Sla over naar inhoud
Vectel
Alle inzichten

Verzekerings-IT en compliance in Amersfoort

Lever je software of consultancy aan verzekeraars rond Amersfoort, dan krijg je compliance-vragen niet alleen van toezichthouders, maar steeds vaker van je eigen afnemer. Vier vragen die ergens dit jaar bij je op tafel komen, en hoe je nu al een goed antwoord klaar hebt.

Amersfoort blijft een stevig knooppunt voor de Nederlandse verzekeringssector en de keten eromheen. Wie als MKB-softwareleverancier of consultancy een verzekeraar als klant heeft, merkt dat de compliance-druk vanuit DNB en AFM doorsijpelt: de verzekeraar krijgt zelf strenger toezicht, en geeft die eisen door aan zijn eigen leveranciers. Een leveranciers-audit is geen rare uitzondering meer maar onderdeel van de normale onboarding. De vraag is niet of jouw klant straks vragen gaat stellen, de vraag is welke en hoe goed je antwoord ligt voor het zover is.

Vier vragen kom je doorgaans als eerste tegen.

De eerste: hoe regelen jullie toegangscontrole? In de praktijk betekent dat MFA op alle systemen die klantdata raken, role-based access in plaats van "iedereen admin omdat het makkelijk is", en een werkende joiner-mover-leaver-flow. Wie nieuw is krijgt alleen rechten die hij nodig heeft. Wie van rol verandert verliest wat hij niet meer nodig heeft. Wie vertrekt is binnen een uur uit alle systemen. Dat laatste valt of staat met een lijst van álle SaaS-tools waar de medewerker in zat, niet alleen de mail.

De tweede: wat is jullie data-retentie en hoe verwijderen jullie data na opzeg? Dit gaat verder dan "we hebben een privacy-statement". Concreet: per data-categorie weten hoe lang je het bewaart, waarom, en welke procedure ervoor zorgt dat het op dat moment ook echt weg is. Backups inbegrepen. Een retentie-belofte die alleen voor de productie-database geldt en niet voor de archieven, maakt iemand bij de audit zenuwachtig.

De derde: hoe managen jullie eigen sub-leveranciers? De verzekeraar wil weten waar zijn data uiteindelijk landt. Niet "bij jullie", maar "bij jullie hosting, jullie e-mail-provider, jullie analytics-tool, jullie back-up-platform, jullie loggingdienst". Een leverancier-lijst met locatie, type data, en de juridische grondslag (verwerkersovereenkomst, modelclausules) is iets dat je rustig wil opbouwen voordat de eerste vraag valt.

De vierde: wat is jullie incident-response-tijd en wanneer informeren jullie ons? Het verschil tussen "we hebben backups en MFA" en "we hebben een werkend incident-response-plan" is groot. Een werkend plan beschrijft wie wat doet binnen het eerste uur, het eerste etmaal, en de eerste week na een incident. Bij wie meldt iemand het, hoe escaleert het, op welk moment hoort de klant ervan. Een verzekeraar wil dat laatste expliciet zien.

Waar deze aanpak niet helpt: als jullie nog geen klantdata van een verzekeraar verwerken en ook niet van plan zijn dat te doen. Dan is een lichte ISO-27001-light of NEN 7510-light overkill. Maar zodra je een offerte uitbrengt aan een financiele dienstverlener die zelf onder toezicht staat, gaan deze vragen komen. Voorbereiden vooraf is altijd goedkoper dan reageren tijdens een audit.

Werk je rondom Amersfoort in de verzekerings- of financiele keten? Lees [wat we voor MKB in Amersfoort doen](https://www.vectel.nl/regio/amersfoort), of doe direct de [NIS2-scan](https://www.vectel.nl/scan/nis2) om te zien hoe jullie nu scoren tegenover wat je klanten gaan vragen.

Even sparren?