Cyberrisico’s bij pensioenfondsen.
Het beheersen van cybersecurity is belangrijker dan ooit, omdat veel pensioenfondsen een groot deel van het werk — zoals IT, administratie en beleggingen — uitbesteden. Met de transitie naar de Wtp neemt bovendien de afhankelijkheid van ketenpartners en complexe IT-processen verder toe. Daardoor wordt de keten kwetsbaarder.
Het is essentieel om als bestuur scherper zicht te hebben op de belangrijkste risico’s. Hieronder vijf feiten die daarbij een rol spelen.
1. Een pensioenfonds blijft altijd volledig verantwoordelijk.
Ongeacht hoeveel werkzaamheden zijn uitbesteed, blijft het fonds eindverantwoordelijk voor incidenten in de keten. DNB benadrukt dat keer op keer. Een cyberprobleem bij een administrateur of IT-leverancier werkt direct door naar het fonds.
Concrete gevolgen die je in de praktijk ziet:
• persoonsgegevens en pensioengegevens kunnen op straat belanden;
• risico op identiteitsfraude en reputatieschade;
• betalingen kunnen worden omgeleid of geblokkeerd, met hoge Kosten t.b.v. herstelbetalingen;
• ransomware kan systemen dagen of weken platleggen, waardoor administratie, berekeningen en communicatie stilvallen;
• uitval van een cloudleverancier kan complete ketens platleggen.
2. De uitbestedingsketen is langer én kwetsbaarder dan vaak wordt gedacht.
Veel IT-leveranciers besteden zelf onderdelen uit. Daardoor ontstaan risico’s bij partijen waarmee het fonds geen directe relatie heeft.
Essentieel is inzicht in:
• wie de onderaannemers zijn,
• welke beveiligingsmaatregelen zij nemen,
• hoe incidenten worden gemeld.
3. DORA verplicht tot aantoonbare grip op cyberrisico’s.
Vanaf 2025 moeten pensioenfondsen voldoen aan de eisen van de Digital Operational Resilience Act (DORA), óók voor uitbestede diensten.
Dat vraagt om:
• strenge eisen aan contracten,
• toezicht op kritieke derde partijen,
• testen van cyberweerbaarheid,
• verplichte incidentmeldingen.
4. Strategisch uitbesteden betekent ook strategisch beschermen.
Goed uitbesteden draait om regie, partnerschap en waardecreatie. Cyberrisico’s horen daar direct bij.
Een fonds dat cyberrisico’s serieus neemt:
• beschermt gegevens van deelnemers,
• voorkomt financiële schade,
• waarborgt stabiliteit en continuïteit,
• en bouwt duurzame, betrouwbare relaties op met leveranciers.
5. Cyberrisico’s zijn geen technisch detail, maar een bestuurlijk vraagstuk.
Incidenten raken direct de continuïteit, reputatie en ketensamenwerking. Daarmee is cybersecurity onlosmakelijk onderdeel van goed bestuur in een uitbesteed model.
De vijf feiten zijn opgesteld door Paul Boerboom, programma-manager van de opleiding Strategisch uitbesteden en partneren in de pensioensector. Deze opleiding helpt besturen om grip te krijgen op de volledige uitbestedingsketen: van governance en contractering tot samenwerking met dienstverleners. Daarbij komt ook de doorwerking van ICT- en cyberrisico’s aan bod, omdat die direct invloed hebben op kwaliteit en continuïteit in de keten.
Benieuwd of dit programma aansluit bij uw bestuursagenda? We starten 1 april 2026.