'Verzekeraars hebben risico's uitbesteding niet in de hand'

Veel verzekeraars beheersen de risico's van uitbesteding niet, concludeert DNB na onderzoek. De toezichthouder maakt zich met name zorgen over uitbesteding in 'de cloud', die risico's lastiger beheersbaar maakt. Vanwege gebrek aan data bij verzekeraars heeft DNB geen volledig inzicht kunnen krijgen in alle uitbestedingsrelaties.

Het onderzoek werd bijna een jaar geleden aangekondigd en nu licht DNB een tip van de sluier op over de uitkomsten. Doel van het onderzoek was onder meer te voorkomen dat er bovenmatige concentratie bij serviceproviders plaatsvindt. Het percentage uitbestedingen is de afgelopen jaren stabiel gebleven, maar het aandeel "materiële uitbestedingen" naar 'de cloud' neemt significant toe, constateert de toezichthouder. "Met deze laatste ontwikkeling neemt (ook) de versnippering van uitbestedingsrelaties toe, worden uitbestedingsketens langer en wordt de beheersing op de hele keten complexer. De top serviceproviders wordt aangevoerd door traditionele spelers. Deze worden direct gevolgd door de grote cloudserviceproviders."

Meer grip nodig

Uitbesteden brengt een aantal risico's met zich mee voor de continuïteit van de bedrijfsvoering, de kwaliteit (service), gegevensbescherming en compliance. Die risico's worden bij een groot deel van de deelnemers aan het onderzoek nog niet voldoende beheerst, aldus DNB. "Op basis van de resultaten van dit onderzoek zouden instellingen beter zicht en grip moeten hebben op de (onder)uitbestedingen om uitbestedingsrisico's te kunnen beheersen." Verzekeraars kunnen in april een sectorbrief tegemoet zien, waarin de resultaten van het onderzoek worden teruggekoppeld.

Geen volledig inzicht in uitbestedingsketens

"De uitvoering van het onderzoek heeft een forse impact gehad", weet de toezichthouder. "Het effect op de sector laat zich vangen in de woorden van één van de deelnemende instellingen: 'Van onbewust onbekwaam, naar bewust onbekwaam'." DNB heeft geen volledig inzicht gekregen in alle uitbestedingsketens. "De verzekeraars hebben deze data niet beschikbaar en kunnen daarom niet volledig rapporteren. Desondanks ziet DNB aan het einde van de uitbestedingsketens regelmatig de in Nederland gevestigde datacenters en de grote internationale cloudproviders."

Meldplicht soms niet bekend

Sommige verzekeraars zijn er niet van op de hoogte dat ze uitbestedingen tijdig moeten melden. "Ook is een aantal verzekeraars niet goed op de hoogte van de plicht om het onderzoeksrecht voor DNB op te nemen in de contracten die zij aangaan met derden over de uitbesteding." Om meldingen makkelijker te maken, werkt DNB aan een Digitaal Loket Uitbesteding.