Uitbesteding

Regelgevend kader

  1. Solvabiliteit II-wet: Art. 92 (uitbesteding)
  2. Gedelegeerde Verordening 2015/35: Art. 274
  3. Onderliggende thematische NBB-circulaire: circulaire NBB_2020_18 over de aanbevelingen van de Bank inzake uitbesteding van clouddiensten
  4. EIOPA-richtsnoeren: richtsnoeren 60 tot 64

Uitbesteding wordt gedefinieerd in artikel 15, 54° van de Solvabiliteit II-wet. Met uitbesteding wordt elk beroep op derden bedoeld voor de uitoefening van activiteiten of het voeren van bedrijfsprocessen die (i) eigen zijn aan de verzekeringsonderneming en (ii) worden uitgevoerd op terugkerende of continue basis. De uitbesteding kan zowel betrekking hebben op diensten die verleend worden aan de verzekerden (callcenters, …) als op administratieve functies (boekhouding, schaderegeling, beleggingsbeheer, …) en gespecialiseerde functies (IT, interne audit, gegevensbeheer, …).

7.1. Algemene regels voor uitbesteding

7.1.1. Handhaving van de verantwoordelijkheid

De Solvabiliteit II-wet bepaalt dat iedere verzekeringsonderneming die functies, activiteiten of operationele taken uitbesteedt, volledig verantwoordelijk blijft voor de nakoming van al haar verplichtingen uit hoofde van die wet.

Er wordt namelijk bepaald dat de uitbesteding van operationele taken niet tot het volgende mag leiden:

  1. er wordt wezenlijk afbreuk gedaan aan de kwaliteit van het governancesysteem van de verzekeringsonderneming;
  2. het operationele risico neemt onnodig toe;
  3. er wordt afbreuk gedaan aan het vermogen van de Bank om na te gaan of de verzekeringsonderneming de verplichtingen nakomt die door of krachtens de Solvabiliteit II-wet zijn opgelegd;
  4. de continuïteit en de toereikendheid van de dienstverlening aan de verzekeringnemers, de verzekerden en de begunstigden van verzekeringsovereenkomsten of de personen die bij de uitvoering van de herverzekeringsovereenkomsten zijn betrokken, wordt ondermijnd.

7.1.2. Uitbestedingsbeleid

Gedelegeerde Verordening 2015/35 bepaalt dat een verzekeringsonderneming die voornemens is een beroep te doen op uitbesteding, schriftelijk een uitbestedingsbeleid moet vastleggen. Dit beleid wordt goedgekeurd door de raad van bestuur en houdt rekening met de hieronder uiteengezette beginselen inzake gezond beheer

In haar uitbestedingsbeleid integreert de verzekeringsonderneming de aanpak en de processen die van toepassing zijn op de uitbesteding gedurende de volledige looptijd van de overeenkomst, en met name:

  1. het proces om te bepalen of een functie of activiteit een kritieke of belangrijke functie of activiteit is; Zij bepaalt en documenteert deze analyse aan de hand van de vraag of de betrokken functie of activiteit van essentieel belang is voor de bedrijfsvoering van de onderneming, in die zin dat de onderneming zonder deze functie of activiteit niet in staat zou zijn om haar diensten aan de verzekeringnemers te verlenen.
  2. de wijze waarop de dienstverlener wordt geselecteerd (“due diligence”-proces) en hoe en met welke frequentie zijn prestaties en resultaten worden beoordeeld (monitoringsysteem), waarbij een onderscheid wordt gemaakt naargelang de uitbesteding een kritieke of belangrijke functie of activiteit betreft;
  3. de interne bevoegdheden inzake het sluiten van uitbestedingsovereenkomsten en de details die in de schriftelijke overeenkomst met de dienstverlener moeten worden opgenomen, waarbij een onderscheid wordt gemaakt naargelang de uitbesteding een kritieke of belangrijke functie of activiteit betreft;
  4. de regels die gevolgd worden inzake continuïteitsplannen[1]
  5. de regels die gevolgd worden voor de verwerking van persoonlijke of vertrouwelijke gegevens (cf. de GDPR);
  6. de regels inzake documentering (uitbestedingsregister) en rapportering aan de Bank.

[1] Wat de continuïteitsaspecten betreft, let de onderneming erop (i) dat de gebruikte technologieën, systemen, toepassingen en instrumenten voldoende gangbaar en gekend zijn, en dat niet wordt gekozen voor oplossingen die minder gebruikelijk of te sterk afhankelijk van de dienstverlener zijn; (ii) dat een goede, functionele documentatie van de door de dienstverlener gebruikte systemen wordt opgesteld en bijgewerkt; (iii) dat de nodige kennis van de technische kenmerken met betrekking tot de werking, de organisatie en het beheer van de uitbestede diensten wordt gehandhaafd; en (iv) dat alle eigen gegevens te allen tijde in een bruikbaar formaat kunnen worden opgevraagd.

7.1.3. Kritieke of belangrijke functies en activiteiten

De onderneming legt een proces vast om te bepalen of een functie of activiteit een kritieke of belangrijke functie of activiteit is. Zij bepaalt en documenteert deze analyse aan de hand van de vraag of de betrokken functie of activiteit van essentieel belang is voor de bedrijfsvoering van de onderneming, in die zin dat de onderneming zonder deze functie of activiteit niet in staat zou zijn om haar diensten aan de verzekeringnemers te verlenen. Met andere woorden, de kritieke of belangrijke functies of activiteiten zijn deze die van fundamenteel belang zijn voor de verzekeringsactiviteit. 

Enkele voorbeelden van kritieke of belangrijke functies of activiteiten zijn het ontwerp en de tarifering van verzekeringsproducten, het sluiten van de overeenkomsten, de belegging van activa en het beheer van de portefeuille, het voorzien in IT-opslag en de beoordeling van het eigen risico en de solvabiliteit of "ORSA" (cf. consultatiedocument van de EIOPA-richtsnoeren 13/413, punt nr. 5.174).  Voorbeelden van niet-kritieke of niet-belangrijke functies of activiteiten zijn juridisch advies, opleiding van personeel, veiligheid van de gebouwen, aankoop van standaarddiensten, logistieke ondersteuning, levering van diensten die onder human resources vallen, zoals de aanwerving van tijdelijke werknemers (cf. consultatiedocument van de EIOPA-richtsnoeren 13/413, nr. 5.175).

De onafhankelijke controlefuncties worden ook als kritieke of belangrijke functies beschouwd omdat de naleving van de Solvabiliteit II-wet van deze functies afhangt.

De strengheid van de regels inzake uitbesteding hangt af van het feit of het al dan niet om een uitbesteding van kritieke of belangrijke functies of activiteiten gaat.   Voor de uitbesteding van een kritieke of belangrijke functie of activiteit gelden strengere regels dan voor een uitbesteding die niet als kritiek of belangrijk wordt beschouwd.

7.2. Vereisten inzake gezond beheer voor gevallen van uitbesteding van niet-kritieke of niet-belangrijke functies of activiteiten

Voor de uitbesteding van functies of activiteiten die niet als kritiek of belangrijk worden beschouwd, let de verzekeringsonderneming op het volgende:

  1. de uitbestedingsbeslissing is gebaseerd op een diepgaande analyse die ten minste betrekking heeft op een uitvoerige beschrijving van de uit te besteden functies of activiteiten, op de verwachte gevolgen van de uitbesteding, op de naleving van de in het uitbestedingsbeleid bedoelde regels en een inschatting van de risico's van het voorstel;
  2. bij de procedure voor de selectie van de dienstverlener worden de nodige waakzaamheid en voorzichtigheid aan de dag gelegd en wordt rekening gehouden met de financiële gezondheid, de reputatie en de technische en beheercapaciteiten van de dienstverlener[2];
  3. deze uitbesteding wordt vastgelegd in een schriftelijke overeenkomst met de dienstverlener waarin rekening wordt gehouden met de in het uitbestedingsbeleid toegelichte beheersbeginselen en waarin de methode en de frequentie van de beoordeling van de prestaties en de resultaten van de dienstverlener worden verduidelijkt;
  4. bijzondere aandacht wordt besteed aan de continuïteitsaspecten.

[2] Het selectieproces moet worden vastgelegd in het uitbestedingsbeleid.  Wat de criteria inzake de technische en beheercapaciteiten betreft, moet (i) rekening gehouden worden met het vermogen van de dienstverlener om de dienst op bevredigende wijze te leveren teneinde de operationele risico's op passende wijze te dekken, en om eventuele schade te vergoeden, (ii) worden beoordeeld in welke mate de dienstverlener over passende noodplannen beschikt en moeten deze worden afgetoetst aan de eigen continuïteitsvereisten en (iii) de onderneming de nodige voorzorgsmaatregelen nemen om de uitbestede diensten aan een andere dienstverlener te kunnen overmaken of zelf te kunnen beheren, telkens wanneer de continuïteit of de kwaliteit van de dienstverlening in het gedrang dreigt te komen.

7.3. Vereisten inzake gezond beheer voor gevallen van uitbesteding van kritieke of belangrijke functies of activiteiten

7.3.1. Precontractuele fase: verificaties die moeten worden verricht vóór het sluiten van een uitbestedingsovereenkomst

Vooraleer ze een uitbestedingsovereenkomst sluiten met betrekking tot een kritieke of belangrijke functie of activiteit, moeten de verzekeringsondernemingen:

  1. beoordelen of de vergunningsvoorwaarden voor de uitbesteding vervuld zijn;
  2. de nodige verificaties met betrekking tot de dienstverlener uitvoeren;
  3. alle relevante risico’s van de uitbestedingsregeling identificeren en beoordelen; en
  4. de belangenconflicten die kunnen ontstaan door de uitbesteding identificeren en beoordelen (cf. Afdeling 9.5. van deze circulaire).

§1. Vergunningsvoorwaarden

De verzekeringsondernemingen zorgen er voor dat de uitbesteding van een functie of activiteit aan een dienstverlener die is gevestigd in België of in een lidstaat van de Europese Economische Ruimte (EER) en waarvoor een vergunning of registratie dient te worden verkregen van een bevoegde autoriteit van de lidstaat waarin zij een vergunning hebben verkregen, enkel plaatsvindt indien een van de volgende voorwaarden is vervuld:

  1. de dienstverlener heeft een vergunning verkregen van of is geregistreerd door een bevoegde autoriteit om deze activiteiten of functies uit te oefenen;
  2. de dienstverlener is gemachtigd om deze activiteiten of functies uit te oefenen overeenkomstig het toepasselijke nationale rechtskader.

Als de dienstverlener is gevestigd in een derde land moeten de voorwaarden van Afdeling 7.4.3. vervuld zijn.

§2. Passende waakzaamheid

Vóór de keuze van een dienstverlener voor kritieke of belangrijke functies of activiteiten doorloopt het directiecomité van de verzekeringsonderneming een gepaste procedure van verhoogde waakzaamheid (due diligence) en ziet er zo op toe dat:

  1. een diepgaand onderzoek wordt verricht om na te gaan of de potentiële dienstverlener over de bekwaamheid en de capaciteit beschikt om de vereiste functies of activiteiten op bevredigende wijze uit te oefenen, rekening houdend met de doelstellingen en behoeften van de onderneming;
  2. de dienstverlener beschikt over de vereiste financiële draagkracht om deze extra taken op behoorlijke en betrouwbare wijze te vervullen, en dat alle medewerkers van de dienstverlener die bij de uitvoering van de uitbestede functies of activiteiten betrokken zullen zijn, voldoende gekwalificeerd en betrouwbaar zijn;
  3. de dienstverlener al het nodige heeft gedaan om te voorkomen dat daadwerkelijke of potentiële belangenconflicten de behoeften van de uitbestedende onderneming doorkruisen;
  4. de uitbesteding geen inbreuk op enigerlei wetstekst, en met name de regelgeving inzake gegevensbescherming, uitmaakt;
  5. de dienstverlener aan dezelfde voorschriften inzake de veiligheid en de vertrouwelijkheid van informatie betreffende de verzekerings- of herverzekeringsonderneming of de verzekeringnemers of begunstigden daarvan is onderworpen als die welke voor de verzekerings- of herverzekeringsonderneming gelden.

§3. Beoordeling van de aan de uitbestedingsregeling verbonden risico’s

Vooraleer ze een kritieke of belangrijke uitbestedingsovereenkomst sluiten, moeten verzekeringsondernemingen met inachtneming van het evenredigheidsbeginsel alle risico’s waaraan ze zijn of kunnen worden blootgesteld in het kader van uitbestedingsovereenkomsten (verlies van controle, concentratierisico, belangenconflicten, lock-in risk, enz.) identificeren, beoordelen en beheren.

Concreet moeten de verzekeringsondernemingen een beoordeling uitvoeren van de aan deze uitbesteding verbonden risico’s (risk assessment).

Deze risicobeoordeling moet scenario's van mogelijke risicogebeurtenissen omvatten, inclusief zeer ernstige operationele risicogebeurtenissen. In het kader van de scenarioanalyse moeten de verzekeringsondernemingen de mogelijke gevolgen beoordelen van een falende of ontoereikende dienstverlening, waaronder de risico’s die worden veroorzaakt door processen, systemen, personen of externe gebeurtenissen. De verzekeringsondernemingen moeten, met inachtneming van het evenredigheidsbeginsel, de verrichte analyse en de resultaten ervan documenteren en een raming maken van de mate waarin hun operationele risico door de uitbestedingsregeling zou toenemen of afnemen.

In deze beoordeling moeten de verzekeringsondernemingen ook rekening houden met de verwachte baten en lasten van de voorgestelde uitbestedingsregeling, met name door de risico's die kunnen worden verkleind of beter beheerd af te wegen tegen de risico's die kunnen voortvloeien uit de voorgestelde uitbestedingsregeling. Hierbij moeten ze ten minste rekening houden met de volgende elementen:

  1. concentratierisico’s, inclusief de risico’s als gevolg van: (i) uitbesteding aan een dominante dienstverlener die niet gemakkelijk kan worden vervangen; en (ii) meerdere uitbestedingsregelingen met dezelfde dienstverlener of met dienstverleners die nauw met elkaar verbonden zijn;
  2. de geaggregeerde risico's als gevolg van de uitbesteding van diverse functies binnen de onderneming;
  3. in het geval van significante ondernemingen, het instaprisico (“step-in risk”), d.w.z. het risico dat kan voortvloeien uit de noodzaak om een dienstverlener in nood financieel te ondersteunen of zijn bedrijfsactiviteiten over te nemen; en
  4. de maatregelen die de onderneming en de dienstverlener hebben getroffen om de risico's te beheren en te beperken.

7.3.2. Contractuele fase: minimuminhoud van de schriftelijke overeenkomst met de dienstverlener

De rechten en verplichtingen van de verzekeringsonderneming en van de dienstverlener moeten duidelijk worden afgebakend en vastgelegd in een schriftelijke overeenkomst.

De algemene voorwaarden van de schriftelijke overeenkomst moeten duidelijk worden uitgelegd aan de raad van bestuur en aan het directiecomité van de onderneming, en moeten door hen worden goedgekeurd.

Overeenkomstig artikel 274 van Gedelegeerde Verordening 2015/35 moeten in de tussen de verzekeringsonderneming en de dienstverlener te sluiten schriftelijke overeenkomst voor kritieke of belangrijke functies of activiteiten in het bijzonder alle volgende punten duidelijk worden vermeld:

  1. de taken en verantwoordelijkheden van beide partijen;
  2. de toezegging van de dienstverlener om alle toepasselijke wettelijke en bestuursrechtelijke voorschriften en richtsnoeren na te leven, alsook de door de verzekeringsonderneming goedgekeurde gedragslijnen, en om met betrekking tot de uitbestede activiteiten of functies met de Bank samen te werken;
  3. de verplichting voor de dienstverlener om kennis te geven van elke ontwikkeling die van wezenlijke invloed kan zijn op zijn vermogen om de uitbestede activiteiten of functies efficiënt en met inachtneming van de toepasselijke wettelijke voorschriften en reglementaire vereisten uit te voeren;
  4. een opzegtermijn voor de beëindiging van de overeenkomst door de dienstverlener, die lang genoeg is om de verzekerings- of herverzekeringsonderneming in staat te stellen een alternatieve oplossing te vinden;
  5. dat de verzekerings- of herverzekeringsonderneming de uitbestedingsovereenkomst indien nodig kan beëindigen zonder dat dit nadelige gevolgen heeft voor de continuïteit en de kwaliteit van haar dienstverlening aan de verzekeringnemers;
  6. dat de verzekeringsonderneming zich het recht voorbehoudt te worden geïnformeerd over de uitbestede functies en activiteiten en over de uitvoering ervan door de dienstverlener, alsook het recht om de dienstverlener algemene richtsnoeren of individuele instructies te geven ten aanzien van datgene waarmee bij de uitvoering van de uitbestede functies of activiteiten rekening moet worden gehouden;
  7. dat de dienstverlener alle vertrouwelijke informatie over de verzekerings- of herverzekeringsonderneming en haar verzekeringnemers, begunstigden, werknemers, contractpartijen en alle andere personen moet beschermen;
  8. dat de verzekeringsonderneming, haar commissaris en de Bank effectief toegang moeten hebben tot alle informatie over uitbestede functies en activiteiten, alsook tot de bedrijfsruimten van de dienstverlener om er controles/audits ter plaatse te verrichten;
  9. dat de Bank, wanneer zulks voor toezichtdoeleinden passend en noodzakelijk is, rechtstreeks aan de dienstverlener vragen kan stellen, die de dienstverlener moet beantwoorden;
  10. dat de verzekeringsonderneming informatie over de uitbestede functies en activiteiten mag inwinnen en instructies mag geven met betrekking tot de uitbestede functies en activiteiten;
  11. de voorwaarden waaronder de dienstverlener eventueel enigerlei uitbestede functies en activiteiten verder mag uitbesteden;
  12. dat de plichten en verantwoordelijkheden die uit hoofde van zijn overeenkomst met de verzekerings- of herverzekeringsonderneming op de dienstverlener rusten, onverlet worden gelaten door een eventuele verdere uitbesteding in overeenstemming met punt k).

De Bank vraagt dat de verzekeringsondernemingen er in het bijzonder op letten dat de volgende vier aspecten nauwkeurig en duidelijk worden beschreven in de schriftelijke uitbestedingsovereenkomst:

  1. onderuitbesteding: als onderuitbesteding is toegestaan, moet de overeenkomst (i) alle soorten activiteiten die zijn uitgesloten van onderuitbesteding vermelden; (ii) bepalen welke voorwaarden moeten worden vervuld bij onderuitbesteding (waaronder de verplichtingen voor de onderaannemer om de toepasselijke wetten en reglementaire vereisten na te leven en om dezelfde toegangs- en auditrechten toe te kennen aan de onderneming); (iii) vermelden dat de dienstverlener dient toe te zien op de diensten die hij zelf heeft uitbesteed; (iv) eisen dat de dienstverlener de voorafgaande specifieke of algemene schriftelijke toestemming moet krijgen van de verzekeringsonderneming vooraleer hij gegevens onderuitbesteedt; (v) voorzien in de verplichting voor de dienstverlener om de verzekeringsonderneming in kennis te stellen van elke onderuitbesteding en elke materiële wijzigingen daarin; (vi) waarborgen dat de verzekeringsonderneming het recht heeft bezwaar te maken tegen een beoogde onderuitbesteding of tegen een materiële wijziging daarin; (vii) waarborgen dat de verzekeringsonderneming het contractuele recht heeft om de overeenkomst te beëindigen in geval van onnodige onderuitbesteding. Daarnaast moet aanvullende informatie worden bezorgd aan de Bank in het kader van de kennisgeving.
  2. toegangs-, informatie- en auditrechten: de schriftelijke overeenkomst bepaalt dat de dienstverlener de interne audit van de onderneming, de commissaris-erkend revisor en de Bank (i) volledige toegang verleent tot alle relevante bedrijfsruimten en (ii) een onbeperkt recht van inspectie en audits verleent met betrekking tot de uitbestedingsregeling.
  3. beveiliging van gegevens en systemen: de schriftelijke overeenkomst bepaalt dat de dienstverlener de gepaste IT-normen naleeft.
  4. beëindigingrechten: de uitbestedingsregeling bepaalt dat de verzekeringsonderneming de overeenkomst kan beëindigen wanneer (i) de dienstverlener de geldende wettelijke, reglementaire of contractuele bepalingen overtreedt, (ii) belemmeringen worden vastgesteld die de uitvoering van de uitbestede functie kunnen beïnvloeden, (iii) er zich materiële wijzigingen voordoen met betrekking tot de uitbestedingsregeling of de dienstverlener, (iv) er zwakke punten zijn in het beheer en de beveiliging van de gegevens en (v) de Bank hiertoe instructies geeft, bijvoorbeeld wanneer de Bank niet meer doeltreffend kan toezien op de verzekeringsonderneming als gevolg van de uitbestedingsregeling.

7.3.3. Postcontractuele fase: vereisten die moeten worden nageleefd na het sluiten van een uitbestedingsovereenkomst

De verzekeringsonderneming die belangrijke of kritieke functies, activiteiten of operationele taken uitbesteedt, voldoet eveneens aan alle volgende vereisten:

  1. zij zorgt ervoor dat de relevante aspecten van het risicobeheer- en internecontrolesysteem van de dienstverlener adequaat genoeg zijn om de naleving van de onderstaande bepalingen van de Solvabiliteit II-wet te waarborgen;
  2. zij houdt in haar risicobeheer- en internecontrolesysteem afdoende rekening met de uitbestede functies of activiteiten om de naleving van de onderstaande bepalingen van de Solvabiliteit II-wet te waarborgen;
  3. zij voert een systeem in voor het monitoren van de uitbestede functies of activiteiten door te voorzien in een regelmatige en gestructureerde controle van de prestaties van de dienstverlener (bijvoorbeeld via kernprestatie-indicatoren) volgens een risicogebaseerde benadering die met name betrekking heeft op de integriteit en de veiligheid van de gegevens;
  4. zij zorgt ervoor dat de dienstverlener over adequate noodplannen beschikt om met noodsituaties of bedrijfsonderbrekingen om te gaan, en periodieke tests van back-upvoorzieningen verricht waar zulks noodzakelijk is in het licht van de uitbestede functies of activiteiten;
  5. zij beschikt over een gedocumenteerde exitstrategie die in lijn is met haar uitbestedingsbeleid en haar bedrijfscontinuïteitsplannen en ziet erop toe dat ze zich kan terugtrekken uit een uitbestedingsovereenkomst zonder dat haar bedrijfsactiviteiten hierdoor worden verstoord.

7.4. Bijzondere gevallen van uitbesteding

7.4.1. Sluiten van overeenkomsten

De onderneming zorgt ervoor dat de activiteiten van een verzekeringstussenpersoon[3] die geen werknemer van de verzekeringsonderneming is en die gemachtigd is om namens of voor rekening van deze verzekeringsonderneming overeenkomsten te sluiten of schade af te wikkelen, voldoen aan de bovenstaande uitbestedingsvereisten (waarbij een onderscheid wordt gemaakt naargelang deze activiteit al dan niet als kritiek of belangrijk wordt beschouwd).

[3] Verzekeringstussenpersoon in de algemene betekenis van het woord en niet "nevenverzekeringstussenpersoon" in de zin van Richtlijn 2016/97 van het Europees Parlement en de Raad van 20 januari 2016 betreffende verzekeringsdistributie.

7.4.2. Uitbesteding binnen een groep

§1. Algemene regels

In principe gelden voor uitbesteding binnen een groep dezelfde regels als voor externe uitbesteding[1], ongeacht of de uitbesteding binnen de groep al dan niet betrekking heeft op kritieke of belangrijke functies of activiteiten.

Niettemin gelden er bijzondere modaliteiten voor de tenuitvoerlegging van de bovenstaande vereisten inzake gezond beheer

  1. in het kader van de analyses die de verzekeringsonderneming moet uitvoeren voor ze beslist om uit te besteden (precontractuele fase), houdt ze rekening met de mate waarin ze zeggenschap heeft over de dienstverlener of invloed kan uitoefenen op diens handelingen (vereenvoudiging van het proces met betrekking tot de passende waakzaamheid, mogelijkheid om gebruik te maken van een gecentraliseerde risicoanalyse, enz.); en
  2. in het kader van de tenuitvoerlegging van de bovenstaande vereisten inzake gezond beheer voor de contractuele en postcontractuele fases houdt de onderneming rekening met het feit dat de dienstverlener aan hetzelfde geconsolideerde toezicht als zijzelf is onderworpen (vereenvoudiging van de regels die moeten worden opgenomen in de schriftelijke uitbestedingsovereenkomst, mogelijkheid om een gecentraliseerd monitoringsysteem in te voeren, mogelijkheid om een beroep te doen op een gecentraliseerd exitplan, enz.).

Afgezien van de naleving van de regels inzake uitbesteding die de verzekeringsondernemingen individueel moeten volgen, dient de onderneming die verantwoordelijk is voor de groep, indien er binnen de groep kritieke of belangrijke functies of activiteiten worden uitbesteed, te documenteren welke functies verband houden met welke rechtspersoon. Daarnaast waarborgt zij dat door dergelijke regelingen geen afbreuk wordt gedaan aan de uitvoering van die kritieke of belangrijke functies, activiteiten of taken op het niveau van de dochteronderneming.

Als de uitbesteding binnen de groep betrekking heeft op een onafhankelijke controlefunctie, wordt de aandacht gevestigd op het feit dat de verzekeringsonderneming die deze onafhankelijke controlefunctie uitbesteedt, steeds intern een “verantwoordelijke verbindingspersoon” moet aanstellen. Alle in Afdeling 7.4.4. van deze circulaire opgenomen regels zijn volledig van toepassing.

§2. Uitbesteding aan een gecentraliseerd dienstverlenend bedrijf binnen de groep

Een gecentraliseerd dienstverlenend bedrijf is een bedrijf dat – binnen een groep – diensten verstrekt aan verschillende entiteiten van de groep zonder dat het wordt onderworpen aan prudentieel toezicht of gelijkwaardig toezicht en dat dus moet worden beschouwd als een “ongereglementeerd” bedrijf.

Wanneer verzekeringsondernemingen activiteiten of functies uitbesteden aan een gecentraliseerd dienstverlenend bedrijf, zijn de in §1 opgenomen algemene evenredigheidsregels voor uitbesteding binnen een groep van toepassing, maar wordt ook verwacht dat de verzekeringsondernemingen de volgende specifieke aanbevelingen naleven en ervoor zorgen:

  1. dat er een regelmatige opvolging is van het gecentraliseerd dienstverlenend bedrijf door de risicobeheerfunctie van de groep of door een daartoe aangewezen team, en dat de ondernemingen van de groep die een kritieke of belangrijke functie of activiteit uitbesteden aan dit bedrijf ten minste jaarlijks en op verzoek van de risicobeheerfunctie van de groep of van het daartoe aangewezen team verslagen ontvangen met minstens een samenvatting van de risicobeoordeling en de opvolging van de prestaties. Verder moeten de verzekeringsondernemingen ook een samenvatting ontvangen van de relevante auditverslagen over het gecentraliseerd dienstverlenend bedrijf[2];
  2. dat ze op de hoogte worden gebracht van relevante geplande wijzigingen met betrekking tot het gecentraliseerd dienstverlenend bedrijf die een invloed zouden kunnen hebben op de uitbestede kritieke of belangrijke functies, onder meer via een samenvatting van de risicoanalyse over, met name, de juridische risico's, de naleving van de reglementaire vereisten en het effect op het niveau van de dienstverlening, zodat ze de gevolgen van deze wijzigingen kunnen beoordelen;
  3. wanneer de keuze van het gecentraliseerd dienstverlenend bedrijf berust op een gecentraliseerde risicobeoordeling, dat ze een samenvatting van deze beoordeling ontvangen en erop toezien dat deze rekening houdt met de structuur en de specifieke risico’s van de verzekeringsonderneming;
  4. dat ze beschikken over de volledige lijst van alle uitbestedingen die worden verricht door het gecentraliseerd dienstverlenend bedrijf;
  5. wanneer ze steunen op een gecentraliseerd exitplan met betrekking tot het gecentraliseerd dienstverlenend bedrijf, dat ze een kopie van dit plan ontvangen en zich ervan vergewissen dat het doeltreffend kan worden uitgevoerd.

 

[1] De regels voor uitbesteding binnen een groep gelden ook voor consortiums.

[2] Als de internauditfunctie zelf wordt uitbesteed aan het dienstverlenend bedrijf, wordt een verslag van een onafhankelijke externe onderneming aanbevolen als alternatief.

7.4.3. Uitbesteding buiten de Europese Economische Ruimte

§1. Algemene regel voor alle gevallen van uitbesteding

Functies of activiteiten mogen worden uitbesteed buiten de Europese Economische Ruimte (aan derde landen) indien de verzekeringsonderneming uitdrukkelijk kan garanderen dat zijzelf, haar erkend commissaris en de Bank hun recht op inzage en nazicht kunnen uitoefenen en handhaven overeenkomstig artikel 307 van de Solvabiliteit II-wet.

Ook het vermogen om de onderneming in België te saneren en te vereffenen moet worden gewaarborgd. De informatie die hiervoor nodig is moet te allen tijde toegankelijk zijn in België.

§2. Aanvullende regels voor gevallen van uitbesteding van kritieke of belangrijke functies of activiteiten

Naast de in §1 vastgelegde algemene regel mag een kritieke functie of activiteit slechts worden uitbesteed aan een in een derde land gevestigde dienstverlener wanneer de volgende voorwaarden zijn vervuld:

  1. er bestaat een passende samenwerkingsovereenkomst tussen de Bank en de prudentiële toezichthoudende autoriteit van het derde land waar de dienstverlener is gevestigd of, indien de dienstverlener deel uitmaakt van een groep onderworpen aan een toezicht op groepsniveau, overeenkomstig Richtlijn 2009/138/EG  (artikel 343 van de Solvabiliteit II-wet), er bestaat een coördinatieafspraak met betrekking tot de coordinatie van een college van toezichthouders waarvan de Bank en de prudentiële toezichthouder van dit derde land lid zijn; en
  2. de in punt a bedoelde samenwerkingsovereenkomst of coördinatieafspraak waarborgt dat de Bank ten minste in staat is om, enerzijds, op verzoek de informatie te verkrijgen die noodzakelijk is voor het uitvoeren van haar taken en, anderzijds, passende toegang te krijgen tot gegevens, documenten, locaties of personeel in het derde land die van belang zijn voor de uitoefening van haar toezichtsbevoegdheden (artikel 307 van de Solvabiliteit II-wet).

Deze 2 voorwaarden moeten echter niet vervuld zijn als de betrokken diensten worden uitgeoefend in een in de EER gevestigde dochteronderneming of een in de EER gevestigd bijkantoor van de dienstverlener en dit niettegenstaande het feit dat de dienstverlener een in een derde land gevestigde rechtspersoon is .

7.4.4 Uitbesteding van onafhankelijke controlefuncties

In geval van uitbesteding van een onafhankelijke controlefunctie voldoet de onderneming aan alle regels die van toepassing zijn in geval van uitbesteding van kritieke of belangrijke functies of activiteiten als bedoeld in punt 7.2 hierboven. Daarnaast moeten er twee bijkomende regels worden nageleefd:

§1. Aanwijzing van een verantwoordelijke verbindingspersoon

Zoals vermeld in de punten 2.1 en 5.1.3 van deze circulaire stelt de verzekeringsonderneming, wanneer zij besluit een onafhankelijke controlefunctie uit te besteden, binnen de onderneming een persoon aan met algehele verantwoordelijkheid voor de uitbestede onafhankelijke controlefunctie ("verantwoordelijke verbindingspersoon ") en ziet zij erop toe dat die persoon betrouwbaar is en beschikt over voldoende kennis van en ervaring met de uitbestede sleutelfunctie om de prestaties en resultaten van de dienstverlener op de proef te kunnen stellen.   

§ 2. Rapportering aan de beleidsbepalende organen

In geval van uitbesteding van een onafhankelijke controlefunctie beveelt de Bank aan dat de dienstverlener die deze functie uitoefent, rechtstreekse contacten heeft met de beleidsbepalende organen van de onderneming. 

Zonder afbreuk te doen aan de rol van de "verantwoordelijke verbindingspersoon", wiens belangrijkste taak erin bestaat de kwaliteit van de uitbestede werkzaamheden te bewaken, moet immers worden vermeden dat de rapportering van de uitbestede controlefuncties wordt "gefilterd" door die "verantwoordelijke verbindingspersoon".  Daarom beveelt de Bank aan dat de dienstverleners die belast zijn met een onafhankelijke controlefunctie, hun activiteiten en opmerkingen rechtstreeks rapporteren aan de raad van bestuur of aan een van zijn gespecialiseerde subcomités, zoals het auditcomité en het risicocomité.  De “verantwoordelijke verbindingspersoon” mag uiteraard aanwezig zijn bij deze rapporteringen en mag zijn mening geven als verantwoordelijke voor de bewaking van de kwaliteit van de prestaties en als uiteindelijke verantwoordelijke voor de uitbestede onafhankelijke controlefunctie.

7.4.5. Verbod op "lege schelpen"

Verzekeringsondernemingen die hun activiteiten en controlefuncties op intensieve wijze uitbesteden, moeten onder hun personeelsleden steeds één of meerdere personen hebben die belast zijn met de opvolging van deze uitbestedingen.  De impact van een uitbesteding mag niet die omvang krijgen dat de verzekeringsonderneming de kenmerken vertoont van een lege schelp die zelf niet langer in staat is om haar vergunnings- en bedrijfsuitoefeningvoorwaarden na te leven. Voorts wordt ook verwezen naar Afdeling 4.3. van deze circulaire over de na te leven regels inzake het hoofdbestuur.

7.4.6. Terbeschikkingstelling van personeel

Om geldig te zijn volgens het Belgische sociaal recht, is de terbeschikkingstelling van personeel onderworpen aan strenge voorwaarden (mag geen normale activiteit zijn van de werkgever die zijn werknemers uitleent, beperkte duur, schriftelijk document, voorafgaande toestemming van de Algemene Directie Toezicht op de Sociale Wetten, enz.). In een grensoverschrijdende context doet de terbeschikkingstelling van personeel complexe vragen rijzen op het gebied van het internationaal privaatrecht.  De verzekeringsonderneming moet nagaan of de regels van het sociaal recht en van het internationaal privaatrecht worden nageleefd. Van haar kant is de Bank van oordeel (i) dat gevallen van terbeschikkingstelling van personeel vanuit prudentieel oogpunt op dezelfde wijze behandeld kunnen worden als gevallen van uitbesteding, waarbij de gereglementeerde ondernemingen ook verantwoordelijk zijn voor de naleving van het Belgische sociaal recht; en (ii) dat alle wettelijke en reglementaire prudentiële regels die in dit Hoofdstuk 7 worden uiteengezet, moeten worden nageleefd.

7.4.7. Uitbesteding aan aanbieders van clouddiensten (“cloud outsourcing”)

De verzekeringsonderneming bepaalt of een met een aanbieder van clouddiensten gesloten regeling valt onder de definitie van uitbesteding overeenkomstig de Solvabiliteit II-wet. Zo ja moet de onderneming naast de in dit hoofdstuk opgenomen algemene vereisten inzake uitbesteding ook voldoen aan de specifieke aanbevelingen voor cloud outsourcing die nader worden beschreven in mededeling NBB_2012_11 alsook, vanaf 1 januari 2021, aan de aanbevelingen van circulaire NBB_2020_18 (cf. ook Hoofdstuk 10 van deze circulaire).

7.5. Toezicht door interneaudit- en compliancefunctie

De activiteiten van de interneauditfunctie en van de compliancefunctie moeten een onafhankelijke toetsing van de uitbestede activiteiten of functies omvatten, op grond van een risicogebaseerde aanpak.

7.5.1. Interne audit

Voor wat betreft de interne audit, moeten het auditplan en -programma in het bijzonder de herziening van de uitbestedingsregelingen voor kritieke of belangrijke functies omhelzen. Wat betreft het uitbestedingsproces moet de interneauditfunctie er ten minste voor zorgen:

  1. dat het uitbestedingskader van de verzekeringsonderneming, inclusief het uitbestedingsbeleid, correct en doeltreffend wordt uitgevoerd en in overeenstemming is met de toepasselijke wet- en regelgeving, de risicostrategie en de beslissingen van de beleidsbepalende organen;
  2. dat de beoordeling van het kritieke of belangrijke karakter van de betrokken functies of activiteiten adequaat, kwalitatief goed en effectief is;
  3. dat de risicobeoordeling van de kritieke of belangrijke uitbestedingsregelingen adequaat, kwalitatief goed en effectief is en dat de risico's in overeenstemming met de risicostrategie van de onderneming blijven;
  4. de het niveau van betrokkenheid van de beleidsbepalende organen passend is; en
  5. dat de uitbestedingsregelingen passend worden bewaakt en beheerd.

7.5.2. Compliancefunctie

De compliancefunctie wordt belast met een toezicht a priori op de dossiers van kritieke of belangrijke uitbestedingen. Zo vraagt de Bank dat de compliancefunctie, voor elke nieuwe kritieke of belangrijke uitbesteding, ten minste toeziet op de naleving:

  1. van de algemene governancevereisten in verband met de uitbesteding en met de verschillende fases ervan: precontractuele fase, contractuele fase[1] en postcontractuele fase (cf. de Afdelingen 7.3.1. tot en met 7.3.3. hierboven); en
  2. van de vereisten inzake documentatie en rapportering aan de Bank (cf. Afdeling 7.6).

Dit toezicht a priori[2] komt concreet tot uiting in de verstrekking van een advies door de compliancefunctie over elk dossier voor kennisgeving aan de Bank van een uitbesteding van een kritieke of belangrijke activiteit of functie (cf. Afdeling 7.6.2. hieronder). De inhoud van dit advies dient overeen te stemmen met het standaardformulier dat als bijlage 4 bij deze circulaire gaat.

De specifieke toezichtstaak in verband met uitbesteding die worden toegekend aan de compliancefunctie doet geen afbreuk aan de verplichtingen en verantwoordelijkheden van de beleidsbepalende organen en van de operationele eerstelijnsdiensten van de verzekeringsonderneming.

 

[1] Voor de naleving van de vereisten met betrekking tot de contractuele fase kan de compliancefunctie zich in voorkomend geval baseren op de werkzaamheden van de juridische dienst.

[2] Voor het toezicht op de postcontractuele fase wordt verwacht dat de compliancefunctie zorgt voor het vereiste kader.

7.6. Documentatie en rapportering aan de bank

Uitbestedende verzekeringsondernemingen wordt aangeraden een register bij te houden met informatie over alle uitbestedingsregelingen in de onderneming en hierin een onderscheid te maken tussen de uitbesteding van kritieke of belangrijke functies of activiteiten en de uitbesteding van niet-kritieke of niet-belangrijke functies of activiteiten.

Voor de rapportering aan de Bank zijn de uitbestedingsverplichtingen tweeledig:

  1. de rapportering van een deel van het uitbestedingsregister, namelijk de lijst van uitbestedingen van kritieke of belangrijke functies of activiteiten die moet worden ingediend via het platform eCorporate (rapportering B.9. opgenomen in de eCorporate-mededeling NBB_2019_22); en
  2. de kennisgeving aan de Bank van geplande uitbestedingen van kritieke of belangrijke functies of activiteiten.

7.6.1. Lijst van kritieke of belangrijke uitbestedingen

De Bank verwacht dat de via het platform eCorporate te verstrekken lijst van uitbestedingen van kritieke of belangrijke functies of activiteiten ten minste de volgende informatie bevat:

  1. begin- en einddatum van de uitbestedingsovereenkomst;
  2. korte beschrijving van de uitbestede functie of activiteit;
  3. korte beschrijving van de reden waarom de functie of activiteit als kritiek wordt beschouwd;
  4. naam van de dienstverlener;
  5. land waar de dienst wordt verricht (inclusief de locatie van de gegevens);
  6. in voorkomend geval, de naam van eventuele onderaannemers waaraan materiële onderdelen van een kritieke of belangrijke functie zijn onderuitbesteed, inclusief het land waar deze onderaannemers zijn geregistreerd.

7.6.2. Kennisgeving aan de Bank

Overeenkomstig de Solvabiliteit II-wet stellen de verzekeringsondernemingen, voor wat betreft de kennisgeving aan de Bank, vóór de uitbesteding van kritieke of belangrijke functies of activiteiten of onafhankelijke controlefuncties, de Bank tijdig in kennis (i) van hun voornemen om dit te doen evenals van (ii) latere belangrijke ontwikkelingen met betrekking tot deze functies of activiteiten (waaronder het besluit om de uitbesteding van een van deze functies of activiteiten te beëindigen).

Concreet verwacht de Bank dat de verzekeringsondernemingen haar binnen een redelijke termijn (in principe uiterlijk 6 weken voor de start van de uitbesteding, behoudens naar behoren gemotiveerde specifieke gevallen) een dossier meedelen dat overeenstemt met het standaard kennisgevingsformulier dat als bijlage 3 bij deze circulaire is gevoegd. Dit standaard kennisgevingsformulier is hetzelfde voor alle gevallen van uitbesteding (binnen de groep, extern, uitbesteding van een onafhankelijke controlefunctie, uitbesteding van clouddiensten, enz.) maar de bij te voegen bijlagen verschillen afhankelijk van het specifieke geval.

Bij het kennisgevingsdossier moet systematisch een advies worden gevoegd van de verantwoordelijke voor de compliancefunctie overeenkomstig bijlage 4 van deze circulaire, waarin punt voor punt wordt bevestigd (i) dat de vereisten met betrekking tot de verschillende fases van de uitbesteding worden nageleefd (d.w.z. de punten 7.3.1 tot en met 7.3.3, in voorkomend geval aangevuld met punt 7.4) en (ii) dat het ingediende dossier volledig is[1].

 

 

 

[1] Deze verklaring moet worden ingediend in alle gevallen van uitbesteding, behalve bij uitbesteding van de compliancefunctie.