Een scenario dat zich op elk moment kan voordoen
Het is 07:59 uur op een ogenschijnlijk normale donderdagochtend. De bestuurssecretaris van een pensioenfonds opent de laptop en treft een e-mail aan van de accountmanager van de pensioenuitvoeringsorganisatie (PUO). Er zijn onregelmatigheden vastgesteld binnen de IT-infrastructuur. Het CERT (Computer Emergency Response Team) is inmiddels ingeschakeld. De eerste analyse wijst op niet-geactiveerde malware. De situatie is nog in ontwikkeling; de aard, omvang en impact van het incident zijn onzeker.
Tijdens een videobelgesprek wordt bevestigd dat sprake is van een ransomware-aanval. Meerdere systemen zijn versleuteld. Toegang tot deelnemersdata en interne dossiers is geblokkeerd of ernstig beperkt. Vrijwel direct ontstaat onduidelijkheid over de regie: ligt de verantwoordelijkheid bij de PUO of bij het fondsbestuur? Wie informeert de toezichthouder? Wat mag extern worden gecommuniceerd?
Beide organisaties activeren hun crisisteams. Binnen het fonds blijkt echter onvoldoende bekendheid met de eigen crisisprocedures. Communicatieverantwoordelijken zoeken naar een strategie, maar vinden slechts fragmentarische afspraken. Intussen verschijnen de eerste geruchten op sociale media.
Dit betreft een fictief scenario. Maar het had werkelijkheid kunnen zijn. De vraag rijst: zou het fonds hierop voorbereid zijn geweest?
Het belang van oefenen
Crisisoefeningen – zoals tabletop-simulaties of interactieve games – confronteren deelnemers met realistische crisissituaties. Niet om technische kennis te toetsen, maar om inzicht te verkrijgen in besluitvorming, samenwerking en communicatie onder druk.
"De crisisoefening was confronterend, maar precies wat we nodig hadden. Het bracht blinde vlekken aan het licht die we nog niet eerder hadden opgemerkt."
— Pensioenfonds Slagers
Tijdens oefeningen wordt zichtbaar waar verantwoordelijkheden onduidelijk zijn, waar communicatie stokt of waar besluitvorming vertraagt. Dit inzicht is essentieel om tijdig verbetermaatregelen te treffen.
De complexiteit van uitbesteding
Pensioenfondsen opereren binnen een sterk uitbestede structuur. Hoewel het bestuur eindverantwoordelijk is, liggen operationele processen bij externe partijen. Bij incidenten blijkt de keten kwetsbaar. Zonder duidelijke afspraken en geoefende samenwerking ontstaat vertraging, juist wanneer snelheid en helderheid vereist zijn.
De Nederlandsche Bank (DNB) benadrukt in de Good Practice Informatiebeveiliging (2023) dat digitale weerbaarheid niet alleen een IT-aangelegenheid is, maar ook een bestuurlijke verantwoordelijkheid. Oefenen met realistische scenario’s wordt niet langer als aanbeveling gezien, maar als vereiste. De Europese DORA-verordening bevestigt deze lijn.
Wat crisisoefeningen zichtbaar maken
Uitgevoerde oefeningen met besturen, verantwoordingsorganen en raden van toezicht tonen een consistent patroon. Teams met duidelijke doelstellingen – zoals het waarborgen van continuïteit, reputatie en communicatie – handelen effectiever. Teams zonder deze kaders vervallen sneller in ad-hoc besluitvorming.
Een crisisplan op papier blijkt onvoldoende. Alleen door te oefenen ontstaat vertrouwen in procedures en rollen. Teams die vertrouwd zijn met het plan, handelen met meer rust en daadkracht. Heldere communicatie, zowel intern als extern, blijkt cruciaal. Waar communicatie uitblijft of te vaag is, ontstaat onrust. Tijdige, concrete en eenduidige communicatie draagt bij aan regie en vertrouwen.
“Tijdens de oefening werd nog meer duidelijk hoe belangrijk het is om niet alleen te weten wat er moet gebeuren, maar ook wie het doet – en wanneer.”
— Bestuurslid Mars Pensioenfonds
Effectieve crisisoefeningen voor pensioenfondsen
Effectieve oefeningen zijn herkenbaar en realistisch. Voorbeelden van scenario’s zijn:
- Een ransomware-aanval vlak voor de betaaldatum van pensioenuitkeringen;
- Een datalek via een externe leverancier;
- Een ICT-storing bij de vermogensbeheerder of custodian.
“We beseften pas hoe complex samenwerking in de keten is toen we het moesten coördineren tijdens de crisisoefening. Door deze oefening hebben we ervaren wat er allemaal tegelijk op je afkomt en hoe je hier mee om kunt gaan.”
— Pensioenfonds Kappers
De context van het fonds wordt meegenomen: aanwezige expertise, uitbestedingsstructuur en relevante stakeholders. De nadruk ligt op gezamenlijke leerpunten, niet op schuld. Evaluatie en opvolging van verbeterpunten zorgen voor structurele versterking van het handelingsvermogen.
Voorbereiding maakt het verschil
Een crisis kan niet worden voorkomen. De impact ervan wordt echter grotendeels bepaald door de mate van voorbereiding. Regelmatige oefening versterkt het vermogen om snel, zorgvuldig en gecoördineerd te handelen – samen met alle ketenpartners.
Crisisoefeningen vormen daarmee een essentieel onderdeel van goed pensioenfondsbestuur.
Contact
Simon Heerings
Senior Risk ConsultantGerelateerde insights
-
20 juni 2025Crisisoefeningen voor pensioenfondsen: voorbereiding op het onvoorzieneNiet het incident, maar de voorbereiding bepaalt de impact. Waarom crisisoefeningen onmisbaar zijn voor pensioenfondsen.
-
10 juni 2025Herverdeling bij de transitie: Bewuste keuze of onbedoeld gevolg?Analyse van (on)gewenste herverdeling bij de pensioentransitie. Lees hoe fondsen bewuste keuzes kunnen maken.
-
07 mei 2025Themamiddag – Navigeren door en na de transitieSchrijf je in voor de Ortec Finance Themamiddag op 30 juni as.
-
17 maart 2025Digitale weerbaarheid en DORA: Wat betekent dit voor pensioenfondsen?Digitale weerbaarheid en DORA: Wat betekent dit voor pensioenfondsen?
-
04 februari 2025Hoe zorgen we voor een beheerste transitie van de renteafdekking rondom invaren?Hoe kunnen pensioenfondsen renterisico’s beheren en mismatchrendement evenwichtig verdelen tijdens de transitie?
-
03 februari 2025Slimme keuzes tijdens de pensioentransitieGoede financiële begeleiding is cruciaal bij het maken van pensioen- en carrièrekeuzes tijdens de pensioentransitie!
-
29 januari 2025Verkleinen van het balansrisico in aanloop naar het invaarmomentTijdelijke risicodekking kan pensioenfondsen stabiliteit bieden tijdens de transitie naar het nieuwe stelsel.
-
20 januari 2025Ortec Finance lanceert de Wtp TransitiemonitorWtp Transitiemonitor helpt fondsen risico's te beheersen en een soepele overgang naar het nieuwe pensioenstelsel te realiseren.
-
18 november 2024Beheersing van mismatchrisicoOntdek hoe pensioenfondsen mismatchrisico effectief kunnen beheersen en beschermen tegen onverwachte marktbewegingen.