Corporate governance

De raad van commissarissen (RvC) en de raad van bestuur (RvB) zijn gezamenlijk verantwoordelijk voor de corporate governance van ONVZ. Binnen de corporate governance-structuur zijn de belangrijkste bevoegdheden en verantwoordelijkheden neergelegd bij de RvB en RvC. Vereniging ONVZ behartigt de belangen van zijn klanten op het gebied van zorgkosten en hun gezondheid en doet alles wat rechtstreeks of zijdelings verband houdt daarmee.

Het bestuur van Vereniging ONVZ bestaat uit een aantal leden van de raad van commissarissen van ONVZ Holding B.V. De leden van Vereniging ONVZ kiezen een raad van afgevaardigden (RvA). De RvA beoordeelt de jaarrekening van Vereniging ONVZ en keurt die goed. Daar waar het gaat om de uitvoering van de Zorgverzekeringswet en de Wet langdurige zorg fungeert de RvA ook als raad van advies. In deze rol geven zij de RvB gevraagd en ongevraagd advies op het gebied van aanbieden en uitvoeren van de zorgverzekering en speciaal op het zorginkoop- en communicatiebeleid en de rol van ONVZ als uitvoerder van de Wet langdurige zorg. Lees hierover meer in het verslag van de RvA, in hoofdstuk 4. Onze verzekerden.

ONVZ Holding B.V.

De leden van de RvB van ONVZ Holding B.V. vormen ook de raad van bestuur van ONVZ Ziektekostenverzekeraar N.V., ONVZ Aanvullende Verzekering N.V. en ONVZ Langdurige Zorg B.V. De leden van de raad van bestuur hebben een arbeidsovereenkomst met ONVZ Holding B.V. voor onbepaalde tijd en hebben geen dienstbetrekking met andere juridische entiteiten van ONVZ.

De aandelen van ONVZ Holding B.V. zijn volledig in handen van Vereniging ONVZ.

ONVZ Ziektekostenverzekeraar N.V. en ONVZ Aanvullende Verzekering N.V.

Binnen het private zorgverzekeringsstelsel is ervoor gekozen om de basisverzekering en de aanvullende verzekeringen aan te bieden vanuit twee separate rechtspersonen. De basisverzekering wordt uitgevoerd door ONVZ Ziektekostenverzekeraar N.V. en de aanvullende verzekeringen door ONVZ Aanvullende Verzekering N.V. De vennootschappen hebben geen winstdoelstelling.

Beide vennootschappen zijn 100%-dochters van ONVZ Holding B.V.

ONVZ Langdurige Zorg B.V.

ONVZ Langdurige Zorg B.V. heeft als doel de uitvoering van de Wet langdurige zorg als Wlz-uitvoerder zoals omschreven in of krachtens de genoemde wet. De vennootschap heeft geen winstdoelstelling.

ONVZ Holding B.V. houdt 100% van de aandelen in de vennootschap.

ONVZ Services B.V.

Doel van deze vennootschap is de uitoefening van het assurantiebemiddelingsbedrijf, het beheer van assurantieportefeuilles voor derden, het samenwerken met, het deelnemen in, en het voeren van de directie over ondernemingen met een soortgelijk of aanverwant doel.

ONVZ Holding B.V. heeft een 100%-deelneming in ONVZ Services B.V.

ONVZ Benefits B.V.

Doel van deze vennootschap is het leveren van hoogwaardige, persoonlijke gezondheidsdiensten die cliënten ondersteunen bij het realiseren van duurzame gedragsverandering en optimaal herstel, zowel fysiek als mentaal, inclusief ontzorging bij medische situaties.

ONVZ Holding B.V. heeft een 100%-deelneming in ONVZ Benefits B.V.

Vecozo B.V.

ONVZ Ziektekostenverzekeraar N.V. is voor 12,5% aandeelhouder van Vecozo B.V. Vecozo B.V. is hét communicatiepunt voor ketenpartners in de zorg. Vecozo B.V. biedt een portaal waarin ketenpartijen in de zorg snel, veilig en eenvoudig gegevens met elkaar kunnen uitwisselen.

Vektis C.V.

ONVZ Ziektekostenverzekeraar N.V., ONVZ Aanvullende Verzekering N.V. en ONVZ Langdurige Zorg B.V. zijn commanditair vennoot in Vektis C.V. Vektis C.V. ontwikkelt standaarden voor een efficiënte elektronische communicatie tussen zorgverzekeraars, zorgverleners, zorgkantoren, zorginstellingen en overige instanties in de zorg. Daarnaast levert Vektis op basis van declaratiedata waardevolle inzichten over het gebruik van zorg in de volle breedte.

Overige informatie

De Nederlandsche Bank (DNB), de Nederlandse Zorgautoriteit (NZa), de Autoriteit Persoonsgegevens (AP), de Autoriteit Consument en Markt (ACM) en de Autoriteit Financiële Markten (AFM) houden allemaal toezicht op de zorgverzekeraars in Nederland en dus ook op ONVZ. Daarnaast hebben zorgverzekeraars ook te maken met Zorginstituut Nederland (ZiNL), dat onder meer belast is met de uitvoering van de vereveningsregeling op grond van de Zorgverzekeringswet.

ONVZ is lid van Zorgverzekeraars Nederland (ZN) en van het Verbond van Verzekeraars en onderschrijft de door deze belangenverenigingen opgestelde gedragscodes. Als lid van ZN zijn wij gehouden deze gedragscodes na te leven. Controle op de naleving van de gedragscodes is belegd bij de afdeling Compliance. Verantwoording over de naleving vindt plaats aan de NZa. Daarnaast vindt toetsing van de gedragscodes van het Verbond van Verzekeraars plaats door de onafhankelijke Stichting Toetsing Verzekeraars.

ONVZ heeft zelfstandig en in onderling overleg met overige zorgverzekeraars een aantal gedragsregels afgesproken over hoe zij met gegevens omgaan. Meer informatie over de naleving hiervan is terug te vinden op onvz.nl.

ONVZ was lid van de Vereniging van Regionale Zorgverzekeraars (VRZ). De VRZ streeft naar kwaliteitsverbetering, doelmatigheid en toegankelijkheid van de zorg. Het lidmaatschap is per 1 januari 2026 beëindigd. De andere leden zijn Salland, Zorg en Zekerheid en DSW.

Raad van bestuur (RvB)

De RvB heeft de dagelijkse leiding en is verantwoordelijk voor het formuleren van de strategie met het bijbehorende risicoprofiel en voor het verwezenlijken van de doelstellingen van ONVZ. Ook voor de interne risicobeheersings- en controlesystemen is de RvB verantwoordelijk. De raad van commissarissen benoemt de leden van de RvB.

Jean-Paul (J.P.A.) van Haarlem
Bestuursvoorzitter

Ivo (I.) van Dijk

Raad van commissarissen (RvC)

De RvC houdt toezicht op het beleid van het bestuur en de algemene gang van zaken binnen ONVZ. De leden van de RvC zijn onafhankelijk en richten zich op het belang van ONVZ. De RvC is collectief verantwoordelijk voor de uitvoering van haar taak.

De samenstelling van de audit- en risicocommissie van de RvC is per 31 december 2025 als volgt:

Ger (G.J.M) Vrancken
Sabijn (S.E.) Timmers-Janssen

Tessa (T.A.M.) van den Ende
1e termijn, lopend t/m
31 december 2027
Voorzitter RvC

Iris (I.) van Bennekom- Stompedissel
3e termijn, lopend t/m
18 april 2027

Ger (G.J.M.) Vrancken
1e termijn, lopend t/m
30 maart 2026
Voorzitter ARC

Sabijn (S.E.) Timmers-Janssen
2e termijn, lopend t/m
30 juni 2027

Jeroen (J.V.) Muller
1e termijn, lopend t/m
29 februari 2028

Evenwichtige vertegenwoordiging vrouwen/mannen in topfuncties

ONVZ onderschrijft het belang van diversiteit. Naast behoud en de versterking van de juiste combinatie van kennis, ervaring en vaardigheden is ook de verhouding tussen mannen en vrouwen van belang. Daarom houden wij bij de invulling van vacatures uitdrukkelijk rekening met de man/vrouw-diversiteit. Wij streven naar een evenwichtige verdeling van mannen en vrouwen, dat wil zeggen minimaal 40% man of vrouw.

Eind 2025 bestond de raad van commissarissen uit twee mannen en drie vrouwen, zodat 60% van de samenstelling vrouw is. ONVZ realiseert hiermee in de raad van commissarissen de beoogde evenwichtige verdeling van vrouwen en mannen in topfuncties.

De tweehoofdige raad van bestuur bestond gedurende het gehele jaar 2025 uit twee mannen. Omdat er in 2025 geen vacatures waren bij de raad van bestuur, is de verdeling van mannen en vrouwen niet gewijzigd. Wanneer er in de toekomst een vacature ontstaat, houdt ONVZ bij het vervullen daarvan expliciet rekening met de man- vrouwverdeling binnen de raad van bestuur.

De verhouding bij clustermanagers, het hoogste managementniveau, voldoet ook aan de gewenste evenwichtige verdeling: drie vrouwen en vier mannen.

Risicomanagement

Risicomanagement vormt een integraal onderdeel van de bedrijfsvoering van ONVZ. Als zorgverzekeraar opereren wij in een omgeving die voortdurend in beweging is, onder invloed van maatschappelijke ontwikkelingen, veranderende wet- en regelgeving en economische onzekerheden. Risicomanagement helpt ONVZ om op een gestructureerde en samenhangende wijze inzicht te houden in risico’s en kansen die van invloed zijn op het realiseren van onze doelstellingen en om hier tijdig en bewust op te sturen.

Binnen ONVZ is risicomanagement ingericht als een continu proces. Dit proces ondersteunt het bestuur en het management bij het maken van afgewogen keuzes en draagt bij aan het behoud van vertrouwen van verzekerden, toezichthouders en andere stakeholders. Risicobewust handelen maakt daarbij onderdeel uit van de organisatiecultuur en het dagelijks handelen van medewerkers.

De doelstellingen van risicomanagement:

Het bevorderen van risicogestuurd werken door aandacht te geven aan de menselijke factor en de organisatiecultuur.
Het bewaken van de risicobereidheid door het periodiek toetsen van de beheersmaatregelen en de vastgestelde risicocategorie normen.
Het verschaffen van inzicht in relevante risico’s in relatie tot de (toekomstige) kapitaalbehoefte.
Het bijdragen aan het interne beheersingsproces door het waarborgen en monitoren van de kwaliteit, aantoonbaarheid en de uniformiteit van het risicobeheer.
Het borgen dat van toepassing zijnde (regelgevende) kaders in lijn zijn met het eigen risicomanagementframework van ONVZ.
Het faciliteren van uitvoering, onderhoud en evaluatie van de risicomanagementcyclus en het hierbij betrekken van de juiste stakeholders.

Risicobereidheid

De risicobereidheid beschrijft de soorten risico’s en de hoogte van de risico’s die ONVZ bereid is te lopen bij het realiseren van zijn doelstellingen. Aan de hand van kritische succesfactoren zijn verklaringen geformuleerd voor het realiseren van de strategie. Onderstaande tabel bevat een overzicht van de geformuleerde verklaringen.

Kritische succesfactoren	Verklaringen	Indicatoren
Financieel gezond	ONVZ beoogt een gezonde en stabiele financiële situatie te behouden.	• Solvency Capital Requirement (SCR)-ratio
Beheerste bedrijfsprocessen	ONVZ beheerst zijn (business)processen. Er is een beperkte tolerantie voor onvoorziene uitkomsten en verstoringen van processen.	• Effectieve werking van key controls
Datakwaliteit	Bij het nemen van beslissingen is er een redelijke mate van zekerheid over de kwaliteit van informatie, met betrekking tot essentiële stuurinformatie, Zvw-verantwoordingen en datastromen ten behoeve van Solvency II.	• Borging van datakwaliteit in processen • Vastgelegde procedures en protocollen
Uitbesteding	ONVZ voert beheerste en effectieve regie over kritieke uitbestedingen, conform het geldende uitbestedingsbeleid.	• Uitkomsten Third Party Memorandum (TPM-verklaringen) • Compliancy user controls • Compliancy bij leveranciers belegde controls
Informatiebeveiliging	ONVZ verwerkt informatie veilig, conform eisen aan beschikbaarheid, vertrouwelijkheid en integriteit, en is weerbaar tegen cyberdreigingen.	• Volwassenheid Informatiebeveiliging
Compliance	ONVZ hecht groot belang aan betrouwbaarheid. Dit betekent dat ONVZ oprechtheid, integriteit en zorgvuldigheid betracht in alle aspecten van de bedrijfsvoering en in relaties met partijen met wie ONVZ samenwerkt. Zakelijke transacties worden uitgevoerd en verantwoord in overeenstemming met wet- en regelgeving en interne kaders.	• Level of control (Risk Control Framework) • Opvolging van incidenten en bevindingen
Liquiditeit	ONVZ streeft ernaar te allen tijde aan zijn betalingsverplichtingen te kunnen voldoen. De liquiditeit is voldoende om verplichtingen met een looptijd korter dan twaalf maanden na te komen.	• Omzettijd beleggingen naar liquide middelen • Bandbreedte eigen vermogen/ returnportefeuille
Financieel gezond	Het uitgangspunt van ONVZ is het in stand houden van het reële eigen vermogen door middel van een defensieve beleggingsstrategie met beperkte volatiliteit.	• Risicobudget: % SII marktrisico van Eigen Vermogen

Per kritische succesfactor zijn indicatoren benoemd waarmee ONVZ kan beoordelen of een risico binnen zijn vastgestelde risicobereidheid valt. De naleving van de risicobereidheid wordt per kwartaal getoetst. Het resultaat hiervan geeft inzicht in de mate waarin ONVZ binnen de vastgestelde risicobereidheid acteert en/of er aanvullende maatregelen of acties noodzakelijk zijn.

De risicobereidheid wordt vastgesteld voor ONVZ als geheel en voor de verschillende juridische entiteiten. De raad van bestuur legt de vastgestelde risicobereidheid ter goedkeuring voor aan de raad van commissarissen na behandeling in de audit- en risicocommissie.

Belangrijkste risico’s in 2025

ONVZ voert jaarlijks een strategisch risk assessment uit. De raad van bestuur brengt samen met het managementteam de strategische risico’s in kaart. Het gaat om risico’s die, indien onbeheerst, het behalen van de strategische doelstellingen kunnen beïnvloeden.

ONVZ heeft op 1 oktober 2025 een overeenkomst gesloten met VGZ Zorgverzekeringen N.V. waarbij ONVZ vanaf 1 januari 2027 verzekeringen onder eigen label voor rekening en risico van VGZ verkoopt. Met deze transactie wordt ook het grootste deel van het personeel door de regeling ’overgang van onderneming’ overgedragen aan VGZ. ONVZ heeft ervoor gekozen om voor eigen rekening en risico de run-off uit te voeren van de verzekeringsportefeuille tot 31 december 2026. Deze run-off periode loopt tot einde 2029.

Gedurende 2025 is een Strategische Risk Assessment (SRA) uitgevoerd waarbij de raad van bestuur samen met het managementteam van ONVZ de strategische risico’s heeft gedefinieerd. De hier gedefinieerde strategische risico’s zijn opnieuw beoordeeld op kans en impact met de kennis van de met VGZ afgesloten transactie en in november opnieuw vastgesteld. De uitkomst van de beoordeling staat in figuur 1 en wordt hieronder nader toegelicht.

Waardeveranderingen als gevolg van economische instabiliteit
Informatiebeveiligingsrisico
Human resources
Kapitaaleisen
Risico- en compliance-incidenten

Hieronder volgt een beschrijving van de belangrijkste risico’s van ONVZ zoals geïdentificeerd in het strategisch risk assessment en de toegepaste beheersmaatregelen. De effectiviteit van de beheersmaatregelen wordt periodiek geëvalueerd. Waar van toepassing zijn interne audits, self-assessments en monitoringmechanismen ingezet. Over 2026 geldt dat de meeste beheersmaatregelen naar behoren functioneren, met enkele geïdentificeerde verbeterpunten waarvoor opvolging plaatsvindt. Specifiek voor het informatiebeveiligingsrisico geldt dat op basis van de DORA herijkte self-assessments en de in 2026 uitgevoerde Internal Audit, is vastgesteld dat het merendeel van de beheersmaatregelen effectief functioneert, met een beperkt aantal geïdentificeerde verbeterpunten waarvoor opvolging is ingezet.

Waardeveranderingen als gevolg van economische instabiliteit
Beschrijving	Beheersmaatregelen
Economische instabiliteit kan periodiek optreden als gevolg van uiteenlopende ontwikkelingen, zoals schommelingen op financiële markten, rente- en inflatieontwikkelingen of geopolitieke gebeurtenissen. Dergelijke ontwikkelingen kunnen leiden tot waardeveranderingen in beleggingen en daarmee invloed hebben op het financiële resultaat en de financiële positie van ONVZ. Door de transactie met VGZ verandert de beleggingshorizon van ONVZ als verzekeraar.	ONVZ voert een defensief beleggingsbeleid dat primair is gericht op kapitaalsbehoud en het beperken van risico’s. Dit beleid is vastgelegd in het Treasury Statuut en wordt uitgevoerd binnen een gemaximeerd risicobudget. Het beleid zal begin 2026 in lijn worden gebracht met de veranderende beleggingshorizon. De samenstelling en risico-exposure van de beleggingsportefeuille worden continu gemonitord, waarbij gestuurd wordt op het maximale risico dat acceptabel wordt geacht. Door deze inrichting wordt de impact van economische schokken op de financiële positie van ONVZ beperkt. De raad van bestuur wordt periodiek geïnformeerd over ontwikkelingen in de financiële markten en de benutting van het risicobudget en kan waar nodig tijdig bijsturen.
Informatiebeveiliging risico
Beschrijving	Beheersmaatregelen
Wanneer informatiebeveiliging niet in lijn is met de strategische richting van ONVZ kunnen er conflicten ontstaan tussen het behalen van bedrijfsresultaten en het beheren van risico's. Een inbreuk op informatiebeveiliging kan leiden tot aanzienlijke reputatieschade en een verlies van vertrouwen bij klanten, partners en andere belanghebbenden. Dit kan op zijn beurt de langetermijnstrategie van ONVZ ondermijnen en de klantloyaliteit aantasten. Het niet kunnen aantonen van de toereikendheid van informatiebeveiligingsmaatregelen kan leiden tot ingrijpen door toezichthouder(s).	ONVZ heeft een Information Security Management System (ISMS) ingericht dat gebaseerd is op de ISO27001- en ISO27002-standaarden. Op strategisch en tactisch niveau wordt de naleving periodiek getoetst op basis van de Informatiebeveiliging Self Assessment die vanaf 2025 is herijkt naar de DORA-regelgeving. Hierover wordt jaarlijks verantwoording afgelegd aan DNB. Operationele monitoring en bijsturing vindt plaatst op basis van vastgestelde Key Controls binnen het geldende interne controlesysteem.
Human resources
Beschrijving	Beheersmaatregelen
Vanwege demografische ontwikkelingen zal er meerjarig sprake zijn van krapte op de arbeidsmarkt. Dat lijkt een gegeven. Maar door te zorgen dat zittende medewerkers gelukkig zijn, de retentie en aanbeveling door hen op de arbeidsmarkt hoog zijn en door te werken aan een sterk werkgeversmerk en gerichte werving kan het risico gemitigeerd worden. In het licht van de overgang van onderneming naar VGZ wordt voor 2026 rekening gehouden met versterkte uitstroom – ook op sleutelposities. Voor zover noodzakelijk moeten posities tijdelijk worden ingevuld.	HR business partners worden proactief gepositioneerd naast de leidinggevenden om tijdig personele mutaties te signaleren en hierop passende acties te initiëren. Een leiderschapsprogramma, iin samenwerking met de HR business partners, wordt ingezet om de leidinggevende te ondersteunen en bij te staan om hun rol effectief te vervullen. Waar nodig zullen interventies worden ingezet en gefaciliteerd (training, extra capaciteit, ziekteverzuimbegeleiding). De voortgang wordt gemonitord via bestaande KPI’s: ziekteverzuim en signalering vanuit de HR business partners.
Kapitaaleisen
Beschrijving	Beheersmaatregelen
ONVZ hanteert voor haar entiteiten een actuarieel vastgestelde streefsolvabiliteit van 130%. Dit niveau biedt een buffer boven de wettelijke solvabiliteitsgrens van 100% om schommelingen en onzekerheden in de risicopositie op te vangen. De berekening van de Solvency Capital Requirement (SCR) na het vervallen van de verzekeringstechnische risico’s laat een significante stijging van de SCR-ratio zien. Hierdoor bevindt de solvabiliteitspositie zich ruimschoots boven de door ONVZ gehanteerde streefsolvabiliteit van 130%, waarmee het risico op het niet voldoen aan deze norm momenteel als laag wordt ingeschat..	De solvabiliteitspositie van ONVZ wordt structureel gemonitord aan de hand van de SII-ratio. De streefsolvabiliteit wordt jaarlijks opnieuw vastgesteld op basis van actuariële analyses. In het kapitaalbeleid zijn interventieniveaus en bijbehorende herstelmaatregelen vastgelegd, waarbij onderscheid wordt gemaakt tussen gewenste, acceptabele, ongewenste en onacceptabele solvabiliteitsniveaus. Afhankelijk van de oorzaak en ernst van een afwijking worden passende maatregelen ingezet, zoals beschreven in het kapitaalbeleid. De raad van bestuur wordt periodiek geïnformeerd over de ontwikkeling van de solvabiliteit en neemt waar nodig tijdig besluiten om de kapitaalpositie te waarborgen.
Risico & compliance incidenten
Beschrijving	Beheersmaatregelen
ONVZ opereert in een sterk gereguleerde omgeving waarin het naleven van wet- en regelgeving en interne kaders essentieel is voor het behoud van vertrouwen van verzekerden, toezichthouders en andere stakeholders. Ondanks bestaande kaders en processen bestaat het risico dat zich risico- en compliance-incidenten voordoen, bijvoorbeeld als gevolg van menselijke fouten, onvoldoende naleving van interne afspraken of tekortschietende beheersing in processen. Dergelijke incidenten kunnen leiden tot toezichthouderinterventies, financiële consequenties en reputatieschade. Gezien de verwachte personeelsmutaties ligt de nadruk in 2026 op het beheerst voorkomen en tijdig signaleren van incidenten en daarop acties uitzetten binnen de bestaande kaders.	ONVZ heeft haar risicobeheersing en compliance ingericht binnen de reguliere bedrijfsvoering. Incidenten en signalen worden geregistreerd, geanalyseerd en opgevolgd via vastgestelde processen. De werking van beheersmaatregelen wordt periodiek gemonitord en besproken, waarbij aandacht is voor zowel formele compliance-vereisten als integriteit en gedrag binnen de organisatie. Bevindingen van interne en externe toezichthouders worden structureel opgevolgd. De raad van bestuur wordt periodiek geïnformeerd over relevante risico- en compliance-incidenten en stuurt waar nodig bij om herhaling te voorkomen en de interne beheersing te versterken. Gegeven deze bestaande beheersmaatregelen en de wijze waarop incidenten worden gesignaleerd en opgevolgd, wordt het restrisico als laag ingeschat.

Risico’s worden continu gemonitord en de beheersmaatregelen worden periodiek beoordeeld op effectiviteit. Per kwartaal wordt hierover gerapporteerd aan de raad van bestuur. Eventuele verschuivingen in het risicoprofiel als gevolg van wijzigingen in de externe en/of interne context worden inzichtelijk gemaakt. Waar nodig worden aanvullende beheersmaatregelen door de risico-eigenaar benoemd en uitgevoerd.

Vanwege de potentiële impact van deze risico’s wordt de mogelijke impact van deze risico’s ook via scenario-analyses jaarlijks doorgerekend in het Own Risk & Solvency Assessment (ORSA).

Own Risk and Solvency Assessment (ORSA)

Het Own Risk and Solvency Assessment (ORSA) is voor ONVZ een belangrijk instrument om te kijken naar de relevante risico’s die het bereiken van de strategische doelstellingen bedreigen in relatie tot de (toekomstige) kapitaalbehoefte van ONVZ.

Voor een gezonde bedrijfsvoering hanteert ONVZ voor alle entiteiten een streefnorm van 130% uitgedrukt in de SII-ratio. Dit wordt jaarlijks vastgesteld in het kapitaalbeleid en is gebaseerd op de Solvency II-eis, aangevuld met een risicogewogen buffer. Wanneer het niveau van 120% SII-ratio wordt bereikt (per entiteit), neemt ONVZ maatregelen om verdere daling te voorkomen en vervolgens zo snel als mogelijk terug boven 120% SII-ratio te komen. Bij dit interventieniveau kunnen zowel maatregelen worden genomen om de SCR te verlagen of om het eigen vermogen te verhogen.

In 2025 heeft ONVZ een ORSA uitgevoerd op basis van de met VGZ gesloten overeenkomst. ONVZ voert in 2026 de zorgverzekeringen voor eigen rekening en risico uit waarbij het aanwezige kapitaal en solvabiliteit genoeg is om een premie neer te zetten die naar verwachting van ONVZ marktconform is. De technische voorziening per 31 december 2026 zal ruim voldoende zijn om de verplichtingen in de run-off te kunnen afwikkelen.

Deze ORSA gaat in op de korte-termijnrisico’s en de lange-termijnrisico’s die zijn ontstaan door de transactie met VGZ. ONVZ heeft aan de hand van de belangrijkste risico’s en de hierboven beschreven ontwikkelingen de volgende ORSA-scenario’s uitgewerkt.

ORSA scenario’s	Risico’s
Bedrijfskosten	Scenario waarin bedrijfskosten toenemen, mede door het wegvallen van cruciale kennis en de inzet van externe expertise.
Verzekerdenkrimp	Scenario waarin de omvang en samenstelling van de verzekerdenportefeuille negatief verandert.
Verzekeringstechnisch scenario	Verzekeringstechnisch scenario volgens modaliteiten van de onzekerheidsanalyse van het premiebesluit.
Security of ransomware	Scenario waarin een ernstig informatiebeveiligingsincident, zoals ransomware, de bedrijfsvoering verstoort.

Deze scenario’s zijn individueel over één projectiejaar doorgerekend en geven inzicht in het effect op de Solvency Capital Requirement (SCR)-ratio waarbij er rekening gehouden wordt met de onzekerheden in de toekomst. Op basis van deze uitkomsten kan ONVZ eventueel het beleid bijstellen en/of maatregelen ter voorkoming of verkleining van de risico’s nemen om de gewenste solvabiliteit te behouden. De ORSA legt daarmee de relatie tussen beleid, risico- en kapitaalmanagement.

De uitgevoerde ORSA heeft als uitgangspunt de ultimo 2025 beste inschatting van resultaat en vermogen en de begroting 2026. Het referentiescenario is vanuit dit vertrekpunt, rekening houdend met de strategie en de focus 2026, doorvertaald over een projectiejaar. ONVZ realiseert zich dat gedurende het lopende jaar nieuwe inzichten kunnen ontstaan die impact zouden kunnen hebben op het referentiescenario. Voor een zorgverzekeraar geldt daarbij ook nog dat er in het lopende jaar een aanzienlijke onzekerheid blijft over de resultaatontwikkeling. Ondanks bovenstaande mogelijke beperking is de inschatting dat het model robuust is en de impact van de scenario’s plausibel, dat technisch herstel goed mogelijk is en daarmee het streefniveau van 130% haalbaar.

Governance interne beheersing

ONVZ hanteert het three lines model als uitgangspunt voor de inrichting van de interne beheersing. Dit model zorgt voor een heldere rolverdeling tussen de uitvoering van werkzaamheden, het toezicht op risico’s en de onafhankelijke beoordeling daarvan. Hierdoor is voor alle betrokkenen duidelijk waar verantwoordelijkheden liggen en hoe risico’s binnen de organisatie worden beheerst.

Eerste lijn

De eerste lijn is primair verantwoordelijk voor het beheersen van risico’s binnen de dagelijkse bedrijfsvoering. Eindverantwoordelijke managers zijn verantwoordelijk voor het ontwerp, de werking en het onderhoud van het systeem van interne beheersing binnen hun processen en systemen.

De eerste lijn voert het risicobeleid uit, brengt risico’s in kaart via risicoanalyses (zoals strategische risicoanalyses en risk self-assessments) en is verantwoordelijk voor het vaststellen en toepassen van passende beheersmaatregelen. Daarmee draagt de eerste lijn zorg voor het realiseren van de strategie binnen de vastgestelde kaders en het beheerst uitvoeren van werkprocessen.

Solvency II sleutelfuncties

Tweede lijn

De tweede lijn ondersteunt en bewaakt de kwaliteit van het risicomanagement en de interne beheersing. Zij is verantwoordelijk voor het ontwikkelen en onderhouden van het risicobeleid en het bevorderen van een consistente, aantoonbare en uniforme toepassing daarvan binnen de organisatie.

De tweede lijn vervult een onafhankelijke, toetsende en adviserende rol ten opzichte van de eerste lijn en monitort of risico’s en beheersmaatregelen op een passende wijze zijn ingericht en uitgevoerd. Binnen de tweede lijn werken verschillende disciplines samen, waaronder de risicomanagementfunctie, de compliance functie, de actuariële functie en de fraudecoördinator.

De risicomanagementfunctie en de actuariële functie worden uitgevoerd door twee externe partijen. Deze inrichting past bij de omvang en context van ONVZ en draagt bij aan een deskundige en onafhankelijke invulling van de tweede lijn.

Derde lijn

De derde lijn wordt ingevuld door de Internal Auditfunctie, en wordt eveneens uitgevoerd door een externe partij. De Internal Auditfunctie is onafhankelijk gepositioneerd ten opzichte van de eerste en tweede lijn en verstrekt onafhankelijke en objectieve assurance en adviezen over de opzet, werking en effectiviteit van governance, risicomanagement en interne beheersing. De bevindingen worden gerapporteerd aan de raad van bestuur en de raad van commissarissen.

Conform de eisen van Solvency II zijn binnen ONVZ vier sleutelfuncties ingericht: de compliancefunctie, risicomanagementfunctie, actuariële functie en interne auditfunctie. Deze functies rapporteren rechtstreeks aan de raad van bestuur, en hebben directe en onbeperkte toegang tot de dagelijkse bedrijfsvoering, de Audit & Risico Commissie en de raad van commissarissen. Indien nodig kunnen deze functies formeel escaleren naar zowel de Audit & Risico Commissie als de raad van commissarissen. Deze structuur waarborgt dat de sleutelfuncties onafhankelijk kunnen opereren en hun taken effectief kunnen uitvoeren binnen het risicomanagement- en governancekader van ONVZ.

Risicomanagementproces

Het risicomanagementproces bestaat uit het systematisch toepassen van beleid, procedures en werkwijzen op de activiteiten met betrekking tot het identificeren, beoordelen, reageren, implementeren, bewaken en rapporteren van risico’s met als doel het realiseren van operationele, tactische en strategische doelstellingen.

ONVZ hanteert de volgende hoofdrisicocategorieën:

Hoofd risicocategorieën
1. Financieel marktrisico
2. Tegenpartijrisico
3. Verzekeringstechnisch risico
4. Liquiditeitsrisico
5. Operationeel risico

Deze hoofdcategorieën bestaan nog uit diverse subcategorieën.

1. Financieel marktrisico

Het financieel marktrisico wordt gedefinieerd als het risico op verliezen of op een ongunstige verandering in de financiële situatie als direct of indirect gevolg van schommelingen in het niveau en de volatiliteit van de marktprijzen van activa, verplichtingen en financiële instrumenten. In 2025 is het financieel marktrisico relatief beperkt gebleven en binnen de risicobereidheid, mede door de defensieve inrichting van de beleggingsportefeuille.

1.1 Renterisico

Het risico dat veranderingen in het niveau of de volatiliteit van rentetarieven leiden tot ongunstige effecten op de waarde van activa, verplichtingen en financiële instrumenten. Dit omvat tevens risico’s voortvloeiend uit mismatch tussen rentegevoelige activa en passiva (incl. off-balanceposities), herbeleggingsrisico, toegezegde rendementsgaranties en embedded options.

1.2 Koersrisico

Het risico dat veranderingen in het niveau of de volatiliteit van beleggingsfondsen leiden tot waardeveranderingen van activa, verplichtingen en financiële instrumenten.

1.3 Vastgoedrisico

Het risico dat veranderingen in het niveau of de volatiliteit van vastgoedmarkten leiden tot waardeveranderingen van activa, verplichtingen en financiële instrumenten.

1.4 Spreadrisico

Het risico dat veranderingen in kredietspreads boven de risicovrije rentetermijnstructuur leiden tot waardeveranderingen van activa, verplichtingen en financiële instrumenten.

1.5 Valutarisico

Het risico dat veranderingen in wisselkoersen leiden tot waardeveranderingen van activa, verplichtingen en financiële instrumenten.

1.6 Concentratierisico

Het risico dat extra verliezen ontstaan als gevolg van onvoldoende diversificatie of een significante blootstelling aan één emittent of een groep van verbonden emittenten.

2. Tegenpartijrisico

Het tegenpartijrisico wordt gedefinieerd als het risico op verliezen of op een ongunstige verandering in de financiële situatie als gevolg van schommelingen in de kredietwaardigheid van tegenpartijen en debiteuren waaraan ONVZ in de vorm van een tegenpartijrisico blootstaat.

ONVZ onderscheidt drie type tegenpartijen:

verzekerden, verzekeringsadviseurs en collectiviteiten
financiële instellingen
zorgverleners

In 2025 hebben zich geen materiële verliezen voorgedaan voortvloeiend uit het tegenpartijrisico. De blootstelling is in lijn met voorgaand jaar en wordt periodiek gemonitord.

3. Verzekeringstechnisch risico

Het verzekeringstechnisch risico wordt gedefinieerd als het risico dat uitkeringen niet gefinancierd kunnen worden uit premie- en/of beleggingsinkomsten als gevolg van onjuiste en/of onvolledige (technische) aannames en grondslagen bij de ontwikkeling en premiestelling van het product.

ONVZ schat bij zijn premiestelling en vaststelling van voorzieningen deze risico’s vooraf zo goed mogelijk in en tracht deze waar mogelijk te verkleinen of in zijn geheel te mitigeren.

4. Liquiditeitsrisico

Het liquiditeitsrisico wordt gedefinieerd als het risico dat verzekeringsondernemingen geen beleggingen en andere activa te gelde kunnen maken om aan hun financiële verplichtingen te voldoen wanneer deze opeisbaar zijn.

Het liquiditeitsbeleid is erop gericht om te allen tijde aan de verplichtingen te kunnen voldoen. ONVZ houdt de gelden die op korte termijn nodig zijn voor betalingen aan op Nederlandse bankrekeningen. Het restant van de matchingportefeuille wordt aangehouden in een geldmarktfonds. Dit geldmarktfonds kan binnen één dag liquide gemaakt worden. Eventuele tekorten in de omvang van de liquiditeiten worden uit de matchingportefeuille aangevuld door een mutatie in de participaties van het geldmarktfonds. Eventuele overschotten worden door mutaties in de participaties binnen het geldmarktfonds opgenomen in de matchingportefeuille. ONVZ heeft gedurende het jaar aan zijn betalingsverplichtingen kunnen voldoen en zijn er geen signalen geweest van verhoogde liquiditeitsdruk.

5. Operationeel risico

Het operationeel uitvoeringsrisico wordt gedefinieerd als het risico op verliezen door inadequate of falende interne procedures, personeel of systemen of door externe gebeurtenissen.

De operationele risico’s worden binnen ONVZ onder meer gemonitord op basis van prestatie-indicatoren. De beheersing van de zorgkosten is aangescherpt door controle activiteiten continu te verbeteren. Deze controle activiteiten omvatten naast formele controle ook fraudebestrijding, controle op misbruik en oneigenlijk gebruik en controle op gepast gebruik. ONVZ beschikt over een fraudecoördinator. Deze verricht in samenwerking met betrokken afdeling(en) diepgaande fraudeonderzoeken met als doel het mitigeren van het fraudegevoeligheidsrisico van ONVZ.

Daarnaast bewaakt de HR-afdeling dat alle medewerkers en flexkrachten met klantadvies en klantcontact voldoen aan de daarvoor geldende wettelijke vakbekwaamheidseisen. ONVZ brengt proactief en planmatig de benodigde competenties voor de toekomst in kaart op basis van ambitie van de organisatie, wetgeving en andere ex- en interne ontwikkelingen, strategie, en organisatieontwikkeling.

5.1 Bedrijfscontinuïteitsrisico

Het beleid ten aanzien van bedrijfscontinuïteitsmanagement (BCM) beperkt het bedrijfscontinuïteitsrisico. Zo heeft ONVZ maatregelen genomen waarmee aanzienlijke verstoringen van bedrijfskritieke ketens worden voorkomen. Anderzijds beschikt ONVZ over bedrijfscontinuïteitsplannen die erop gericht zijn om na onderbreking of uitval van kritische bedrijfsprocessen deze processen en de beschikbaarheid van informatie in de vastgestelde tijdspanne weer op het vereiste niveau te brengen. Rollen en verantwoordelijkheden voor BCM zijn toegewezen aan medewerkers door de hele organisatie heen.

5.2 Omgevingsrisico

Het omgevingsrisico wordt gedefinieerd als het risico als gevolg van buiten de organisatie of groep komende veranderingen op het gebied van concurrentieverhoudingen, belanghebbenden, reputatie, ondernemingsklimaat en politiek.

De omgeving waarin ONVZ opereert wordt in zeer grote mate gekaderd door wet- en regelgeving en beleid dat de Rijksoverheid opstelt. Een belangrijk deel van de speelruimte en de relatieve concurrentiepositie van ONVZ wordt hierdoor bepaald. De afhankelijkheid van stakeholders beslaat een grote diversiteit aan gremia: polishouders, verzekeringsadviseurs, toezichthouders en belangenbehartigers.

5.3 Informatiebeveiligings- en cyberrisico

Het informatiebeveiligings- en cyberrisico betreft het risico dat de beschikbaarheid, integriteit en vertrouwelijkheid van informatie en IT-systemen onvoldoende is gewaarborgd door tekortkomingen in het stelsel van preventieve, detectieve, repressieve en correctieve beheersmaatregelen en/of als gevolg van digitale dreigingen. Dit kan leiden tot verstoring van de operationele continuïteit, financiële schade, reputatieschade en/of non-compliance met wet- en regelgeving.

5.4 Integriteitsrisico

Het integriteitsrisico wordt gedefinieerd als het risico dat de integriteit van de instelling dan wel het financiële stelsel wordt beïnvloed als gevolg van niet-integere, onethische en frauduleuze gedragingen van de organisatie, medewerkers of van de leiding ten aanzien van wet- en regelgeving en maatschappelijke en door de instelling opgestelde normen.

Integriteit is een wezenlijk kenmerk van een professionele en betrouwbare organisatie. Het bevordert niet alleen de efficiëntie, de interne transparantie en samenwerking, maar ook het vertrouwen. Als zorgverzekeraar opereert ONVZ in een speelveld dat volop in de aandacht staat in het politieke en publieke domein. ONVZ wil hoogwaardige en integere dienstverlening leveren die aansluit bij zijn kernwaarden. ONVZ heeft uitgebreide pre- en in-employment screening. Om medewerkers bewust te maken van het belang dat gehecht wordt aan een integere omgang met verzekerden en de reputatie van de zorgverzekeraarsbranche is de verzekeringseed of -belofte verplicht gesteld. Ook worden er periodiek op awareness bevorderende activiteiten en trainingen gegeven.

Hiernaast beschikt ONVZ over een integriteitsbeleid dat aansluit bij zijn strategie en doelen. Om het integriteitsbeleid actueel te houden wordt dit periodiek geëvalueerd. Startpunt voor de evaluatie van het integriteitsbeleid is het uitvoeren van een systematische integriteitsrisicoanalyse (SIRA). De SIRA levert ONVZ belangrijke informatie over potentiële integriteitsrisico’s die ONVZ loopt en de mate waarin deze beheerst worden.

5.5 Juridisch risico

Het juridisch risico wordt gedefinieerd als het risico samenhangend met (veranderingen in en naleving van) wet- en regelgeving, het mogelijk bedreigd worden van zijn rechtspositie, met inbegrip van de mogelijkheid dat contractuele bepalingen niet afdwingbaar of niet correct gedocumenteerd zijn.

Zowel de fraude- en integriteitsrisico’s als de juridische risico’s worden gemonitord door de compliance officer ondersteund door de fraudecoördinator. Dit is een onafhankelijke functie binnen ONVZ. De compliance officer helpt ONVZ bij de beheersing van de fraude-, integriteitsrisico’s en de juridische risico’s. Negatieve publiciteit, ingrijpende sancties en/of mogelijk juridische vervolging worden hierdoor zoveel mogelijk voorkomen.

5.6 Uitbestedingsrisico

Het uitbestedingsrisico wordt gedefinieerd als het risico dat de continuïteit, integriteit en/of kwaliteit van de aan derden (al dan niet binnen een groep, al dan niet aan de sponsor) uitbestede werkzaamheden dan wel door deze derden ter beschikking gestelde apparatuur en personeel worden geschaad. Alle uitgangspunten voor uitbesteding zijn opgenomen in het outsourcingsbeleid.

ONVZ heeft op diverse gebieden uitbestedingspartners:

Het operationele vermogensbeheer is uitbesteed aan GSAM. Deze vermogensbeheerder opereert binnen de kaders van de daartoe opgestelde overeenkomst. De vermogensbeheerder heeft daarbij geen mandaat zelfstandig beleggingsbeslissingen te nemen. Besluitvorming hierover ligt volledig binnen de interne governance van ONVZ.
De actuariële functie en de risicomanagementfunctie zijn uitbesteed aan Triple A - Risk Finance B.V.
De audit functie is uitbesteed aan InAudit B.V.
De ICT-architectuur en -infrastructuur van ONVZ bestaan voor een belangrijk deel uit cloud- en SaaS-oplossingen. Het onderhoud hiervan is uitbesteed aan partners van ONVZ zoals Truston, Oracle, Solvinity, Microsoft, Wortell, Harmony, Incentro en TKC.

ONVZ heeft de beheersorganisatie hierop ingericht. Deze bestaat op hoofdlijnen uit het vastleggen van beveiligingsvereisten in contracten bij nieuwe uitbestedingen, de jaarlijkse herijking van de afhankelijkheid van IT-leveranciers door middel van een risicoanalyse van alle IT-uitbestedingen en de jaarlijkse beoordeling van assurance-rapportages (ISAE 3402 of SOC 2) van alle kritieke IT-leveranciers. Zowel de herijking als de beoordeling van assurance-rapportages kunnen aanleiding geven tot het treffen van aanvullende (beheers)maatregelen.

5.7 Belastingrisico

Het belastingrisico wordt gedefinieerd als het risico dat zich voor kan doen bij bestaande en toekomstige fiscale transacties en in bedrijfsprocessen.

Om de kans op potentiële belastingrisico’s te verkleinen zijn de belastingrisico’s onderdeel van het risicomanagementraamwerk. Het gaat hierbij om het detecteren van fiscale risico’s en het inzetten van middelen om de potentiële fiscale risico’s te managen om zo een laag tolerantieniveau te handhaven. De Belastingdienst heeft op basis hiervan het Horizontaal Toezicht Convenant met ONVZ gesloten. Horizontaal toezicht bevordert een open en transparante relatie tussen ONVZ en de Belastingdienst.

5.8 Klimaatrisico

Het klimaatrisico wordt gedefinieerd als het risico dat kan ontstaan door de blootstelling van de financiële instellingen aan de gevolgen van klimaatverandering en milieuaantasting.

Klimaatrisico’s voor ONVZ worden onderverdeeld in fysieke risico’s en risico’s die voortvloeien uit de transitie naar een klimaatneutrale economie. Beide risico’s kunnen zich vertalen in financiële risico’s en daarmee gevolgen hebben voor ONVZ. In 2025 zijn de hieraan gerelateerde risico’s herijkt aan de hand van een emerging risk assessment. Dit assessment heeft geleid tot een risicoprofiel dat voor dit moment nog geen aanleiding geeft beheersmaatregelen in te richten.

Wet- en regelgeving en gedragscodes

Als zorgverzekeraar heeft ONVZ te maken met veel wettelijke regelingen en codes, zowel intern als extern.

Wettelijke regelingen

Digital Operational Resilience Act (DORA)
Zorgverzekeringswet (Zvw)
Wet langdurige zorg (Wlz)
Wet marktordening gezondheidszorg (Wmg)
Wet op het financieel toezicht (Wft)
Algemene verordening gegevensbescherming (AVG)
Wet Digitale Overheid

Extern

Cao Verzekeringsbedrijf
Catastroferegeling
Convenant Tipgelden OM, politie en Verbond van Verzekeraars
Coronaregelingen voor continuïteitsbijdragen en meerkosten
Gedragscode Goed Zorgverzekeraarschap ZN
Gedragscode Persoonlijk Onderzoek
Gedragscode Verwerking Persoonsgegevens Zorgverzekeraars ZN
HIV-gedragscode
Moratorium erfelijkheidsonderzoek Verbond van Verzekeraars
Nederlandse Corporate Governance Code
Protocol Incidentenwaarschuwingssysteem Financiële Instellingen
Protocol materiële controle ZN
Protocol Verzekeraars & Criminaliteit Verbond van Verzekeraars
Solidariteitsregeling Zorgverzekeraars
Uniforme maatregelen ZN

Intern

Beleidsrichtlijn Beloningsbeleid
Beleidsrichtlijn Betrouwbaarheid en geschiktheid
Beleidsrichtlijn Klachtenbehandeling
Beleidsrichtlijn Uitbesteding
Charter Actuariële functie
Charter Auditfunctie
Charter Compliancefunctie
Charter Informatiebeveiliging
Charter Riskmanagement
Compliance regeling Mededinging
Eed/belofte
Fraudebeleid
Geschiktheidsregeling tweede echelon
Handboek personeel
Incidentenregeling
Klokkenluidersregeling
Privacy beleid
Procedure meldplicht datalek
Regeling Belangenverstrengeling
Richtlijn Agressie, discriminatie en ongewenste intimiteiten
Gedragscode voor Informatie- en communicatiemiddelen
Informatiebeveiligingsbeleid
Richtlijn Integriteit
Screeningsregeling
Vakbekwaamheidseisen