Contract
Regelgevend kader:
1. Solvabiliteit II-wet: Art. 92 (uitbesteding)
2. Gedelegeerde Verordening 2015/35: Art. 274
3. NBB-circulaire: /
[NB : Circulaire PPB-2006-1-CPA van 6 februari 2006 over uitbesteding wordt ingetrokken en vervangen door dit Hoofdstuk]
4. EIOPA-richtsnoeren: richtsnoeren 60 tot 64
Er is sprake van uitbesteding wanneer er voor de uitoefening van activiteiten of de tenuitvoerlegging van procedures die anders door de verzekeringsonderneming zelf zou worden uitgevoerd een beroep wordt gedaan op derden. De uitbesteding kan zowel betrekking hebben op diensten die verleend worden aan de verzekerden (callcentra, …) als op administratieve functies (boekhouding, schaderegeling, beleggingsbeheer, …) en gespecialiseerde functies (IT, interne audit, gegevensbeheer, …).
De Solvabiliteit II-wet en Gedelegeerde Verordening 2015/35 bevatten regels die in geval van uitbesteding moeten worden nageleefd. De voornaamste ontwikkeling ter zake ten opzichte van het reeds bestaande regelgevende kader is het feit dat Gedelegeerde Verordening 205/35 in specifieke vereisten voorziet voor de uitbesteding van een kritieke of belangrijke functie of activiteit.
Zo is het onderstaande nieuwe regelgevende kader als volgt gestructureerd: (i) algemene regels die gelden bij uitbesteding, (ii) vereisten inzake gezond beheer bij de uitbesteding van niet-kritieke functies of activiteiten, (iii) vereisten voor gezond beheer bij uitbesteding van kritieke functies of activiteiten, (iv) bijzondere gevallen van uitbesteding en (v) kennisgeving aan de Bank.
7.1. ALGEMENE REGELS VOOR UITBESTEDING
7.1.1. Handhaving van de verantwoordelijkheid
De Solvabiliteit II-wet bepaalt dat iedere verzekeringsonderneming die functies, activiteiten of operationele taken uitbesteedt, volledig verantwoordelijk blijft voor de nakoming van al haar verplichtingen uit hoofde van die wet.
Er wordt namelijk bepaald dat de uitbesteding van operationele taken niet tot het volgende mag leiden:
1° er wordt wezenlijk afbreuk gedaan aan de kwaliteit van het governancesysteem van de verzekeringsonderneming;
2° het operationele risico neemt onnodig toe;
3° er wordt afbreuk gedaan aan het vermogen van de Bank om na te gaan of de verzekeringsonderneming de verplichtingen nakomt die door of krachtens de Solvabiliteit II-wet zijn opgelegd;
4° de continuïteit en de toereikendheid van de dienstverlening aan de verzekeringnemers, de verzekerden en de begunstigden van verzekeringsovereenkomsten of de personen die bij de uitvoering van de herverzekeringsovereenkomsten zijn betrokken, wordt ondermijnd.
7.1.2. Uitbestedingsbeleid
Gedelegeerde Verordening 2015/35 bepaalt dat een verzekeringsonderneming die voornemens is een beroep te doen op uitbesteding, schriftelijk een uitbestedingsbeleid moet vastleggen. Dit beleid wordt goedgekeurd door de raad van bestuur en houdt rekening met de hieronder uiteengezette beginselen inzake gezond beheer.
In haar uitbestedingsbeleid integreert de verzekeringsonderneming de aanpak en de processen die van toepassing zijn op de uitbesteding gedurende de volledige looptijd van de overeenkomst, en met name:
(i) het proces om te bepalen of een functie of activiteit een kritieke of belangrijke functie of activiteit is; Zij bepaalt en documenteert deze analyse aan de hand van de vraag of de betrokken functie of activiteit van essentieel belang is voor de bedrijfsvoering van de onderneming, in die zin dat de onderneming zonder deze functie of activiteit niet in staat zou zijn om haar diensten aan de verzekeringnemers te verlenen.
(ii) de wijze waarop de dienstverlener wordt geselecteerd en hoe en met welke frequentie zijn prestaties en resultaten worden beoordeeld, waarbij een onderscheid wordt gemaakt naargelang de uitbesteding een kritieke of belangrijke functie of activiteit betreft;
(iii) de details die in de schriftelijke overeenkomst met de dienstverlener moeten worden opgenomen, waarbij een onderscheid wordt gemaakt naargelang de uitbesteding een kritieke of belangrijke functie of activiteit betreft;
(iv) de regels die gevolgd worden inzake continuïteitsplannen16.
7.1.3. Kritieke of belangrijke functies en activiteiten
De onderneming stelt een proces vast om te bepalen of een functie of activiteit een kritieke of belangrijke functie of activiteit is. Zij bepaalt en documenteert deze analyse aan de hand van de vraag of de betrokken functie of activiteit van essentieel belang is voor de bedrijfsvoering van de onderneming, in die zin dat de onderneming zonder deze functie of activiteit niet in staat zou zijn om haar diensten aan de verzekeringnemers te verlenen.
De strengheid van de regels inzake uitbesteding hangt af van het feit of het al dan niet om een uitbesteding van kritieke of belangrijke functies of activiteiten gaat. Voor de uitbesteding van een kritieke of belangrijke functie of activiteit gelden strengere regels dan voor een uitbesteding die niet als kritiek of belangrijk wordt beschouwd.
7.2. VEREISTEN INZAKE GEZOND BEHEER VOOR GEVALLEN VAN UITBESTEDING VAN NIET-KRITIEKE OF NIET-BELANGRIJKE FUNCTIES OF ACTIVITEITEN
Voor de uitbesteding van functies of activiteiten die niet als kritiek of belangrijk worden beschouwd, let de verzekeringsonderneming op het volgende:
(i) de uitbestedingsbeslissing is gebaseerd op een diepgaande analyse die ten minste betrekking heeft op een uitvoerige beschrijving van de uit te besteden functies of activiteiten, op de verwachte gevolgen van de uitbesteding, op de naleving van de in het uitbestedingsbeleid bedoelde regels en een inschatting van de risico's van het voorstel;
(ii) bij de procedure voor de selectie van de dienstverlener worden de nodige waakzaamheid en voorzichtigheid aan de dag gelegd en wordt rekening gehouden met de financiële gezondheid, de reputatie en de technische en beheercapaciteiten van de dienstverlener;
(iii) deze uitbesteding wordt vastgelegd in een schriftelijke overeenkomst met de dienstverlener waarin rekening wordt gehouden met de in het uitbestedingsbeleid toegelichte beheersbeginselen en waarin de methode en de frequentie van de beoordeling van de prestaties en de resultaten van de dienstverlener worden verduidelijkt;
(iv) bijzondere aandacht wordt besteed aan de continuïteitsaspecten.
16 Wat de continuïteitsaspecten betreft, let de onderneming erop (i) dat de gebruikte technologieën, systemen, toepassingen en instrumenten voldoende gangbaar en gekend zijn, en dat niet wordt gekozen voor oplossingen die minder gebruikelijk of te sterk afhankelijk van de dienstverlener zijn; (ii) dat een goede, functionele documentatie van de door de dienstverlener gebruikte systemen wordt opgesteld en bijgewerkt; (iii) dat de nodige kennis van de technische kenmerken met betrekking tot de werking, de organisatie en het beheer van de uitbestede diensten wordt gehandhaafd; en (iv) dat alle eigen gegevens te allen tijde in een bruikbaar formaat kunnen worden opgevraagd.
7.3. VEREISTEN INZAKE GEZOND BEHEER VOOR GEVALLEN VAN UITBESTEDING VAN KRITIEKE OF BELANGRIJKE FUNCTIES OF ACTIVITEITEN
7.3.1. Aanvullende verificaties die moeten worden verricht vooraleer er een dienstverlener wordt gekozen
Bij de keuze van een dienstverlener voor kritieke of belangrijke functies of activiteiten ziet het directiecomité van de verzekeringsonderneming erop toe dat:
(a) een diepgaand onderzoek wordt verricht om na te gaan of de potentiële dienstverlener over de bekwaamheid, de capaciteit en alle bij wet vereiste vergunningen beschikt om de vereiste functies of activiteiten op bevredigende wijze uit te oefenen, rekening houdend met de doelstellingen en behoeften van de onderneming;
(b) de dienstverlener al het nodige heeft gedaan om te voorkomen dat daadwerkelijke of potentiële belangenconflicten de behoeften van de uitbestedende onderneming doorkruisen;
(c) tussen de onderneming en de dienstverlener een schriftelijke overeenkomst wordt gesloten waarin de respectieve rechten en plichten van beide partijen duidelijk omschreven zijn;
(d) de algemene voorwaarden van de uitbestedingsovereenkomst duidelijk worden uitgelegd aan de raad van bestuur en aan het directiecomité van de onderneming, dat ermee instemt;
(e) de uitbesteding geen inbreuk op enigerlei wetstekst, en met name de regelgeving inzake gegevensbescherming, uitmaakt;
(f) de dienstverlener aan dezelfde voorschriften inzake de veiligheid en de vertrouwelijkheid van informatie betreffende de verzekeringsonderneming of de verzekeringnemers of begunstigden daarvan is onderworpen als die welke voor de verzekeringsonderneming gelden.
7.3.2. Minimuminhoud van de schriftelijke overeenkomst met de dienstverlener
In de tussen de verzekeringsonderneming en de dienstverlener te sluiten schriftelijke overeenkomst voor kritieke of belangrijke functies of activiteiten worden in het bijzonder alle volgende punten duidelijk vermeld:
(a) de taken en verantwoordelijkheden van beide partijen;
(b) de toezegging van de dienstverlener om alle toepasselijke wettelijke en bestuursrechtelijke voorschriften en richtsnoeren na te leven, alsook de door de verzekeringsonderneming goedgekeurde gedragslijnen, en om met betrekking tot de uitbestede activiteiten of functies met de Bank samen te werken;
(c) de verplichting voor de dienstverlener om kennis te geven van elke ontwikkeling die van wezenlijke invloed kan zijn op zijn vermogen om de uitbestede activiteiten of functies efficiënt en met inachtneming van de toepasselijke wettelijke voorschriften en reglementaire vereisten uit te voeren;
(d) een opzegtermijn voor de beëindiging van de overeenkomst door de dienstverlener, die lang genoeg is om de verzekeringsonderneming in staat te stellen een alternatieve oplossing te vinden;
(e) dat de verzekeringsonderneming de uitbestedingsovereenkomst indien nodig kan beëindigen zonder dat dit nadelige gevolgen heeft voor de continuïteit en de kwaliteit van haar dienstverlening aan de verzekeringnemers;
(f) dat de verzekeringsonderneming zich het recht voorbehoudt te worden geïnformeerd over de uitbestede functies en activiteiten en over de uitvoering ervan door de dienstverlener, alsook het recht om de dienstverlener algemene richtsnoeren of individuele instructies te geven ten aanzien van datgene waarmee bij de uitvoering van de uitbestede functies of activiteiten rekening moet worden gehouden;
(g) dat de dienstverlener alle vertrouwelijke informatie over de verzekeringsonderneming en haar verzekeringnemers, begunstigden, werknemers, contractpartijen en alle andere personen moet beschermen;
(h) dat de verzekeringsonderneming, haar commissaris en de Bank effectief toegang moeten hebben tot alle informatie over uitbestede functies en activiteiten, alsook tot de bedrijfsruimten van de dienstverlener om er controles ter plaatse te verrichten;
(i) dat de Bank, wanneer zulks voor toezichtdoeleinden passend en noodzakelijk is, rechtstreeks aan de dienstverlener vragen kan stellen, die de dienstverlener moet beantwoorden;
(j) dat de verzekeringsonderneming informatie over de uitbestede functies en activiteiten mag inwinnen en instructies mag geven met betrekking tot de uitbestede functies en activiteiten;
(k) de voorwaarden waaronder de dienstverlener eventueel enigerlei uitbestede functies en activiteiten verder mag uitbesteden;
(l) dat de plichten en verantwoordelijkheden die uit hoofde van zijn overeenkomst met de verzekeringsonderneming op de dienstverlener rusten, onverlet worden gelaten door een eventuele verdere uitbesteding in overeenstemming met punt k).
7.3.3. Aanvullende vereisten voor de verzekeringsonderneming
De verzekeringsonderneming die belangrijke of kritieke functies, activiteiten of operationele taken uitbesteedt, voldoet eveneens aan alle volgende vereisten:
(a) zij zorgt ervoor dat de relevante aspecten van het risicobeheer- en internecontrolesysteem van de dienstverlener adequaat genoeg zijn om de naleving van de onderstaande bepalingen van de Solvabiliteit II-wet te waarborgen;
(b) zij houdt in haar risicobeheer- en internecontrolesysteem afdoende rekening met de uitbestede functies of activiteiten om de naleving van de onderstaande bepalingen van de Solvabiliteit II-wet te waarborgen;
(c) zij verifieert of de dienstverlener over de vereiste financiële draagkracht beschikt om de extra taken op behoorlijke en betrouwbare wijze te vervullen, en of alle medewerkers van de dienstverlener die bij de uitvoering van de uitbestede functies of activiteiten betrokken zullen zijn, voldoende gekwalificeerd en betrouwbaar zijn;
(d) zij zorgt ervoor dat de dienstverlener over adequate noodplannen beschikt om met noodsituaties of bedrijfsonderbrekingen om te gaan, en periodieke tests van back- upvoorzieningen verricht waar zulks noodzakelijk is in het licht van de uitbestede functies of activiteiten.
7.4. BIJZONDERE GEVALLEN VAN UITBESTEDING
7.4.1. Sluiten van overeenkomsten
De onderneming zorgt ervoor dat de activiteiten van een verzekeringstussenpersoon17 die geen werknemer van de verzekeringsonderneming is en die gemachtigd is om namens of voor rekening van deze verzekeringsonderneming overeenkomsten te sluiten of schade af te wikkelen, voldoen aan de bovenstaande uitbestedingsvereisten (waarbij een onderscheid wordt gemaakt naargelang deze activiteit al dan niet als kritiek of belangrijk wordt beschouwd).
7.4.2. Uitbesteding binnen een groep
In principe gelden voor uitbesteding binnen een groep dezelfde regels als voor externe uitbesteding, ongeacht of de uitbesteding binnen de groep al dan niet betrekking heeft op kritieke of belangrijke functies of activiteiten.
Niettemin gelden er twee bijzondere modaliteiten voor de tenuitvoerlegging van de bovenstaande vereisten inzake gezond beheer:
1) in de analyse die de verzekeringsonderneming moet uitvoeren voor ze beslist om uit te besteden, houdt ze rekening met de mate waarin ze zeggenschap heeft over de dienstverlener of invloed kan uitoefenen op diens handelingen; en
2) in het kader onderneming rekening met het feit dat de dienstverlener aan hetzelfde geconsolideerde toezicht als zijzelf is onderworpen.
Afgezien van de naleving van de regels inzake uitbesteding die de verzekeringsondernemingen individueel moeten volgen, dient de onderneming die verantwoordelijk is voor de groep, indien er binnen de groep kritieke of belangrijke functies of activiteiten worden uitbesteed, te documenteren welke functies verband houden met welke rechtspersoon. Daarnaast waarborgt zij dat door
17 Verzekeringsbemiddelaar' in de algemene betekenis en niet in de zin van Richtlijn 2016/97 van het Europees Parlement en de Raad van 20 januari 2016 betreffende verzekeringsdistributie.
dergelijke regelingen geen afbreuk wordt gedaan aan de uitvoering van die kritieke of belangrijke functies, activiteiten of taken op het niveau van de dochteronderneming.
7.4.3. Uitbesteding van onafhankelijke controlefuncties
In geval van uitbesteding van een onafhankelijke controlefunctie voldoet de onderneming aan alle regels die van toepassing zijn in geval van uitbesteding van kritieke of belangrijke functies of activiteiten als bedoeld in punt 7.2 hierboven.
Zoals vermeld in de punten 2.1 en 5.1.3 van deze circulaire stelt de verzekeringsonderneming, wanneer zij besluit een onafhankelijke controlefunctie uit te besteden, binnen de onderneming een persoon aan met algehele verantwoordelijkheid voor de uitbestede onafhankelijke controlefunctie en ziet zij erop toe dat die persoon betrouwbaar is en beschikt over voldoende kennis van en ervaring met de uitbestede controlefunctie om de prestaties en resultaten van de dienstverlener op de proef te kunnen stellen. Zo moeten verzekeringsondernemingen die hun controleactiviteiten en
-functies op intensieve wijze uitbesteden, onder hun personeelsleden steeds een of meer personen hebben die belast zijn met de opvolging van deze uitbestedingen. De impact van een uitbesteding mag niet die omvang krijgen dat de verzekeringsonderneming de kenmerken vertoont van een lege schelp die zelf niet langer in staat is om haar vergunnings- en bedrijfsuitoefeningvoorwaarden na te leven.
7.5. KENNISGEVING AAN DE BANK
Overeenkomstig de Solvabiliteit II-wet stellen de verzekeringsondernemingen, vóór de uitbesteding van kritieke of belangrijke functies of activiteiten of onafhankelijke controlefuncties, de Bank tijdig in kennis (i) van hun voornemen om dit te doen evenals van (ii) latere belangrijke ontwikkelingen met betrekking tot deze functies of activiteiten.
In het dossier dat zij aan de Bank bezorgt, geeft de verzekeringsonderneming een beschrijving van de reikwijdte van en de redenen voor de uitbesteding, en vermeldt zij de naam van de dienstverlener. Wanneer de uitbesteding een onafhankelijke controlefunctie betreft, moet de informatie ook de naam van de persoon die bij de dienstverlener de leiding heeft over de uitbestede functie of activiteiten bevatten.