Kort geleden maakte DNB bekend dat, naast klimaatverandering, de speerpunten voor het toezicht in 2017 zijn: dataveiligheid en uitbesteding van bedrijfsprocessen aan externe partijen. Twee punten die ook nog eens raakvlakken hebben. Het uitbesteden van processen is immers onmogelijk zonder het uitwisselen van data.
Hoe zijn deze speerpunten eigenlijk verbonden met hulpverlening? En wellicht belangrijker: Bent u klaar voor de vragen en assessments van DNB?
Werken met gevoelige informatie. Denk aan polis-, kenteken- en klantbestanden, GPS locatiegegevens van verzekerden en zelfs medische informatie over ziekenhuisbehandelingen.
Een alarmcentrale beheert, verkrijgt en verwerkt heel veel data van en voor verzekeraars. Dit betreft vaak gevoelige informatie. Denk aan polis-, kenteken- en klantbestanden, GPS locatiegegevens van verzekerden. Maar zelfs aan medische informatie over ziekenhuisbehandelingen. Al deze data wordt opgeslagen, gebruikt en uitgewisseld met andere partijen zoals verzekerden en hulpdiensten, schadebedrijven, etc..
Verzekeraar verantwoordelijk
In de Wet Financieel Toezicht is vastgelegd dat de verzekeraar altijd verantwoordelijk is en blijft voor de uitbesteding. Is het echter niet primair de verantwoordelijkheid van de alarmcentrale hier op de meest zorgvuldige wijze mee om te gaan? Als verzekeraar dien je er immers op te kunnen vertrouwen dat dit goed geregeld is.
De wellicht veronderstelde 1 op 1 relatie dat grote verzekeraars hier meer aandacht voor hebben dan kleinere blijkt geen automatisme.
In de praktijk zien wij grote verschillen hoe verzekeraars kijken naar de onderwerpen dataveiligheid en uitbesteden. Voor sommige verzekeraars is dit al jaren vaste prik. Soms wijzen wij verzekeraars erop dat bijvoorbeeld klantbestanden sturen via unsecure-mail echt niet meer kan. De wellicht veronderstelde 1 op 1 relatie dat grote verzekeraars hier meer aandacht voor hebben dan kleinere blijkt geen automatisme. Er zullen dan ook best verzekeraars zijn die bij vragen van DNB moeite hebben objectief aan te tonen dat de uitbesteding van diensten aan alarmcentrales en het delen van informatie met die alarmcentrales goed geregeld is.
Beheerste bedrijfsvoering en zorgvuldig dataveiligheidsbeleid
Het is geen toeval dat wij enkele jaren geleden vol ingezet hebben op het onafhankelijk kunnen aantonen van een beheerste bedrijfsvoering en zorgvuldige dataveiligheidsbeleid. Het is geen sinecure gebleken dit tot in de puntjes te regelen en ook nog eens onafhankelijk laten vaststellen door middel van ISAE3402 type 2 en ISO27001 certificering. ISAE3402 richt zich met name op de beheerste bedrijfsvoering en geeft een uitbestedende verzekeraar inzicht en garantie over de wijze waarop processen aantoonbaar worden uitgevoerd. ISO27001 is de internationale standaard op het gebied van het informatiebeveiliging managementsysteem.
Hoe snel inzicht krijgen of uitbesteding en informatiebeveiliging naar behoren is geregeld?
Om snel inzicht te krijgen in de stand van zaken rondom de uitbesteding en het niveau van informatiebeveiliging hebben wij een eenvoudige quick scan opgesteld. Door deze in te laten vullen door uw contractspartner weet u snel of alles voor elkaar is of dat er wellicht vervolgacties noodzakelijk zijn. Puur het uitvoeren van deze analyse is zeker een goede start. Zo’n quick scan is echter niet vrijblijvend. Een toezichthouder zal geen genoegen nemen met het feit dat de quick scan is uitgevoerd maar er bij gebleken lacunes geen vervolgacties zijn genomen.
Alleen dan worden uw risico’s op dit gebied tot een minimum beperkt en het belang van de privacy van uw klant het best gewaarborgd.
De druk op beheerste uitbesteding en mate van informatiebeveiliging neemt toe. Niet in de laatste plaats door de steeds grotere aandacht in de media wanneer het onverhoopt misgaat en tot vervelende consequenties leidt. De verwachting is dat dit alleen maar meer zal worden.
Zorg er daarom voor dat deze zaken goed en aantoonbaar geregeld zijn. Alleen dan worden uw risico’s op dit gebied tot een minimum beperkt en het belang van de privacy van uw klant het best gewaarborgd.
Download snel de Quick scan …wees gerust het is gratis, u hoeft geen e-mailadres achter te laten en er staat geen logo op :).
