Publicerad: 2020-12-17
Från och med den 1 januari 2021 ska den europeiska tillsynsmyndigheten EIOPA:s riktlinjer om uppdragsavtal med molntjänstleverantörer tillämpas av försäkringsbolagen. De betyder att anpassningar av bolagens interna styrning och kontroll i samband med utläggning av verksamhet ska vara på plats. Efter detta datum måste dessutom alla nya avtal om utläggning av verksamhet till molntjänstleverantörer följa den nya ordningen.
Användning av molntjänster har blivit alltmer vanligt förekommande i finansiella företag i och med den digitala transformationen. Tekniken innebär fördelar med att optimera IT-kostnader, ökar flexibiliteten och möjliggör utveckling av affärsmodeller och produkter, men tekniken innebär även utmaningar och risker.
Molntjänster har sedan en tid tillbaka varit föremål för diskussioner hos lagstiftare och myndigheter som ser flertalet utmaningar och risker med bland annat säkerhet, bristen på insyn och möjligheten att bibehålla kontroll över information och personuppgifter som riskerar att spridas till olika regioner och länder. Sedan tidigare har det kommit nya allmänna regler om utläggning av verksamhet för banker som tar hänsyn till molntjänster och nya regler är i antågande för värdepappersbolag. Finansinspektionen skickade redan i somras ut en enkät till utvalda försäkringsbolag för att undersöka hur långt bolagen kommit i att anpassa sin verksamhet till de nya reglerna. Det finns alltså ett fokus och en förväntan att bolagen aktivt arbetar för anpassa verksamhet och avtal till den nya reglerna.
Vad innebär de nya reglerna
Enligt vår mening innebär reglerna utmanande krav på bolagens organisation och processer. Reglerna ställer bland annat krav på en redan ansatt IT-organisation som ska hantera personuppgifter (GDPR), cyberrisker, nya krav på IKT-risker och säkerhet med mera. Bolagen behöver även arbeta mer kontinuerligt och strukturerat med register, dokumentation, riskbedömning, kontroll och uppföljning till följd av nya detaljerade krav.
Vad bör bolagen ha gjort
Bolagen bör redan nu ha utmanat och analyserat sin ordinarie modell för utläggning av verksamhet, skrivit om sina styrdokument och avtalsmallar, anpassat processer och säkerställt att organisationen har kompetens att hantera utläggning till molntjänstleverantörer på ett effektivt sätt. De bolag som har genomfört en anpassning bör överväga att låta en central funktion granska åtgärderna. Bolagen bör dessutom redan nu se över befintliga arrangemang och avtal som avser kritiska eller viktiga funktioner, eftersom de ska vara anpassade till reglerna innan den 31 december 2022. En sådan översyn kan mycket väl vara utmanande och det kan ta tid att omförhandla avtal, särskilt med stora aktörer.
Hur vi kan hjälpa er
Vi på zeb har mångårig erfarenhet av att hjälpa försäkringsbolag och andra finansiella företag att analysera och effektivt anpassa sin verksamhet till nya regelkrav. Våra konsulter har stor erfarenhet av regelverk som styr hanteringen av outsourcing och har expertkunskap inom de områden regelverket berör.
Hör gärna av er så berättar vi mer om hur vi kan hjälpa er på bästa sätt.
DELA
