Diensten

Actueel

Direct Regelen

De risico’s van uitbesteden

27 juli 2021 om 17:00

In de tweede helft van 2020 heeft de AFM onder financieel dienstverleners een uitvraag naar uitbesteding uitgevoerd. Het doel ervan was om inzicht te krijgen in welke uitbestedingsrisico’s, waar en in welke mate voorkomen en de mate waarin en wijze waarop deze risico’s worden beheerst door financieel dienstverleners. Belangrijk punt is dat financieel dienstverleners alert moeten zijn op de risico’s die komen kijken bij het uitbesteden van belangrijke en kritieke activiteiten.  
 
Gemiddeld maken dienstverleners in hun werk gebruik van meer dan vier externe partijen, serviceproviders. In meer dan de helft van de gevallen gaat het om ICT-serviceproviders, zoals cloudopslag. Uit de verkenning bij bijna 250 dienstverleners kwam een aantal zwakheden naar voren in de beheersing van risico’s bij uitbesteding, zoals het achterwege blijven van een getekend contract. Uitbesteding van activiteiten kan onacceptabele risico’s met zich meebrengen voor de dienstverlener en voor de klanten van de dienstverlener als deze risico’s niet in voldoende mate worden beheerst. 
 
Door een storing kunt u niet meer bij uw klantgegevens, of u bent niet bereikbaar voor uw klanten. Of er worden bij een inbraak klantgegevens gestolen. Of door een hack worden gegevens gegijzeld. Als een incident zich voordoet wordt vaak pas nagedacht over hoe dit was te voorkomen. Belangrijk is ook: hoe snel kunt u weer bij uw gegevens?  Mocht u geconfronteerd worden met een incident, dan moet dit in ieder geval gemeld worden bij de AFM.

Aandachtspunten voor verbetering 

Om de beheersing te verbeteren heeft de AFM  een aantal aandachtspunten voor dienstverleners op basis van good practices opgesteld.  
- Maak duidelijke afspraken met de serviceprovider aan wie u zaken heeft uitbesteed over de omgang met incidenten, zodat direct actie kan worden ondernomen naar aanleiding van een incident, hier zitten wettelijke eisen aan. 
- Maak duidelijke afspraken met de serviceprovider over de verantwoordelijkheden en verplichtingen van beide partijen, leg deze schriftelijk vast in een contract en laat beide partijen het contract tekenen. 
- Analyseer risico’s voor het aangaan van een uitbesteding, maar doe dit ook regelmatig gedurende de uitbesteding. Neem de benodigde maatregelen om de risico’s tot een aanvaardbaar niveau terug te brengen. 
 
Bij een risicoanalyse moet worden gekeken naar zowel het risicoprofiel van de serviceprovider als de aard van de dienstverlening die de serviceprovider levert. Bij de risicoanalyse moeten in ieder geval de volgende risico’s meegenomen worden:  
- Het risico dat er een te grote afhankelijkheid ontstaat van de serviceprovider, waardoor het moeilijk wordt om over te stappen naar een ander serviceprovider.  
- Het risico dat er onvoldoende kennis en personeel aanwezig is bij de financieel dienstverlener om leveranciersselectie, implementatie van de uitbesteding en monitoring van de uitbesteding adequaat uit te voeren.  
- Het risico dat de onderneming niet compliant is aan wet- en regelgeving omdat de serviceprovider niet voldoet aan wet- en regelgeving.  
- Het risico dat de serviceprovider niet voldoet aan de gemaakte afspraken vanuit zowel kwantitatief (b.v. servicelevels) als kwalitatief (b.v. assurance) perspectief.  
- Het risico dat er gegevens gestolen worden of dat de dienstverlening wordt verstoord door cyberaanvallen. 
 
De AFM verwacht dat financieel dienstverleners kennisnemen van deze good practices en gebruiken om risico’s met betrekking tot uitbesteding voor de onderneming en de klant tot een aanvaardbaar niveau terug te brengen. Daarnaast verwacht de AFM dat financieel dienstverleners voldoen aan de wettelijke meldplicht voor het melden van incidenten aan de AFM. Deze meldplicht geldt ook indien het incident zich voordoet bij een serviceprovider. 

Wat kan SVC voor u doen? 

Heeft u hulp nodig bij het maken van een risicoanalyse bij het uitbesteden van werkzaamheden? In ons kennisportal hebben wij een sjabloon hiervoor beschikbaar. Daarnaast hebben wij ook een procedure met betrekking tot uitbesteding. Ook kunnen wij u van dienst zijn bij het opstellen van de risicoanalyse, het beoordelen van contracten, servicelevel overeenkomsten of het beoordelen van de assurance rapportages van uw dienstverleners (denk aan een ISO 27001 of ISAE 3402 rapportage). Wilt u meer informatie over onze dienstverlening?  Neemt u dan contact met ons op. 



Proud member of
Logo PIAGROUP
Volg ons op LinkedIn
Op de hoogte blijven het laatste nieuws?
Meld u dan aan voor onze nieuwsbrief!




© 2024 -

SVC Groep   |   Privacystatement   |   Voorwaarden   |   Klachten   |   Contact |  Sitemap