Indholdsfortegnelse
Indledning
Anvendelsesområde
Proportionalitet
Afgrænsning af outsourcing
Kritisk eller vigtig outsourcing
Videreoutsourcing
Ledelse og styring af outsourcing
Ledelsens opgaver og ansvar
Interessekonflikter
Beredskabsplaner
Dokumentationskrav
Outsourcingregister
Exitstrategier
Outsourcing af tilladelsespligtige processer, tjenesteydelser eller aktiviteter
Risikovurdering ved anvendelse af outsourcing
Forudgående undersøgelse
Outsourcingkontrakt
Databeskyttelse og it-relateret outsourcing
Overvågning og kontrol
Brug af centraliseret overvågning og kontrol
Brug af fælles revisioner med andre af leverandørens kunder
Brug af interne revisionsrapporter, tredjepartscertificeringer og tredjepartsrevisionsrapporter stillet til rådighed af leverandøren
Meddelelse til Finanstilsynet
Dispensation
Straf
Ikrafttræden og overgangsbestemmelser
Andet
Denne vejledning erstatter den tidligere vejledning nr. 37 af 12. maj 2010 til bekendtgørelse om outsourcing af væsentlige aktivitetsområder.
Outsourcing kan udgøre en risikofaktor i sig selv. Bekendtgørelse om outsourcing for kreditinstitutter m.v. regulerer, hvordan virksomhederne skal håndtere risici ved outsourcing, som i vejledningen betegnes outsourcing-risici. Outsourcing-risici skal forstås som de risici, både interne og eksterne, der opstår ved, at virksomheden får en leverandør til at udføre aktiviteter, processer eller tjenesteydelser for sig. En sådan konstellation kan medføre bl.a. governance-risici hos både outsourcingvirksomheden og leverandøren. Eksempelvis kan der være risici forbundet med manglende mulighed for, at virksomhedens ledelse kan udøve sine ledelsesbeføjelser. Bekendtgørelsens regelsæt skal derfor, for de heraf omfattede virksomheder, ses i sammenhæng med kravene i bekendtgørelse om ledelse og styring i pengeinstitutter m.fl. (ledelsesbekendtgørelsen).
Outsourcing-risici ligger udover de risici, der er tilknyttet selve den ydelse, som leverandøren leverer til outsourcingvirksomheden. Eksempelvis vil en virksomhed fortsat have kreditrisici, når den outsourcer dele af en kreditbevillingsproces, hvis den havde haft kreditrisici, mens den selv udførte processerne. Ved outsourcingen vil der dog i tilknytning til kreditrisici opstå outsourcing-risici.
Outsourcing-risici skal ikke forstås som en ny, separat risikokategori. Outsourcing-risici medfører øvrige risici end operationelle risici, såsom f.eks. omdømmerisici, som outsourcingvirksomheden skal tage hensyn til.
Bekendtgørelsen er en implementering af EBA's "Retningslinjer for outsourcing" EBA/GL/2019/02 af 25. februar 2019. Denne vejledning inddrager eksempler og præciseringer m.v., der fremgår af retningslinjerne. Retningslinjerne kan derfor benyttes som fortolkningsbidrag til forståelsen af bekendtgørelsen og vejledningen.
I vejledningen sidestilles it (informationsteknologi) med IKT (informations- og kommunikationsteknologi). Udtrykket it (informationsteknologi) vil blive anvendt som samlet begreb i vejledningen.
Bekendtgørelse nr. 877 af 12. juni 2020 om outsourcing for kreditinstitutter m.v. gælder for pengeinstitutter, realkreditinstitutter, fondsmæglerselskaber, investeringsforvaltningsselskaber, sparevirksomheder, fælles datacentraler, operatører af regulerede markeder, e-pengeinstitutter, betalingsinstitutter og Danmarks Skibskredit A/S, jf. § 1, stk. 1. Bekendtgørelsen gælder ikke for multilaterale handelsfaciliteter (MHF’er), da der ikke i lov om kapitalmarkeder § 62 er hjemmel til at lade disse omfatte.
Bekendtgørelsen finder med de fornødne tilpasninger også anvendelse for alle de omfattede virksomhedstyper på konsolideret og delkonsolideret niveau med undtagelse af e-pengeinstitutter og betalingsinstitutter, jf. § 1, stk. 2, i bekendtgørelsen. Med konsolideret niveau skal forstås, at reglerne i bekendtgørelsen, der gælder for individuelle virksomheder også som helhed gælder for den koncern, som virksomhederne indgår i. Koncernen skal i denne sammenhæng ses som en enkelt virksomhed. Med delkonsolideret niveau skal forstås konsolideret niveau, men i denne sammenhæng skal der kun ses på en del af koncernen, f.eks. i det tilfælde, hvor en modervirksomhed ikke er den øverste modervirksomhed i en koncern, hvor der således kun skal ses på denne modervirksomhed og dens dattervirksomheder.
Hvis en virksomhed ikke er omfattet af oplistningen af virksomhedstyper i § 1, stk. 1, vil denne ikke være omfattet på individuelt niveau af outsourcingbekendtgørelsen. Såfremt dennes modervirksomhed er omfattet af bekendtgørelsen, kan dattervirksomheden dog blive omfattet på konsolideret eller delkonsolideret niveau. Ansvaret for opfyldelsen af bekendtgørelsen vil i dette tilfælde ligge hos modervirksomheden. Det gælder også ved koncernintern outsourcing. Hvis en virksomhed i en koncern outsourcer til en anden virksomhed i samme koncern, men det kun er den første virksomhed, som er omfattet af § 1, stk. 1, er det kun denne virksomhed, som er omfattet af bekendtgørelsen på individuelt niveau.
Modervirksomheder, der er omfattet af § 1, stk. 1, skal sikre, at anvendelsen af outsourcing hos virksomheden og dens dattervirksomheder er konsistent, velintegreret og passende på alle niveauer i koncernen, jf. § 1, stk. 3, i bekendtgørelsen. Bestemmelsens formål er at sikre, at modervirksomheden er i stand til at vurdere koncernens anvendelse af outsourcing på tværs af virksomhederne i koncernen og derved tage højde for de yderligere outsourcing-risici, der alt andet lige er på koncernniveau, hvilket eksempelvis kan være den yderligere koncentrationsrisiko, der kan opstå, hvis flere virksomheder indenfor koncernen outsourcer til samme leverandør.
Bekendtgørelsen finder ikke anvendelse på outsourcing, der er reguleret af andre specifikke regler på det finansielle område, jf. § 1, stk. 4, i bekendtgørelsen, herunder hvor outsourcingforholdet er reguleret i UCITS-direktivet1), AIFMD2), MiFID II3), som er implementeret i anden lovgivning. Dette skal forstås således, at hvis anden lovgivning eksplicit nævner og opstiller regler for en delegations- eller outsourcingsmulighed, vil outsourcingbekendtgørelsen ikke finde anvendelse. Som eksempel kan nævnes, at bekendtgørelsen ikke finder anvendelse på investeringsforvaltningsselskabers delegation af opgaver, der udgør en del af administrationen af en SIKAV, værdipapirfond eller udenlandsk UCITS, jf. § 102 i lov om finansiel virksomhed, men bekendtgørelsen finder anvendelse for investeringsforvaltningsselskaber på andre områder, hvor selskaberne ikke er reguleret af andre regler på det finansielle område.
Bekendtgørelsen finder heller ikke anvendelse på outsourcing, som anvendes af virksomheder med tilladelse alene som udbyder af kontooplysningstjenester efter § 60 i lov om betalinger, jf. § 60, stk. 6, i lov om betalinger. Virksomheder, der tilmed udøver en anden tilladelsespligtig aktivitet, som f.eks. pengeinstitutter, vil være omfattet af bekendtgørelsen, også fsva. outsourcing af tjenester relateret til kontooplysningstjenester. Virksomheder med begrænset tilladelse efter §§ 50 og 51 i lov om betalinger er derudover ikke omfattet af bekendtgørelsen, eftersom alene betalingsinstitutter og e-pengeinstitutter nævnes i § 39 i loven.
Bekendtgørelsen finder anvendelse på fælles datacentraler, når disse gør brug af outsourcing, jf. § 1, stk. 1, nr. 6, i bekendtgørelsen. Fælles datacentraler er virksomheder, hvis væsentligste aktiviteter omfatter it-drifts- eller udviklingsopgaver for flere finansielle virksomheder m.v., jf. § 343 q, i lov om finansiel virksomhed, men disse kan også udføre aktiviteter for ikke-finansielle virksomheder. Denne bekendtgørelse finder ikke anvendelse for outsourcing af it-opgaver hos fælles datacentraler, der udelukkende udføres for virksomheder, der ikke er omfattet af den finansielle regulering.
Bekendtgørelsen indeholder et proportionalitetsprincip, som har betydning for opfyldelsen af kravene til de omfattede virksomheders anvendelse af outsourcing, jf. § 2.
Det fremgår af § 2, at outsourcingvirksomheden skal opfylde kravene i bekendtgørelsen under hensyn til, om kravene er proportionale i forhold til en række af outsourcingvirksomhedens egenskaber og egenskaber ved den konkrete outsourcing.
Bestemmelsen skal forstås på den måde, at den anfører forhold, som virksomheden skal tage hensyn til ved vurderingen af, hvornår kravene i bekendtgørelsen er opfyldt. Formålet med oplistningen af virksomhedens risikoprofil, forretningsmodel, størrelse, kompleksiteten af virksomhedens aktiviteter og virksomhedens struktur er således at sikre en proportional tilgang til kravene til de omfattede virksomheder under hensyntagen til de konkrete karakteristika ved den enkelte virksomhed.
Derudover skal anden led af bestemmelsen forstås på den måde, at den anfører en række forhold vedrørende selve outsourcingen, som virksomheden også skal tage hensyn til ved vurderingen af, om kravene i bekendtgørelsen er opfyldt.
Det grundlæggende krav i bekendtgørelsen er, at outsourcing skal foregå på en betryggende måde, jf. § 10, stk. 1 og § 12, stk. 1. Proportionalitetsprincippet bør derfor ses i sammenhæng med dette krav, således at kravene i bekendtgørelsen kan gøres lempeligere, men ikke mere lempelige end at der altid er tale om betryggende brug af outsourcing.
Det er virksomheden, der vurderer, hvilke foranstaltninger der er tilstrækkelige til, at outsourcing drives betryggende, men denne vurdering er underlagt tilsyn af Finanstilsynet. En virksomhed skal derfor kunne dokumentere vurderinger og beslutninger truffet i forbindelse med bekendtgørelsens krav, herunder anvendelsen af proportionalitetsbestemmelsen og behørigt dokumentere disse i overensstemmelse med kravet i § 15 i bekendtgørelsen. Der er ifølge § 15 ikke nogen formelle krav til, hvordan anvendelsen af proportionalitetsbestemmelsen dokumenteres. Som et eksempel på dette kan nævnes, at hvis en virksomhed benytter sig af proportionalitetsbestemmelsen ifm. deres risikovurdering af outsourcing, jf. § 19, kan virksomheden retmæssigt dokumentere proportionalitetsvurderingen sammen med risikovurderingen. En virksomhed kan også retmæssigt vælge at dokumentere proportionalitetsvurderingen selvstændigt, og således opdele dokumentationen.
Kravene til outsourcingvirksomheden kan gøres lempeligere på baggrund af proportionalitetsprincippet, men de kan aldrig fraviges helt. F.eks. kan det ikke på baggrund af princippet vurderes, at en virksomhed ikke skal have en outsourcingansvarlig, som er et eksplicit krav i bekendtgørelsens § 12, stk. 3.
Virksomheder omfattet af § 2 i ledelsesbekendtgørelsen kan lade kriterierne i denne bestemmelse indgå ved anvendelsen af proportionalitetsprincippet4).
I § 3, stk. 1, i bekendtgørelsen, defineres outsourcing som enhver form for ordning mellem en virksomhed og en leverandør, i henhold til hvilken leverandøren udfører en proces, en tjenesteydelse eller en aktivitet, som virksomheden ellers selv ville udføre. Denne definition af outsourcing svarer til definitionerne, som er angivet i lov om finansiel virksomhed, lov om kapitalmarkeder og lov om betalinger. En ”ordning” skal forstås som enhver outsourcingaftale, uanset om denne er fastlagt i en outsourcingkontrakt eller ej. Der vil dermed kunne være flere ordninger under samme rammeaftale. Outsourcingregisteret skal ifølge bekendtgørelsen indeholde oplysninger om alle outsourcingaftaler, jf. bilag 2, dvs. alle ordninger.
Der kan være processer, tjenesteydelser eller aktiviteter, der er underlagt andre regelsæt, som for eksempel aktiviteter underlagt Datatilsynets tilsyn som tilsynsmyndighed for efterlevelse af forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (persondataforordningen).
Som et eksempel på et tilfælde, der vil falde uden for definitionen af § 3, stk. 1, kan nævnes en virksomheds midlertidige ansættelse af ansatte, der skal hjælpe på et specifikt projekt. Dette vil ikke udgøre outsourcing, da disse medarbejdere er underlagt virksomhedens almindelige instruksbeføjelser og ikke skal betragtes som en ”leverandør”.
Som et yderligere eksempel på en ydelse, der vil falde uden for definitionen af § 3, stk. 1, kan nævnes udbydere af betalingsinitieringstjenester og kontooplysningstjenester, jf. bilag 1 nr. 7 og 8, i lov om betalinger, lovmæssige adgang til at indhente betalingsoplysninger og iværksætte betalinger fra betalingskonti, der føres af pengeinstitutter, via den adgang, pengeinstitutterne skal stille til rådighed i overensstemmelse med lov om betalinger § 86, stk. 2, og § 89, stk. 1, (de såkaldte API’er). Dette vil ikke i sig selv udgøre outsourcing fra betalingstjenesteudbyderen til pengeinstituttet, eftersom det er en aktivitet, betalingstjenesteudbyderen aldrig selv vil kunne udføre. Adgang til konti, der ikke sker i medfør lov om betalinger § 86, stk. 2, og § 89, stk. 1, kan stadig udgøre outsourcing, hvis betingelserne herfor i øvrigt er opfyldt.
Begrebet outsourcing dækker på baggrund af definitionen således også koncernintern outsourcing, der derfor er omfattet af bekendtgørelsen.
Det følger af § 3, stk. 2, at outsourcingvirksomheden ved vurderingen af, om en ordning udgør outsourcing, og dermed om bekendtgørelsen finder anvendelse, skal overveje, hvorvidt processerne, tjenesteydelserne eller aktiviteterne eller dele heraf udføres gentagne gange eller løbende af leverandøren. Der er således som udgangspunkt ikke tale om outsourcing, hvis aftalen kun vedrører en enkeltstående ydelse, som ikke er tænkt til at indgå i et løbende samarbejde. Outsourcingvirksomheden skal desuden overveje om processerne, tjenesteydelserne eller aktiviteterne eller dele heraf normalt ville falde inden for rammerne af processer, tjenesteydelser eller aktiviteter, der realistisk set ville eller kunne udføres af outsourcingvirksomheden. Dette gælder også, selvom outsourcingvirksomheden ikke har udført disse processer, tjenesteydelser eller aktiviteter selv tidligere. I overvejelserne kan indgå, om processen, tjenesteydelsen eller aktiviteten ligger indenfor rammerne af outsourcingvirksomhedens sædvanlige forretningsområde.
Som det følger af § 3, stk. 3, i bekendtgørelsen, skal outsourcingvirksomheden i vurderingen af, om en ordning udgør outsourcing, og dermed om bekendtgørelsen finder anvendelse, inddrage alle aspekter af ordningen, hvis denne indeholder flere processer, tjenesteydelser eller aktiviteter. Som eksempel kan nævnes den situation, hvor en leverandørs ydelse omfatter både levering af datalagringshardware og sikkerhedskopiering af data. I en sådan situation vil begge aspekter skulle inddrages i vurderingen af, om der er tale om outsourcing omfattet af bekendtgørelsen. Hvis en leverandørs ydelse udelukkende indebærer levering af en fysisk ting, som f.eks. datalagringshardware, vil der som udgangspunkt ikke være tale om outsourcing. I det tilfælde, hvor en leverandørs ydelse udelukkende indebærer sikkerhedskopiering af data, vil det skulle vurderes, om dette er en proces, tjenesteydelse eller aktivitet, som outsourcingvirksomheden ellers selv udføre. Der er således tale om en konkret vurdering efter § 3. Hvis en ordning indebærer både køb af en fysisk ting, samt en ydelse af gentagen/løbende karakter, vil kun ydelsen som udgangspunkt skulle klassificeres som outsourcing, hvis betingelserne herfor i øvrigt er opfyldte.
Tilsvarende vil køb af licens til et softwareprodukt som udgangspunkt ikke udgøre outsourcing, da der her er tale om køb af en enkeltstående vare. I det tilfælde, hvor leverandørens ydelse tilmed indebærer et element af it-support, vil det skulle vurderes konkret efter faktorerne i § 3, om der er tale om outsourcing.
§ 3, stk. 4, i bekendtgørelsen, indeholder en oplistning af processer, tjenesteydelser eller aktiviteter, der ikke udgør outsourcing. Listen skal ikke forstås som de eneste typer ordninger, der ikke kan udgøre outsourcing. Bestemmelsen er således ikke udtømmende. Udover de i § 3, stk. 4, oplistede situationer, vil det altid vil være en konkret vurdering efter § 3, hvorvidt en ordning udgør outsourcing. Såfremt en outsourcingordning falder udenfor § 3, stk. 4, skal det således vurderes efter § 3, stk. 1-3, om ordningen er omfattet af bekendtgørelsen.
§ 3, stk. 4, fortolkes således, at processer, tjenesteydelser, eller aktiviteter, som accessorisk relaterer sig til en af undtagelserne i § 3, stk. 4, også kan være undtaget efter bestemmelsen, såfremt der er tale om en integreret del af hovedydelsen. Dette kan f.eks. være tilfældet ved clearing og afviklingsordninger, jf. § 3, stk. 4, nr. 4, hvis en leverandør, som en integreret del af en clearingydelse, tilmed udfører en proxyservice.
Ved globale betalingsnetværksinfrastrukturer, jf. § 3, stk. 4, nr. 3, i bekendtgørelsen, forstås alene tilkobling til og brug af fælles netværksinfrastrukturer, der gør det muligt for deltagerne, som er tilsluttet netværket, at sende informationer om betalinger mellem hinanden. Visa, MasterCard og SWIFT er eksempler på udbydere af globale betalingsnetværksinfrastrukturer. Udbyder en virksomhed, der leverer globale betalingsnetværk, også andre ydelser, som ikke direkte vedrører tilkobling til og brug af de fælles infrastrukturer, kan det blive anset for outsourcing, hvis kriterierne herfor i øvrigt er opfyldt.
Køb af tjenester, varer eller forsyning, som ikke normalt ville blive udført af outsourcingvirksomheden selv, jf. § 3, stk. 4, nr. 6, i bekendtgørelsen, anses ikke som outsourcing. Som eksempel kan nævnes rådgivning fra en arkitekt, enkeltstående juridiske vurderinger og repræsentation for retten, rengøring, havearbejde og vedligeholdelse af outsourcingvirksomhedens lokaler, sundhedsydelser, servicering af firmabiler, catering, automattjenester, funktionærtjenester, rejsetjenester, posttjenester, receptionister, sekretærer og telefonister), varer (f.eks. plastikkort, kortlæsere, kontorartikler, pc'er, møbler) eller forsyning (f.eks. el, gas, vand, telefonlinje, internet).
4.1 Særligt om cloud-outsourcing
Der vil være tale om cloud-outsourcing, hvis en virksomhed outsourcer en proces, tjenesteydelse eller aktivitet til en leverandør, som derefter leveres som en cloudtjeneste. Ved ”cloudtjenester” skal som udgangspunkt forstås tjenesteydelser leveret ved hjælp af cloudcomputing, dvs. en model, der tillader lettilgængelig og letanvendelig on demand-netværksadgang til en fælles pulje af konfigurerbare computerressourcer (f.eks. netværk, servere, lagring, applikationer og tjenesteydelser), som hurtigt kan leveres og idriftsættes med et minimum af administration eller interaktion med leverandøren. Definitionen stammer fra EBA’s ”Retningslinjer for outsourcing” pkt. 12.
Definitionen på cloudtjenester indebærer ikke, at al brug af cloudtjenester udgør outsourcing i bekendtgørelsens forstand. Det skal vurderes i det konkrete tilfælde, om brug af en cloudtjeneste falder indenfor definitionen af outsourcing i bekendtgørelsens § 3. Cloud-outsourcing skal efterleve bekendtgørelsen på lige vilkår med øvrig outsourcing, hvis cloud-outsourcingen er omfattet af bekendtgørelsens anvendelsesområde. Således gælder bl.a. de samme regler om ledelsesansvar og krav om tilstrækkelig kontrol med de outsourcede aktiviteter. Der findes ét særkrav i bekendtgørelsen til cloud-outsourcing, jf. bilag 2, nr. 2, hvorefter en virksomheds outsourcingregister, i tilfælde af, at en outsourcingaftale indeholder brug af cloudtjenester, skal indeholde oplysninger om en pågældende cloudleverandør, cloudtjenestens implementeringsmodeller og den særlige karakter af og lokaliteterne for de data, der skal opbevares.
Virksomhederne skal altid anse en outsourcing som kritisk eller vigtig i de tilfælde, som er oplistet i § 4, stk. 1, i bekendtgørelsen. En outsourcing er bl.a. kritisk eller vigtig, hvis en fejl eller mangel ved en outsourcings udførelse væsentligt vil forringe outsourcingvirksomhedens mulighed for at overholde betingelserne i sin tilladelse, jf. § 4, stk. 1, nr. 1. Som eksempler kan nævnes betingelserne, der følger af lov om finansiel virksomhed, bekendtgørelse af lov om kapitalmarkeder og lov om betalinger.5) Kriteriet i nr. 1 kan f.eks. være opfyldt i det tilfælde, hvor en fejl eller mangel hos leverandøren medfører, at outsourcingvirksomheden ikke kan udføre den ledelse, indberetning eller lign., som er foreskrevet i den finansielle lovgivning.
Kriteriet i bekendtgørelsens § 4, stk. 1, nr. 2, vedrører de tilfælde, hvor en fejl eller mangel ved udførelsen af en kritisk eller vigtig outsourcing væsentligt vil forringe outsourcingvirksomhedens finansielle resultater.
Kriteriet i bekendtgørelsens § 4, stk. 1, nr. 3, vedrører de tilfælde, hvor en fejl eller mangel ved udførelsen af en kritisk eller vigtig outsourcing væsentligt vil forringe outsourcingvirksomhedens mulighed for på et forsvarligt grundlag at udøve sine aktiviteter. Det antages, at der ofte kan opstå situationer, hvor kriterierne i § 4, stk. 1, nr. 1, og i § 4, stk. 1, nr. 3, begge er opfyldte. Kriteriet i nr. 3 vil for sig selv være udslagsgivende i den situation, hvor en fejl eller mangel ved udførelsen af en outsourcet opgave ikke væsentligt vil påvirke den finansielle virksomheds mulighed for at overholde betingelserne i dennes tilladelse, men hvor muligheden for på et forsvarligt grundlag at udøve aktiviteter stadig væsentligt forringes. Dette kan f.eks. være tilfældet, hvor en fejl eller mangel primært vil påvirke den finansielle virksomheds omdømme.
Om outsourcing af it-systemer, der anvendes som led i den almindelige drift af en virksomhed, er kritisk eller vigtig outsourcing, skal vurderes ud fra kriterierne i § 4, stk. 1, i bekendtgørelsen. Vurderingen heraf vil altid bero på en konkret vurdering. It-outsourcing, hvor fejl eller mangler hos leverandøren kan medføre, at virksomhedens it-sikkerhed forringes og/eller kan medføre manglende efterlevelse af virksomhedens it-sikkerhedspolitik, bør som udgangspunkt betragtes som kritisk eller vigtig outsourcing. Dette indebærer ikke, at al it-outsourcing automatisk udgør kritisk eller vigtig outsourcing, men rettere at der skal argumenteres konkret for, hvorfor en it-outsourcing, hvor ovenstående kriterier er opfyldt, ikke er kritisk eller vigtig. Der er ikke forskel på cloud-løsninger og anden it-outsourcing i den henseende.
Bekendtgørelsens § 4, stk. 2, omhandler outsourcing af it-opgaver, der udføres for finansielle virksomheder af fælles datacentraler. Bestemmelsen skal forstås således, at hvis en fælles datacentral videreoutsourcer it-opgaverne til en underleverandør, vil det skulle vurderes ud fra påvirkningen på de finansielle virksomheder – og ikke på datacentralen – om der er tale om kritisk eller vigtig outsourcing. Kriterierne i § 4, stk. 2, skal vurderes ud fra samme faktorer som kriterierne i § 4, stk. 1. Kriteriet i § 4, stk. 2, nr. 1, kan således f.eks. være opfyldt i det tilfælde, hvor en fejl eller mangel ved udførelsen af en kritisk eller vigtig it-opgave hos underleverandøren medfører, at den finansielle virksomhed ikke kan udføre den ledelse, indberetning eller lign., som er foreskrevet i den finansielle lovgivning.
Vurderingen af, om en fælles datacentrals outsourcing af it-opgaver er kritisk eller vigtig, bør således også fsva. § 5 foretages med de nødvendige tilpasninger. F.eks. bør § 5, stk. 1, nr. 4, vurderes ud fra den potentielle indvirkning på ydelser til kunder i den finansielle virksomhed som benytter den fælles datacentral, frem for den potentielle indvirkning på den fælles datacentrals kunder i bred forstand.
Outsourcing af tilladelsespligtige aktiviteter, der isoleret set vil kræve tilladelse, udgør altid kritisk eller vigtig outsourcing, jf. § 4, stk. 3, i bekendtgørelsen. Dette gælder dog ikke aktiviteter, som i outsourcingbekendtgørelsens forstand ikke udgør outsourcing i overensstemmelse med bekendtgørelsens § 3, stk. 4, og som dermed er helt undtaget fra bekendtgørelsens anvendelsesområde. Der henvises til vejledningen punkt 4 for denne afgrænsning. Som et eksempel på en tilladelsespligtig aktivitet, som vil udgøre kritisk eller vigtig outsourcing, kan nævnes den situation, hvor en leverandør udfører værdipapirhandelsaktiviteter på vegne af outsourcingvirksomheden.
Outsourcing af operationelle opgaver i interne kontrolfunktioner skal anses for kritisk eller vigtig outsourcing, medmindre manglende eller uhensigtsmæssig udførelse af de outsourcede processer, tjenesteydelser eller aktiviteter ikke vil have en negativ indvirkning på effektiviteten af den interne kontrolfunktion, jf. § 4, stk. 4, i bekendtgørelsen. Bestemmelsen skal ses i sammenhæng med andre bestemmelser i bekendtgørelsen, herunder f.eks. § 9, stk. 1, om at outsourcingvirksomheden skal sikre, at den udøver sine ledelsesbeføjelser i forbindelse med outsourcing effektivt. Det er en forudsætning for effektiv udøvelse af ledelsesbeføjelser, at outsourcingvirksomheden har betryggende kontrolfunktioner, jf. § 8. Hvis operationelle opgaver i kontrolfunktioner er outsourcede, skal outsourcingen derfor som udgangspunkt opfylde de yderligere krav i bekendtgørelsen, som stilles til vigtig og kritisk outsourcing.
Outsourcingvirksomheden skal løbende vurdere, om en outsourcet proces, tjenesteydelse eller aktivitet er kritisk eller vigtig, hvis risikoen ved eller omfanget af processen, tjenesteydelsen eller aktiviteten har ændret sig væsentligt, jf. § 4, stk. 5, i bekendtgørelsen. Vurderingen foretages løbende og kan ændre sig over tid.
Ved vurderingen af, hvorvidt en outsourcet proces, tjenesteydelse eller aktivitet er kritisk eller vigtig, bør virksomheder omfattet af regelsættet i direktiv 2014/59/EU (BRRD) tage særlig højde for funktioner relateret til centrale forretningsområder og kritiske funktioner, som defineret i artikel 2, stk. 1, nr. 35, og artikel 2, stk. 1, nr. 36, i direktiv 2014/59/EU (BRRD), som implementeret ved lov om finansiel virksomhed og identificeret af institutter, som anvender kriterierne i artikel 6 og 7 i Kommissionens delegerede forordning (EU) 2016/778. Centrale forretningsområder skal som udgangspunkt forstås som forretningsområder og hertil knyttede ydelser, der repræsenterer væsentlige kilder til indtægter, fortjeneste eller franchiseværdi for et institut eller en koncern, som et institut er en del af, jf. BRRD artikel 2, stk. 1, nr. 36. Kritiske funktioner skal som udgangspunkt forstås som aktiviteter, ydelser eller transaktioner, hvis ophør kan forventes at føre til forstyrrelser i ydelser, der er af afgørende betydning for realøkonomien, eller til forstyrrelse af den finansielle stabilitet som følge af et instituts eller en koncerns størrelse, markedsandel, eksterne og interne forbundethed, kompleksitet eller grænseoverskridende aktiviteter, navnlig med hensyn til muligheden for at erstatte de pågældende aktiviteter, ydelser eller transaktioner, jf. BRRD artikel 2, stk. 1, nr. 35.
Outsourcing af processer, tjenesteydelser eller aktiviteter, som er nødvendige for at udføre opgaver inden for centrale forretningsområder eller kritiske funktioner, bør som udgangspunkt betragtes som kritisk eller vigtig outsourcing, medmindre outsourcingvirksomheden vurderer og dokumenterer, at mangler ved outsourcing eller uhensigtsmæssig outsourcing af processen, tjenesteydelsen eller aktiviteten ikke ville have en negativ indvirkning på den operationelle kontinuitet i virksomhedens kerneforretning eller den kritiske funktion.
Det følger af § 5 i bekendtgørelsen, at outsourcingvirksomheden skal inddrage resultatet af risikovurderingen i § 19 ved vurderingen af, om der er tale om kritisk eller vigtig outsourcing. § 19 i bekendtgørelsen gælder for al outsourcing, og den endelige vurdering af, om outsourcing er kritisk eller vigtig, skal altid foretages i forlængelse heraf. Proportionalitetsprincippet, jf. § 2 i bekendtgørelsen, har betydning for intensiteten af risikovurderingen og dokumentationskravet. Eksempelvis vil der ud fra virksomhedens risikoprofil, forretningsmodel, størrelse og kompleksitet som udgangspunkt være tale om en mindre detaljeret risikovurdering ved små pengeinstitutter med en mere simpel forretningsmodel, hvorimod der ved større og mere komplekse pengeinstitutter vil kræves en mere intens risikovurdering med et højere krav til dokumentation ved samme outsourcing.
I øvrigt oplistes i § 5, stk. 1, nr. 1-10, i bekendtgørelsen, en række faktorer, der som minimum skal tages højde for ved vurderingen af, om der er tale om kritisk eller vigtig outsourcing. Faktorerne skal altid vurderes, men ud fra en proportionalitetsbetragtning efter § 2 kan vurderingen dokumenteres mere eller mindre detaljeret. Det skal dog altid være muligt at konstatere grundlaget for vurderingen, og at outsourcingen ud fra denne foregår på en betryggende måde.
Til brug for vurderingen af, om der er tale om kritisk eller vigtig outsourcing, skal outsourcingvirksomheden bl.a. tage højde for de mulige konsekvenser af enhver afbrydelse af den outsourcede proces, tjenesteydelse eller aktivitet, eller leverandørens manglende evne til at levere de aftalte leverancer løbende, på det aftalte serviceniveau i forhold til den kort- og langsigtede økonomiske modstandskraft og levedygtighed, jf. § 5, stk. 1, nr. 2, litra a, i bekendtgørelsen. Herunder bør der tages højde for aktiver, kapital, omkostninger, finansiering, likviditet, profit og tab, hvor dette er relevant.
Ved vurderingen af, om der er tale om kritisk eller vigtig outsourcing, skal outsourcingvirksomheden desuden tage højde for de operationelle risici, jf. § 5, stk. 1, nr. 2, litra c, i bekendtgørelsen. Herunder bør som minimum indgå adfærd, it og juridiske risici.
Ved vurderingen af, om en outsourcing er kritisk eller vigtig, skal der tages højde for, om outsourcingvirksomheden har mulighed for at overføre en outsourcet proces, tjenesteydelse eller aktivitet til en anden leverandør, jf. § 5, stk. 1, nr. 8, i bekendtgørelsen. Herunder bør det vurderes, om dette er muligt både kontraktligt og i praksis, ligesom de anslåede risici, hindringer for forretningskontinuiteten, omkostninger og tidsramme herfor bør indgå i vurderingen. Såfremt outsourcingvirksomheden vil have svært ved at overføre funktionen til en anden leverandør, vil det tale for, at der er tale om kritisk eller vigtig outsourcing.
Ved vurderingen af beskyttelse af data og de potentielle konsekvenser af brud på fortroligheden eller manglende sikring af datatilgængelighed og dataintegritet for outsourcingvirksomheden og dens kunder, jf. § 5, stk. 1, nr. 10, i bekendtgørelsen, bør overholdelse af forordning (EU) 2016/679 (persondataforordningen) indgå. Det forhold, at en outsourcing indebærer behandling af personoplysninger, vil ikke alene medføre, at der er tale om kritisk eller vigtig outsourcing i medfør af outsourcingbekendtgørelsen, da vurderingen under alle omstændigheder vil være en konkret afvejning af faktorerne i § 4 og 5 i bekendtgørelsen.
Ved videreoutsourcing forstås en leverandørs outsourcing af opgaver, som denne varetager i henhold til en aftale med outsourcingvirksomheden, til en underleverandør og underleverandørens eventuelle videreoutsourcing af opgaverne til næste led i kæden af underleverandører samt eventuel videreoutsourcing til andre led i kæden af underleverandører, som defineret i § 5, stk. 1, nr. 31, i lov om finansiel virksomhed.
Bekendtgørelsens § 6 finder anvendelse ved al videreoutsourcing (dvs. både kritisk eller vigtig videreoutsourcing og øvrig videreoutsourcing), når der er tale om kritisk eller vigtig outsourcing i 1. led. Bestemmelserne er således kun relevante, hvis outsourcingordningen mellem outsourcingvirksomheden og leverandøren i 1. led er vurderet kritisk eller vigtig.
Der er ikke i § 6 opsat begrænsninger for, i hvor mange led outsourcingvirksomheden skal sikre videreoutsourcing. § 6 gælder således ved al videreoutsourcing, uanset hvilket led af videreoutsourcing, der er tale om. Dette skal ses i sammenhæng med proportionalitetsprincippet i § 2, hvorefter det ikke, ved en relativ ubetydelig videreoutsourcing i et yderligt led, vil kræves at virksomhed fører indgående kontrol med denne videreoutsourcing.
I de tilfælde, hvor leverandøren alene videreoutsourcer en del af en kritisk eller vigtig proces, tjenesteydelse eller aktivitet, vil denne videreoutsourcing ikke altid skulle klassificeres som kritisk eller vigtig. Det vil komme an på en konkret vurdering, som skal foretages af outsourcingvirksomheden. Vurderingen af, om videreoutsourcing er kritisk eller vigtig, skal foretages på samme måde som ved outsourcing i 1. led, dvs. efter §§ 4 og 5 i bekendtgørelsen. I vurderingen kan outsourcingvirksomheden inddrage den senest opdaterede risikovurdering af outsourcingen til leverandøren, men der skal dertil foretages en ny risikovurdering ved videreoutsourcing, jf. § 19, som vurderingen også skal tage højde for.
Outsourcingvirksomheden skal ved kritisk eller vigtig outsourcing sikre sig, at der ved en leverandørs videreoutsourcing til en underleverandør foreligger en kontrakt mellem leverandøren og underleverandøren, der forpligter underleverandøren til at overholde gældende lovgivning, myndighedskrav og kontraktlige forpligtelser, jf. § 6, stk. 1. Outsourcingvirksomheden skal ifølge bilag 3, nr. 2, litra i, sikre sig, at det fremgår af outsourcingkontrakten mellem outsourcingvirksomheden og leverandøren, at den outsourcede proces, tjenesteydelse eller aktivitet bliver udført efter de af outsourcingvirksomheden fastsatte krav, selvom denne bliver videreoutsourcet af leverandøren. Afgørende er derfor, at en eventuel videreoutsourcing ikke forringer outsourcingvirksomhedens rettigheder og leverandørens forpligtelser som følge af videreoutsourcing.
Ifølge § 6, stk. 2, i bekendtgørelsen, er det et krav til videreoutsourcingkontrakten, jf. § 6, stk. 1, at denne giver outsourcingvirksomheden, en tredjepart udpeget af outsourcingvirksomheden og Finanstilsynet de samme rettigheder til adgang og revision, som normalt kræves af en outsourcingkontrakt. Disse rettigheder fremgår af § 21, stk. 4 og 5, og bilag 3, nr. 4. Formålet med § 6, stk. 2, er således at sikre, at de relevante parter bevarer retten til adgang og revision, selvom leverandøren eller underleverandøren videreoutsourcer.
I tilfælde af videreoutsourcing, hvor outsourcingen i 1. led ikke er kritisk eller vigtig, bør outsourcingvirksomheden sikre, at kravene til f.eks. til adgang og revision, jf. bilag 3, nr. 4, ligeledes gælder mellem leverandøren og underleverandøren, og tilsvarende i yderligere led ud fra en risikobaseret tilgang. Dette følger af outsourcingvirksomhedens forpligtelse til at sikre, at kravene løbende opfyldes, jf. § 21, stk. 4, og bilag 3, nr. 4, f.eks. hvis outsourcingsordningen eskalerer og bliver kritisk eller vigtig. Dette kan med fordel sikres kontraktuelt i kontrakten mellem outsourcingvirksomheden og leverandøren.
Outsourcingvirksomheden skal i outsourcingkontrakten tage stilling til, hvorvidt kritiske eller vigtige processer, aktiviteter eller tjenesteydelser, eller væsentlige dele heraf, kan videreoutsources, jf. bilag 3, nr. 1, litra f, i bekendtgørelsen. Hvis dette er tilfældet, skal outsourcingkontrakten opfylde nogle nærmere angivne krav, jf. bilag 3, nr. 2. Leverandøren skal give meddelelse til outsourcingvirksomheden, hvor en kontraktuel mulighed for videreoutsourcing udnyttes, jf. bilag 3, nr. 2, litra f. Det er muligt i kontrakten at aftale aktiv godkendelse eller passiv godkendelse efter en notifikationsmekanisme. Afgørende er, at outsourcingvirksomheden har tid til at udøve sin ret til at modsætte sig videreoutsourcing, hvor videreoutsourcing har væsentlige negative virkninger for den kritiske eller vigtige outsourcing, vil føre til en væsentlig forøgelse af risikoen for outsourcingvirksomheden, eller hvis kontraktkravene fastsat efter § 6, stk. 1 og 2, ikke efterleves, jf. § 6, stk. 3 i bekendtgørelsen.
Hvis outsourcingvirksomheden vælger en model med passiv godkendelse og derved en notifikationsmekanisme, skal notifikationsperioden fastsættes, så den er tilstrækkelig lang til, at outsourcingvirksomheden kan lave en vurdering af risiciene og gøre indvendinger mod ændringer, før den planlagte videreoutsourcing eller væsentlige ændringer heraf træder i kraft, jf. bilag 3, nr. 2, litra f. Dette kan ske ved, at outsourcingvirksomheden, hvis relevant, enten indgår i en dialog med leverandøren om genforhandling eller mitigerer de risici, som ændringen medfører for outsourcingvirksomheden, inden ændringen træder i kraft. Notifikationsperioden bør også tage højde for, at outsourcingvirksomheden kan blive tvunget til at skulle gennemføre et exit fra leverandøren inden for den aftalte notifikationsperiode, hvis risici ikke kan mitigeres af outsourcingvirksomheden eller i samarbejde med leverandøren. Derfor skal outsourcingvirksomhedens exitstrategier også tage højde for, at outsourcingvirksomheden kan blive tvunget til at skulle gennemføre exit fra leverandøren indenfor en aftalt notifikationsperiode, jf. § 17 og bilag 4 i bekendtgørelsen. I de tilfælde, hvor de outsourcede aktiviteter på grund af omfang, kompleksitet og afhængigheden m.v. ikke vurderes at kunne hjemtages eller overføres rettidigt og betryggende til en anden leverandør, og indenfor en på forhånd fastsat tidsramme, bør outsourcingvirksomheden sikre, at kravene i kontrakten indrettes med afsæt heri. Det følger af bekendtgørelsens § 9, stk. 3. Kontrakten kan, for at sikre sig mod ovenstående risici, eksempelvis indrettes således, at den ikke tillader videreoutsourcing, eller fastsætter krav om godkendelse før ændringer må træde i kraft, jf. bilag 3, nr. 2, litra g. Ordet ”hensigtmæssigt” i denne bestemmelse skal forstås i lyset af hvilke risici, som outsourcingvirksomheden kan risikere ved videreoutsourcing og dens mulighed for at imødegå disse.
Det anses ikke for betryggende outsourcing, at outsourcingvirksomheden kan blive tvunget til at acceptere risici ved ibrugtagelse af nye underleverandører, hvor risici som følge heraf normalt ikke ville blive accepteret, men hvor omkostning, konsekvenser, risici m.v. for outsourcingvirksomheden vurderes at være større, hvis outsourcingvirksomheden afviser en planlagt videreoutsourcing og tvinges til at gennemføre et exit indenfor den fastsatte notifikationsperiode. Outsourcingvirksomheden bør således indrette kontrakten, interne forretningsgange, exitplaner m.v., så outsourcingvirksomheden er i kontrol med outsourcingen, og ikke risikerer at blive tvunget til at acceptere en ordning (lock-in situationer) eller uhensigtsmæssige leverandørafhængigheder. Som eksempel kan nævnes den situation, at leverandøren tager en uønsket underleverandør i brug inden outsourcingvirksomheden har haft mulighed for at afslutte og udtræde af outsourcingkontrakten eller dele heraf med leverandøren.
Outsourcingvirksomheden kan opsige outsourcingkontrakten helt eller delvist, hvis de ikke kan acceptere videreoutsourcing. Hvis virksomheden ikke ønsker at opsige kontrakten, kan de også – i det omfang, det er muligt – vælge blot at undlade at anvende den del af leverandørens ydelser, som er påvirket af den videreoutsourcing, der ikke kan accepteres. I et sådant tilfælde kræves der således ikke opsigelse af outsourcingkontrakten efter § 6, stk. 3, eftersom bestemmelsens betingelser ikke er opfyldte. I det omfang, at virksomheden ikke har tænkt sig at anvende dele af kontrakten på et senere tidspunkt, bør kontrakten dog bringes på linje med ydelserne. Opsigelsesbestemmelser bør også, som ved iværksættelse af exitstrategier og exitplaner, tilrettelægges med afsæt i typen af outsourcing. Er det eksempelvis it-outsourcing, hvor en videreoutsourcing kan medføre, at der gives adgang til fortrolig data, bør opsigelsesbestemmelser sikre, at data m.v. selv i en kort periode, ikke bliver gjort tilgængeligt for nye underleverandører, hvor dette ikke kan accepteres. Dette følger af kravet i § 9, stk. 2, om, at outsourcingvirksomheden ved brug af outsourcing skal sikre relevante foranstaltninger, der sikrer tilstrækkelig varetagelse af personoplysninger og data, der behandles af leverandører.
Outsourcingvirksomheden må ikke som følge af brug af outsourcing blive en juridisk enhed uden selvstændig aktivitet, jf. § 7, stk. 1, i bekendtgørelsen. Afgørende er, at outsourcingvirksomheden ikke bliver en tom skal, og at outsourcingvirksomheden ikke ved brug af outsourcing underminerer virksomhedens evne til at udøve ledelsesbeføjelser effektivt. Eksempelvis kan det nævnes, at bestyrelsen i outsourcingvirksomheden i den finansielle lovgivning er tillagt visse specifikke opgaver, som eksempelvis de opgaver, der fremgår af ledelsesbekendtgørelsens kapitel 2. Disse opgaver kan ikke outsources, jf. § 10, stk. 2, i outsourcingbekendtgørelsen. Outsourcingvirksomheden bør som minimum bevare betryggende interne kontrolfunktioner i 1., 2. og 3. forsvarslinje, eftersom dette forudsættes for, at virksomheden kan opfylde kravene til styring og kontrol i § 8.
Outsourcingvirksomheden skal således bevare muligheden for at styre, kontrollere og overvåge outsourcede processer, aktiviteter og tjenesteydelser. Kravet til outsourcingvirksomhedens styring af outsourcede processer, aktiviteter og tjenesteydelser påvirkes af proportionalitetsprincippet i § 2, dvs. det kan gøres mere lempeligt, men kravene til styring, kontrol, og overvågning i §§ 7-9 kan aldrig fraviges helt på baggrund af dette. Det indebærer eksempelvis, at der ved outsourcing af en mere simpel tjenesteydelse, hvor der ikke er større risici forbundet med outsourcing, vil kræves en mindre intens overvågning af leverandøren, men ikke til en sådan grad, at der slet ikke foretages overvågning af denne.
Outsourcingvirksomheden skal til enhver tid opfylde alle betingelser i sin tilladelse til at drive virksomhed, jf. § 7, stk. 2, i bekendtgørelsen.
Det følger af § 7, stk. 3, i bekendtgørelsen, at outsourcingvirksomheden skal opretholde en god adfærd. Outsourcingvirksomheden skal således sikre sig, at leverandøren ikke underminerer ”en god adfærd” i forretningsudøvelsen, herunder de dele heraf, som måtte være outsourcet. Outsourcingvirksomheden kan bl.a. sikre sig dette vha. outsourcingkontrakten, kontroller og overvågning.
Det følger af § 8 i bekendtgørelsen, at outsourcingvirksomheden skal sikre, at risici forbundet med outsourcing indenfor alle forretningsområder indgår i outsourcingvirksomhedens øvrige risikostyring og interne kontrolforanstaltninger. Det ligger i forståelsen af bestemmelsen, at outsourcingvirksomheden i denne forbindelse skal afdække og håndtere alle sine risici, herunder risici forårsaget af aftaler med tredjemand. Rammen for risikostyring bør også gøre det muligt for outsourcingvirksomheden at træffe velinformerede beslutninger om risikovillighed og sikre, at risikohåndteringsforanstaltninger er behørigt gennemført, herunder med hensyn til cyberrisici.
Outsourcingvirksomheden skal have tilstrækkelige kompetencer og ressourcer til at sikre en tilstrækkelig styring, overvågning af og kontrol med outsourcing, jf. § 8, stk. 2, i bekendtgørelsen. Outsourcing bør ikke sænke egnethedskravet for bestyrelsesmedlemmer, direktionen og andre, der besidder nøgleposter. Virksomhedens nøglepersoner skal således også have tilstrækkelige kompetencer og ressourcer ift. de dele af virksomhedens processer, tjenesteydelser og aktiviteter, der er outsourcede. Det fremgår af § 64 c i lov om finansiel virksomhed, hvilke poster der skal betragtes som nøgleposter, og som for virksomheder omfattet heraf skal godkendes af Finanstilsynet.
Outsourcingvirksomheden skal sikre, at den effektivt udøver sine ledelsesbeføjelser i forbindelse med outsourcing, jf. § 9, stk. 1, i bekendtgørelsen. Bestemmelsens fokus ligger på den effektive udøvelse. Outsourcing må ikke medføre, at ledelsesbeføjelserne udhules, og outsourcingvirksomheden dermed ikke effektivt kan udøve disse. Ved outsourcing af kreditgivning må outsourcing eksempelvis ikke medføre, at ledelsesbeføjelserne i forhold til begrænsning af kreditrisiciene reelt set udføres af leverandøren. Dette indebærer ikke, at enhver fejl hos leverandøren medfører, at der ikke er tale om effektiv udøvelse af ledelsesbeføjelser hos outsourcingvirksomheden, men nærmere at outsourcingvirksomheden skal kunne opdage og reagere på fejl hos leverandøren, hvis disse opstår. Samme principper gør sig gældende ved videreoutsourcing i et eller flere led.
Ifølge § 9, stk. 2, i bekendtgørelsen, skal outsourcingvirksomheden ved brug af outsourcing sikre relevante foranstaltninger, der sikrer tilstrækkelig varetagelse af personoplysninger og data, der behandles af leverandører. I en EU-retlig kontekst må bestemmelsen fortolkes på den måde, at outsourcingvirksomheden ved efterlevelse af § 9, stk. 2, i bekendtgørelsen, skal sikre, at leverandører (beliggende i EU og eller/tredjelande), der behandler personoplysninger, har gennemført relevante foranstaltninger i overensstemmelse med forordning 2016/679 (persondataforordningen).
Det er et krav, at outsourcingvirksomheden ved kritisk eller vigtig outsourcing indenfor en passende tidsramme enten kan overføre opgaven til en anden leverandør, reintegrere opgaven i virksomheden eller lade de forretningsmæssige aktiviteter, der er afhængige af opgaven, ophøre, hvis dette skulle blive nødvendigt, jf. § 9, stk. 3, i bekendtgørelsen. Outsourcingvirksomheden skal således kunne tage konsekvensen af, at leverandøren eksempelvis ikke lever op til sine forpligtelser i kontrakten, og at outsourcingvirksomheden dermed ikke kan udøve ledelsesbeføjelserne effektivt. Det kommer an på det enkelte tilfælde, hvad der ligger i bestemmelsens formulering ”passende tidsramme”. Tidsrammen må afspejle de konkrete forhold, der gælder for outsourcingaftalen, således at der ikke opstår unødigt ophør i overførslen, reintegreringen eller ophøret af opgaven, men samtidig således, at exit fra leverandøren sker på en hensigtsmæssig måde. Hvis der f.eks. er tale om en outsourcingordning, hvor der er sket videreoutsourcing i flere led, eller hvor forskellige dele af ydelserne i hovedaftalen er videreoutsourcet til forskellige underleverandører, kan virksomheden tage hensyn til, at exit fra en sådan leverandør kan være mere tidskrævende, hvis denne skal ske hensigtsmæssigt.
Det er bestyrelsen i outsourcingvirksomheden, der har ansvaret for, at outsourcing anvendes betryggende, jf. § 10, stk. 1, i bekendtgørelsen. Bestyrelsens ansvar og opgaver kan ikke outsources, jf. § 10, stk. 2, i bekendtgørelsen. Bestyrelsen skal overvåge direktionens beslutninger og som led i den løbende risikovurdering, overvågning og kontrol sikre, at den modtager rapportering om risici m.v., der er identificeret i forbindelse med kritisk eller vigtig outsourcing, jf. § 10, stk. 3 og stk. 5.
Outsourcingvirksomheden skal have en skriftlig outsourcingpolitik, jf. § 10, stk. 4. Bestyrelsen skal godkende, regelmæssigt revidere og ajourføre politikken og sikre, at den efterleves af virksomheden. De nærmere krav til denne politik fremgår af bekendtgørelsens bilag 1.
Direktionens rapportering til bestyrelsen skal ske periodisk, jf. § 10, stk. 5. Som led i den løbende risikokontrol kan rapporteringen med fordel ske med intervaller efter opgavens betydning og den risiko, som opgavevaretagelsen medfører for outsourcingvirksomheden.
Outsourcingpolitikken skal bl.a. tage stilling til, hvorvidt politikken også skal anvendes ved eventuel outsourcing til en leverandør, der indgår i en koncern, jf. bilag 1, nr. 1, litra i, i bekendtgørelsen. Formålet med bilag 1, nr. 1, litra i, er at præcisere, at visse forhold i outsourcingpolitikken ud fra et proportionalitetshensyn ikke nødvendigvis behøver at have samme vægt, hvis der er tale om outsourcing til en ”koncernleverandør”, således at det afgørende ikke nødvendigvis behøver at være, om den pågældende ydelse leveres af leverandør A eller B inden for samme koncern. Bestemmelsen vedrører ikke koncernintern outsourcing, men omhandler den situation, hvor man outsourcer til en ekstern koncern, hvor det væsentlige ikke er, hvilken leverandør indenfor denne koncern, der benyttes.
Ifølge bilag 1, nr. 2, litra d, må outsourcingpolitikken ikke stride mod eventuelle tilsynsmæssige begrænsninger af tjenesteydelser og aktiviteter. Eksempelvis kan der ikke ske outsourcing af en ydelse til en leverandør (uanset dennes tilladelser), såfremt outsourcingvirksomheden ikke har den pågældende tilladelse. Dette skal ikke forstås således, at outsourcingvirksomheden ikke må aftage ydelser fra andre, som den finansielle virksomhed ikke selv har tilladelse til at yde – men rettere, at outsourcingvirksomheden ikke kan få en leverandør til at udføre en ydelse, som denne ikke har tilladelse til_, på vegne af_ outsourcingvirksomheden. F.eks. kan en outsourcingvirksomhed uden tilladelse til værdipapirhandel ikke få en leverandør til udøve sådan værdipapirhandel på vegne af outsourcingvirksomheden til outsourcingvirksomhedens kunder. Der er til gengæld intet i vejen for, at outsourcingvirksomheden henviser deres kunder til at få foretaget værdipapirhandel ved en anden virksomhed – i dette tilfælde vil der ikke være tale om outsourcing i bekendtgørelsens forstand.
Bestyrelsen skal opstille klare rammer og betingelser før indgåelse af kritiske eller vigtige outsourcingkontrakter, og for de herved forbundne risici, som bestyrelsen kan acceptere, jf. § 11, stk. 1, i bekendtgørelsen. Rammerne skal besluttes på baggrund af en forudgående analyse, jf. § 11, stk. 2, i bekendtgørelsen. Den forudgående analyse skal som minimum inddrage kravene i §§ 4, 13 og 18-20. Bestemmelsen skal forstås på den måde, at eksempelvis kravene nævnt i §§ 18-20 skal inddrages på et overordnet plan i analysen. Der er således ikke tale om, at analysen skal inddrage en konkret outsourcingaftale, som er vurderet i medfør af §§ 18-20, men rettere at analysen på et overordnet plan skal have inddraget og vurderet de krav til outsourcingvirksomheden, som følger af §§ 18-20, og at der således skal tages hensyn hertil ved fastlæggelsen af bestyrelsens rammer.
Direktionen kan indgå outsourcingkontrakter med leverandører inden for det af bestyrelsen afgivne mandat, jf. § 12, stk. 4, i bekendtgørelsen. I de tilfælde, hvor direktionen ønsker at agere uden for det af bestyrelsen afgivne mandat, skal bestyrelsen give et nyt mandat eller selv træffe beslutning om outsourcing, eksempelvis hvis en konkret outsourcing indbefatter risici, der falder uden for den af bestyrelsen fastsatte risikotoleranceramme. Det vil også få betydning i de tilfælde, hvor en allerede indgået aftale om kritisk eller vigtig outsourcing ændrer sig i en sådan grad, at det ikke længere kan anses for at ligge inden for det mandat, bestyrelsen tidligere har givet. Det må afgøres konkret, om en given kritisk eller vigtig outsourcing skal forelægges bestyrelsen til forudgående beslutning, eller om den kan rummes inden for de givne rammer og betingelser. Hvor bestyrelsen alene henviser til kravene i outsourcingpolitikken, er mandatet ikke tilstrækkelig konkretiseret, da mandatet skal være bestyrelsens konkrete stillingtagen til, hvilken kompetence direktionen tildeles. Afgørende er, at bestyrelsen har givet et klart mandat, hvorunder der bør være taget stilling til virksomhedens risikovillighed, afgrænsning af hvilke processer, aktiviteter eller tjenesteydelser der ønskes outsourcet, prisramme og vilkår for videreoutsourcing. Det givne mandat bør være afgrænset og detaljeret. Såfremt beslutningskompetencen reelt set overføres til direktionen, hvorefter de frit kan agere uden nogle begrænsninger, er mandatet formuleret for bredt.
Det er således ikke et krav, at bestyrelsen som udgangspunkt skal godkende de enkelte outsourcingkontrakter. Afgørende er, at bestyrelsen har truffet beslutning om de overordnede rammer på et fyldestgørende beslutningsgrundlag og har taget stilling til risikotolerancerammen samt hvilke foranstaltninger, der er tilstrækkelige. Rammerne skal således ikke forstås på den vis, at bestyrelsen kun kan give et konkret mandat for hver enkelt outsourcingaftale, men rettere at direktionen kan agere indenfor de klare rammer fastlagt af bestyrelsen, og således frit indgå eller ændre outsourcingaftaler, såfremt denne ageren ligger indenfor de givne rammer og betingelser.
Indgår outsourcingvirksomheden i en koncern, der benytter en centraliseret forhåndsvurdering af outsourcing, skal outsourcingvirksomheden modtage vurderingen og sikre, at der tages hensyn til outsourcingvirksomhedens særlige struktur og risici i forhåndsvurderingen, jf. § 11, stk. 3, i bekendtgørelsen. Bestemmelsen skal læses i sammenhæng med § 9, stk. 1, om effektiv udøvelse af ledelsesbeføjelser. Følgen af en centraliseret forhåndsvurdering må ikke blive, at outsourcingvirksomheden ikke bevarer sine ledelsesbeføjelser i virksomheden, eller at denne ikke længere effektivt udøver disse.
Direktionen skal indenfor de af bestyrelsen fastlagte rammer sikre, at anvendelse af outsourcing i virksomheden foregår betryggende og sikre, at ansvaret for styring, overvågning og kontrol samt dokumentation af al outsourcing er entydigt placeret, jf. § 12, stk. 1 og 2.
Direktionen skal udpege en outsourcingansvarlig, jf. § 12, stk. 3, i bekendtgørelsen. Den outsourcingansvarlige er ansvarlig for styring og overvågning som en del af outsourcingvirksomhedens ramme for intern kontrol og for sikring af dokumentationen af outsourcing. For at sikre en klar funktionsopdeling bør denne endvidere være direkte ansvarlig overfor direktionen. Den outsourcingansvarlige bør således have mulighed for at rette henvendelse og rapportere direkte til direktionen uanset ansættelsesmæssigt referenceforhold i øvrigt.
Den outsourcingansvarliges funktion skal som udgangspunkt forstås som noget, der udføres i 1. forsvarslinje. Den outsourcingansvarlige vil ikke nødvendigvis foretage de konkrete 1. linje-kontroller m.v. i forhold til den enkelte kontrakt, da dette typisk og mest hensigtsmæssigt vil ske i de enkelte forretningsområder. Det er imidlertid den outsourcingansvarliges opgave at sikre, at outsourcingkontrakterne, rapporteringen, kontrollerne m.v. bliver udført i overensstemmelse med relevante politikker, forretningsgange etc. Ud fra proportionalitetsprincippet vil opgaven hos mindre virksomheder kunne placeres andre steder i organisationen, herunder også i 2. forsvarslinje med passende kompenserende foranstaltninger, men udgangspunktet for funktionen er, at der er tale om en funktion i 1. forsvarslinje. De traditionelle 2. forsvarslinjer (compliance- og risikostyring) bør under alle omstændigheder overvåge og kontrollere, hvorvidt den outsourcingansvarlige er i stand til at identificere, styre og mitigere outsourcing-risici.
Bekendtgørelsen opsætter ikke betingelser for, hvornår der kan udpeges en fælles outsourcingansvarlig i en koncern. Såfremt koncernen benytter sig af koncernintern outsourcing, kan der dog opstå væsentlige interessekonflikter i det tilfælde, hvor f.eks. en dattervirksomhed outsourcer processer, tjenesteydelser eller aktiviteter til en modervirksomhed. Ifølge § 13 i bekendtgørelsen skal outsourcingvirksomheden løbende forebygge de interessekonflikter, der kan opstå ved outsourcing. På den baggrund bør en outsourcingvirksomhed, der er individuelt omfattet af bekendtgørelsen, som udgangspunkt udpege sin egen outsourcingansvarlige. Dette påvirkes dog af proportionalitetsprincippet, særligt i det tilfælde, hvor koncernen ikke benytter sig af koncernintern outsourcing. Brug af en fælles outsourcingansvarlig vil i sig selv udgøre outsourcing, hvis betingelserne herfor i øvrigt er opfyldte. Såfremt den outsourcingansvarlige er dobbeltansat hos outsourcingvirksomheden og den anden koncernvirksomhed, vil dette dog ikke være tilfældet.
En dattervirksomhed, som alene er omfattet af bekendtgørelsen på konsolideret niveau, skal ikke have en outsourcingansvarlig. Modervirksomheden, som skal opfylde bekendtgørelsen på delkonsolideret og konsolideret niveau, skal have en outsourcingansvarlig, som dækker dette niveau. Ansvaret for opfyldelsen af kravet vil ligge hos modervirksomheden. Modervirksomheden vil i dette tilfælde derfor kunne vælge at udpege den outsourcingansvarlige, som er udpeget på individuelt niveau i modervirksomheden.
Er den outsourcingansvarlige en nøgleperson, skal denne fit-and-proper-vurderes efter § 64 c, i lov om finansiel virksomhed. Dette gælder alene for nøglepersoner i et pengeinstitut og for nøglepersoner i et systemisk vigtigt finansielt institut (SIFI) eller et globalt systemisk vigtigt finansielt institut (G-SIFI), som ikke er et pengeinstitut. Som udgangspunkt vil den outsourcingansvarlige ikke være en nøgleperson alene i kraft af ansvaret for outsourcing. Såfremt en virksomhed benytter sig af outsourcing i så høj grad, at funktionen som outsourcingansvarlig dermed bliver vigtig og afgørende for virksomhedens drift, vil den outsourcingansvarlige dog de facto blive en nøgleperson og skal som følge heraf identificeres som sådan. Det vil imidlertid være undtagelsen og vil under alle omstændigheder komme an på en konkret vurdering foretaget af outsourcingvirksomheden. Denne vurdering er underlagt Finanstilsynets tilsynskompetence. Vurderingen af, hvorvidt den outsourcingansvarlige skal betragtes som en nøgleperson, er i princippet uafhængig af, i hvilken forsvarslinje, outsourcingvirksomheden har placeret funktionen som outsourcingansvarlig (om end det klare udgangspunkt som nævnt ovenfor er, at denne skal betragtes som en funktion i 1. forsvarslinje). Disse to forhold bør således ikke forveksles.
I forhold til § 12, stk. 5, skal direktionen sikre, at bestyrelsen orienteres om ændringer af kritisk eller vigtig outsourcing og de potentielle konsekvenser af disse ændringer. Direktionen skal sikre, at bestyrelsen underrettes behørigt om relevante planlagte ændringer vedrørende leverandører, der overvåges centralt, og de potentielle konsekvenser af disse ændringer for de kritiske eller vigtige funktioner. For at bestyrelsen til fulde kan vurdere konsekvenserne af ændringerne, bør orienteringen bl.a. indeholde et sammendrag af risikoanalysen med juridiske risici og en vurdering af overholdelse af gældende lovgivning og indvirkningen på serviceniveauet.
Outsourcingvirksomheden skal løbende identificere, vurdere, forebygge og afhjælpe de interessekonflikter, der opstår eller kan opstå ved brug af outsourcing, jf. § 13 i bekendtgørelsen.
Outsourcingvirksomheden kan ved identificering, vurdering og afhjælpning af interessekonflikter inddrage reglerne om interessekonflikter i ledelsesbekendtgørelsen, lov om finansiel virksomhed, lov om betalinger og lov om kapitalmarkeder. Disse skal alene ses som et supplement, idet § 13 i bekendtgørelsen specifikt vedrører outsourcing.
Hvor outsourcing skaber væsentlige interessekonflikter, herunder mellem virksomheder inden for samme koncern, skal outsourcingvirksomheden træffe passende foranstaltninger til håndtering af de pågældende interessekonflikter. Dette følger af kravet i § 13 om, at outsourcingvirksomheden skal afhjælpe opståede interessekonflikter.
Outsourcingvirksomheden skal udarbejde, vedligeholde og regelmæssigt teste beredskabsplaner med hensyn
til kritisk eller vigtig outsourcing, jf. § 14, stk. 1, i bekendtgørelsen. Fsva. kreditinstitutter og investeringsselskaber skal beredskabsplanerne være i overensstemmelse med kravene i § 8, stk. 7, i ledelsesbekendtgørelsen.6) Tests af beredskabsplaner bør sikre, at disse er operationelle. Der er ikke krav til metoden for gennemførslen af tests af beredskabsplaner.
Beredskabsplanerne kan med fordel indeholde en stillingtagen til den mulighed, at kvaliteten af de outsourcede kritiske eller vigtige processer, tjenesteydelser eller aktiviteter forringes til et uacceptabelt niveau eller slet ikke leveres. I beredskabsplanerne bør der også som minimum tages højde for den potentielle virkning af insolvens eller andre mangler hos leverandøren og, hvor det er relevant, politiske risici i leverandørens jurisdiktion.
Omfanget af beredskabsplanerne bør afspejle den løbende risikovurdering, der foretages i henhold til bekendtgørelsens § 19.
Indgår outsourcingvirksomheden i en koncern, kan outsourcingvirksomheden med de nødvendige tilpasninger i stedet anvende centralt fastlagte beredskabsplaner for outsourcing, jf. § 14, stk. 2, i bekendtgørelsen. Hvis der anvendes centralt fastlagte beredskabsplaner ved koncernintern outsourcing, skal outsourcingvirksomheden være særligt opmærksom på at identificere og afhjælpe eventuelle interessekonflikter, jf. § 13, i bekendtgørelsen, og at outsourcingvirksomheden til stadighed effektivt kan udøve dennes ledelsesbeføjelser, jf. § 9, stk. 1, i bekendtgørelsen. Beredskabsplanerne skal under alle omstændigheder implementeres og testes af outsourcingvirksomheden (f.eks. ved at være involveret i den centrale afprøvning af beredskabsplanerne) og outsourcingvirksomheden skal vurdere, om beredskabsplanerne er operationelle for outsourcingvirksomheden.
Det følger af § 15 i bekendtgørelsen, at outsourcingvirksomheden skal dokumentere vurderinger og beslutninger, der er nødvendige for at overholde bekendtgørelsen. Et eksempel på, hvordan dokumentationskravet fortolkes er, at outsourcingvirksomheden, bl.a. for at overholde kravene til overvågning og kontrol i bekendtgørelsens kapitel 9, bør dokumentere vurderinger og beslutninger i forhold til leverandørens ydeevne, leverandørens opfyldelse af de aftalte serviceniveauer, kontraktuelle og lovpligtige krav samt eventuelle revideringer af outsourcingvirksomhedens risikovurderinger. Dokumentationskravet skal ses i sammenhæng med proportionalitetsprincippet, således at kravene til dokumentation kan gøres lempeligere på baggrund af kriterierne i § 2.
Outsourcingvirksomheden skal, jf. § 16 i bekendtgørelsen, føre og løbende opdatere et register med oplysninger om outsourcing i overensstemmelse med kravene i bilag 2.
Outsourcingvirksomheden skal opbevare dokumentation for afsluttet outsourcing i registeret og øvrig dokumentation i minimum 5 år, medmindre andet følger af anden lovgivning, jf. § 16, stk. 2 i bekendtgørelsen. Andet kan eksempelvis følge af artikel 17 i forordning 2016/679 (persondataforordningen) om ret til sletning, såfremt outsourcingregisteret indeholder persondataoplysninger. Outsourcingkontrakter, der er afsluttet inden bekendtgørelsens ikrafttrædelse, er ikke omfattet af kravet om opbevaring i § 16, stk. 2. Dette følger af § 32, stk. 1, hvorefter bekendtgørelsens krav alene finder anvendelse på outsourcingkontrakter, der indgås, revideres eller genforhandles den 1. juli 2020 eller derefter.
Outsourcingregisteret skal indeholde oplysninger om alle outsourcingordninger, jf. bilag 2, nr. 1, og ikke blot de ordninger, der klassificeres som kritisk eller vigtig outsourcing.
Outsourcingregisteret skal bl.a. indeholde en kort beskrivelse af de data, der er outsourcet, om der er overført personoplysninger, og om behandlingen heraf er outsourcet til en leverandør, jf. bilag 2, nr. 1, litra d. I det øjeblik persondata er overført, vil der som udgangspunkt også være en sket behandling af persondata.
Ved ”cloudtjenester”, jf. bilag 2, nr. 2, skal som udgangspunkt forstås tjenesteydelser leveret ved hjælp af cloudcomputing, dvs. en model, der tillader lettilgængelig og letanvendelig on demand-netværksadgang til en fælles pulje af konfigurerbare computerressourcer (f.eks. netværk, servere, lagring, applikationer og tjenesteydelser), som hurtigt kan leveres og idriftsættes med et minimum af administration eller interaktion med leverandøren. Definitionen stammer fra EBA’s ”Retningslinjer for outsourcing” pkt. 12.
I tilfælde af, at en outsourcingaftale indeholder brug af cloudtjenester, skal registeret indeholde nogle yderligere oplysninger, som fremgår af bilag 2, nr. 2. Derudover skal registeret indeholde yderligere oplysninger om outsourcingordninger, der klassificeres som kritiske eller vigtige, jf. bilag 2, nr. 3.
For så vidt angår kritisk eller vigtig outsourcing skal outsourcingregisteret bl.a. indeholde oplysninger om, hvorvidt de outsourcede processer, tjenesteydelser eller aktiviteter understøtter tidskritisk forretningsdrift, jf. bilag 2, nr. 3, litra k. Ved ”tidskritisk forretningsdrift”, jf. bilag 2, nr. 3, litra k, skal som udgangspunkt forstås processer, tjenesteydelser eller aktiviteter, hvis manglende udførelse til et planlagt tidspunkt ville føre til væsentlige forstyrrelser i outsourcingvirksomhedens drift.
Outsourcingvirksomheden skal på Finanstilsynet anmodning uden unødigt ophold udlevere oplysninger fra registeret, jf. § 16, stk. 3.
Hvis outsourcingvirksomheden indgår i en koncern, kan outsourcingvirksomheden udpege en virksomhed i koncernen, der fører registeret over outsourcingvirksomhedens outsourcing, jf. § 16, stk. 4, i bekendtgørelsen. Hvis en anden virksomhed indenfor koncernen fører registreret på outsourcingvirksomhedens vegne, vil dette i sig selv udgøre outsourcing, hvis betingelserne herfor i øvrigt er opfyldte. Dette vil betyde, at outsourcingbekendtgørelsens krav om f.eks. outsourcingkontrakt m.v. skal opfyldes. Outsourcing af registeret vil som udgangspunkt ikke udgøre kritisk eller vigtig outsourcing, men dette skal vurderes konkret efter § 4 og 5 i bekendtgørelsen. Ved dobbeltansættelser af de relevante medarbejder, der fører registeret, vil der dog som udgangspunkt ikke være tale om outsourcing.
Virksomheder i koncernen, der er omfattet af bekendtgørelsen, skal uden unødigt ophold kunne få udleveret sit individuelle register over outsourcing, jf. § 16, stk. 5, i bekendtgørelsen.
Outsourcingvirksomheden skal ved kritisk eller vigtig outsourcing have skriftlige exitstrategier, der opfylder kravene i bilag 4, jf. § 17, stk. 1, i bekendtgørelsen.
Hvis outsourcingvirksomheden indgår i en koncern, hvor exitplanen for en kritisk eller vigtig outsourcing er blevet etableret på koncernniveau, skal outsourcingvirksomheden modtage et sammendrag af exitplanen og sikre sig, at planen kan udføres effektivt, jf. § 17, stk. 2, i bekendtgørelsen. Bestemmelsen indebærer et selvstændigt ansvar for virksomheden, selvom den indgår i en koncern. Bestemmelsen skal således ses i sammenhæng med § 9, stk. 1, i bekendtgørelsen, om effektiv udøvelse af ledelsesbeføjelser.
Der følger visse krav til hhv. exitstrategier, exitplaner, og transitionsplaner af bekendtgørelsens bilag 4. Ved exitstrategi forstås i denne sammenhæng en dokumenteret skriftlig beslutning om virksomhedens strategi for, hvordan outsourcingforhold vil skulle forlades, herunder ved opsigelse af outsourcingaftaler, misligholdelse hos leverandøren, forringelse af kvaliteten af den leverede ydelse mv., jf. bilag 4, nr. 1. En virksomhed kan vælge at benytte sig af flere exitstrategier, og der kan eksempelvis grupperes forskellige typer af outsourcingforhold under hver enkelt exitstrategi. En exitplan forstås som en mere detaljeret plan for, hvordan exitstrategien nærmere eksekveres, dvs. hvordan et nærmere bestemt outsourcingforhold kan forlades. Endelig forstås en transitionsplan (overgangsplan) som en mere detaljeret plan for, hvordan man når fra en tilstand til en anden, f.eks. processen når man reintegrerer en outsourcet proces, tjenesteydelse eller aktivitet i outsourcingvirksomheden, jf. bilag 4, nr. 3, litra f. Transitionsplaner vedrører således selve transitionen af en ydelse, hvorimod exitplaner vedrører afslutningen af et konkret outsourcingforhold.
Kravene til indholdet af en outsourcingvirksomheds exitstrategier fremgår af bilag 4, nr. 3. Exitstrategierne skal bl.a. indeholde exitplaner, der er tilstrækkeligt testede, jf. bekendtgørelsens bilag 4, nr. 3, litra b. De fornødne tests kan eksempelvis omfatte analyser af de potentielle omkostninger, konsekvenser, ressourcer og tidsmæssige implikationer af at overføre en outsourcet proces, tjenesteydelse eller aktivitet til en alternativ leverandør. Testene skal dog understøttes af analyser på baggrund af proportionalitetsprincippet. Tests skal sikre, at der opnås en berettiget forventning om, at exitplanerne kan gennemføres rettidigt og inden for de fastsatte rammer. Der kræves i denne henseende ikke en faktisk test i form af flytning af en ydelse fra én leverandør til en anden. Kravet om test påvirkes af proportionalitetsprincippet, jf. § 2 i bekendtgørelsen. Eksempelvis skal typen af test derfor bl.a. tage højde for omfang, kompleksitet, risici m.v., der er forbundet med virksomhedens outsourcing. Proportionalitetsprincippet medfører således, at der som udgangspunkt ikke stilles ligeså høje krav til testens grundighed ved tests af exitplaner for eksempelvis relativt simple ydelser, som til tests af exitplaner ved outsourcing af mere komplekse ydelser.
Hvor udførelse af processer, tjenesteydelser eller aktiviteter kræver tilladelser, skal outsourcingvirksomheden forud for en outsourcing sikre, at leverandøren har de fornødne tilladelser, jf. § 18, stk. 1. Det vil komme an på de konkrete omstændigheder, hvordan dette skal sikres. Det kan ikke generelt kræves, at outsourcingvirksomheden skal indhente kopier af tilladelserne og/eller registreringerne, men omvendt kan det ikke udelukkes, at dette bliver nødvendigt. Som eksempel kan nævnes, at der vil være en formodning for, at en større, velkendt dansk bank har tilladelse som pengeinstitut i landet. Ved vurderingen af nødvendigheden vil proportionalitetsprincippet således være relevant, jf. § 2 i bekendtgørelsen. Hvis det fremgår af Finanstilsynets virksomhedsregister, at en leverandør har de fornødne tilladelser, kan man også basere sig på denne oplysning. Samlet set er det op til den konkrete outsourcingvirksomhed at vurdere, hvorvidt de har opnået tilstrækkelig godtgørelse for, at de fornødne tilladelser er til stede. Sikring af tilladelserne kan i øvrigt ske som et naturligt led i forbindelse med den forudgående undersøgelse af leverandør, der kræves efter § 20 i bekendtgørelsen.
§ 18, stk. 2, i bekendtgørelsen angår krav til outsourcingvirksomheden, når leverandøren har hjemsted i et andet EU-land end Danmark eller i et andet land, som Unionen har indgået aftale med på det finansielle område.
§ 18, stk. 3, i bekendtgørelsen angår krav til outsourcingvirksomheden, når leverandøren har hjemsted i et land udenfor EU, som Unionen ikke har indgået aftale med på det finansielle område. Det følger bl.a. af § 18, stk. 3, nr. 2, i bekendtgørelsen, at outsourcingvirksomheden skal sikre, at der foreligger en samarbejdsaftale mellem Finanstilsynet og de myndigheder, der fører tilsyn med leverandøren i hjemlandet. Dette krav træder først i kraft 1. januar 2022, jf. § 31, stk. 2. Finanstilsynet indgår løbende samarbejdsaftaler med tilsyn i andre lande i og udenfor EU. Hvilke samarbejdsaftaler Finanstilsynets har indgået, og med hvilke udenlandske tilsynsmyndigheder, kan findes på Finanstilsynets hjemmeside, www.finanstilsynet.dk.
Outsourcingvirksomheden skal foretage en risikovurdering før en beslutning om outsourcing eller videreoutsourcing, jf. § 19, stk. 1, i bekendtgørelsen. Ved videreoutsourcing skal der alene foretages en risikovurdering af outsourcing, som af outsourcingvirksomheden er vurderet kritisk eller vigtig ved outsourcing til leverandøren. Outsourcingvirksomheden skal overveje de operationelle risici i forbindelse med de processer, tjenesteydelser eller aktiviteter, der skal outsources, og træffe nødvendige foranstaltninger for at begrænse disse risici, jf. § 19, stk. 1, nr. 1 og 2.
Det fremgår af § 19, stk. 2, i bekendtgørelsen, hvad risikovurderingen efter stk. 1 som minimum skal indeholde. Outsourcingvirksomheden skal bl.a. foretage en risikobaseret analyse af processerne, tjenesteydelserne og aktiviteterne og relaterede data og systemer i forbindelse med outsourcingen, jf. § 19, stk. 2, nr. 2, i bekendtgørelsen. Ved denne vurdering bør særligt indgå juridiske risici, it-risici, compliance-risici og omdømmemæssige risici, og de tilsynsmæssige begrænsninger i relation til de lande, hvor de outsourcede ydelser leveres eller kan leveres, og hvor data er eller sandsynligvis vil blive opbevaret.
Ved vurderinger af konsekvenser ved leverandørens lokalitet, jf. § 19, stk. 2, nr. 3, kan outsourcingvirksomheden f.eks. forholde sig til, om leverandøren er beliggende i samme land som virksomheden selv, og derved underlagt den samme regulering og eventuelt tilsyn, eller i et 3. land med en anden regulering og evt. begrænset mulighed for at styre risici knyttet til kontrakten.
Det følger af § 19, stk. 2, nr. 4, i bekendtgørelsen, at outsourcingvirksomheden skal vurdere den politiske stabilitet og sikkerhedssituationen i de relevante jurisdiktioner. Bestemmelsen har ikke en geografisk afgrænsning. Ved denne vurdering bør lovgivning, herunder lovgivning om databeskyttelse, lovgivning om insolvens, som finder anvendelse i tilfælde af en leverandørs svigt, og eventuelle begrænsninger, der vil opstå i forbindelse med den presserende genopretning af outsourcingvirksomhedens data, samt øvrige myndighedskrav, indgå.
Ved vurdering af betydningen af, at leverandøren eventuelt er en datter- eller modervirksomheden til outsourcingsvirksomhed, jf. § 19, stk. 2, nr. 6, kan koncernforholdet påvirke relationen mellem outsourcingvirksomheden og leverandøren, f.eks. hvis leverandøren er en dattervirksomhed, vil outsourcingsvirksomheden have en anden mulighed for at udøve indflydelse end ved kontraktsforhandling.
Vurderingen skal, hvor det er relevant, omfatte scenarier af mulige risikohændelser, jf. § 19, stk. 3, i bekendtgørelsen. Det vil være relevant at lave en analyse af mulige risikohændelser, når en outsourcing er forbundet med risici, der ikke kan betragtes som bagatelagtige. Det vil derudover ikke være relevant at lave en analyse for mulige risikohændelser i forhold til f.eks. it-risici, hvis outsourcingen reelt ikke berører denne risici. Der er ikke krav om en særskilt analyse. En særskilt analyse kan dog være hensigtsmæssig for større virksomheder eller for outsourcing af kritiske eller vigtige funktioner. Scenarierne omfatter alvorlige operationelle risikohændelser. Outsourcingvirksomhederne bør vurdere de potentielle konsekvenser af mislykkede eller utilstrækkelige processer, tjenesteydelser eller aktiviteter, herunder de risici, som processer, systemer, personer eller eksterne begivenheder forårsager. Outsourcingvirksomheden bør, under hensyntagen til proportionalitetsprincippet, dokumentere den udførte analyse og dennes resultater, og bør vurdere, i hvilket omfang outsourcing vil øge eller mindske operationelle risici.
Vurderingen skal tage hensyn til de forventede konsekvenser af outsourcing, jf. § 19, stk. 4, i bekendtgørelsen. Outsourcingvirksomheden kan i risikovurderingen inddrage forventede fordele og omkostninger ved den foreslåede outsourcing, herunder vægte risici, der kan reduceres eller styres bedre i forhold til risici, der kan opstå som følge af den foreslåede outsourcing. Ved analysen af koncentrationsrisici, jf. § 19, stk. 4, nr. 1, i bekendtgørelsen, bør bl.a. indgå en vurdering af outsourcing til en dominerende leverandør, der ikke er let substituerbar, og flere outsourcingaftaler med den samme leverandør eller nært forbundne leverandører. Ved analysen af samlede risici som følge af outsourcing på tværs af outsourcingvirksomheden eller i den samlede koncern, jf. § 19, stk. 4, nr. 2, skal reglen ses i sammenhæng med § 1, stk. 2. En dattervirksomhed skal som udgangspunkt vurdere risici på tværs af virksomheden men ikke vurdere risici på tværs af koncernen. Denne forpligtigelse påhviler modervirksomheden på delkonsolideret eller konsolideret niveau. Begge dele skal dog afdækkes før beslutning om outsourcing, jf. § 19.
Vurderingen af risikoen for, at outsourcingvirksomheden kan blive tvunget til at yde økonomisk støtte til en nødlidende leverandør eller overtage dennes forretningsmæssige aktiviteter, jf. § 19, stk. 4, nr. 3, kan følge af en kontraktretlig forpligtigelse eller det forhold, at outsourcingvirksomheden kan være tvunget til at yde økonomiske støtte i en periode, fordi outsourcingvirksomheden er afhængig af leverandøren for at drive forretningen og det vil tage tid at enten hjemtage outsourcingen eller flytte til en anden leverandør.
I § 19, stk. 5, i bekendtgørelsen fremgår nogle parametre, som vurderingen skal tage hensyn til, hvis videreoutsourcing er tilladt. I risikovurderingen skal indgå de risici, der er forbundet med videreoutsourcing, jf. § 19, stk. 5, nr. 1, i bekendtgørelsen. Disse risici omfatter eventuelle yderligere risici, der kan opstå, hvis underleverandøren er beliggende i et andet land end leverandøren, og således er underlagt andre regler. Dette kan f.eks. være tilfældet, hvis leverandøren er beliggende udenfor EU, mens underleverandøren er beliggende i et EU-land eller omvendt.
Risikovurderingen skal endeligt tage højde for risici ved et eventuelt ophør af outsourcingen, herunder risici ved at overføre den outsourcede proces, tjenesteydelse eller aktivitet til en anden leverandør eller ved at reintegrere processen, tjenesteydelsen eller aktiviteten i outsourcingvirksomheden, jf. § 19, stk. 6, i bekendtgørelsen.
En outsourcingvirksomhed skal, før der træffes beslutning om valg af leverandør ved outsourcing, foretage en undersøgelse af leverandøren, jf. § 20, stk. 1, i bekendtgørelsen.
For at sikre, at outsourcing foregår på en betryggende måde, bør outsourcingvirksomheden ved kritisk eller vigtig outsourcing sikre, at leverandøren har tilstrækkelige kompetencer og ekspertise, kapacitet, ressourcer og hvor relevant, den eller de krævede myndighedstilladelser eller registreringer til at udføre den kritiske eller vigtige funktion på en pålidelig og professionel måde.
Det fremgår af § 20, stk. 2, i bekendtgørelsen, hvad den forudgående undersøgelse som minimum skal indeholde en vurdering af. En vurdering af, om leverandøren har tilstrækkelige kompetencer og ekspertise kan f.eks. vurderes ud fra, om leverandøren allerede udfører processen eller tjenesteydelsen. En vurdering af tilstrækkelig kapacitet og ressourcer bør vurderes ud fra leverandørens nuværende forhold, hvilken konsekvens outsourcingen har og hvordan leverandøren planlægger at reagere, f.eks. i form af ansættelser eller investeringer. Vurderingen skal også tage stilling til, om leverandøren og eventuelle underleverandører handler i overensstemmelse med outsourcingvirksomhedens værdier og adfærdskodeks, jf. § 20, stk. 2, nr. 6, i bekendtgørelsen. Ved outsourcingvirksomhedens værdier og adfærdskodeks skal forstås, at leverandører og underleverandører handler på en etisk og socialt ansvarlig måde og efterlever internationale standarder for blandt andet menneskerettigheder, miljøbeskyttelse og sikrer passende arbejdsbetingelser, herunder forbud mod børnearbejde. I den forbindelse kan det f.eks. undersøges, om leverandører og eventuelle underleverandør tidligere har handlet i strid med den europæiske mennereskerettighedskonvention eller lignende traktater. Der er ikke krav til, hvordan undersøgelsen efter § 20, stk. 2, nr. 6, foretages, så længe outsourcingvirksomheden er tilstrækkeligt betrygget i undersøgelsens resultat.
Vurderingen af leverandøren skal ske på et kvalificeret grundlag, og arbejdet med at tilvejebringe et sådan grundlag er mere omfattende i forhold til en leverandør, hvor outsourcingvirksomheden ikke fra en pålidelig tredjemand, f.eks. en virksomhed i outsourcingvirksomhedens koncern, har en vis grad af viden om, at leverandøren på kvalificeret vis kan levere den ønskede outsourcingaktivitet. Ved fornyelse af eksisterende kontrakter kan outsourcingvirksomheden bl.a. basere sig på erfaringerne med leverandøren. Kravet til intensiteten af den forudgående undersøgelse af leverandør påvirkes i øvrigt af proportionalitetsprincippet, jf. § 2. Det indebærer, at undersøgelsen som minimum skal indeholde en vurdering af faktorerne i § 20, stk. 2, men at kravene til intensiteten af undersøgelsen f.eks. vil være lavere, hvis den pågældende outsourcing ikke vurderes at kunne have en mærkbar potentiel indvirkning på outsourcingvirksomhedens drift, jf. § 2, nr. 4.
Outsourcingvirksomheden skal indgå en skriftlig outsourcingkontrakt med leverandøren, hvor parternes rettigheder og forpligtelser klart fremgår, jf. § 21, stk. 1, i bekendtgørelsen.
Det er outsourcingvirksomhedens ansvar, at kravene i § 21 og bilag 3 bliver en del af kontrakten mellem outsourcingvirksomheden og leverandøren. Når der i bilag 3 henvises til outsourcingkontrakten, menes der alene det kontraktuelle grundlag, hvorimod der ved henvisning til outsourcingaftalen også menes andre aftaler, der ikke fremgår direkte af kontrakten, men er afledte aftaler. Et eksempel herpå er, at outsourcingvirksomheden efter aftale løbende har en veto- eller udtaleret på de forretningsgange, som leverandøren anvender ved udførelsen af den outsourcede aktivitet.
Hvis der er tale om kritisk eller vigtig outsourcing, skal outsourcingkontrakten opfylde kravene i bilag 3 i sin helhed, jf. § 21, stk. 2, i bekendtgørelsen.
Ved outsourcing, der ikke er kritisk eller vigtig, skal kontrakten alene opfylde visse af kravene i bilag 3. For det første skal kontrakten opfylde kravene i bilag 3, nr. 3, såfremt der er tale om outsourcing af en it-ydelse, jf. § 21, stk. 3 i bekendtgørelsen. Dette indebærer, at kontrakten ved outsourcing af it-ydelser skal definere data- og systemsikkerhedskrav og sikre, at leverandører opfylder relevante it-sikkerhedsstandarder, som sætter outsourcingvirksomheden i stand til at efterleve sin it-sikkerhedspolitik. Derudover skal kontrakten opfylde kravene i bilag 3, nr. 4, og § 21, stk. 5, ud fra en risikobaseret tilgang, jf. § 21, stk. 4. Disse bestemmelser vedrører begge rettigheder til adgang og revision for outsourcingvirksomheden, Finanstilsynet, Finansiel Stabilitet eller en tredjepart, der er udpeget af outsourcingvirksomheden til at udøve disse rettigheder. Outsourcingvirksomheden skal således sikre retten til adgang og revision i kontrakten ud fra en risikobaseret tilgang ved outsourcing, som ikke er kritisk eller vigtig, hvorimod kravet altid gælder for kritisk eller vigtig outsourcing – uden hensyntagen til denne risikobaserede tilgang. Denne sikring af ret til adgang og revision ud fra en risikobaseret tilgang bør ske under hensyntagen til arten af den outsourcede funktion og de dermed forbundne operationelle og omdømmemæssige risici, dens skalerbarhed, den potentielle indvirkning på den fortsatte udførelse af opgaverne og kontraktperioden.
Uanset om en outsourcing er kritisk eller vigtig, skal outsourcingvirksomheden sikre sig, at outsourcingkontrakten ikke hindrer Finanstilsynets mulighed for at indsamle oplysninger og have undersøgelsesbeføjelser. Dette følger af § 21, stk. 4 og 5, i bekendtgørelsen. Kravene til indholdet af kontrakten afspejler de rettigheder, som Finanstilsynet har i forhold til outsourcingvirksomhederne i henhold til §§ 261 og 344-352 i lov om finansiel virksomhed7). Finanstilsynet skal uden retskendelse kunne få adgang hos leverandører og underleverandører, hvis disse har hjemsted i Danmark, jf. § 347, stk. 6, i lov om finansiel virksomhed og tilsvarende § 132, stk. 4, i lov om betalinger og § 215, stk. 2, i lov om kapitalmarkeder. I forhold til leverandører beliggende i udlandet skal det være aftalt i kontrakten, at Finanstilsynet kan få adgang uden retskendelse. Dette følger af bekendtgørelsens bilag 3, nr. 4, som sætter visse krav til kontrakten, der skal sikre rettigheder til adgang og revision hos leverandøren. Adgangen er ikke ubegrænset, da den kun vedrører oplysninger om den outsourcede proces, tjenesteydelse eller aktivitet. Finanstilsynet skal som offentlig myndighed følge de forvaltningsretlige principper, herunder proportionalitetsprincippet, og Finanstilsynet vil som udgangspunkt skaffe de nødvendige oplysninger hos outsourcingvirksomheden.
Leverandørens opsigelsesvarsel bør gøres til en del af det kontraktuelle grundlag for at sikre, at outsourcingvirksomheden kan føre en tilstrækkelig risikostyring.
Kontraktens bestemmelser bør løbende tilpasses outsourcingvirksomhedens anvendelse og afhængighed af de outsourcede processer, tjenesteydelser eller aktiviteter. Der er risiko for, at anvendelsen og dermed også afhængigheden af de outsourcede funktioner vokser, og det er vigtigt, at kontraktbestemmelserne tager højde for det eller ændres ved genforhandling. Afhængigheden af de outsourcede funktioner kan eksempelvis vokse i det tilfælde, at en outsourcingordning ændrer karakter i en sådan grad, at der bliver tale om kritisk eller vigtig outsourcing.
I bilag 3, nr. 1, litra o, er det fastslået, at outsourcingkontrakten for kritisk eller vigtig outsourcing skal indeholde krav, der sikrer, at de data, der tilhører outsourcingvirksomheden og tilhørende relevante systemer, kan tilgås i tilfælde af insolvens, afvikling eller ophør af leverandørens forretningsaktiviteter. Med termen ”sikres” er der alene tale om et kontraktkrav, dvs. det vil som udgangspunkt være fornøden sikring at kontrahere om dette.
Bilag 3, nr. 2, angiver nærmere de kontraktkrav, der skal være opfyldte, såfremt outsourcingkontrakten for kritisk eller vigtig outsourcing tillader videreoutsourcing. Det følger af bekendtgørelsens bilag 3, nr. 2, litra g, at outsourcingvirksomheden, hvor det er hensigtsmæssigt, skal have en kontraktuel ret til at modsætte sig den planlagte videreoutsourcing eller væsentlige ændringer i eksisterende videreoutsourcingaftaler eller ret til, at outsourcingvirksomheden udtrykkeligt skal godkende den planlagte videreoutsourcing eller væsentlige ændringer i eksisterende videreoutsourcingaftaler. Uanset at det følger af bestemmelsen, at dette alene er, hvor det er hensigtsmæssigt, vil det sjældent ikke være relevant at have retten til modsætte sig ibrugtagning af ny videreoutsourcing eller ved væsentlige ændringer, stille krav om egentlig godkendelse. Tilfælde, hvor det ikke vil være relevant at kræve ret til at modsætte sig eller kræve udtrykkelig godkendelse vil f.eks. alene være, hvis kredsen af underleverandører, som også kan være outsourcingvirksomheden selv, på forhånd er specifikt fastlagt.
Ved outsourcingvirksomhedens kontraktuelle opsigelsesret, kan kontrakten indeholde en ret til delvis opsigelse, således at outsourcingvirksomheden kan undlade at opsige hele outsourcingaftalen, men i stedet kan vælge at opsige delvist eller ikke at bruge den den del af outsourcingleverandørens ydelser, som påtænkes videreoutsourcet, såfremt en videreoutsourcing ikke kan accepteres. Emnet er nærmere behandlet i vejledningens punkt 6 om videreoutsourcing.
Ved henvisningen til, at outsourcingkontrakten, hvis denne tillader videreoutsourcing, skal forpligte leverandøren til at overholde alle lovkrav med hensyn til beskyttelse af data, der gælder for outsourcingvirksomheden, jf. bilag 3, nr. 2, litra e, henvises der eksempelvis til beskyttelse af personoplysninger, og at bankhemmeligheder eller lignende juridisk tavshedspligt med hensyn til kunders oplysninger, hvor dette er relevant, er overholdt.
Bilag 3, nr. 2, litra j, omhandler leverandørens overvågning og kontrol med underleverandører. Formålet med bestemmelsen er at sikre, at den overvågning og kontrol, som outsourcingvirksomheden foretager af leverandøren, skal forplante sig i videreoutsourcingkæden, hvorfor det gøres til et kontraktkrav ved videreoutsourcing.
Outsourcingkontrakten skal sikre, at den interne revision i outsourcingvirksomheden kan foretage revision af den outsourcede proces, tjenesteydelse eller aktivitet, jf. bilag 3, nr. 4, litra a, i bekendtgørelsen. Virksomhedens interne revision bør planlægge og udføre sine revisioner ud fra en risikobaseret tilgang. Aftaleparterne kan vælge i kontrakten at angive, at revisionsadgangen skal være risikobaseret, så længe det er outsourcingvirksomheden med eventuelle input fra dennes interne revision, der beslutter, hvad der er risikobaseret. Outsourcingvirksomhedens interne revision bør udøve dennes ret til adgang og revision, fastlægge revisionshyppigheden og områder, der skal revideres, ud fra en risikobaseret tilgang og overholde relevante, almindeligt accepterede, nationale og internationale revisionsstandarder.
Bilag 3, nr. 5, litra b, omhandler krav om outsourcingvirksomhedens udtrykkelige mulighed for at opsige i outsourcingkontrakten, hvor der er hindringer, som kan ændre resultatet af den outsourcede proces, tjenesteydelse eller aktivitet. Bestemmelsen skal forstås på den måde, at det skal vurderes, om der er hindringer for, at de aftalte leverancer kan leveres.
It-outsourcing, herunder cloud-outsourcing, skal efterleve bekendtgørelsen på lige vilkår med øvrig outsourcing. Ved it-outsourcing gælder desuden § 22 i bekendtgørelsen, der specifikt vedrører databeskyttelse og it-relateret outsourcing. Det bemærkes, at denne vejledning ikke generelt giver vejledning om forhold reguleret af forordning 2016/679 (persondataforordningen). Det kan dog nævnes, at der er visse forhold i forordningen, som en outsourcingvirksomhed skal være opmærksom på ved outsourcing, herunder sikring af overførselsgrundlaget, hvis der i forbindelse med outsourcing sker overførsel af personoplysninger til et tredjeland, jf. persondataforordningens kapitel V.
Outsourcingvirksomheden skal tage hensyn til forskelle i nationale bestemmelser, når der sker outsourcing eller videreoutsourcing af data, jf. § 22, stk. 1. Outsourcingvirksomheden skal altid iagttage øvrig lovgivning, bl.a. ved behandling af personoplysninger foranlediget af outsourcing, herunder reglerne i databeskyttelsesloven og artikel 32 om behandlingssikkerhed i persondataforordningen. Dette er særligt relevant ved outsourcing eller videreoutsourcing til leverandører med hjemsted udenfor EU, hvor reglerne i f.eks. persondataforordningen ikke gælder. For at opfylde kravene, der vedrører beskyttelse af data, bør outsourcingvirksomheden således være særlig opmærksom på at sikre, at fortrolige, personlige eller på anden måde følsomme oplysninger ikke uberettiget kommer tredjemand i hænde. Det kan derfor med fordel fremgå af kontrakten, at personlige, fortrolige eller på anden måde følsomme oplysninger hos leverandøren skal behandles på samme måde som hos outsourcingvirksomheden selv, således at leverandøren overholder de lovkrav med hensyn til beskyttelse af data, der gælder for outsourcingvirksomheden.
Outsourcingvirksomheden kan i den forbindelse evt. kræve, at der er foranstaltninger hos leverandøren, der sikrer, at fortrolige oplysninger kun er tilgængelige for de medarbejdere hos leverandøren, der har et arbejdsmæssigt behov herfor. For at sikre at sådanne foranstaltninger er effektive, bør beskyttelsen også gælde efter outsourcingens ophør, således at leverandøren og dennes personale også vil være omfattet af disse bestemmelser efter kontraktens ophævelse.
Outsourcingvirksomheden skal, hvor det er relevant, sikre, at den er i stand til at udføre test af it-sikkerheden for at vurdere effektiviteten af foranstaltninger til modvirkning af cyber- og informationsrisici samt kommunikationsteknologiske risici, jf. § 22, stk. 3, i bekendtgørelsen. Bestemmelsen medfører et individuelt krav til outsourcingvirksomheden, og virksomheden kan derfor ikke nøjes med at anvende principperne i bekendtgørelsens §§ 25-27 og i vejledningens punkt 20-22 for efterlevelse af bestemmelsen. Det kan være særligt relevant at udføre test af it-sikkerhed ved opståede sikkerhedsbrister. Foranstaltningerne til modvirkning af cyber- og informationsrisici samt kommunikationsteknologiske risici udgør f.eks. interne it-kontrolmekanismer, herunder it-sikkerhedskontrol og afhjælpende foranstaltninger, så som interne forretningsgange ved sikkerhedsbrud.
Outsourcingvirksomheden skal sikre en tilstrækkelig overvågning, undersøgelse og kontrol af leverandørens arbejde og foretage revisionsmæssige gennemgange af leverandøren, jf. § 23 i bekendtgørelsen. Bestemmelsen skal forstås som en afspejling af de krav, der er til virksomheden, hvis denne bibeholder en opgave hos sig selv. I et sådant tilfælde vil der være nogle kontrol- og revisionskrav, der skal foregå i henholdsvis 1., 2. og 3. forsvarslinje hos virksomheden. Formålet med § 23 i bekendtgørelsen er således at sikre, at outsourcingvirksomheden fører en tilsvarende henholdsvis kontrol og revision i de tre forsvarslinjer, selv om en proces, tjenesteydelse eller aktivitet bliver outsourcet til en leverandør. Outsourcingsbekendtgørelsen ændrer ikke på ansvars- og opgavefordelingen i 1., 2. og 3. forsvarslinje.
Ved ”revisionsmæssig gennemgang”, jf. § 23, stk. 1, skal forstås den type gennemgang, der ville være foretaget af outsourcingvirksomheden eller en tredjepart udpeget af virksomheden, hvis outsourcingvirksomheden selv havde udført den outsourcede proces, tjenesteydelse eller aktivitet. Gennemgangen vil som udgangspunkt foregå i 3. forsvarslinje hos outsourcingvirksomheden, men der kan også anvendes fælles revisioner, interne revisionsrapporter, tredjepartscertificeringer eller tredjepartsrevisionsrapporter stillet til rådighed af leverandøren, i det omfang disse typer revision foregår i overensstemmelse med §§ 26-27 i bekendtgørelsen.
Ved besøg hos en leverandør, jf. § 23, stk. 4, skal outsourcingvirksomheden tage behørigt hensyn til leverandørens drift og sikkerhed, hvis leverandøren betjener andre kunder. Det bør i den forbindelse sikres, at leverandørens eventuelle andre kunder ikke udsættes for risici (f.eks. risici for indvirkning på serviceniveauet, datatilgængelighed, fortrolighedsaspekter), eller at sådanne risici mindskes.
Ifølge § 23, stk. 5, skal outsourcingvirksomheden løbende ajourføre sine vurderinger i overensstemmelse med §§ 5 og 19. Der bør ud fra en risikobaseret tilgang være større fokus på ajourføring af risikovurderinger af kritisk eller vigtig outsourcing eller ordninger, som potentielt kan være blevet kritiske eller vigtige.
Ifølge § 23, stk. 7, skal outsourcingvirksomheden løbende sikre, at en outsourcing opfylder hensigtsmæssige resultat og kvalitetsstandarder i overensstemmelse med outsourcingvirksomhedens politikker. Dette skal ske på en i § 23, stk. 7, nr. 1-3, nærmere angiven måde. § 23, stk. 1 og 7, i bekendtgørelsen, finder anvendelse på al outsourcing, men fokus i overvågning og kontrol bør ud fra en risikobaseret tilgang særlig være på kritisk eller vigtig outsourcing. Når bestemmelsen nævner ”hensigtsmæssige resultat- og kvalitetsstandarder i overensstemmelse med outsourcingvirksomhedens politikker”, skal dette forstås således, at outsourcingen skal opfylde kravene til virksomhedens interne resultat- og kvalitetsstandarder. Hensigtsmæssigheden af disse er baseret på, om de passer til den konkrete outsourcing, og om de reelt opstiller målbare standarder for denne.
Ifølge § 24 i bekendtgørelsen skal outsourcingvirksomheden træffe passende foranstaltninger og om nødvendigt bringe outsourcingkontrakten til ophør med øjeblikkelig virkning, hvis den finder mangler i varetagelsen af den outsourcede proces, tjenesteydelse eller aktivitet. Bestemmelsen skal ses i sammenhæng med § 9, stk. 1, i bekendtgørelsen, om effektiv udøvelse af ledelsesbeføjelser. Det forudsættes, at outsourcingvirksomheden foretager overvågning og kontrol af leverandøren, jf. § 23, for at denne effektivt kan vælge at bringe outsourcingkontrakten til ophør (og dermed effektivt udøve dennes ledelsesbeføjelser), hvis dette skulle blive nødvendigt.
§ 24 finder ligesom § 23, stk. 1 og 7, anvendelse på al outsourcing, men fokus i overvågning og kontrol bør på samme vis ud fra en risikobaseret tilgang særlig være på kritisk eller vigtig outsourcing.
Outsourcingvirksomheden har mulighed for at benytte en centraliseret overvågningsfunktion. I § 25, stk. 1 og 2, i bekendtgørelsen fastlægges nærmere, hvad outsourcingvirksomheden skal sikre sig ved benyttelsen af en sådan.
Ved ”centraliseret overvågningsfunktion” forstås en overvågningsfunktion etableret i en koncern, der håndterer overvågning og kontrol af alle eller flere af koncernvirksomhedernes outsourcing. Kontrollen, som den centraliserede overvågningsfunktion udfører, er en funktion i 1. forsvarslinje, der kan håndteres centralt i en koncern. Den centraliserede overvågning udgør i sig selv outsourcing, hvis den ikke udføres af outsourcingvirksomheden.
Outsourcingvirksomheden skal sikre sig, at den til stadighed har et tilstrækkeligt kendskab til processen, tjenesteydelsen eller aktiviteten, således at det er muligt at foretage den kontrol og overvågning, som er pålagt outsourcingvirksomheden. Det er ligeledes af stor betydning, at outsourcingvirksomheden har tilstrækkelige ressourcer og viden om processen, tjenesteydelsen eller aktiviteten til at håndtere den situation, at man bliver nødt til at trække processen, tjenesteydelsen eller aktiviteten fra den pågældende leverandør og finde en anden løsning af opgaven. Det vil komme an på en konkret vurdering, navnlig af outsourcingvirksomhedens størrelse og ydelsernes kompleksitet, hvor store ressourcer og viden om ydelsen der kræves af virksomheden, jf. § 2 i bekendtgørelsen. Virksomheden må under alle omstændigheder ikke outsource i så høj grad, at den bliver en tom skal, jf. § 7.
Outsourcingvirksomheden kan, ud over tredjepartscertificeringer, tredjepartsrevisionsrapporter og interne revisionsrapporter stillet til rådighed af leverandører, jf. § 27, stk. 1, anvende fælles revision, der tilrettelægges og udføres i fællesskab med andre af leverandørens kunder, eller en tredjepart, udpeget af outsourcingvirksomheden og andre af leverandørens kunder i fællesskab, jf. § 26 i bekendtgørelsen.
Outsourcingvirksomheden kan anvende tredjepartscertificeringer, tredjepartsrevisionsrapporter og interne revisionsrapporter stillet til rådighed af leverandøren, jf. § 27, stk. 1. Ved anvendelsen af disse skal betingelserne i § 27, nr. 1-7, være opfyldt.
Ved ”revisionsrapporter”, jf. § 27 i bekendtgørelsen, indgår også systemrevisionserklæringer.
Ved egnetheden hos den eller de parter, der udfører certificeringen eller revisionen, jf. § 27, stk. 1, nr. 4, i bekendtgørelsen, kan virksomheden f.eks. inddrage kvalifikationer, ekspertise, genudførelse og kontrol af revisionsbeviset i de underliggende revisionsdokumenter.
Outsourcingvirksomheden skal sikre, at certificeringerne og revisionerne udføres i henhold til anerkendte relevante branchestandarder og omfatter test af nøglekontrollers operationelle effektivitet, jf. § 27, stk. 1, nr. 5, i bekendtgørelsen. Betingelsen om udførelse i henhold til anerkendte relevante branchestandarder såvel som betingelsen om test af nøglekontrollers operationelle effektivitet gælder, uanset om der anvendes revisioner eller certificeringer.
Outsourcingvirksomheden skal have kontraktuel ret til at kræve, at certificeringernes eller revisionsrapporternes anvendelsesområde udvides til andre relevante systemer og kontroller, jf. § 27, stk. 1, nr. 6, i bekendtgørelsen. Antallet og hyppigheden af anmodninger om udvidelse af anvendelsesområdet bør være rimelige og berettigede ud fra et risikostyringsperspektiv, hvilket skal forstås ud fra outsourcingvirksomhedens risikostyring.
Anvender outsourcingvirksomheden tredjepartscertificeringer, tredjepartsrevisionsrapporter eller interne revisionsrapporter stillet til rådighed af leverandøren, skal den sikre, at outsourcingvirksomheden kan opfylde sine regulatoriske forpligtelser, jf. § 27, stk. 2, i bekendtgørelsen.
Outsourcingvirksomheden må for kritisk eller vigtig outsourcing ikke over tid udelukkende forlade sig på tredjepartscertificeringer, tredjepartsrevisionsrapporter eller interne revisionsrapporter, der er stillet til rådighed af leverandøren, jf. § 27, stk. 3, i bekendtgørelsen. Dette indebærer, at outsourcingvirksomheden efter et længevarende kontraktforhold med en bestemt leverandør skal foretage supplerende handlinger, eksempelvis egen kontrol eller overvågning af de outsourcede ordninger.
Outsourcingvirksomheden skal i god tid meddele Finanstilsynet om en planlagt kritisk eller vigtig outsourcing, jf. § 28, stk. 1. Bestemmelsen skal forstås på den måde, at Finanstilsynet skal meddeles i god tid inden den planlagte kritiske eller vigtige outsourcing påtænkes påbegyndt. Det vil således som udgangspunkt være muligt at færdiggøre en outsourcingkontrakt inden meddelelse til Finanstilsynet, så længe meddelelsen fremsendes i god tid inden selve påbegyndelsen af outsourcingordningen.
I det tilfælde, hvor der indenfor en rammekontrakt indgås aftale om en ny outsourcingordning, der er kritisk eller vigtig, vil dette skulle meddeles Finanstilsynet – også i det tilfælde, hvor Finanstilsynet allerede er meddelt om rammekontrakten. Dette følger af, at outsourcingvirksomheden skal meddele Finanstilsynet om al planlagt kritisk eller vigtig outsourcing, jf. § 28, stk. 1.
Der er efter § 28 i bekendtgørelsen tale om en meddelelse, som kan ske på et skema, der kan hentes på www.virk.dk. Underretningen kan ske gennem fuldmagt. Selve kontrakten behøves ikke medsendt. Underretningspligten finder anvendelse for nye kontrakter og ændringer eller hændelser til allerede indgåede outsourcingkontrakter, der kan have en væsentlig indvirkning på den fortsatte levering.
Meddelelsen skal indeholde de oplysninger, som nævnes i bilag 2, nr. 1, dvs. de oplysninger, der skal registreres i outsourcingregisteret for al outsourcing.
Meddelelsen skal ske i ”god tid”. Hvad der skal forstås ved ”god tid” vil bero på en konkret vurdering. Formålet med bestemmelsen er, at Finanstilsynet som udgangspunkt underrettes tids nok til at kunne gøre indsigelse eller gøre outsourcingvirksomheden opmærksom på eventuelle uhensigtsmæssigheder ved outsourcingen eller leverandøren. Finanstilsynet skal ikke godkende outsourcingen, og en manglende indsigelse er ikke udtryk for en godkendelse.
Outsourcingvirksomhedens kontrakter, der er indgået før 1. juli 2020, bliver først omfattet af meddelelsespligten, når der sker genforhandling eller revidering af kontrakten efter denne dato, jf. bekendtgørelsens § 32.
Finanstilsynet kan i særlige tilfælde dispensere fra bestemmelserne i bekendtgørelsen, jf. § 29. Dispensationsadgangen kan tænkes anvendt i de situationer, hvor en virksomhed, f.eks. på grund af EU-udbudsregler, ikke kan ændre kontrakten uden meget store omkostninger. Dispensationen vil kunne ske efter et konkret skøn, men vil alene kunne gives i særlige tilfælde. Dispensationsadgangen er således begrænset.
Overtrædelse af §§ 5-25, §§ 27 og 28 og § 32, stk. 3, kan efter § 30, stk. 1, i bekendtgørelsen straffes med bøde. Der kan pålægges juridiske personer strafansvar efter reglerne i straffelovens 5. kapitel, jf. § 30, stk. 2, i bekendtgørelsen.
Bekendtgørelsen trådte i kraft den 1. juli 2020, jf. § 31, stk. 1.
Bekendtgørelsens § 18, stk. 3, nr. 2, træder først i kraft den 1. januar 2022, jf. § 31, stk. 2. Dette indebærer, at outsourcingvirksomheden først efter denne dato, ved outsourcing af tilladelsespligtige processer, tjenesteydelser eller aktiviteter til en leverandør udenfor EU, hvor Unionen ikke har indgået aftale med det pågældende land på det finansielle område, skal sikre sig, at der foreligger en samarbejdsaftale mellem Finanstilsynet og de myndigheder, der fører tilsyn med leverandøren i hjemlandet.
Bekendtgørelsen finder anvendelse på outsourcingkontrakter, der indgås, revideres eller genforhandles den 1. juli 2020 eller derefter, jf. § 32, stk. 1. Det kræves i denne henseende ikke, at revisionen eller genforhandlingen fører til materielle ændringer af kontrakten. § 32, stk. 1, bliver relevant ved selve gennemførslen af revisionen eller genforhandlingen. Efter § 32, stk. 2, skal outsourcingkontrakter, der er indgået inden den 1. juli 2020, senest den 31. december 2022 være i overensstemmelse med reglerne i denne bekendtgørelse. For outsourcingkontrakter, der er indgået inden den 1. juli 2020, finder de hidtidigt gældende regler anvendelse indtil den 31. december 2022.
Er outsourcingkontrakter om kritisk eller vigtig outsourcing ikke bragt i overensstemmelse med bekendtgørelsen senest den 31. december 2022, skal outsourcingvirksomheden underrette Finanstilsynet herom, herunder om de foranstaltninger, der er planlagt for at bringe outsourcingkontrakten i overensstemmelse med bekendtgørelsen eller den mulige exitstrategi, jf. § 32, stk. 3.
Overgangsordningen finder kun anvendelse på selve kontrakten, hvorfor bekendtgørelsens øvrige krav finder anvendelse på kontraktforholdet under hensyntagen til indholdet af kontrakten omfattet af overgangsordningen. Det betyder, at alle kontrakter således ikke skal være kategoriseret, risikovurderet og registreret, og at ikke alle leverandører skal være risikovurderet i henhold til nye retningslinjer pr. 1. juli 2020, men at dette er en naturlig del af den gennemgang af eksisterende aftaler, der skal være gennemført inden ultimo 2022. Bekendtgørelsens krav, der ikke i sig selv vedrører outsourcingkontrakten, er således trådt i kraft fra den 1. juli 2020.
Vejledning nr. 37 af 12. maj 2010 til bekendtgørelse om outsourcing af væsentlige aktivitetsområder bortfalder.
Træffer Finanstilsynet beslutning om, at en outsourcing skal bringes til ophør, jf. § 72 a, stk. 2, i lov om finansiel virksomhed, § 39, stk. 2, i lov om betalinger og § 62, stk. 2, i lov om kapitalmarkeder, påhviler det outsourcingvirksomheden inden for den fastsatte frist enten at gennemføre outsourcing til en anden leverandør i overensstemmelse med reglerne i denne bekendtgørelse eller selv at overtage de outsourcede aktiviteter. Finanstilsynet vil som udgangspunkt forsøge at tage hensyn til en outsourcingvirksomheds konkrete exitstrategier og exitplaner ved fastsættelse af fristen for ophør, hvor dette er muligt og hensigtsmæssigt. Et eksempel på en situation, hvor Finanstilsynet kunne forestilles at kræve ophør af en outsourcingkontrakt, vil være i den situation, hvor en outsourcingvirksomhed i en længere periode, eller gentagne gange, ikke har efterlevet Finanstilsynets påbud vedrørende den pågældende outsourcingordning.
Officielle noter
Direktiv 2009/65/EF (UCITS IV) om samordning af love og administrative bestemmelser om visse institutter for kollektiv investering i værdipapirer (investeringsinstitutter)
Direktiv 2011/61/EU (AIFMD) om forvaltere af alternative investeringsfonde
Direktiv 2014/65/EU (MiFID II) om markeder for finansielle instrumenter
Kriterierne fremgår af artikel 74, stk. 2, i direktiv 2013/36/EU (CRD), som er implementeret ved § 2 i bekendtgørelse nr. 1026 af 30. juni 2016 om ledelse og styring af pengeinstitutter m.fl.
Betingelserne, der følger af direktiv 2013/36/EU, som implementeret ved lov om finansiel virksomhed, forordning (EU) nr. 575/2013, direktiv 2014/65/EU, som implementeret ved bekendtgørelse af lov om værdipapirhandel m.v., direktiv (EU) 2015/2366 og direktiv 2009/110/EF, som implementeret ved lov om betalinger.
Beredskabsplanerne skal være i overensstemmelse med kravene i artikel 85, stk. 2, i direktiv 2013/36/EU, som implementeret ved § 8, stk. 7, i bekendtgørelse om ledelse og styring af pengeinstitutter m.fl.
Uanset om en outsourcing er kritisk eller vigtig skal outsourcingvirksomheden sikre sig, at outsourcingkontrakten ikke hindrer Finanstilsynets mulighed for at indsamle oplysninger og have undersøgelsesbeføjelser i henhold til artikel 63, stk. 1, litra a), i direktiv 2014/59/EU, som implementeret ved lov om finansiel virksomhed § 261, og artikel 65, stk. 3, i direktiv 2013/36/EU, som implementeret ved lov om finansiel virksomhed §§ 344-352. Dette gælder alene for de virksomhedstyper, der er omfattet af bestemmelserne.
