VVP 1-22 ONLINE NIEUW
You also want an ePaper? Increase the reach of your titles
YUMPU automatically turns print PDFs into web optimized ePapers that Google loves.
VOLMACHT VOORUIT!<br />
aan wet- en regelgeving omdat de serviceprovider niet<br />
voldoet aan wet- en regelgeving; het risico dat de serviceprovider<br />
niet voldoet aan de gemaakte afspraken<br />
vanuit zowel kwantitatief (bijvoorbeeld servicelevels)<br />
als kwalitatief (bijvoorbeeld assurance) perspectief; het<br />
risico dat er gegevens gestolen worden of dat de dienstverlening<br />
wordt verstoord door cyberaanvallen.”<br />
ISO 27001<br />
Dat financieel dienstverleners nadrukkelijk worden geacht<br />
IT-risico’s in hun analyse mee te nemen, verwondert<br />
niet. Meer dan de helft van de in de AFM-verkenning<br />
gemelde uitstedingen, betreft IT.<br />
Uiteraard mag van een partij aan wie IT wordt uitbesteed<br />
worden verwacht dat zij haar informatiebeveiliging<br />
op orde heeft. Maar het ontslaat de uitbestedende<br />
partij niet van de eindverantwoordelijkheid. De<br />
AFM stelt dan ook, in haar vorig jaar gepubliceerde<br />
‘Aandachtspunten bij het gebruik van adviessoftware’:<br />
“Zorg ervoor dat u zeker weet dat uw softwareleverancier<br />
een goede invulling geeft aan de informatiebeveiliging.<br />
Als eindverantwoordelijke is het belangrijk dat<br />
u er zich van verzekert dat uw softwareleverancier een<br />
goede invulling geeft aan haar informatiebeveiligingsverantwoordelijkheden.<br />
Erkende certificeringen zijn<br />
een mogelijkheid om dat te doen. De meeste leveranciers<br />
van adviessoftware zijn (gedeeltelijk) ISO 27001<br />
gecertificeerd of van plan om op deze certificering op<br />
korte termijn te halen. ISO 27001 is een voorbeeld van<br />
een internationaal erkende norm voor informatiebeveiliging.<br />
Door hieraan te voldoen biedt een leverancier<br />
15%<br />
6%<br />
4%<br />
21,5%<br />
23,5%<br />
30%<br />
n IT Services (Infra, Hosting, IaaS)<br />
n Applicatiediensten (Ontwikkeling, SaaS, beheer)<br />
n Business Process Outsourcing<br />
n Kredietwaardigheid<br />
n Debiteurenbeheer<br />
n Overig (pensioenuitvoering, printen, vastgoed,<br />
verslaggeving etc.)<br />
Externe uitbesteding financiële dienstverleners (Top 200).<br />
Bron: AFM-verkenning ‘Beheerst uitbesteden’.<br />
enige zekerheid dat zij haar verantwoordelijkheden kan<br />
nakomen. Een andere manier is om eisen aan informatiebeveiliging<br />
op te nemen in de overeenkomst met uw<br />
softwareleverancier, bijvoorbeeld met betrekking tot<br />
bewaartermijnen of beveiligingsmaatregelen.”<br />
De AFM verder: “Bescherm de toegang tot uw (klant)<br />
data in de cloud. U blijft verantwoordelijk voor de beschikbaarheid,<br />
integriteit en vertrouwelijkheid van uw<br />
(klant)data. Daarom is het aan te bevelen om een sterke<br />
toegangsbeveiliging tot de data te implementeren.<br />
Dit kan door een moeilijk te raden wachtwoord te gebruiken,<br />
aangevuld met een secundaire authenticatiemethode,<br />
zoals een authenticator app. Daarnaast is het<br />
aan te raden om de data te versleutelen met een actuele<br />
versleutelingstechniek en de sleutel veilig te bewaren.<br />
Let in het bijzonder op de zorgvuldige bewaring<br />
van documenten die u uit de cloudomgeving downloadt<br />
naar uw lokale omgeving (wat vaak het geval is<br />
bij een afgerond adviesrapport).”<br />
WERK AAN DE WINKEL<br />
Lees zeker ook de Leidraad IT-risico’s Volmachten die<br />
NVGA en Verbond van Verzekeraars in 2021 hebben uitgegeven,<br />
waarin overigens veel van de AFM-principes<br />
terug te vinden zijn.<br />
In GA-magazine van december stelde Ron Krisman<br />
(Cumela Assuradeuren), lid van de werkgroep die<br />
de leidraad heeft opgesteld: “Zet je de zaken die in de<br />
leidraad beschreven zijn af tegen de huidige beheersmaatregelen<br />
van het gemiddelde volmachtbedrijf, dan<br />
zitten we, denk ik, op zo’n 60 tot 65 procent van wat er<br />
gevraagd wordt. Er is dus nog een gat te overbruggen,<br />
bijvoorbeeld in het beschrijven van procedures in de organisatie<br />
en het opstellen van risicoanalyses.” Er is dus<br />
nog wel wat werk aan de uitbestedingswinkel. n<br />
NR 1 FEBRUARI 20<strong>22</strong> <strong>VVP</strong> | 41