Uitbesteding & Good Practice

Vergelijkbare documenten
Uitbesteding & Uitbestedingsrisico s. Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018

ACIS-Symposium Uitbesteding publiekrechtelijk kader. 17 mei 2019 Pien Kerckhaert

Good Practice DNB: uitbestedingen onder de loep Praktische handvatten om uitbestedingen beheersbaar te houden

Contract- en Service Management in de CLOUD. 29 September 2011

[Naam verzekeraar] [Adres] Geachte [..],

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

IT Beleid Bijlage R bij ABTN

Cloud Computing: Het concept ontrafeld

Seminar Uitbesteding ACIS. Jan Broekhuizen 17 mei 2019

Symposium Uitbesteding & Cloud computing. De Nederlandsche Bank. Amsterdam, 14 juni 2012

Uitbestedingsbeleid 2015

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

Good Practice. Uitbesteding Verzekeraars

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken.

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november Opvallend betrokken, ongewoon goed

Cloud Computing: valkuilen en must haves in de contracten. Robert Grandia Rotterdam, 20 april 2016

Uitbestedingsbeleid. - Uitbestedingsrelatie: de onderneming aan wie het fonds heeft uitbesteed.

IORP II IMPLEMENTATIE RISK GOVERNANCE RONALD HAMAKER 27 SEPTEMBER 2018

Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst?

Zwaarbewolkt met kans op neerslag

Uitbestedingsbeleid Stichting Pensioenfonds NIBC

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

vormen voor een adequaat toezicht op de naleving van de bij of krachtens het Deel prudentieel toezicht financiële ondernemingen van de Wft bepaalde.

Databeveiliging en Hosting Asperion

BeCloud. Belgacom. Cloud. Services.

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie

Uitbestedingsbeleid, bijlage 4 ABTN Stichting Pensioenfonds F. van Lanschot

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

2014 KPMG Advisory N.V

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Beoordelingskader Informatiebeveiliging DNB

ICT-Risico s bij Pensioenuitvo ering

Uitbestedingsbeleid Stichting Pensioenfonds van de ABN AMRO Bank N.V.

Dé cloud bestaat niet. maakt cloud concreet

ADVISIE SERVICE SOLUTIONS

MKB Cloudpartner Informatie TPM & ISAE

Masterclass. Uitbesteden / Outsourcing

"Baselines: eigenwijsheid of wijsheid?"

Business Continuity Management

Cloud & AVG. PvIB Thema avond 18 april 2019 Terugkoppeling Case Klant en leveranciers kant

III Stream IT Auditing. UWV / CIP / VU- IT auditing

ISO/IEC in een veranderende IT wereld

White Paper - Quality as a Service & Waarom de Cloud? CeneSam, Februari 2014

Resultaten 2 e Cloud Computing onderzoek in Nederland. Alfred de Jong Principal Consultant Manager Architectuur & Innovatie Practice

Grip op Contractmanagement IIR Congres 27 en 28 november 2013 Thematafel: privacy & security issues voor de contractmanager.

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

Uitbesteding in de pensioensector:

Workshop Pensioenfondsen. Gert Demmink

Incidenten in de Cloud. De visie van een Cloud-Provider

Risico management 2.0

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars!

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Bedrijfscontinuïteit met behulp van een BCMS

Agenda Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

BizPlan SIRA. & Risicomonitoring. Asya Oosterwier. Module 5 D2 Nederlands Compliance Instituut

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Een toekomst in de cloud? Stefan van der Wal - Security Consultant ON2IT

DE PRIVATE CLOUD. Johan Bos & Erik de Meijer

Hoe migreer je naar de Cloud. Wilbert van Beek Directeur

Scaled agile bij APG (GPS)

Volwassen Informatiebeveiliging

Visie op Cloud & ICT Outsourcing

DATAKWALITEIT IN DE NEDERLANDSE VERZEKERINGSSECTOR

Gegevensbescherming & IT

Enkele handige tips bij het beoordelen van clouddienstvoorwaarden. en Service Level Agreements

Risicomanagementfunctie

Uitbestedingsbeleid Vastgesteld en gewijzigd in de bestuursvergadering van 14 februari 2019

Cloud computing Helena Verhagen & Gert-Jan Kroese

Partnering Trust in online services AVG. Vertrouwen in de keten

Maximale ontzorging in eigen regie POWERED BY

DRIVEN BY AMBITION SUCCESVOL EXACT IMPLEMENTEREN IN DE PRIVATE CLOUD

Welkom bij Interconnect. Maartje van Alem Marketing Manager

bedrijfsbrochure maak kennis met iunxi

Welk datacenterconsumptiemodel past het best bij uw visie?

Een alledaags gegeven

Adding value to test tooling Hoe en waarom DevOps de wereld van performance testen verandert

IT risk management voor Pensioenfondsen

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie

Inholland DC à Cloud Huub Oude Groen Robert Beudeker Manager IT Operations Solution Architect

Identity & Access Management & Cloud Computing

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Continuous testing in DevOps met Test Automation

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Informatiebeveiliging the next level!

Cloud & Licenties. Welkom bij BSA The Live Sessions De Live Session start binnen enkele minuten. Dank voor uw geduld.

Agenda Next Level in Control. 15:00 16:00 Next Plenair - Control Productivity - Control Security - Control Flexibility

Informatiebeveiligings- en privacy beleid. Haagsche Schoolvereeniging

Wees in control over uw digitale landschap

Privacy Compliance in een Cloud Omgeving

DNB SEMINAR VERMOGENSBEHEER UITBESTEDING VERMOGENSBEHEER

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010

Ubuntu Release Party XTG 11/23/12 1

Kwaliteitsmanagement: de verandering communiceren!

Implementatiemodellen online werken

Cloud. Regie. Cases.

Transcriptie:

Uitbesteding & Good Practice Ingrid Talsma ACIS symposium,

Agenda 1. Uitbesteding wat is het - wat valt op? 2. Cloud niet meer te stoppen 3. Wettelijk kader & Good Practice 4. Beleid & Governance 5. Selectie (Cloud) Serviceprovider 6. Monitoring & Evaluatie 2

Wie ben ik? Ingrid Talsma Toezichthouder specialist De Nederlandsche Bank Expertisecentrum Operationeel & IT risico Aandachtsgebied IT risico - Uitbesteding & Cloud Informatiebeveiliging / Verzekeraars & Pensioenfondsen 3

Uitbesteding: wat is het? Activiteiten die een instelling door een derde partij laat uitvoeren Wettelijke eisen o.a. Ø Uitbestedingsbeleid Ø Risicoanalyse voor elke uitbesteding Ø Bepalen wezenlijk belang - kritieke of belangrijke activiteit Ø Toezicht niet belemmeren onderzoeksrecht DNB Ø Exit procedure Instelling blijft (eind)verantwoordelijk Instelling dient inzicht te hebben in beheersing (gehele keten) Cloud (welke vorm dan ook) = uitbesteding 4

Uitbesteding: kansen en risico s Belangrijkste drijfveren voor uitbesteding: Benutten schaalvoordelen (bv ervaring, kosten, kennis) en kwaliteit) Focus op kerncompetenties Flexibiliteit Belangrijkste risico s van uitbesteding voor de uitbesteder: Ontvangen niveau van dienstverlening onder de maat Afgesproken randvoorwaarden niet nagekomen Financiële / operationele problemen serviceprovider Voldoen aan wet & regelgeving Gevaar voor de continuïteit en betrouwbaarheid van de bedrijfsvoering 5

Wat wordt er zoal uitbesteed? ICT uitbesteding Technische beheer (firewall, netwerk etc) Kantoorautomatisering: Email, documentverwerking Data centers Applicaties (software on demand) Business process uitbesteding Pensioen en verzekeringsadministratie Financiële administratie CRM klantdatabase Vermogensbeheer Riskmanagement Betalingsverkeer 6

7 BCM Operations Krediet Betalingsverkeer Hypotheek Leven Schade Zorg Pensioen Integriteit Informatiebeveiliging Inrichting, Beleid, procedures Proces- en systeemarchitectuur

Wat valt op? Uitbesteding verandert van aard Meer kritieke activiteiten IT uitbesteding Cloud - neemt in rap tempo toe SaaS / Projecten Wezenlijk belang neemt toe door strategisch belang IT Ketens langer Onderuitbesteding neemt toe Onvolledig inzicht Implementatie via brokers Beheersing en beveiliging complexer (cybercrime) Kosten cybersecurity on premise vs kosten uitbesteding 8

Concentratie risico Uitvraag Verzekeraars (5) 9

Wat is Cloud? 10

Cloud The National institute of standards and technology (NIST) Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of five essential characteristics, three delivery models, and four deployment models. 11

Cloud service modellen Service models: Software-as-a-Service (SaaS) Platform-as-a-Service (PaaS) Infrastructure-as-a-Service (IaaS) En..Daas, Dwaas, BPaaS,, Maas, XaaS 12

Wet- en regelgeving: Wft en Solveny II Wft art. 1:1: Definitie uitbesteding Art. 13.28: Definitie uitbesteding SII Richtlijn Het door een financiële onderneming verlenen van een opdracht aan een derde tot het ten behoeve van die financiële onderneming verrichten van werkzaamheden: a. die deel uitmaken van of voortvloeien uit het uitoefenen van haar bedrijf of het verlenen van financiële diensten; of b. die deel uitmaken van de wezenlijke bedrijfsprocessen ter ondersteuning daarvan. Een overeenkomst van om het even welke vorm tussen een verzekeraar een een al dan niet onder toezicht staande dienstverlener op grond waarvan deze dienstverlener hetzij rechtstreeks het zij door middel van onderuitbesteding een process, een dienst of een activiteit uitvoert die anders door de verzekeraar zelf zou worden uitgevoerd. Artikel 27d: verwijzing naar Solvency II Een verzekeraar met zetel in Nederland, niet zijnde een verzekeraar met beperkte risico-omvang, voldoet met betrekking tot uitbesteding van werkzaamheden aan artikel 49 van de richtlijn S2. Solvency II Richtlijn, Artikel 49 Door uitbesteding van kritieke of belangrijke operationele functies of werkzaamheden mag het operationeel risico niet toenemen en er mag geen afbreuk worden gedaan aan het governancesysteem, het toezicht en de continuiteit en toereikendheid van de dienstverlening. Alle verzekeraars moeten voldoen aan BPR Hoofdstuk 5 Artikel 3.18 en Artikel 27-32 (hoofdstuk 5) van Bpr. De Bpr is de vertaling van de wettelijke artikelen naar specifieke richtlijnen van de Wft. Richtsnoer 60 Vaststellen en documenteren dat een uitbestede functie of activiteit kritiek of belangrijk. Een kritieke of belangrijke uitbesteding moet aan alle S2 vereisten voldoen. Artikel 274.1 van de verordening geldt onverkort voor alle uitbestedingen (beleid, rapportage- en controleregelingen en contract). 13

https://www.toezicht.dnb.nl/2/50-237170.jsp 14

Zonder beleid geen uitbesteding Strategie en doelstelling; wat wel en wat niet uitbesteed en waarom Invloed uitbesteding, Welke risico s en hoe risico s beheersen Proces en beoordelingscriteria om vast te stellen of er sprake is van een kritieke of belangrijke uitbesteding; melden bij DNB Uitbestedingen centraal registreren Aanpak en processen uitbesteding, w.o. tekortschietende dienstverlening - Exit Borgen dat blijvend wordt voldaan aan wet- en regelgeving in de gehele keten Alle relevante functies / afdelingen betrokken: directie accordeert Belangenconflicten vermijden 15

Instelling eindverantwoordelijk Governance duidelijk belegd: instelling omschrijft taken, bevoegdheden en verantwoordelijkheden in schriftelijke overeenkomst (contract), Service Level Agreement, nadere afspraken (DAP), data-eigenaarschap Voldoende mensen, middelen, kennis en competenties om dienstverlener tegenwicht te kunnen geven, bij te sturen en aanvullende of nieuwe afspraken te maken of exit in te zetten Instelling omschrijft alternatieven, exitstrategie- en procedure waarin doorlooptijden en exit op grote lijnen is beschreven inclusief het verkrijgen en/of vernietigen van data. 16

Verantwoordelijkheden in de cloud omgeving 17

Informatiebeveiliging & BCM Het uitbestedingsbeleid van een verzekeraar waarborgt dat uitbesteding enkel mogelijk is als het beleid van de dienstverlener minimaal gelijkwaardig is aan het intern beleid van de instelling (IB, BCM) Inrichten van BCM. Op basis van BCM strategie- en beleid besluiten nemen over continuiteitsmaatregelen gebaseerd op scenario s (BIA). Business Continuiteits Plan (BCP) opstellen rekeninghoudend met kritieke uitbestedingen Testen van backup voorzieningen sluiten continuiteitsplannen en getroffen maatregelen in de keten op elkaar aan? Crisismanagement inclusief communicatie. 18

Contract en operationalisatie naar KPI s in de SLA Onderzoeksrecht voor DNB in de gehele keten van dienstverleners Geen beperkingen in de clausule Toegang verlenen tot bedrijfspanden met inbegrip van voorzieningen, systemen, netwerk en data om controles ter plaatse te verrichten Onderzoeksrecht voor DNB voor alle subcontracters (onderaannemers) Auditrecht voor de instelling zelf of haar extern accountant in de hele keten Clausule over onderuitbesteding Voorwaarden stellen waaronder de dienstverlener verder mag uitbesteden. Afspraken en redenen voor beëindiging van de overeenkomst (exit activeren) Onderuitbesteding na contractdatum, niet voldoen aan regelgeving (sanctie, privacy) Afspraken over eigenaarschap van data en het verkrijgen en/of vernietigen bij exit Duidelijke geldigheidsduur en evaluatie- en herzieningsfrequentie 19

Contract: kritieke en gevoelige data Contractclausule inzake informatiebeveiliging en gegevensbescherming Maatregelen voor de beveiliging en vertrouwelijkheid van gegevens Encryptie van data Beheer van encryptiesleutels Toegang tot data bij de dienstverlener (logging bewaken) Verwerkingsovereenkomst Kent en beheerst risico s en beperkingen van de locatie van de data Instelling is in staat om naleving van wet- en regelgeving door de dienstverlener vast te stellen (denk aan data buiten E.E.R) Informatie over verstrekking van persoonsgegevens aan derden / overheid 20

Betrouwbare en professionele dienstverlener Selectiecriteria & requirements Financiële situatie Professionele achtergrond en expertise (screening-vog) Omvang van de dienstverlener in relatie tot de opdracht zie Good Practice: weten wat nodig is met welke niveau van beveiliging en beheersing (meerdere dienstverleners: long list) Verkenning Due Diligence Riskmanagement en audit betrokken: interne controle maatregelen Juridisch advies Short list dienstverleners - pilot 21

Cloud Magic My data is in the cloud, only God knows where exactly è this is.. My data is in the cloud, I don t need a backup solution è this is I don t need security, the cloud does it for me è this is.. I don t need to understand the risks involved è this is.. It s easy to get into the cloud and just as easy to get out è this is.. Cloud computing virtualization But a cloud computing infrastructure can use virtualization to pool resources 22

Aandachtspunten cloud uitbesteding Cloud uitbesteding heeft andere attentiepunten zoals: Waar is mijn (back-up) data? Wie kan er bij mijn data? Hoe is de data onderweg beveiligd? Exit wat gebeurt er met mijn data? Isolatie klantomgevingen? Hoe weet ik wanneer nieuwe release en patches actief worden? Hoe weet ik dat ik geleverd krijg wat ik heb afgesproken? 23

Monitoring op kwaliteit dienstverlening & effectiviteit van getroffen beveiligings en controlemaatregelen bij SP Service Level rapporten prestatie & kwaliteitsnormen KPI rapportages of adhv tooling: dashboard Incidenten- en klachtenproces Assurance procesbeheersing (AO/IC) Key controls rapportages Third party rapportages Uitvoeren eigen audits Eigen onderzoek naar effectiviteit interne controles bij SP Kennis en deskundigheid in house nodig om de uitvoering en kwaliteit van uitbesteed werk te kunnen beoordelen 24

Welk type verklaring is afdoende om voldoende zekerheid te krijgen over de beheersing van de keten? Financiële dienstverlening ISAE3402 SOC I ICT dienstverlening SOC II IT controls, privacy, security SOC III verkorte publieke versie ISAE3000 - scope breder dan ISAE3402 TYPE 2, waarbij scope van de verklaring aansluit bij geleverde diensten: follow up issues! 25

Vaste evaluatiefrequentie- en aanpak Minimaal jaarlijks aantoonbare evaluatie van kritieke of belangrijke uitbestedingen Performance- en resultaatafspraken mate waarin de dienstverlener of dienstverlening past bij de strategie en doelstellingen van de verzekeraar Toetsen van de mate waarin de risicobereidheid van de dienstverlener aansluit bij de eigen risicobereidheid (risicorapportage - response) Besluit tav continueren, bijstellen, exit 26

Vragen? 27

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback