Van Azure tot Solvinity en nu DC-EDIC. Waarom de assurantiebranche technisch, juridisch en toezichtsmatig klem dreigt te zitten

door

In eerdere artikelen stelde ik twee vragen die in de assurantiebranche vaak ongemakkelijk blijven.

Wat als Azure stopt?

En later:

De overname van Solvinity: waarom vooral de financiële sector wakker moet liggen

Het eerste artikel ging over cloudafhankelijkheid. Het tweede over concentratie van IT-dienstverlening en kennis. Wat beide stukken verbindt, is dat de afhankelijkheid niet alleen technisch is, maar ook juridisch en toezichtsmatig.

Met DORA in aantocht en de lancering van DC-EDIC wordt dat spanningsveld steeds explicieter. Voor verzekeraars raakt dit direct aan governance, uitbesteding en verantwoordelijkheid op bestuursniveau.

De assurantiebranche als dataverwerker onder vergrootglas

Verzekeraars verwerken structureel grote hoeveelheden persoonsgegevens. Vaak bijzonder gevoelig. Medische dossiers. Schadehistorie. Financiële data. Fraude-indicatoren.

De AVG stelt eisen aan bescherming, transparantie en rechtmatigheid. Met DORA komt daar een tweede laag bovenop. Operationele weerbaarheid, ketenrisico’s en afhankelijkheid van derde partijen.

Wat jarenlang werd gezien als IT-inrichting, valt nu expliciet onder toezicht.

Amerikaanse cloud en conflicterende wetgeving

Veel verzekeraars draaien kritische workloads op cloudplatformen van Amerikaanse bedrijven. Vaak in Europese datacenters, met Europese contracten.

Onder Amerikaanse wetgeving, zoals de CLOUD Act, kunnen Amerikaanse autoriteiten toegang afdwingen tot data van Amerikaanse bedrijven. Ook als die data fysiek in Europa staat.

Dit raakt direct aan:

  • AVG-rechtmatigheid
  • doorgifte naar derde landen
  • vertrouwelijkheid van persoonsgegevens
  • bestuurlijke verantwoordelijkheid

Encryptie en contracten lossen dit spanningsveld niet op. Juridische afdwingbaarheid blijft bestaan.

Uitbesteding onder DORA. Van afspraak naar aantoonbaarheid

DORA scherpt de eisen rond uitbesteding aanzienlijk aan. Niet alleen voor kritische functies, maar voor de hele ICT-keten.

Voor verzekeraars betekent dit:

  • volledig inzicht in ketens en onderaannemers
  • beheersing van concentratierisico
  • realistische exit-strategieën
  • aantoonbare regie over uitbestede diensten

Veel bestaande contracten zijn hier niet op ingericht. Dat maakt afhankelijkheid structureel en zichtbaar.

Solvinity als illustratie van ketenrisico

De overname van Solvinity liet zien hoe kwetsbaar de sector wordt wanneer kritische IT-capaciteit en kennis zich concentreren bij een beperkt aantal partijen.

DORA maakt dit expliciet. Niet alleen wie levert is relevant, maar ook:

  • wie de kennis bezit
  • wie systemen kan beheren
  • hoe vervangbaar die partij daadwerkelijk is

Papieren exit-clausules zijn niet langer voldoende.

DC-EDIC als Europees tegenwicht

DC-EDIC, het Digital Commons European Digital Infrastructure Consortium, biedt geen snelle oplossing. Het is geen nieuwe cloud en geen vervanging van hyperscalers.

Wat het wel biedt:

  • digitale infrastructuur onder Europese governance
  • consistentie met Europese wetgeving
  • ruimte voor sectorale samenwerking
  • alternatieven buiten niet-Europese jurisdicties

Voor de assurantiebranche is dat geen ideologisch verhaal, maar een praktisch instrument om ketenrisico’s te verkleinen.

De rol van architecten. Nu scherp blijven

Hier ligt een duidelijke verantwoordelijkheid voor architecten.

Niet om vandaag alles om te gooien, maar om ontwikkelingen rond DC-EDIC actief te volgen. Begrijpen welke initiatieven ontstaan. Welke diensten tastbaar worden. Welke governance daarbij hoort.

Architecten moeten nu al:

  • afhankelijkheden expliciet modelleren
  • juridische context meenemen in architectuurkeuzes
  • migratiepaden verkennen, ook als ze nog niet direct uitvoerbaar zijn
  • scenario’s uitwerken voorbij de huidige cloudoplossingen

Dit vraagt vooruitdenken. Niet reageren wanneer toezicht vragen stelt, maar voorbereid zijn.

Vooruitkijken naar echte Europese datacenters

Wanneer DC-EDIC de eerste concrete resultaten oplevert, moet de sector bereid zijn een serieuze vervolgstap te zetten.

Dan komt de vraag op tafel:

  • kunnen we op middellange termijn data verplaatsen naar infrastructuur die daadwerkelijk onder Europees recht valt
  • wat betekent dat voor applicaties, integraties en processen
  • welke data is hier het meest geschikt voor
  • welke afhankelijkheden willen we bewust afbouwen

Dit is geen big bang-migratie. Dit is gefaseerd risicomanagement.

Maar die beweging begint alleen als architectuur nu al rekening houdt met die mogelijkheid.

Wat de branche nu moet doen

Voor de assurantiebranche als geheel:

  • kennis delen over cloud, uitbesteding en juridische risico’s
  • gezamenlijk optrekken richting Europese initiatieven
  • digitale autonomie positioneren als sectorbelang
  • niet wachten tot toezichthouders afdwingen wat zelf te organiseren is

Basisinfrastructuur is geen concurrentievoordeel. Continuïteit wel.

Wat individuele verzekeraars nu moeten doen

Op organisatieniveau:

  • breng juridische toegang tot data expliciet in kaart
  • maak concentratierisico’s zichtbaar
  • herijk sourcing en cloudstrategie in het licht van DORA
  • toets exit-scenario’s op uitvoerbaarheid
  • betrek architectuur, privacy, risk en compliance structureel

Dit is geen project. Dit is bestuur.

Tot slot

Azure, Solvinity en DC-EDIC laten samen zien dat digitale afhankelijkheid in de assurantiebranche meerdere lagen heeft. Technisch. Juridisch. Toezichtsmatig.

DORA maakt het expliciet. De AVG maakt het scherp. DC-EDIC biedt richting.

Voor architecten betekent dit vooruitdenken. Voor bestuurders betekent dit keuzes maken voordat ze worden afgedwongen.

De vraag is niet of deze beweging komt. De vraag is wie er straks klaar voor is.

Plaats een reactie