Solvency II stelt aan de uitbesteding van kritieke of belangrijke functies of werkzaamheden eisen. Daarnaast worden in de EIOPA-richtsnoeren handvatten gegeven, waaronder de melding bij DNB voordat de uitbesteding in gebruik wordt genomen (EIOPA-richtsnoeren 60 en 64 voor het governancesysteem). Indien een derde partij aan wie de verzekeraar werk uitbesteedt, deze werkzaamheden zelf (deels) uitbesteedt, is sprake van onderuitbesteding. Als dit meerdere keren voorkomt, ontstaat een uitbestedingsketen van dienstverleners. De keten eindigt bij het beheer en opslag van de data. Kritieke of belangrijke onderuitbesteding valt ook onder de meldingsplicht, zie Digitaal loket Melding uitbesteding voor meer informatie.
In een situatie van uitbesteding blijft de verzekeraar steeds volledig verantwoordelijk. Als een verzekeraar geen beeld heeft van de uitbestedingsketen kan zij geen grip houden op de kwaliteit van de uitbestede werkzaamheden. Bijvoorbeeld onbekendheid met de locatie en beveiliging van de opgeslagen data. Ook kan gedacht worden aan uitval van kernprocessen, inconsistenties in data, die vastgelegd is in administraties door fouten in software. Hierdoor loopt de verzekeraar het risico niet te voldoen aan wet- en regelgeving en kan geconfronteerd worden met operationele incidenten en beschadiging van de reputatie.
DNB heeft in de Good Practice uitbesteding door verzekeraars aanbevelingen gegeven voor alle aspecten van uitbesteding door verzekeraars.
Daarnaast heeft DNB via een sectorbrief haar bevindingen gegeven naar aanleiding van een themaonderzoek naar de uitbesteding door verzekeraars.
Op 6 februari 2020 publiceerde EIOPA de Richtsnoeren voor uitbesteding aan aanbieders van clouddiensten. DNB past deze Richtsnoeren toe in haar toezichtuitvoering. DNB maakt in haar toezicht reeds gebruik van de Good Practice Uitbesteding Verzekeraars. Deze good practices blijven aanvullend op de EIOPA-richtsnoeren van betekenis in het toezicht op deze specifieke vorm van uitbesteding.
De Richtsnoeren gelden voor individuele ondernemingen en ook voor groepen. Entiteiten binnen de groep waarvoor andere sectorale voorschriften gelden en die deel uitmaken van een groep, vallen op individueel niveau buiten het toepassingsgebied van deze richtsnoeren.
Toepassingsdatum
- DNB verwacht dat verzekeraars met ingang van 1 januari 2021 deze Richtsnoeren in acht nemen bij alle uitbestedingsovereenkomsten betreffende clouddiensten die op of na deze datum van kracht worden of worden gewijzigd.
- Verzekeraars zullen bestaande uitbestedingsovereenkomsten, betreffende clouddiensten in verband met kritieke of belangrijke operationele functies of activiteiten, dienovereenkomstig herzien en wijzigen zodat zij per 31 december 2022 aansluiten op deze Richtsnoeren.
- De herziening (indien nodig) van het beleid en de interne processen van de onderneming wordt voor 1 januari 2021 afgerond
- De documentatie van uitbestedingsovereenkomsten betreffende clouddiensten in verband met kritieke of belangrijke operationele functies of activiteiten wordt voor 31 december 2022 toegepast.
EIOPA vaardigt 16 richtsnoeren uit om verzekerings- en herverzekeringsondernemingen te helpen met de toepassing van de uitbestedingsbepalingen van artikel 13, 38 en 49 van de Richtlijn Solvency II en artikel 274 Gedelegeerde Verordening Solvency II, in het geval van clouduitbesteding. De richtsnoeren voor uitbesteding aan aanbieders van clouddiensten bouwen verder op de EIOPA richtsnoeren 60 t/m 64 voor het governancesysteem.
De Richtsnoeren bieden verzekeraars onder meer handvatten voor het opstellen van beleid en uitbestedingsovereenkomsten, de analyse van risico’s, de onderkenning van de kritieke en belangrijke uitbestedingen en het maken van afspraken over prestaties en interne beheersing bij de cloud dienstverlener. Ook worden er voorbeelden gegeven betreffende de beveiliging van gegevens en systemen, de vastlegging en effectuering van het toegangs- en auditrecht en een structuur voor het inrichten van een speciaal register voor uitbestedingsovereenkomsten.
- Richtsnoer 1 – Clouddiensten en uitbesteding
- Richtsnoer 2 – Algemene beginselen van governance inzake uitbesteding van clouddiensten
- Richtsnoer 3 – Actualisering van de schriftelijke beleidslijn inzake uitbesteding
- Richtsnoer 4 – Schriftelijke kennisgeving aan de toezichthoudende autoriteit
- Richtsnoer 5 – Documentatievereisten
- Richtsnoer 6 – Analyse voorafgaand aan uitbesteding
- Richtsnoer 7 – Beoordeling van kritieke of belangrijke operationele functies en activiteiten
- Richtsnoer 8 – Beoordeling van de risico’s van uitbesteding van clouddiensten
- Richtsnoer 9 – Due diligence-onderzoek ten aanzien van de aanbieder van clouddiensten
- Richtsnoer 10 – Contractuele voorschriften
- Richtsnoer 11 – Toegangs- en auditrecht
- Richtsnoer 12 – Beveiliging van gegevens en systemen
- Richtsnoer 13 – Onderuitbesteding van kritieke of belangrijke operationele functies en activiteiten
- Richtsnoer 14 – Monitoring van en toezicht op uitbestedingsovereenkomsten betreffende clouddiensten
- Richtsnoer 15 – Beëindigingsrecht en exitstrategieën
- Richtsnoer 16 – Toezicht op uitbestedingsovereenkomsten betreffende clouddiensten door toezichthouders
Voor meer informatie: EIOPA website