Aanbevelingen omtrent de uitbesteding aan aanbieders van clouddiensten in de verzekeringssector
De Nationale Bank van België (NBB) heeft 15 aanbevelingen geformuleerd voor aanbieders van clouddiensten in de verzekeringssector .
Deze aanbevelingen, waarvan de inwerkingtreding voorzien is op 1 januari 2021, beslaan het volledige uitbestedingsproces en voorzien hogere eisen ingeval kritieke of belangrijke operationele functies of activiteiten worden uitbesteed. Enerzijds reflecteren de aanbevelingen de mogelijkheden van uitbesteding, anderzijds onderkennen zij de risico’s inherent daaraan, in het bijzonder wat clouddiensten betreft. Een geslaagd uitbestedingsbeleid zal bijgevolg een geïntegreerde en proactieve aanpak vragen.
De NBB beveelt verzekeraars aan om:
- zich af te vragen of de beoogde regeling een uitbesteding is of niet;
- ervoor te zorgen dat elke beslissing om kritieke of belangrijke functies/activiteiten uit te besteden, gebaseerd is op een doorlopende risicoanalyse;
- het schriftelijke uitbestedingsbeleid te actualiseren;
- een pre-outsourcing analyse uit te voeren;
- te beoordelen of het een kritische of belangrijke functie/activiteit betreft;
- de potentiële impact van cloud uitbesteding te identificeren en te beoordelen om een evenredige risicobenadering te kunnen hanteren;
- een due diligence uit te voeren op de cloud-dienstverlener;
- op duidelijke wijze de rechten en plichten van de onderneming resp. de cloud-dienstverlener te bepalen;
- de toegangs- en auditrechten te behouden om te voldoen aan hun wettelijke verplichtingen;
- te zorgen voor de naleving van de regelgeving (incl. ICT-veiligheidsnormen) door aanbieders van clouddiensten;
- indien van toepassing, een regeling over sub-uitbesteding te voorzien;
- een regeling voor cloud uitbesteding op te zetten alsook de nodige mechanismen om dit te doen, in te bouwen;
- een duidelijk omschreven exit strategie clausule op te stellen om de overeenkomst te beëindigen (indien nodig);
- indien de gegevens van de cloud-dienstverlener zich buiten de EER bevinden, de toegangs- en auditrechten te behouden en te handhaven; en
- de originele kopieën van bepaalde documenten op de statutaire zetel te bewaren.
Vanessa Marquette
Partner AdvocaatVanessa Marquette, advocaat, is partner in ons kantoor in Brussel waar ze deel uitmaakt van het departement Banking & Finance en het Restructuring & Insolvency team. Zij wordt erkend voor haar expertise op het gebied van bank- en financieel recht en meer in het bijzonder op het gebied van internationaal financieel recht, gereguleerde financiële diensten, duurzame financiering en bankprocessen.
T: +32 2 773 23 25 E: vanessa.marquette@loyensloeff.com
Sara De Moor
Medewerker AdvocaatSara De Moor, advocaat, is lid van de Banking & Finance praktijkgroep in ons kantoor te Brussel. Zij is gespecialiseerd in financiële regelgeving.
T: +32 2 773 23 87 E: sara.de.moor@loyensloeff.com
Stéphanie De Smedt
Counsel AdvocaatStéphanie De Smedt, advocaat, is lid van de praktijkgroep Litigation & Risk Management van ons kantoor te Brussel. Zij is hoofd van het IP/IT Team, het Data Protection Team en het Life Sciences Team in België.
T: +32 2 773 23 77 E: stephanie.de.smedt@loyensloeff.com
