EIOPA Guidelines: Richtsnoeren voor clouduitbesteding

Blog

In 2020 publiceerde EIOPA de Richtsnoeren voor uitbesteding aan aanbieders van clouddiensten.

Ook dienstverleners die zelf geen cloudprovider zijn, maar wel afhankelijk zijn van een cloudinfrastructuur om hun diensten te leveren vallen onder de Richtsnoeren. De Nederlandsche Bank (hierna: DNB) past deze Richtsnoeren toe in haar toezichtuitvoering. DNB maakt in haar toezicht reeds gebruik van de Good Practice Uitbesteding Verzekeraars. De daarin opgenomen good practices blijven aanvullend op de EIOPA-richtsnoeren van betekenis in het toezicht op deze specifieke vorm van uitbesteding. De Richtsnoeren gelden voor contracten die op of na 1 januari 2021 van kracht (zijn ge)worden of wijzigen. Voor bestaande contracten geldt een overgangsregeling, waarbij de overeenkomsten moeten worden aangepast bij de eerstvolgende contractverlengingsmogelijkheid, maar in ieder geval vóór 31 december 2022.

De uit zestien richtsnoeren bestaande ‘Guideline’ geldt voor individuele ondernemingen en ook voor groepen. Entiteiten binnen de groep waarvoor andere sectorale voorschriften gelden, vallen op individueel niveau buiten het toepassingsgebied van deze Richtsnoeren.

EIOPA vaardigde de Richtsnoeren uit om verzekerings- en herverzekeringsondernemingen ( hierna: verzekeraars) in het geval van clouduitbesteding te helpen met de toepassing van de uitbestedingsbepalingen van artikel 13, 38 en 49 van Richtlijn Solvency II en het bepaalde in artikel 274 van de Gedelegeerde Verordening Solvency II. De richtsnoeren voor uitbesteding aan aanbieders van clouddiensten bouwen verder op de EIOPA richtsnoeren 60 t/m 64 voor het governancesysteem.

Uitbesteding is een functie of activiteit (of een deel daarvan) die herhaaldelijk of doorlopend wordt uitgevoerd en die normaal gesproken door de verzekeraar zelf wordt uitgevoerd.

Het is een bewezen manier om toegang te krijgen tot (technologische) innovaties, kennis en schaalvoordelen. Door uitbesteding ontstaan echter ook weer nieuwe risico’s bij verzekeraars, derde partijen én toezichthouders. De nieuwe Richtsnoeren beogen deze risico’s te identificeren, adresseren en mitigeren. Ze bieden verzekeraars onder meer handvatten voor het opstellen van uitbestedingsbeleid en -overeenkomsten, de analyse van risico’s, de onderkenning en classificatie van de kritieke en belangrijke uitbestedingen en het maken van afspraken over prestaties en interne beheersing bij de cloud dienstverlener. Ook worden er voorbeelden gegeven betreffende de beveiliging van gegevens en systemen, de vastlegging en effectuering van het toegangs- en auditrecht en een structuur voor het inrichten van een speciaal register van uitbestedingsovereenkomsten.

Clouddiensten zijn in de Richtsnoeren gedefinieerd als diensten die worden geleverd met behulp van cloudcomputing, dat wil zeggen een architectuur voor het snel beschikbaar stellen van ‘on demand’ netwerktoegang tot gedeelde computervoorzieningen, zoals netwerken, servers, opslag, applicaties en diensten die snel kunnen worden op- en afgeschaald met een minimale beheerinspanning of tussenkomst van dienstverleners.

De Richtsnoeren vragen verzekeraars om het governanceframework, het uitbestedingsbeleid en andere intern relevante beleidslijnen en de interne processen en procedures te evalueren en aan te passen, zodat deze borgen dat alle uitbestedingsovereenkomsten die op of na 1 januari 2021 van kracht (zijn ge)worden of wijzigen voldoen aan deze Richtsnoeren.

De Richtsnoeren benadrukken dat verzekeraars in hun uitbestedingsbeleid en de uitbestedingsovereenkomst een clausule moeten opnemen die DNB en andere toezichthouders, maar ook de verzekeraar zelf, het recht geeft om onderzoek ter plaatse uit te voeren bij de dienstverlener en bij al diens kritieke of belangrijke onderaannemers. Hoewel deze clausule al verplicht was onder bestaande Solvency II vereisten, zoals vastgelegd in artikel 274 van de Gedelegeerde Verordening, blijkt in de praktijk dat deze clausule niet of ontoereikend is verwerkt in alle uitbestedingsovereenkomsten. Dit geldt ook voor exitbepalingen en aan onderuitbesteding te stellen voorwaarden. Voor iedere uitbestedingsovereenkomst betreffende clouddiensten die betrekking heeft op kritieke of belangrijke functies of activiteiten bestaat de verplichting om een gedocumenteerde, en waar nodig naar behoren geteste, exitstrategie op te stellen die in verhouding staat tot de aard, de omvang en de complexiteit van de dienstverlening.

De verzekeraar moet ook de beleidslijnen op het gebied van informatiebeveiliging en businesscontinuïteit herzien, waarbij hij rekening moet houden met de specifieke kenmerken en risico’s van clouduitbesteding en met in de Richtsnoeren genoemde punten. In de praktijk blijkt dat Informatiebeveiligings- en businesscontinuïteitsrisico’s niet altijd zijn geïdentificeerd door de gehele uitbestedingsketen heen. En als een belangrijk bedrijfsproces samen met een derde partij wordt uitgevoerd, is niet in alle gevallen voorzien dat dan gezamenlijk met de derde partij de gehele keten wordt getest. Verzekeraars zijn mogelijk kwetsbaar via partijen waaraan werkzaamheden zijn uitbesteed en die toegang hebben tot hun (kern)infrastructuur.

De verzekeraar moet in de pre-outsourcingsfase (zijn selectie- en beoordelingsproces) een risicoanalyse en due diligence-onderzoek uitvoeren conform de criteria uit zijn uitbestedingsbeleid. Daaruit moet blijken dat de aanbieder van clouddiensten aan deze criteria voldoet en dat de risico’s vallen binnen de risicobereidheid van de verzekeraar. Bij uitbesteding van kritieke of belangrijke werkzaamheden is een evaluatie van de geschiktheid van de aanbieder van clouddiensten onderdeel van het onderzoek. Ter ondersteuning kan de verzekeraar hierbij gebruikmaken van bewijsmateriaal, certificeringen en assurancerapportages op basis van internationale normen en auditrapportages van erkende derden of zijn interne auditdienst.

De nieuwe richtsnoeren raken niet alleen verzekeraars, maar ook de toezichthouder. De toezichthouder is verantwoordelijk voor het monitoren van het zogenoemde concentratierisico. Dit risico ontstaat wanneer bepaalde bedrijfsactiviteiten door verschillende ondernemingen worden uitbesteed bij dezelfde dienstverlener. Dit kan de continuïteit en operationele weerbaarheid van deze ondernemingen in het gedrang brengen als de dienstverlener in (financiële) problemen komt. Aangezien uitbestedingsovereenkomsten op dit moment veelal niet, of nog niet volledig, centraal worden geregistreerd bij verzekeraars heeft de toezichthouder op dit moment geen volledig beeld. De Richtsnoeren vragen op dit punt dat verzekeraars als onderdeel van hun governance- en risicobeheersysteem de uitbestedingsovereenkomsten documenteert. Naast additionele documentatievereisten moet de verzekeraar in het register die informatie vastleggen waarvan de toezichthouder in kennis moet worden gesteld bij het aangaan en significant wijzigen van kritieke of belangrijke uitbestedingen. Sinds 1 januari 2019 kunnen verzekeraars de uitbestedingsmeldingen digitaal indienen bij het Digitaal Loket Toezicht (DLT) van DNB. Kritieke of belangrijke onderuitbesteding valt ook onder de meldingsplicht. Voor meer informatie, zie de website van DNB.

Ook dienstverleners blijven niet buiten schot. Hoewel zij niet direct vallen onder de reikwijdte van de Richtsnoeren, zullen verzekeraars vereisten moeten opleggen aan dienstverleners om te kunnen voldoen aan de Richtsnoeren. Vooral het voldoen aan robuuste beheerprocessen en documentatievereisten kunnen een verzwaring zijn voor dienstverleners. FinTech-bedrijven en andere toetreders komen voor de uitdaging te staan om innovatief en concurrerend te blijven in een snel veranderende markt, terwijl ze tegelijkertijd geconfronteerd worden met administratieve uitdagingen van het indirect naleven van de Richtsnoeren.

Wat verlangt DNB van verzekeraars?

DNB verlangt van verzekeraars dat zij:

• de Richtsnoeren in acht nemen bij alle uitbestedingsovereenkomsten betreffende clouddiensten die op of na 1 januari 2021 van kracht (zijn ge)worden of wijzigen;
• de herziening van hun uitbestedingsbeleid en de interne processen van hun onderneming, voor zover nodig, voor 1 januari 2021 hebben afgerond;
• bestaande uitbestedingsovereenkomsten betreffende clouddiensten in verband met kritieke of belangrijke operationele functies of activiteiten, zodanig herzien en wijzigen dat zij per 31 december 2022 in overeenstemming zijn met deze Richtsnoeren;
• de documentatie van uitbestedingsovereenkomsten betreffende clouddiensten in verband met kritieke of belangrijke operationele functies of activiteiten voor 31 december 2022 toepassen.