Uitbesteding & Good Practice Ingrid Talsma ACIS symposium,
Agenda 1. Uitbesteding wat is het - wat valt op? 2. Cloud niet meer te stoppen 3. Wettelijk kader & Good Practice 4. Beleid & Governance 5. Selectie (Cloud) Serviceprovider 6. Monitoring & Evaluatie 2
Wie ben ik? Ingrid Talsma Toezichthouder specialist De Nederlandsche Bank Expertisecentrum Operationeel & IT risico Aandachtsgebied IT risico - Uitbesteding & Cloud Informatiebeveiliging / Verzekeraars & Pensioenfondsen 3
Uitbesteding: wat is het? Activiteiten die een instelling door een derde partij laat uitvoeren Wettelijke eisen o.a. Ø Uitbestedingsbeleid Ø Risicoanalyse voor elke uitbesteding Ø Bepalen wezenlijk belang - kritieke of belangrijke activiteit Ø Toezicht niet belemmeren onderzoeksrecht DNB Ø Exit procedure Instelling blijft (eind)verantwoordelijk Instelling dient inzicht te hebben in beheersing (gehele keten) Cloud (welke vorm dan ook) = uitbesteding 4
Uitbesteding: kansen en risico s Belangrijkste drijfveren voor uitbesteding: Benutten schaalvoordelen (bv ervaring, kosten, kennis) en kwaliteit) Focus op kerncompetenties Flexibiliteit Belangrijkste risico s van uitbesteding voor de uitbesteder: Ontvangen niveau van dienstverlening onder de maat Afgesproken randvoorwaarden niet nagekomen Financiële / operationele problemen serviceprovider Voldoen aan wet & regelgeving Gevaar voor de continuïteit en betrouwbaarheid van de bedrijfsvoering 5
Wat wordt er zoal uitbesteed? ICT uitbesteding Technische beheer (firewall, netwerk etc) Kantoorautomatisering: Email, documentverwerking Data centers Applicaties (software on demand) Business process uitbesteding Pensioen en verzekeringsadministratie Financiële administratie CRM klantdatabase Vermogensbeheer Riskmanagement Betalingsverkeer 6
7 BCM Operations Krediet Betalingsverkeer Hypotheek Leven Schade Zorg Pensioen Integriteit Informatiebeveiliging Inrichting, Beleid, procedures Proces- en systeemarchitectuur
Wat valt op? Uitbesteding verandert van aard Meer kritieke activiteiten IT uitbesteding Cloud - neemt in rap tempo toe SaaS / Projecten Wezenlijk belang neemt toe door strategisch belang IT Ketens langer Onderuitbesteding neemt toe Onvolledig inzicht Implementatie via brokers Beheersing en beveiliging complexer (cybercrime) Kosten cybersecurity on premise vs kosten uitbesteding 8
Concentratie risico Uitvraag Verzekeraars (5) 9
Wat is Cloud? 10
Cloud The National institute of standards and technology (NIST) Cloud computing is a model for enabling convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model promotes availability and is composed of five essential characteristics, three delivery models, and four deployment models. 11
Cloud service modellen Service models: Software-as-a-Service (SaaS) Platform-as-a-Service (PaaS) Infrastructure-as-a-Service (IaaS) En..Daas, Dwaas, BPaaS,, Maas, XaaS 12
Wet- en regelgeving: Wft en Solveny II Wft art. 1:1: Definitie uitbesteding Art. 13.28: Definitie uitbesteding SII Richtlijn Het door een financiële onderneming verlenen van een opdracht aan een derde tot het ten behoeve van die financiële onderneming verrichten van werkzaamheden: a. die deel uitmaken van of voortvloeien uit het uitoefenen van haar bedrijf of het verlenen van financiële diensten; of b. die deel uitmaken van de wezenlijke bedrijfsprocessen ter ondersteuning daarvan. Een overeenkomst van om het even welke vorm tussen een verzekeraar een een al dan niet onder toezicht staande dienstverlener op grond waarvan deze dienstverlener hetzij rechtstreeks het zij door middel van onderuitbesteding een process, een dienst of een activiteit uitvoert die anders door de verzekeraar zelf zou worden uitgevoerd. Artikel 27d: verwijzing naar Solvency II Een verzekeraar met zetel in Nederland, niet zijnde een verzekeraar met beperkte risico-omvang, voldoet met betrekking tot uitbesteding van werkzaamheden aan artikel 49 van de richtlijn S2. Solvency II Richtlijn, Artikel 49 Door uitbesteding van kritieke of belangrijke operationele functies of werkzaamheden mag het operationeel risico niet toenemen en er mag geen afbreuk worden gedaan aan het governancesysteem, het toezicht en de continuiteit en toereikendheid van de dienstverlening. Alle verzekeraars moeten voldoen aan BPR Hoofdstuk 5 Artikel 3.18 en Artikel 27-32 (hoofdstuk 5) van Bpr. De Bpr is de vertaling van de wettelijke artikelen naar specifieke richtlijnen van de Wft. Richtsnoer 60 Vaststellen en documenteren dat een uitbestede functie of activiteit kritiek of belangrijk. Een kritieke of belangrijke uitbesteding moet aan alle S2 vereisten voldoen. Artikel 274.1 van de verordening geldt onverkort voor alle uitbestedingen (beleid, rapportage- en controleregelingen en contract). 13
https://www.toezicht.dnb.nl/2/50-237170.jsp 14
Zonder beleid geen uitbesteding Strategie en doelstelling; wat wel en wat niet uitbesteed en waarom Invloed uitbesteding, Welke risico s en hoe risico s beheersen Proces en beoordelingscriteria om vast te stellen of er sprake is van een kritieke of belangrijke uitbesteding; melden bij DNB Uitbestedingen centraal registreren Aanpak en processen uitbesteding, w.o. tekortschietende dienstverlening - Exit Borgen dat blijvend wordt voldaan aan wet- en regelgeving in de gehele keten Alle relevante functies / afdelingen betrokken: directie accordeert Belangenconflicten vermijden 15
Instelling eindverantwoordelijk Governance duidelijk belegd: instelling omschrijft taken, bevoegdheden en verantwoordelijkheden in schriftelijke overeenkomst (contract), Service Level Agreement, nadere afspraken (DAP), data-eigenaarschap Voldoende mensen, middelen, kennis en competenties om dienstverlener tegenwicht te kunnen geven, bij te sturen en aanvullende of nieuwe afspraken te maken of exit in te zetten Instelling omschrijft alternatieven, exitstrategie- en procedure waarin doorlooptijden en exit op grote lijnen is beschreven inclusief het verkrijgen en/of vernietigen van data. 16
Verantwoordelijkheden in de cloud omgeving 17
Informatiebeveiliging & BCM Het uitbestedingsbeleid van een verzekeraar waarborgt dat uitbesteding enkel mogelijk is als het beleid van de dienstverlener minimaal gelijkwaardig is aan het intern beleid van de instelling (IB, BCM) Inrichten van BCM. Op basis van BCM strategie- en beleid besluiten nemen over continuiteitsmaatregelen gebaseerd op scenario s (BIA). Business Continuiteits Plan (BCP) opstellen rekeninghoudend met kritieke uitbestedingen Testen van backup voorzieningen sluiten continuiteitsplannen en getroffen maatregelen in de keten op elkaar aan? Crisismanagement inclusief communicatie. 18
Contract en operationalisatie naar KPI s in de SLA Onderzoeksrecht voor DNB in de gehele keten van dienstverleners Geen beperkingen in de clausule Toegang verlenen tot bedrijfspanden met inbegrip van voorzieningen, systemen, netwerk en data om controles ter plaatse te verrichten Onderzoeksrecht voor DNB voor alle subcontracters (onderaannemers) Auditrecht voor de instelling zelf of haar extern accountant in de hele keten Clausule over onderuitbesteding Voorwaarden stellen waaronder de dienstverlener verder mag uitbesteden. Afspraken en redenen voor beëindiging van de overeenkomst (exit activeren) Onderuitbesteding na contractdatum, niet voldoen aan regelgeving (sanctie, privacy) Afspraken over eigenaarschap van data en het verkrijgen en/of vernietigen bij exit Duidelijke geldigheidsduur en evaluatie- en herzieningsfrequentie 19
Contract: kritieke en gevoelige data Contractclausule inzake informatiebeveiliging en gegevensbescherming Maatregelen voor de beveiliging en vertrouwelijkheid van gegevens Encryptie van data Beheer van encryptiesleutels Toegang tot data bij de dienstverlener (logging bewaken) Verwerkingsovereenkomst Kent en beheerst risico s en beperkingen van de locatie van de data Instelling is in staat om naleving van wet- en regelgeving door de dienstverlener vast te stellen (denk aan data buiten E.E.R) Informatie over verstrekking van persoonsgegevens aan derden / overheid 20
Betrouwbare en professionele dienstverlener Selectiecriteria & requirements Financiële situatie Professionele achtergrond en expertise (screening-vog) Omvang van de dienstverlener in relatie tot de opdracht zie Good Practice: weten wat nodig is met welke niveau van beveiliging en beheersing (meerdere dienstverleners: long list) Verkenning Due Diligence Riskmanagement en audit betrokken: interne controle maatregelen Juridisch advies Short list dienstverleners - pilot 21
Cloud Magic My data is in the cloud, only God knows where exactly è this is.. My data is in the cloud, I don t need a backup solution è this is I don t need security, the cloud does it for me è this is.. I don t need to understand the risks involved è this is.. It s easy to get into the cloud and just as easy to get out è this is.. Cloud computing virtualization But a cloud computing infrastructure can use virtualization to pool resources 22
Aandachtspunten cloud uitbesteding Cloud uitbesteding heeft andere attentiepunten zoals: Waar is mijn (back-up) data? Wie kan er bij mijn data? Hoe is de data onderweg beveiligd? Exit wat gebeurt er met mijn data? Isolatie klantomgevingen? Hoe weet ik wanneer nieuwe release en patches actief worden? Hoe weet ik dat ik geleverd krijg wat ik heb afgesproken? 23
Monitoring op kwaliteit dienstverlening & effectiviteit van getroffen beveiligings en controlemaatregelen bij SP Service Level rapporten prestatie & kwaliteitsnormen KPI rapportages of adhv tooling: dashboard Incidenten- en klachtenproces Assurance procesbeheersing (AO/IC) Key controls rapportages Third party rapportages Uitvoeren eigen audits Eigen onderzoek naar effectiviteit interne controles bij SP Kennis en deskundigheid in house nodig om de uitvoering en kwaliteit van uitbesteed werk te kunnen beoordelen 24
Welk type verklaring is afdoende om voldoende zekerheid te krijgen over de beheersing van de keten? Financiële dienstverlening ISAE3402 SOC I ICT dienstverlening SOC II IT controls, privacy, security SOC III verkorte publieke versie ISAE3000 - scope breder dan ISAE3402 TYPE 2, waarbij scope van de verklaring aansluit bij geleverde diensten: follow up issues! 25
Vaste evaluatiefrequentie- en aanpak Minimaal jaarlijks aantoonbare evaluatie van kritieke of belangrijke uitbestedingen Performance- en resultaatafspraken mate waarin de dienstverlener of dienstverlening past bij de strategie en doelstellingen van de verzekeraar Toetsen van de mate waarin de risicobereidheid van de dienstverlener aansluit bij de eigen risicobereidheid (risicorapportage - response) Besluit tav continueren, bijstellen, exit 26
Vragen? 27