Cybersecurity bij pensioenfondsen.

Het is essentieel om als bestuur scherper zicht te hebben op de belangrijkste risico’s. Vijf feiten die daarbij een rol spelen.

 

Executive Education Workshop 19

 
Het beheersen van cybersecurity is belangrijker dan ooit, omdat veel pensioenfondsen een groot deel van het werk — zoals IT, administratie en beleggingen — uitbesteden. Met de transitie naar de Wtp neemt bovendien de afhankelijkheid van ketenpartners en complexe IT-processen verder toe. Daardoor wordt de keten kwetsbaarder.
Het is essentieel om als bestuur scherper zicht te hebben op de belangrijkste risico’s. Hieronder vijf feiten die daarbij een rol spelen.

1. Een pensioenfonds blijft altijd volledig verantwoordelijk.
Ongeacht hoeveel werkzaamheden zijn uitbesteed, blijft het fonds eindverantwoordelijk voor incidenten in de keten. DNB benadrukt dat keer op keer. Een cyberprobleem bij een administrateur of IT-leverancier werkt direct door naar het fonds. 

Concrete gevolgen die je in de praktijk ziet:
• persoonsgegevens en pensioengegevens kunnen op straat belanden;
• risico op identiteitsfraude en reputatieschade;
• betalingen kunnen worden omgeleid of geblokkeerd, met hoge Kosten t.b.v. herstelbetalingen;
• ransomware kan systemen dagen of weken platleggen, waardoor administratie, berekeningen en communicatie stilvallen;
• uitval van een cloudleverancier kan complete ketens platleggen.

2. De uitbestedingsketen is langer én kwetsbaarder dan vaak wordt gedacht.
Veel IT-leveranciers besteden zelf onderdelen uit. Daardoor ontstaan risico’s bij partijen waarmee het fonds geen directe relatie heeft. 

Essentieel is inzicht in:
• wie de onderaannemers zijn,
• welke beveiligingsmaatregelen zij nemen,
• hoe incidenten worden gemeld.

3. DORA verplicht tot aantoonbare grip op cyberrisico’s.
Vanaf 2025 moeten pensioenfondsen voldoen aan de eisen van de Digital Operational Resilience Act (DORA), óók voor uitbestede diensten. 

Dat vraagt om:
• strenge eisen aan contracten,
• toezicht op kritieke derde partijen,
• testen van cyberweerbaarheid,
• verplichte incidentmeldingen.

4. Strategisch uitbesteden betekent ook strategisch beschermen.
Goed uitbesteden draait om regie, partnerschap en waardecreatie. Cyberrisico’s horen daar direct bij.

Een fonds dat cyberrisico’s serieus neemt:
• beschermt gegevens van deelnemers,
• voorkomt financiële schade,
• waarborgt stabiliteit en continuïteit,
• en bouwt duurzame, betrouwbare relaties op met leveranciers.

5. Cyberrisico’s zijn geen technisch detail, maar een bestuurlijk vraagstuk.
Incidenten raken direct de continuïteit, reputatie en ketensamenwerking. Daarmee is cybersecurity onlosmakelijk onderdeel van goed bestuur in een uitbesteed model.

Benieuwd naar de toepassing in de praktijk?

De vijf feiten zijn opgesteld door Paul Boerboom, programma-manager van de opleiding  Strategisch uitbesteden en partneren in de pensioensector. Deze opleiding helpt besturen om grip te krijgen op de volledige uitbestedingsketen: van governance en contractering tot samenwerking met dienstverleners. Daarbij komt ook de doorwerking van ICT- en cyberrisico’s aan bod, omdat die direct invloed hebben op kwaliteit en continuïteit in de keten.

Benieuwd of dit programma aansluit bij uw bestuursagenda? We starten 1 april 2026.

 

 


 

  • Strategisch uitbesteden en partneren | Pensioensector

    Startdatum: 1 april 2026
    Taal:
    • Nederlands
    Locatie:
    • Breukelen

    Tijdens dit programma leer je hoe je de uitbestedingsprocessen toekomstgericht kunt inrichten in het licht van consolidatie, Wtp-transitie, keuzebegeleiding en IT- en cybersecurity-uitdagingen. Zo krijg je inzicht én handvatten om de strategische koers van jouw pensioenorganisatie te versterken.

Contact

Heb je vragen over het programma?

Neem dan contact met ons op voor een vrijblijvend informatiegesprek via 070-4276655 of

info@spo-nyenrode.nl