij een selectie van pensioenfondsen en verzekeraars. Daarbij heeft DNB documentatie opgevraagd en onderzoek ter plaatse gedaan om te toetsen hoe de antwoorden op de vragenlijst tot stand zijn gekomen, welke onderbouwing daarvoor gebruikt is en hoe de instellingen de volwassenheidsniveaus interpreteren. De desbetreffende instellingen ontvingen al een schriftelijke terugkoppeling van de uitkomsten van de datavalidatie.

De validaties laten zien dat de door de geselecteerde instellingen aangeleverde self-assessments (vragenlijsten) overwegend een realistisch beeld geven van de werkelijke situatie. Tegelijkertijd heeft DNB in de datavalidaties opgemerkt dat sommige instellingen een andere interpretatie van de volwassenheidsniveaus hanteren dan de beschrijvingen in de Good Practice Informatiebeveiliging 2023, met als gevolg dat zij naar het oordeel van DNB op onderdelen te optimistisch rapporteerden.

DNB verwacht dat instellingen kritisch kijken naar de aantoonbaarheid van de volwassenheidsniveaus in het licht van de SBA in 2026. DNB zal de jaarlijkse uitvraag naar informatiebeveiliging met ingang van het eerste kwartaal 2026 baseren op de DORA-regelgeving voor alle instellingen die onder de reikwijdte van DORA vallen.

De uitvraag naar informatiebeveiliging gaat verder onder de naam SBA-Cyberweerbaarheid. In die vragenlijst is het volwassenheidsmodel herzien. Instellingen kunnen voortaan enkel nog de volwassenheidsniveaus ‘Niet bestaand’ (niveau 0), ‘Initieel’ (niveau 1), ‘Herhaalbaar maar informeel’ (niveau 2) en ‘Gedefinieerd (opzet, bestaan en werking)’ (niveau 3) toekennen. Meer daarover kunt u lezen onder: Vragenlijst SBA-Cyberweerbaarheid voor de pensioen- en verzekeringssector gepubliceerd | De Nederlandsche Bank.