Nye regler om outsourcing for kreditinstitutter mv.

En ny bekendtgørelse om outsourcing for kreditinstitutter mv. er blevet offentliggjort af Finanstilsynet den 16. juni 2020. Dette sker på baggrund af et eftersyn af reglerne for de finansielle virksomheders brug af outsourcing foretaget af Finanstilsynet samt nye retningslinjer om outsourcing fra Den Europæiske Banktilsynsmyndighed.

Bekendtgørelsens anvendelsesområde

Bekendtgørelsen finder anvendelse på virksomheder, når virksomheden gør brug af outsourcing. Outsourcing omfatter enhver form for ordning mellem en virksomhed og en leverandør, i henhold til hvilken leverandøren udfører en proces, en tjenesteydelse eller en aktivitet, som outsourcingvirksomheden ellers selv ville udføre. Ved denne vurdering skal det særligt overvejes, om processerne, tjenesteydelserne eller aktiviteterne eller dele heraf udføres gentagne gange eller løbende af leverandøren. Det skal også overvejes, om der er tale om processer, tjenesteydelser eller aktiviteter, der realistisk set ville eller kunne udføres af outsourcingvirksomheden selv.

Bekendtgørelsen nævner dog også en række aktiviteter, som ikke udgør outsourcing, herunder blandt andet brug af markedsinformationstjenester, globale betalingsnetværksinfrastrukturer, korrespondentbankydelser og køb af tjenester, varer eller forsyning, som ikke normalt vil blive udført af outsourcingvirksomheden.

Nedenfor fremgår en oplistning af de specifikke typer virksomheder, som er omfattet af bekendtgørelsens anvendelsesområde.

Anvendelsesområdet

Bekendtgørelsen finder anvendelse på følgende virksomheder, når de gør brug af outsourcing:

1. Pengeinstitutter
2. Realkreditinstitutter
3. Fondsmæglerselskaber
4. Investeringsforvaltningsselskaber
5. Sparevirksomheder
6. Fælles datacentraler
7. Operatører af regulerede markeder
8. E-pengeinstitutter
9. Betalingsinstitutter
10. Danmarks Skibskredit A/S

Det bemærkes, at der for gruppe 2-forsikringsselskaber, Arbejdsmarkedets Tillægspension og Lønmodtagernes Dyrtidsfond er udstedt en særskilt bekendtgørelse om outsourcing. Kravene i den bekendtgørelse kan sammenlignes med Solvens II-reglerne, der i dag gælder for gruppe 1-forsikringsselskaber.

De nye regler

Outsourcingvirksomheden skal opfylde kravene i bekendtgørelsen under hensyn til, om kravene er proportionale i forhold til virksomhedens risikoprofil, forretningsmodel, størrelse, kompleksiteten af virksomhedens aktiviteter og virksomhedens struktur.

Risikovurdering

Bekendtgørelsen fastslår, at outsourcingvirksomheden før en beslutning om outsourcing eller videreoutsourcing har en forpligtelse til at foretage en risikovurdering. De potentielle konsekvenser for outsourcingvirksomhedens operationelle risici skal her vurderes, og der skal træffes de nødvendige foranstaltninger for at begrænse disse risici i forbindelse med outsourcingen. Nedenfor angives, hvad risikovurderingen som minimum skal indeholde.

Risikovurdering

Risikovurderingen skal som minimum indeholde:

1. En identifikation og klassifikation af de relevante processer, tjenesteydelser eller aktiviteter og beslægtede data og systemer ud fra deres følsomhed og påkrævede beskyttelsesforanstaltninger.
2. En risikobaseret analyse af processerne, tjenesteydelserne og aktiviteterne og relaterede data og systemer i forbindelse med outsourcingen.
3. Vurderinger af konsekvenserne ved leverandørens lokalitet.
4. Vurderinger af den politiske stabilitet og sikkerhedssituationen i de relevante jurisdiktioner.
5. Definition og fastlæggelse af et passende beskyttelsesniveau for datafortroligheden, kontinuiteten af de outsourcede aktiviteter og integriteten og sporbarheden af dataene og systemerne i forbindelse med den tilsigtede outsourcing.
6. Vurderinger af relevante sikkerhedsforanstaltninger for dataoverførsel, databehandling og datalagring
7. Vurderinger af betydningen af at leverandøren eventuelt er en datter- eller modervirksomhed til outsourcingvirksomheden.

Kritisk eller vigtig outsourcing

Bekendtgørelsen indfører en sondring mellem kritisk eller vigtig outsourcing og anden øvrig outsourcing. Outsourcing vil herefter betragtes som kritisk eller vigtig, såfremt en fejl eller mangel ved dens udførelse væsentligt vil forringe outsourcingvirksomhedens 1) mulighed for at overholde betingelserne i sin tilladelse, 2) finansielle resultater eller 3) mulighed for på et forsvarligt grundlag at udøve sine aktiviteter. Outsourcingvirksomheden har en forpligtelse til løbende at vurdere, om en outsourcet proces, tjenesteydelse eller aktivitet er kritisk eller vigtig, hvis risikoen ved eller omfanget af processen, tjenesteydelsen eller aktiviteten har ændret sig væsentligt.

Fastlæggelsen af, om outsourcingen kan karakteriseres som kritisk eller vigtig, har væsentlig betydning, idet bekendtgørelsen blandt andet fastlægger, at der i så fald skal udarbejdes, vedligeholdes og regelmæssigt testes beredskabsplaner med hensyn til outsourcingen. Derudover skal outsourcingvirksomheden have skriftlige exitstrategier, bestyrelsen skal periodisk modtage rapportering om risici og eventuelle ændringer heraf, og outsourcingkontrakten skal opfylde kravene i bekendtgørelsens bilag 3. Dette bilag fastsætter en lang række krav til outsourcingkontrakten, blandt andet en angivelse af aftaleparternes finansielle forpligtelser overfor hinanden, outsourcingvirksomhedens ret til løbende at overvåge leverandørens leverancer og præstationer, kravene til leverandørens eventuelle pligt til at tegne en forsikring mod visse risici mv. Sondringen mellem kritisk eller vigtig outsourcing og anden øvrig outsourcing er således af afgørende betydning for fastlæggelsen af outsourcingvirksomhedens forpligtelser.

Outsourcingregister

Ifølge bekendtgørelsen skal outsourcingvirksomheden føre og løbende opdatere et register med oplysninger om outsourcing i overensstemmelse med kravene i bilag 2. Der skal herefter eksempelvis gives en beskrivelse af de data, der er outsourcet, oplyses om der er overført personoplysninger, gives en beskrivelse af den outsourcede proces, tjenesteydelse eller aktivitet, kategoriseringen af outsourcingaftalen mv.

Herudover stilles særlige krav til kritisk eller vigtig outsourcing. Det omfatter blandt andet angivelse af oplysninger om leverandørens substituerbarhed, den person eller det organ, der har godkendt outsourcingaftalen, de anslåede årlige budgetomkostninger mv.

Afsluttende bemærkninger

Bekendtgørelsen indeholder en lang række nye regler og krav, som outsourcingvirksomheden skal efterleve. Da dette nyhedsbrev blot har til sigte at give et overblik over de vigtigste nye regler, opfordres enhver virksomhed omfattet af bekendtgørelsens anvendelsesområde til at sætte sig grundigt ind i reglerne.

Det er Finanstilsynets forventning, at virksomhederne arbejder målrettet på at efterleve de nye krav i bekendtgørelsen, der træder i kraft den 1. juli 2020. Da offentliggørelsen af bekendtgørelsen dog er sket relativt sent, vil Finanstilsynet tage hensyn til dette i de første måneder efter ikrafttrædelsesdatoen.