De AFM komt met aandachtspunten voor verbeteren uitbesteding activiteiten

Nieuws
geplaatst op 29-6-2021  

De AFM heeft in de zomer van vorig jaar een verkenning gedaan bij grotere intermediairs over uitbesteding. Bij uitbesteding gaat het om alle belangrijke of kritieke activiteiten die zijn uitbesteed aan externe partijen of binnen de groep waarvan de financieel dienstverlener onderdeel uitmaakt (intragroep uitbesteding). Adfiz en NVGA hebben indertijd ondersteuning ontwikkeld om de relevante activiteiten voor je onderneming in kaart te brengen. 

De uitkomst van het verkennend onderzoek dat deze week is gepubliceerd is dat: 

  • de marktconcentratie beperkt is en daarmee ook de concentratierisico’s;  
  • er vooral wordt uitbesteed naar Nederlandse serviceproviders;  
  • bij uitbesteding gaat het merendeels om IT-services en daarnaast applicatiediensten, bedrijfsprocessen en debiteurenbeheer.  

Voor het merendeel van de adviseurs en bemiddelaars, dus ook ondernemingen die niet zijn meegenomen in het onderzoek, geldt dat zij eveneens dit soort activiteiten (deels) hebben uitbesteed. De aandachtspunten van de AFM voor verbetering van de interne beheersing van uitbestede activiteiten zijn dus voor alle financiële dienstverleners van belang.  

De aanbevelingen zijn: 

  • Maak duidelijke afspraken met de externe partijen over de omgang met incidenten. Dit is belangrijk om direct actie te kunnen ondernemen als er een incident plaatsvindt en om te voldoen aan de wettelijke eisen rond incidenten en de incidentmeldingsplicht bij de AFM.  
  • De AFM constateert dat incidenten niet altijd worden gemeld. Want er is ook sprake van een incident als dat zich bij een serviceprovider voordoet en niet in je eigen onderneming; dan moet je ook melden.    
  • Maak duidelijke afspraken met de externe partijen over de verantwoordelijkheden en verplichtingen van beide partijen, leg deze schriftelijk vast in een contract en laat beide partijen het contract tekenen.  
  • In contractuele afspraken leg je de wederzijdse verplichtingen vast. Daarbij gaat het om zaken als performance indicatoren, een exit clausule en een audit recht.   
  • Analyseer risico’s regelmatig, zowel voor het aangaan van een uitbesteding als gedurende de uitbesteding, en neem indien nodig de benodigde maatregelen om de risico’s tot een aanvaardbaar niveau terug te brengen.  
  • De AFM noemt in het rapport een aantal zaken die relevant zijn om mee te nemen in de risico-analyse, zoals te grote afhankelijkheid, onvoldoende kennis om uitbesteding goed te doen en te monitoren en cyberrisks. De lijst van de AFM is niet limitatief. 

Principes voor informatiebeveiliging 
Het onderzoek is een verkenning en geeft tevens een eerste duidelijke invulling van de aanpak die de AFM voor ogen heeft waar het gaat om de principes voor informatiebeveiliging. Een aantal zaken in het rapport zijn zeer concreet, andere zaken zijn minder duidelijk, zoals de analyse van de risico’s: 

  • hoe ga je daar in de praktijk mee om, zeker als kleine financiële dienstverlener ten opzichte van serviceproviders die activiteiten uitvoeren voor een groot aantal dienstverleners? 
  • hoe doe je dat op een beheersbare en proportionele wijze aansluitend op de praktijk van je onderneming?  

Uitbesteding van activiteiten zorgt doorgaans ook voor kwaliteitsverbetering en maakt dat de onderneming zich kan richten op zijn kernactiviteiten. Dat uitbesteding op een verantwoorde wijze moet gebeuren is duidelijk. Dat begint bij bewustwording van de risico’s. De wijze waarop die risico’s worden gemitigeerd hangt doorgaans af van de praktijk van de onderneming.  

De onderdelen van de principes zijn niet nieuw. Op het Adfiz extranet kun je hierover al veel informatie en tools terugvinden. Op basis van de opzet van de principes en de aandachtspunten voor uitbesteding zullen wij komende tijd de informatie op het Wft portaal, waar nodig, aanvullen en inrichten zodat je deze eenvoudig op één plek bij elkaar kunt terugvinden. 

Categorien: Cyberrisk Privacy