De Nederlandsche Bank (DNB) heeft in een speciale nieuwsbrief voor de verzekeringsbranche een drietal onderzoeken voor de sector aangekondigd: een naar de uitbesteding door verzekeraars, een naar informatiebeveiliging en cybersecurity door verzekeraars en een naar de effecten voor klimaatverandering. Daarnaast heeft DNB en de AFM (Autoriteit Financiële Markten (AFM) verbeteringen doorgevoerd in het proces van personentoetsingen.
DNB start een inventarisatie naar de uitbestedingen en de beheersing van het uitbestedingsrisico door verzekeraars, dat bestaat uit een inventariserend onderzoek bij middelgrote en grote verzekeraars aan de hand van een vragenlijst en een on-site onderzoek bij een selectie van verzekeraars. DNB beoogt hiermee meer inzicht te krijgen in de uitbestedingsgraad (inherent risico), de concentraties en de mate (volwassenheid) van de beheersing van de uitbestedingsrisico’s bij de verzekeraars zelf, haar uitvoerders en uitbestedingspartners (serviceproviders). Het belangrijkste beoogde effect van dit onderzoek is dat de verzekeraars de uitbestedingsrisico’s van belangrijke/kritische bedrijfsactiviteiten in voldoende mate gaan beheersen en dat er geen sprake is van bovenmatige concentraties op serviceproviders en/of landen waar de dienstverlening plaatsvindt.
In een toelichting stelt DNB: “De uitbesteding van belangrijke/kritische bedrijfsactiviteiten in de financiële sector neemt toe. Dit betreft: ICT, pensioenadministraties, vermogensbeheer en andere belangrijke kritische bedrijfsprocessen. Daarnaast speelt de toenemende verplaatsing van activiteiten naar interne en externe cloudoplossingen: ook dit wordt door DNB als een vorm van uitbesteding gezien. Deze trend zal naar verwachting doorzetten, gezien de technologische ontwikkelingen en de druk van kostenreducties bij verzekeraars. Door de uitbesteding komen de uitbestede activiteiten en de mensen op afstand te staan van de verzekeraar. Dit maakt het realiseren van een adequate risicobeheersing complex. Een adequate risicobeheersing is echter essentieel.” Eind 2017 zal DNB de onderzoeksbevindingen van de eerste fase terugkoppelen aan alle verzekeraars en verder een individuele terugkoppeling geven aan de betrokken verzekeraars.
Onderzoek informatiebeveiliging verzekeraars
DNB neemt dit jaar bij een selectie van verzekeraars de informatiebeveiliging onder de loep nemen. Daarbij zal specifiek aandacht worden gegeven aan de cybersecurity-maatregelen, zoals secure web development, penetratietest (pentesting), het gebruik van een Security Operating Centre en de monitoring van het externe dataverkeer. Informatiebeveiliging en specifiek cybersecurity blijven belangrijke aandachtspunten voor financiële instellingen. Dit blijkt uit recente DNB-onderzoeken naar informatiebeveiliging en uit de analyses van externe partijen, zoals de jaarlijkse Cybersecurity-analyses van het NCSC, dat een viertal bedreigingen signaleert voor verzekeraars:
- Ongeautoriseerde toegang op de ‘mijn’-omgeving van verzekeraars.
- Cryptoware die via e-mail wordt verstuurd naar de verzekeraar; na activering worden bestanden versleuteld en wordt van de verzekeraar losgeld geëist om de bestanden weer toegankelijk te maken.
- (D)DoS (Distributed Denial of Services) aanvallen op websites, waardoor klanten niet meer kunnen aanloggen en geen informatie kunnen uitwisselen.
- Diefstal of lekken van privacygevoelige klantinformatie.
“Deze bedreigingen kunnen onder meer leiden tot langdurige uitval van IT-systemen, het wijzigen van data en het veroorzaken van datalekken. Door de toenemende frequentie en de complexiteit van deze bedreigingen, het gebruik van mobiele apps en de verdere digitalisering bij verzekeraars zal de impact van deze kwetsbaarheden op termijn toenemen”, aldus DNB.
Effecten klimaatverandering
DNB doet in de eerste helft van 2017 onderzoek naar de effecten van klimaatverandering op de financiële sector( banken, verzekeraars en pensioenfondsen) om een beter zicht krijgen in de verschillende risicomanagementmethodes van financiële instellingen voor klimaatrisico’s. Hierbij is specifieke aandacht aandacht voor de impact op verzekeringsproducten. DNB gaat de onderzoeksbevindingen verwerken in een publicatie over klimaatrisico’s. Ook zal gekeken worden wat de implicaties voor het toezicht zijn.
In een toelichting stelt de toezichthouder: “DNB ziet klimaatverandering als een belangrijk lange termijn-risico voor de financiële sector. De fysieke risico’s verbonden aan klimaatverandering raken onder meer de schadeverzekeraars in hun verplichtingen. Daarnaast kunnen transitierisico’s ontstaan wanneer aanscherping van het klimaatbeleid leidt tot afwaarderingen op financiële activa en dit kan zo indirect de kapitaalpositie van instellingen beïnvloeden.”
Procesverbetering personentoetsingen
DNB en de AFM hebben afgelopen periode verschillende verbeteringen doorgevoerd in het proces van personentoetsingen. “Zo is de informatie op de websites verbeterd om zo meer inzicht te geven in het toetsingsproces en de verschillende stappen die daarin worden onderscheiden. Ook wordt meer uitleg gegeven over de onderlinge samenwerking tussen DNB en de AFM en is bijv. bij laatstgenoemde de informatieverschaffing omtrent het online proces verbeterd en inzichtelijker gemaakt. DNB zal in april 2017 van start gaan met het digitaal loket.
DNB en de AFM zullen op verschillende aspecten externe expertise in het toetsingsproces betrekken, onder andere door externe deskundigen aan te stellen. Deze externe adviseurs kunnen vanuit hun bestuurlijke ervaring en inhoudelijke expertise een bijdrage leveren aan de oordeelsvorming rondom de toetsing. Op basis van een onderzoek naar de toetsing in de UK worden geschikte externe deskundigen gezocht, zodat later dit jaar een pilot van start kan gaan. Verder nemen DNB en de AFM stappen om een vertrouwenspersoon in te stellen. Deze zal een rol krijgen in het geval van een conflict over de benaderingswijze en de communicatie tijdens het toetsingsproces. Eveneens wordt voorzien in een onafhankelijke voorzitter van de hoorcommissie in het geval van een bezwaar bij toetsingsbesluiten.
Foto DNB
