Het recent door DNB gepubliceerde rapport Benchmarkrapportage Informatiebeveiliging doet de pensioensector op zijn grondvesten schudden. Pensioenfondsen en hun uitvoerders halen op het gebied van informatiebeveiliging gemiddeld genomen op geen enkel punt het verwachtingsniveau van toezichthouder DNB. “Een schokkende, maar niet verrassende constatering”, zo stelt de directie van Visma Idella.
In een tijdperk waarin informatiebeveiliging een topprioriteit voor iedere organisatie dient te zijn, is de pensioensector kennelijk niet in staat om aan de minimale eisen van de toezichthouder te voldoen, zo blijkt uit het rapport.
“De pensioensector verwerkt data van praktisch iedere volwassen Nederlander. Wij hebben niet alleen vanuit toezichtsperspectief, maar juist vanuit ethisch perspectief de verplichting op ons genomen om maximale aandacht aan het beperken van deze risico’s te besteden” stelt Martijn de Vries, als Directeur Business Operations verantwoordelijk voor onder meer het risicomanagement en informatiebeveiliging bij Visma Idella.
Investeringen
“Visma Idella heeft afgelopen jaren enorm geïnvesteerd in de informatiebeveiliging van pensioenproducten, onder meer voor de pensioen- en uitkeringenadministratie. Als systeempartij hebben wij een zeer voorname rol. Wij nemen onze verantwoordelijkheid zeer serieus” vervolgt hij.
Zo investeerde Visma Idella in het zogenaamde VASP programma van Visma, waarbinnen alle Visma Idella producten nu op het hoogste certificeringsniveau acteren. Ook voert Visma Idella geregeld overleg met DNB en draagt zij bij aan de Pensioen ISAC, om pensioenfondsen en -uitvoerders inzicht te kunnen geven in de aanpak van Visma.
Belangrijk is ook dat de periodieke DNB Security Self Assessment van Visma Idella aan de hand van 58 Cobit controls (dezelfde toetssteen die De Nederlandse Bank hanteert in de Benchmarkrapportage Informatiebeveiliging), door externe accountants getoetst. “Wij geloven sterk in de DNB Security Self Assessment, maar de waarde neemt aanzienlijk toe op het moment dat een externe auditor, aanvullend op onze three-lines-of-defense, een onafhankelijk oordeel over ons security profiel velt”, stelt De Vries.
Outperformance
In tegenstelling tot het sectorgemiddelde dat op geen enkel vlak aan de eisen voldoet, voldoet Visma Idella juist voor alle Cobit controls, aantoonbaar wél aan het verwachtingsniveau van toezichthouder DNB. Met de evidence based aanpak wordt ook de werking veelal aangetoond, waardoor voor diverse Cobit controls aanzienlijk hoger wordt gescoord.
De gemiddelde score voor de Visma Idella producten ligt ruim 1 punt boven het sectorgemiddelde. Op een schaal van 0-4, is dat een aanzienlijke outperformance.
Pauline Frens, de Managing Director van Visma Idella voegt toe: “in al onze gesprekken met de toezichthouder bespreken wij onze zorg en zetten wij dit onderwerp op de agenda. Wij zien nog steeds dat fondsen genoegen nemen met een vinkje bij een ISO27001 certificaat of een ISAE verklaring met enkele security controls, zonder zich echt te verdiepen in het risicoprofiel van cruciale technologie”.
Andere technologie
"Wij zijn dan ook geschokt dat zo kort voor de stelselherziening, waarbij de data van miljoenen Nederlanders zal worden gemigreerd, blijkt dat de sector zo slecht scoort”, vervolgt zij. “Als wij al voor miljoenen Nederlanders een outperformance ten opzichte van de DNB eisen laten zien, zijn er andere technologische oplossingen die fondsen aan enorme risico’s blootstellen”.
Visma Idella zal de komende jaren blijven strijden voor meer aandacht voor dit belangrijke onderwerp. “Ook zullen we blijven investeren in onze producten, door bijvoorbeeld SOC-II compliant cloud producten aan te bieden, iets wat nog geen enkele systeempartij in de pensioensector doet of kan”.