Lov om forsikringsvirksomhed i tværgående pensionskasser, livsforsikringsselskaber og skadesforsikringsselskaber m.v. (lov om forsikringsvirksomhed) § 134

Det følger af den gældende § 72 b i lov om finansiel virksomhed, at forsikringsselskaber kan outsource en proces, en tjenesteydelse eller en aktivitet, som selskaberne ellers selv ville udføre, til en tjenesteyder under visse nærmere fastsatte betingelser.

Det følger af den gældende § 72 c i lov om finansiel virksomhed, at § 72 b, stk. 2-4, og regler fastsat i medfør af § 72 a, stk. 3, og § 72 b, stk. 6, i lov om finansiel virksomhed ikke gælder for virksomhedernes autentifikation af brugere ved anvendelse af MitID-løsningen, jf. lov om MitID og NemLog-in.

Den foreslåede § 134 viderefører den gældende § 72 b i lov om finansiel virksomhed med redaktionelle ændringer og viderefører den gældende § 72 c i lov om finansiel virksomhed for så vidt angår de dele, der vedrører forsikringsselskaber (§ 72 b). Den foreslåede bestemmelse medfører ikke materielle ændringer.

Outsourcingreglerne har bl.a. til formål at sikre, at forsikringsselskaber, i tilfælde af outsourcing, fortsat bærer ansvaret for de opgaver, der udføres hos tjenesteyderen samt at sikre, at Finanstilsynet fortsat kan udøve et effektivt tilsyn. Ved outsourcing skal forsikringsselskaber derfor sikre, at de har kontrol over opgaverne, og at forsikringsselskaberne har mulighed for at udøve nødvendig indflydelse på opgavernes udførelse.

Det foreslås i stk. 1, at forsikringsselskaber kan outsource en proces, en tjenesteydelse eller en aktivitet, som virksomheden ellers selv ville udføre, til en tjenesteyder.

Ved vurderingen af, om virksomheden selv ville udføre en outsourcet proces, tjenesteydelse eller aktivitet, bør det overvejes, om den proces, tjenesteydelse eller aktivitet, eller dele heraf, der outsources til en leverandør, udføres gentagne gange eller løbende af leverandøren, og om denne proces, tjenesteydelse eller aktivitet, eller dele heraf, normalt ville falde indenfor rammerne af processer, tjenesteydelser eller aktiviteter, der realistisk set ville eller kunne udføres af virksomheden, også selvom virksomheden ikke selv har udført denne proces, tjenesteydelse eller aktivitet eller dele heraf tidligere.

Hvis det outsourcede kan kategoriseres som enten en proces, tjenesteydelse eller en aktivitet, finder reglerne anvendelse, også selvom det outsourcede kan kategoriseres i mere end én af de pågældende kategorier.

En virksomhed bør til enhver tid opretholde tilstrækkelig substans og ikke blive "tomme skaller" eller "postboks-selskaber”. Virksomheder kan eksempelvis ikke outsource ledelsesorganets effektive udøvelse af det ansvar, som påhviler medlemmerne af ledelsesorganet.

Det foreslås i stk. 2, nr. 1-4, at forsikringsselskaber skal sikre, at outsourcing af kritiske eller vigtige operationelle funktioner eller aktiviteter ikke foregår på en måde, der kan medføre en væsentlig forringelse af kvaliteten af ledelsessystemet i forsikringsselskabet, medføre en unødig forøgelse af den operationelle risiko, forringe tilsynsmyndighedernes mulighed for at kontrollere, at selskabet overholder sine forpligtelser, eller være til hinder for, at forsikringsselskabet til enhver tid kan tilbyde forsikringstagerne en tilfredsstillende service.

Det er en afgørende forudsætning for outsourcing, at forsikringsselskaberne sikrer, at outsourcingen ikke medfører forringelse i forhold til de omhandlede områder. De nærmere krav, der skal iagttages, fremgår for gruppe 1-forsikringsselskaber i Solvens II-forordningens artikel 274, mens de nærmere krav, der skal iagttages af gruppe 2-forsikringsselskaber, vil fremgå af de regler, som erhvervsministeren bemyndiges til at udstede.

For gruppe 2-forsikringsselskaber er der ikke tale om en implementering af EU-retlige regler, men indførelse af nationale regler, der skal sikre ensartede forretningsbetingelser for både gruppe 1- og gruppe 2-forsikringsselskaber i Danmark. Dette følger af erhvervsministeriets forslag om, at gruppe 2-forsikringsselskaber skal følge samme regler som gruppe 1-forsikringsselskaber. Formålet er at regulere forsikringsselskaberne ud fra princippet om, at ensartet virksomhed bør efterleve de samme regler, så de danske forbrugere sikres en ensartet beskyttelse.

Det er i udgangspunktet op til forsikringsselskaberne at vurdere, om den outsourcede funktion eller aktivitet er en kritisk eller vigtig funktion eller aktivitet for forsikringsselskabet. Ved vurderingen bør forsikringsselskaberne bl.a. skele til, om funktionen eller aktiviteten er vigtig for selskabets drift, således at forsikringsselskabet ikke ville kunne tilbyde forsikringstagerne sin service uden denne funktion eller aktivitet. Det beror således på en konkret vurdering, om den outsourcede funktion eller aktivitet er en kritisk eller vigtig funktion eller aktivitet.

En række outsourcingsarrangementer vil dog almindeligvis udgøre outsourcing af kritiske eller vigtige funktioner eller aktiviteter. Dette omfatter f.eks. outsourcing af produktudvikling, fastsættelse af forsikringsbetingelser og tarifering, diskretionær porteføljepleje, skadesbehandling, it-drift og -sikkerhed, regnskabs-/solvensopgørelser, databehandling og -opbevaring og outsourcing af nøglefunktioner.

Omvendt er der også en række outsourcingsarrangementer, som almindeligvis ikke vil udgøre outsourcing af kritiske eller vigtige funktioner eller aktiviteter. Dette omfatter f.eks. investeringer i investeringsforeninger, rådgivning, der ikke relaterer sig til forsikringsaktiviteter, herunder juridisk rådgivning, personaleoplæring, køb af markedsinformation og HR-ydelser, herunder rekruttering af medarbejdere m.v.

Med lovforslagets § 312, stk. 1, foreslås det, at overtrædelse af den foreslåede bestemmelses stk. 2 kan straffes med bøde.

Ansvarssubjektet er forsikringsselskabet. Det betyder, at hvis et forsikringsselskab ikke sikrer, at en oursourcing af kritiske eller vigtige operationelle funktioner eller aktiviteter foregår på en måde, der ikke medfører en væsentlig forringelse af kvaliteten af ledelsessystemet i forsikringsselskabet eller en unødig forøgelse af den operationelle risiko, ikke forringer tilsynsmyndighedernes mulighed for at kontrollere, at forsikringsselskabet overholder sine forpligtelser eller ikke er til hinder for, at forsikringsselskabet til enhver tid kan tilbyde forsikringstagerne en tilfredsstillende service, kan dette straffes med bøde.

Det foreslås i stk. 3, 1. pkt., at forsikringsselskaber i god tid skal underrette Finanstilsynet om en forestående outsourcing af kritiske eller vigtige funktioner eller aktiviteter.

Det foreslås i stk. 3, 2. pkt., at Finanstilsynet endvidere skal underrettes om væsentlige forandringer for de i 1. pkt. nævnte funktioner eller aktiviteter.

Den foreslåede § 134, stk. 3, er en direktivnær implementering af artikel 49 i Solvens II-direktivet.

Ved vurderingen af om Finanstilsynet skal underrettes om virksomhedens outsourcing, bør virksomheden som minimum overveje, om outsourcingen kan have en kritisk eller vigtig indvirkning på den fortsatte levering af virksomhedens forretnings- og tilladelsespligtige aktiviteter.

Hvad der forstås ved i god tid vil bero på den konkrete situation. Ved vurderingen af underretningstidspunktet skal indgå Finanstilsynets mulighed for at gøre indsigelser mod eller fremkomme med bemærkninger til den påtænkte outsourcing. Perioden skal således være tilstrækkelig lang til at sikre, at en sådan indsigelsesadgang ikke gøres illusorisk. En manglende indsigelse fra Finanstilsynet vil imidlertid ikke være udtryk for en godkendelse af den påtænkte outsourcing, og at Finanstilsynet ved en efterfølgende vurdering af en påbegyndt outsourcing ikke vil kunne reagere over for forhold, der ikke lever op til reglerne.

Med lovforslagets § 312, stk. 1, foreslås det, at overtrædelse af den foreslåede bestemmelses stk. 3 kan straffes med bøde. Ansvarssubjektet er forsikringsselskabet. Det betyder, at et forsikringsselskab, der ikke underretter Finanstilsynet om en forestående outsourcing af kritiske eller vigtige operationelle funktioner eller aktivitet i god tid, kan straffes med bøde. Et forsikringsselskab vil også kunne straffes med bøde, hvis det ikke underretter Finanstilsynet om væsentlige forandringer af outsourcede kritiske eller vigtige operationelle funktioner eller aktiviteter.

Det foreslås i stk. 4, at forsikringsselskaber er ansvarlige for samtlige outsourcede funktioner eller aktiviteter.

Ved outsourcing skal forsikringsselskabet således fortsat sikre sig kontrol over opgaverne og have mulighed for at udøve nødvendig indflydelse på opgavernes udførelse. Det gælder ikke mindst i forhold til virksomhedens mulighed for at udøve indflydelse på situationer, hvor en leverandør ønsker at foretage videreoutsourcing til en underleverandør.

Det følger af Solvens II-direktivets artikel 49, nr. 1, at forsikrings- og genforsikringsselskaber forbliver fuldt ud ansvarlige for opfyldelsen af de forpligtelser, der påhviler dem i henhold til Solvens II-direktivet, når de outsourcer funktioner eller en hvilken som helst forsikrings- og genforsikringsaktivitet.

Det foreslåede stk. 4 er en direktivnær implementering af artikel 49 i Solvens II-direktivet.

Det foreslås i stk. 5, at Finanstilsynet kan træffe afgørelse om, at forsikringsselskabets outsourcing skal bringes til ophør indenfor en af Finanstilsynet nærmere fastsat frist, hvis outsourcingkontrakten eller dennes parter ikke opfylder reglerne i denne bestemmelse eller regler fastsat i medfør af stk. 6.

Ophør er relevant, hvor outsourcingkontrakten ikke lever op til kravene, og hvor det konstateres, at kontraktens parter ikke efterlever de krav, der følger af den foreslåede bestemmelse, eller de efter stk. 6 fastsatte krav. Inden Finanstilsynet træffer afgørelse, skal Finanstilsynet give outsourcingvirksomheden mulighed for at få forholdene bragt på plads, medmindre outsourcingvirksomheden gentagne gange har overtrådt kravene, eller hvis Finanstilsynet skønner, at en udsættelse af afgørelsen er formålsløs. Ved fastsættelsen af fristen skal der tages hensyn til de alvorlige følgevirkninger, der kan være ved, at outsourcingvirksomheden i utide skal bringe outsourcingaktiviteten til ophør, og efter omstændighederne kan der tages hensyn til den tid, det tager virksomheden at kontrahere til anden side.

Med reglen gives Finanstilsynet en beføjelse til at gribe ind i et privatretligt kontraktforhold og dermed bringe uforsvarlig outsourcing til ophør, hvis virksomheden eller dens kontraktparter ikke inden for en rimelig frist har gjort tiltag, der kan sikre, at outsourcingen sker på forsvarlig vis og i overensstemmelse med reglerne. Fristen skal fastsættes efter forholdets karakter.

Hvis der er tale om en principiel afgørelse eller en afgørelse, der har videregående, betydelige følger for forsikringsselskabet, skal sagen i henhold til § 345, stk. 7, nr. 4 i lov om finansiel virksomhed, behandles af Finanstilsynets bestyrelse.

Det foreslås i stk. 6, at erhvervsministeren bemyndiges til at fastsætte nærmere regler om outsourcing.

Erhvervsministeren fastsætter efter det foreslåede stk. 6, nr. 1, nærmere regler om outsourcingvirksomhedens ansvar og kontrol med en leverandør, herunder dennes videreoutsourcing.

Erhvervsministeren fastsætter efter det foreslåede stk. 6, nr. 2, nærmere regler om outsourcingvirksomhedens interne retningslinjer for outsourcing.

Erhvervsministeren fastsætter efter det foreslåede stk. 6, nr. 3, nærmere regler om de krav, som outsourcingvirksomheden som minimum skal sikre, at leverandører eller underleverandører til enhver tid skal opfylde, og som skal være aftalt i outsourcingkontrakten.

Med forslaget videreføres erhvervsministerens bemyndigelse til at fastsætte regler om outsourcing. Erhvervsministerens bemyndigelse er givet med henblik på at kunne iagttage Solvens II-forordningens artikel 274 for gruppe 1-forsikringsselskaber og udstede sammenlignelige regler for gruppe 2-forsikringsselskaber, der vil fremgå af de regler, som erhvervsministeren bemyndiges til at udstede.

Den foreslåede bemyndigelse forventes at blive benyttet til at udstede regler for gruppe 2-forsikringsselskaber. Reglerne for disse virksomheder vil i videst mulig omfang ligne reglerne, der gælder for gruppe 1-forsikringsselskaber, der for så vidt angår outsourcing er omfattet af den gældende § 72 b i lov om finansiel virksomhed samt Solvens II-forordningens regler om outsourcing. Bemyndigelsesbestemmelsen kan også benyttes til at fastsætte regler for gruppe 1-forsikringsselskaber, men forventes ikke udnyttet til at fastsætte regler for gruppe 1-forsikringsselskaber.

En tilsvarende bemyndigelse til det foreslåede stk. 6, nr. 1-3, gælder for Arbejdsmarkedets Tillægspension, jf. § 23 c, stk. 6, nr. 1-3, i lov om Arbejdsmarkedets Tillægspension og for Lønmodtagernes Dyrtidsfond, jf. § 4 d, stk. 6, nr. 1-3, i lov om Lønmodtagernes Dyrtidsfond.

Det følger af den gældende lov om MitID og NemLog-in, at MitID-løsningen defineres som den danske nationale elektroniske identifikationsordning. MitID-løsningen kan også betegnes som en eID-ordning eller eID-løsning. Med løsningen kan der foretages elektronisk identifikation. Løsningen fungerer derved som en autentifikationstjeneste af privatpersoners digitale identiteter. MitID-løsningen er den nationale identitetsgarant for privatpersoner.

Ved overgangen fra NemID til MitID sker der en række ændringer i den fællesoffentlige digitale infrastruktur. En central ændring medfører, at MitID-løsningen fremadrettet alene vil udgøre en autentifikationsløsning, hvor NemID-løsningen også indeholder digital signatur. Dette medfører, at hvor der tidligere var lighed mellem NemID og digital signatur, vil der fremadrettet skulle anvendes serviceområdet Digital Signatur i NemLog-in til den offentlige digitale underskrift baseret på autentifikation med MitID.

Det følger af den gældende lov om MitID og NemLog-in, at autentifikation defineres som en proces, som genkender og verificerer en digital identitet gennem anvendelse af et elektronisk identifikationsmiddel.

Med NemID-løsningen kunne en tjenesteudbyder henvende sig til leverandøren af NemID-løsningen og blive tilsluttet løsningen. MitID-løsningen vil fungere anderledes på dette punkt, idet en tjenesteudbyder i stedet skal anvende en broker, der fungerer som bindeled mellem tjenesteudbyderen og MitID-løsningen, hvor autentifikationen sker. I NSIS-standarden, som lægges til grund for den offentlige digitale infrastruktur, defineres en identitetsbroker som formidler af en autentificeret digital identitet til tredjeparter på baggrund af en autentifikation verificeret af brokeren selv eller eventuelt af en anden tredjepart. MitID-løsningen vil således være baseret på et brokerkoncept, som indebærer, at tjenesteudbydere i stedet for at tilgå MitID-løsningen direkte tilgår løsningen gennem en broker. MitID-brokere skal være certificerede i henhold til foruddefinerede krav for at kunne tilslutte sig MitID. Der stilles dog kun krav om NSIS-anmeldelse for brokere, der ønsker at indgå i den offentlige digitale infrastruktur.

Autentifikationen, som genkender og verificerer en digital identitet, sker i MitID-løsningen. Den digitale signatur vil derimod skulle udvikles af den individuelle broker eller kan tilkøbes som en service fra den offentlige broker i NemLog-in eller fra andre brokere i markedet.

Det foreslås i stk. 7, at stk. 2-4 og regler fastsat i medfør af stk. 6 ikke gælder for virksomhedernes autentifikation af brugere ved anvendelse af MitID-løsningen, jf. lov om MitID og NemLog-in.

Bestemmelsen viderefører de dele af den gældende § 72 c i lov om finansiel virksomhed, der er relevante for forsikringsselskaber. Der er ikke tilsigtet materielle ændringer.

Det foreslåede indebærer, at reglerne om forsikringsselskabers outsourcing i stk. 2-4 samt reglerne i de bekendtgørelser, der er udstedt i medfør af stk. 6 ikke skal finde anvendelse for forsikringsselskaber, når de anvender MitID-løsningen til at foretage autentifikation af en bruger.

Det foreslåede skal ses i sammenhæng med den gældende § 3, stk. 2, i lov om MitID og NemLog-in, hvorefter Digitaliseringsstyrelsen stiller MitID til rådighed for privatpersoner og erhvervsbrugere, hvis disse opfylder betingelserne for udstedelse af MitID fastsat i medfør af § 4, stk. 2, i lov om MitID og NemLog-in. Der vil således i medfør af samme lovs § 4, stk. 2, blive fastsat regler om udstedelse af MitID, som bl.a. forsikringsselskaber vil skulle overholde ved anvendelsen af MitID.

For at undgå en uhensigtsmæssig forskelsbehandling af virksomheders brug af MitID, herunder at finansielle virksomheder vil skulle opfylde både de aftaler, der indgås for at overholde den kommende lov om MitID og NemLog-in, og reglerne om outsourcing, herunder reglerne i outsourcingbekendtgørelsen, jf. bekendtgørelse nr. 723 af 28. maj 2020, for gruppe 2-forsikringsselskaber, Arbejdsmarkedets Tillægspension og Lønmodtagernes Dyrtidsfond, foreslås det, at lovforslagets § 134, stk. 2-4, og regler udstedt i medfør § 134, stk. 6, som viderefører § 72 b, stk. 6, i lov om finansiel virksomhed, dvs. outsourcingbekendtgørelsen, ikke skal finde anvendelse.

Forsikringsselskaber vil således kunne anvende MitID-løsningen til autentifikationen af deres kunder, altså til at genkende og verificere en kundes digitale identitet. Forsikringsselskaber vil dog stadig have behov for at udvikle en løsning til digitale signaturer og log in-løsninger til eksempelvis netbank. Et forsikringsselskab vil skulle anvende en broker, som kan formidle en autentificeret digital identitet på baggrund af autentifikationen.

Forholdet mellem forsikringsselskabet og brokeren vil stadig være omfattet af regler i outsourcingbekendtgørelsen, såfremt betingelser herfor i øvrigt er opfyldt. Der vil imidlertid kunne opstå usikkerhed om, hvorvidt forholdet mellem en finansiel virksomhed, en broker og MitID-løsningen vil kunne anses for outsourcing eller videreoutsourcing. Uanset om aktiviteterne, der udføres af MitID-løsningen, kan anses for outsourcing eller videreoutsourcing, er det ikke hensigten, at forsikringsselskabers brug af MitID-løsningen til autentifikation af en bruger skal omfattes af outsourcingreglerne. Det foreslåede har derfor til formål at skabe entydig klarhed om, at anvendelse af MitID til autentifikation af brugere ikke vil skulle være omfattet af reglerne om outsourcing udstedt i medfør af de nævnte bestemmelser.

Der er herved ikke taget stilling til, hvorvidt aktiviteterne, der udføres af MitID-løsningen, ville kunne anses for outsourcing eller videreoutsourcing fra et forsikringsselskab.