14 dages gratis

Prøveabonnement

- og meget mere...
x

Hej eLOV bruger,
Jeg er lov-uglen, og jeg vil nu guide dig igennem vores vigtigste features.
Skriv et paragrafnummer og tryk enter for at springe direkte til paragraffen Hold din mus henover en krydshenvisning for at se teksten der henvises til.
Hvis du klikker på krydshenvisningen, flyttes tekstboksen ud til højre, og du kan flytte rundt på den
Klik på taleboble-ikonet for at tilgå features til bestemmelsen. Du kan se forarbejderne til specifikke bestemmelser. Her kan du se, at § 2 er blevet ændret af 5 forskellige love og ændringslove. Du kan se teksten fra lovforslaget som fremsat, og teksten som vedtaget. Du kan se, hvordan ordlyden blev ændret under behandlingen af lovforslaget. Her ser du de specifikke bemærkninger til ændringen med lovgivers motiver. Du får dermed de vigtigste fortolkningsbidrag ved hånden. Du kan let finde bekendtgørelserne der, hvor de hjemles. Med vores backlinks har vi fundet de bestemmelser, der linker til den bestemmelse, du læser. Her kan du se en video med præsentation af flere features.
Du kan også købe abonnement, så du får adgang til alle features.

0 / -
næste
slå fra

Bekendtgørelse om outsourcing for kreditinstitutter m.v.

Den konsoliderede version af denne bekendtgørelsen bygger på bekendtgørelse nr. 877 af 12. juni 2020, og er opdateret til i dag, idet vi har implementeret eventuelle senere ændringsbekendtgørelser i det omfang, de er trådt i kraft - se mere her.

Bekendtgørelse om outsourcing for kreditinstitutter m.v.

I medfør af § 72 a, stk. 3, og § 373, stk. 4, i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 937 af 6. september 2019, som ændret ved lov nr. 641 af 19. maj 2020, § 62, stk. 3, og § 255, stk. 1, i lov om kapitalmarkeder, jf. lovbekendtgørelse nr. 377 af 2. april 2020, som ændret ved lov nr. 641 af 19. maj 2020, og § 39, stk. 4, og § 152, stk. 7, i lov om betalinger, jf. lovbekendtgørelse nr. 1024 af 3. oktober 2019, som ændret ved lov nr. 641 af 19. maj 2020, fastsættes:

Der er ingen senere ændringer til denne bekendtgørelse.
Vi har kontrolleret for ændringer den 02. september 2020

  • Ændringsbekendtgørelsen er implementeret i den konsoliderede bekendtgørelse
  • Ændringsbekendtgørelsen er delvist implementeret i den konsoliderede bekendtgørelse
  • Ændringsbekendtgørelsen er endnu ikke implementeret i den konsoliderede bekendtgørelse

Kapitel 1

Anvendelsesområde m.v.

§1 Bekendtgørelsen finder anvendelse på følgende virksomheder, når virksomheden gør brug af outsourcing:

  • 1) Pengeinstitutter.

  • 2) Realkreditinstitutter.

  • 3) Fondsmæglerselskaber.

  • 4) Investeringsforvaltningsselskaber.

  • 5) Sparevirksomheder.

  • 6) Fælles datacentraler.

  • 7) Operatører af regulerede markeder.

  • 8) E-pengeinstitutter.

  • 9) Betalingsinstitutter.

  • 10) Danmarks Skibskredit A/S.

Stk. 2 Bekendtgørelsen finder med de fornødne tilpasninger også anvendelse på de virksomheder, der er nævnt i stk. 1, nr. 1-7 og 10, på delkonsolideret og konsolideret niveau.

Stk. 3 Modervirksomheder, der er omfattet af stk. 1, skal sikre, at anvendelsen af outsourcing hos virksomheden og dens dattervirksomheder, der er omfattet af stk. 1, nr. 1-7 og 10, er konsistent, velintegreret og passende på alle niveauer i koncernen.

Stk. 4 Bestemmelserne i denne bekendtgørelse finder ikke anvendelse på outsourcing, der er reguleret af andre regler på det finansielle område.

§2 Outsourcingvirksomheden skal opfylde kravene i denne bekendtgørelse under hensyn til, om kravene er proportionale i forhold til virksomhedens risikoprofil, forretningsmodel, størrelse, kompleksiteten af virksomhedens aktiviteter og virksomhedens struktur. For hver enkelt outsourcing skal outsourcingvirksomheden tage hensyn til

  • 1) kompleksiteten af den outsourcede proces, tjenesteydelse eller aktivitet,

  • 2) risici forbundet med den pågældende outsourcing,

  • 3) hvor kritisk eller vigtig den outsourcede proces, tjenesteydelse eller aktivitet er, og

  • 4) den potentielle indvirkning, som den pågældende outsourcing kan have på virksomhedens drift.

Kapitel 2

Afgrænsning af outsourcing

§3 Outsourcing omfatter enhver form for ordning mellem en virksomhed og en leverandør, i henhold til hvilken leverandøren udfører en proces, en tjenesteydelse eller en aktivitet, som outsourcingvirksomheden ellers selv ville udføre.

Stk. 2 Ved vurderingen af, om en ordning udgør outsourcing, skal outsourcingvirksomheden overveje, hvorvidt processerne, tjenesteydelserne eller aktiviteterne eller dele heraf udføres gentagne gange eller løbende af leverandøren. Outsourcingvirksomheden skal desuden overveje om processerne, tjenesteydelserne eller aktiviteterne eller dele heraf normalt ville falde inden for rammerne af processer, tjenesteydelser eller aktiviteter, der realistisk set ville eller kunne udføres af outsourcingvirksomheden. 2. pkt. gælder også, selvom outsourcingvirksomheden ikke har udført disse processer, tjenesteydelser eller aktiviteter selv tidligere.

Stk. 3 Indeholder en ordning med en leverandør flere processer, tjenesteydelser eller aktiviteter, skal outsourcingvirksomheden inddrage alle aspekter af ordningen.

Stk. 4 Følgende udgør ikke outsourcing:

  • 1) En proces, tjenesteydelse eller aktivitet, som virksomheden i henhold til lovgivning er forpligtet til at få udført af en leverandør, herunder lovpligtig revision.

  • 2) Brug af markedsinformationstjenester.

  • 3) Globale betalingsnetværksinfrastrukturer.

  • 4) Clearing og afviklingsordninger mellem clearingcentraler, centrale modparter og afviklingsinstitutter og deres medlemmer.

  • 5) Korrespondentbankydelser.

  • 6) Køb af tjenester, varer eller forsyning, som ikke normalt ville blive udført af outsourcingvirksomheden.

§4 Kritisk eller vigtig outsourcing
Outsourcing skal anses som kritisk eller vigtig outsourcing, hvis en fejl eller mangel ved dens udførelse væsentligt vil forringe outsourcingvirksomhedens

  • 1) mulighed for at overholde betingelserne i sin tilladelse,

  • 2) finansielle resultater eller

  • 3) mulighed for på et forsvarligt grundlag at udøve sine aktiviteter.

Stk. 2 Outsourcing af it-opgaver, der udføres for finansielle virksomheder, skal for fælles datacentraler anses som kritisk eller vigtig outsourcing, hvis en fejl eller mangel ved dens udførelse væsentligt vil forringe de finansielle virksomheders

  • 1) mulighed for at overholde betingelserne i deres tilladelse,

  • 2) finansielle resultater eller

  • 3) mulighed for på et forsvarligt grundlag at udøve deres aktiviteter.

Stk. 3 Outsourcing af tilladelsespligtige aktiviteter er kritisk eller vigtig outsourcing.

Stk. 4 Outsourcing af operationelle opgaver i interne kontrolfunktioner skal anses for kritisk eller vigtig outsourcing, medmindre manglende eller uhensigtsmæssig udførelse af de outsourcede processer, tjenesteydelser eller aktiviteter, ikke vil have en negativ indvirkning på effektiviteten af den interne kontrolfunktion.

Stk. 5 Outsourcingvirksomheden skal løbende vurdere, om en outsourcet proces, tjenesteydelse eller aktivitet er kritisk eller vigtig, hvis risikoen ved eller omfanget af processen, tjenesteydelsen eller aktiviteten har ændret sig væsentligt.

§5 Outsourcingvirksomheden skal inddrage resultatet af risikovurderingen, jf. § 19, ved vurderingen af, om der er tale om kritisk eller vigtig outsourcing. Outsourcingvirksomheden skal herudover som minimum tage højde for følgende:

  • 1) Om outsourcingen er direkte forbundet med levering af de aktiviteter, som outsourcingvirksomheden har tilladelse til.

  • 2) De mulige konsekvenser af enhver afbrydelse af den outsourcede proces, tjenesteydelse eller aktivitet, eller leverandørens manglende evne til at levere de aftalte leverancer løbende på det aftalte serviceniveau i forhold til

    • a) kort- og langsigtet økonomisk modstandskraft og levedygtighed,

    • b) forretningskontinuitet og operationel robusthed,

    • c) operationelle risici,

    • d) omdømmemæssige risici eller

    • e) eventuel genopretnings- og afviklingsplanlægning, afviklingsmuligheder og operationel kontinuitet i forbindelse med tidlig indgriben, genopretning eller afvikling.

  • 3) De potentielle konsekvenser ved outsourcing for outsourcingvirksomhedens evne til at

    • a) identificere, styre og overvåge alle risici,

    • b) overholde alle lovgivningsmæssige krav eller

    • c) foretage revisioner af den outsourcede proces, tjenesteydelse eller aktivitet.

  • 4) Den potentielle indvirkning på ydelser til outsourcingvirksomhedens kunder.

  • 5) Al øvrig outsourcing, outsourcingvirksomhedens samlede eksponering overfor den samme leverandør, og den potentielle samlede virkning af outsourcing indenfor samme forretningsområde.

  • 6) Størrelsen og kompleksiteten af de berørte forretningsområder.

  • 7) Muligheden for, at outsourcing kan udvides uden at erstatte eller revidere den underliggende kontrakt.

  • 8) Muligheden for at overføre outsourcingen til en anden leverandør.

  • 9) Muligheden for at reintegrere den outsourcede proces, tjenesteydelse eller aktivitet i outsourcingvirksomheden.

  • 10) Beskyttelse af data og de potentielle konsekvenser af brud på fortroligheden eller manglende sikring af datatilgængelighed og dataintegritet for outsourcingvirksomheden og dens kunder.

§6 Videreoutsourcing
Outsourcingvirksomheden skal ved en leverandørs videreoutsourcing af kritisk eller vigtig outsourcing til en underleverandør sikre, at der foreligger en skriftlig kontrakt mellem leverandøren og underleverandøren, der forpligter underleverandøren til at overholde gældende lovgivning, myndighedskrav og kontraktlige forpligtelser.

Stk. 2 Kontrakten, jf. stk. 1, skal give outsourcingvirksomheden, en tredjepart udpeget af outsourcingvirksomheden og Finanstilsynet de samme rettigheder til adgang og revision, som fremgår af § 21, stk. 4 og 5.

Stk. 3 Outsourcingvirksomheden skal opsige outsourcingkontrakten eller dele heraf med leverandøren, eller udøve sin ret til at modsætte sig videreoutsourcing, i tilfælde af en sådan ret er aftalt, hvis den foreslåede videreoutsourcing eller ændring i eksisterende videreoutsourcing har væsentlige negative virkninger for den kritiske eller vigtige outsourcing, eller vil føre til en væsentlig forøgelse af risikoen, eller hvis kontraktkravene fastsat efter stk. 1 og 2, ikke efterleves.

Kapitel 3

Ledelse og styring af outsourcing

§7 Outsourcingvirksomheden må ikke som følge af brug af outsourcing blive en juridisk enhed uden selvstændig aktivitet.

Stk. 2 Outsourcingvirksomheden skal til enhver tid opfylde alle betingelserne i sin tilladelse til at drive virksomhed.

Stk. 3 Outsourcingvirksomheden skal ved brug af outsourcing opretholde en god adfærd i udøvelsen af de forretningsmæssige aktiviteter og udbud af tjenesteydelser.

§8 Outsourcingvirksomheden skal som led i sin risikostyring og interne kontrol sikre, at risici forbundet med outsourcing indenfor alle forretningsområder indgår i outsourcingvirksomhedens øvrige risikostyring og interne kontrolforanstaltninger.

Stk. 2 Outsourcingvirksomheden skal have tilstrækkelige kompetencer og ressourcer til at sikre en tilstrækkelig styring og overvågning af og kontrol med outsourcing.

§9 Outsourcingvirksomheden skal sikre, at den effektivt udøver sine ledelsesbeføjelser i forbindelse med outsourcing.

Stk. 2 Outsourcingvirksomheden skal ved brug af outsourcing sikre relevante foranstaltninger, der sikrer tilstrækkelig varetagelse af personoplysninger og data, der behandles af leverandører.

Stk. 3 Outsourcingvirksomheden skal ved kritisk eller vigtig outsourcing kunne foretage mindst én af følgende handlinger indenfor en passende tidsramme:

  • 1) Overføre processen, tjenesteydelsen eller aktiviteten til en eller flere leverandører.

  • 2) Reintegrere processen, tjenesteydelsen eller aktiviteten i outsourcingvirksomheden.

  • 3) Lade de forretningsmæssige aktiviteter, der er afhængige af processen, tjenesteydelsen eller aktiviteten, ophøre.

§10 Ledelsens opgaver og ansvar
Bestyrelsen i outsourcingvirksomheden har ansvaret for, at outsourcing anvendes betryggende i outsourcingvirksomheden.

Stk. 2 Bestyrelsens ansvar og opgaver kan ikke outsources.

Stk. 3 Bestyrelsen skal overvåge direktionens beslutninger og styring af alle risici i forbindelse med outsourcing.

Stk. 4 Bestyrelsen skal godkende, regelmæssigt revidere og ajourføre en skriftlig outsourcingpolitik, der opfylder kravene i bilag 1. Bestyrelsen skal sikre, at politikken efterleves i outsourcingvirksomheden.

Stk. 5 Bestyrelsen skal, som led i den løbende risikovurdering, overvågning og kontrol, sikre, at den periodisk modtager rapportering om risici og eventuelle ændringer heri, der er identificeret i forbindelse med kritisk eller vigtig outsourcing, jf. §§ 19, 20 og 23.

§11 Bestyrelsen skal beslutte klare rammer og betingelser før indgåelse af kritiske eller vigtige outsourcingkontrakter samt for de herved forbundne risici, som bestyrelsen kan acceptere.

Stk. 2 Bestyrelsens rammer og betingelser, jf. stk. 1, skal besluttes på baggrund af en forudgående analyse, der som minimum inddrager kravene i §§ 4, 13 og 18-20.

Stk. 3 Indgår outsourcingvirksomheden i en koncern, der benytter en centraliseret forhåndsvurdering af outsourcing, skal outsourcingvirksomheden modtage vurderingen og sikre, at der tages hensyn til outsourcingvirksomhedens særlige struktur og risici i forhåndsvurderingen.

§12 Direktionen i outsourcingvirksomheden skal indenfor de rammer, som er fastlagt af bestyrelsen, jf. §§ 10 og 11 sikre, at anvendelse af outsourcing i virksomheden sker betryggende.

Stk. 2 Direktionen skal sikre, at ansvaret for styring, overvågning og kontrol samt dokumentation af al outsourcing er entydigt placeret.

Stk. 3 Direktionen skal udpege en outsourcingansvarlig, som er ansvarlig for styring, overvågning og kontrol af outsourcing og for sikring af dokumentationen af outsourcing.

Stk. 4 Direktionen kan indenfor de rammer og betingelser, som er fastsat i medfør af § 11, stk. 1, indgå outsourcingkontrakter med leverandører.

Stk. 5 Direktionen skal sikre, at bestyrelsen orienteres om ændringer af kritisk eller vigtig outsourcing og de potentielle konsekvenser af disse ændringer. Orienteringen skal også foretages i outsourcingvirksomheder, der indgår i en koncern, og hvor overvågningen foretages centralt, jf. § 25.

Kapitel 4

Interessekonflikter

§13 Outsourcingvirksomheden skal løbende identificere, vurdere, forebygge og afhjælpe de interessekonflikter, der opstår eller kan opstå ved brug af outsourcing.

§14 Beredskabsplaner
Outsourcingvirksomheden skal udarbejde, vedligeholde og regelmæssigt teste beredskabsplaner med hensyn til kritisk eller vigtig outsourcing.

Stk. 2 Indgår outsourcingvirksomheden i en koncern, kan outsourcingvirksomheden med de nødvendige tilpasninger i stedet anvende centralt fastlagte beredskabsplaner for outsourcing.

§15 Dokumentationskrav
Outsourcingvirksomheden skal dokumentere vurderinger og beslutninger, der er nødvendige for at overholde denne bekendtgørelse.

§16 Outsourcingregister
Outsourcingvirksomheden skal føre og løbende opdatere et register med oplysninger om outsourcing i overensstemmelse med kravene i bilag 2.

Stk. 2 Outsourcingvirksomheden skal opbevare dokumentation for afsluttet outsourcing i registeret og øvrig dokumentation i minimum 5 år, medmindre andet følger af anden lovgivning.

Stk. 3 Outsourcingvirksomheden skal på Finanstilsynets anmodning uden unødigt ophold udlevere oplysninger fra registeret i elektronisk læsbar form til Finanstilsynet.

Stk. 4 Indgår outsourcingvirksomheden i en koncern, kan outsourcingvirksomheden udpege en virksomhed i koncernen, der fører registeret over outsourcingvirksomhedens outsourcing.

Stk. 5 Indgår outsourcingvirksomheden i en koncern, der fører et register over eksisterende outsourcing, skal de virksomheder i koncernen, der er omfattet af denne bekendtgørelse, uden unødigt ophold kunne få udleveret sit individuelle register over outsourcing.

§17 Exitstrategier
Outsourcingvirksomheden skal ved outsourcing af kritisk eller vigtig outsourcing have skiftlige exitstrategier, der opfylder kravene i bilag 4.

Stk. 2 Indgår outsourcingvirksomheden i en koncern, hvor exitplanen for en kritisk eller vigtig outsourcing er blevet etableret på koncernniveau, skal outsourcingvirksomheden modtage et sammendrag af exitplanen og sikre sig, at planen kan udføres effektivt.

Kapitel 5

Outsourcing af tilladelsespligtige processer, tjenesteydelser eller aktiviteter

§18 Hvor udførelse af processer, tjenesteydelser eller aktiviteter kræver tilladelser, skal outsourcingvirksomheden forud for en outsourcing sikre, at leverandøren har de fornødne tilladelser.

Stk. 2 Har leverandøren hjemsted i et andet land end Danmark indenfor Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, skal outsourcingvirksomheden sikre, at leverandøren er registreret og har tilladelse til at levere den tilladelsespligtige aktivitet af hjemlandets tilsynsmyndighed, eller på anden vis har tilladelse til at udføre de tilladelsespligtige aktiviteter i overensstemmelse med national lovgivning.

Stk. 3 Har leverandøren hjemsted i et land udenfor Den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, skal outsourcingvirksomheden sikre, at følgende betingelser er opfyldt:

  • 1) Leverandøren er registreret eller har tilladelse til at levere den tilladelsespligtige aktivitet og er underlagt tilsyn i hjemlandet.

  • 2) Der foreligger en samarbejdsaftale mellem Finanstilsynet og de myndigheder, der fører tilsyn med leverandøren i hjemlandet, der sikrer, at Finanstilsynet som minimum har følgende beføjelser:

    • a) Finanstilsynet kan på anmodning indhente nødvendige oplysninger til at udføre tilsynsopgaver i henhold til den finansielle lovgivning.

    • b) Finanstilsynet kan få adgang til alle data, dokumenter, lokaler eller ansatte i leverandørens hjemland, som er relevante for udførelsen af sine tilsynsbeføjelser.

    • c) Finanstilsynet kan så hurtigt som muligt modtage oplysninger fra tilsynsmyndigheder i leverandørens hjemland om mulige brud på den finansielle lovgivning.

    • d) Finanstilsynet kan samarbejde med tilsynsmyndigheder i leverandørens hjemland om håndhævelse i tilfælde af, at leverandøren overtræder relevante danske myndighedskrav og dansk lovgivning.

Kapitel 6

Risikovurdering ved anvendelse af outsourcing

§19 Outsourcingvirksomheden skal før en beslutning om outsourcing eller videreoutsourcing

  • 1) vurdere de potentielle konsekvenser for outsourcingvirksomhedens operationelle risici og

  • 2) træffe nødvendige foranstaltninger til at begrænse operationelle risici i forbindelse med outsourcingen.

Stk. 2 Vurderingen efter stk. 1, nr. 1, skal som minimum indeholde:

  • 1) En identifikation og klassifikation af de relevante processer, tjenesteydelser eller aktiviteter og beslægtede data og systemer ud fra deres følsomhed og påkrævede beskyttelsesforanstaltninger.

  • 2) En risikobaseret analyse af processerne, tjenesteydelserne og aktiviteterne og relaterede data og systemer i forbindelse med outsourcingen.

  • 3) Vurderinger af konsekvenserne ved leverandørens lokalitet.

  • 4) Vurderinger af den politiske stabilitet og sikkerhedssituationen i de relevante jurisdiktioner.

  • 5) Definition og fastlæggelse af et passende beskyttelsesniveau for datafortroligheden, kontinuiteten af de outsourcede aktiviteter og integriteten og sporbarheden af dataene og systemerne i forbindelse med den tilsigtede outsourcing.

  • 6) Vurderinger af relevante sikkerhedsforanstaltninger for dataoverførsel, databehandling og datalagring.

  • 7) Vurderinger af betydningen af, at leverandøren eventuelt er en datter- eller modervirksomhed til outsourcingvirksomheden.

Stk. 3 Vurderingen skal, hvor det er relevant, omfatte scenarier af mulige risikohændelser.

Stk. 4 Vurderingen skal tage hensyn til de forventede konsekvenser ved outsourcing, herunder som minimum følgende:

  • 1) Koncentrationsrisici.

  • 2) De samlede risici som følge af outsourcing på tværs af outsourcingvirksomheden eller i den samlede koncern.

  • 3) Risikoen for, at outsourcingvirksomheden kan blive tvunget til at yde økonomisk støtte til en nødlidende leverandør eller overtage dennes forretningsmæssige aktiviteter.

  • 4) De foranstaltninger, som skal gennemføres af outsourcingvirksomheden og leverandøren med henblik på at styre og mindske risiciene.

Stk. 5 Vurderingen skal, hvis leverandører kan videreoutsource kritisk eller vigtig outsourcing til underleverandører, tage hensyn til følgende:

  • 1) De risici, der er forbundet med videreoutsourcing.

  • 2) Risikoen for, at flere underleverandører ved videreoutsourcing kan mindske outsourcingvirksomhedens mulighed for at føre kontrol med kritisk eller vigtig outsourcing og tilsynsmyndigheders mulighed for effektivt at føre tilsyn med kritisk eller vigtig outsourcing.

Stk. 6 Vurderingen skal tage højde for risici ved et eventuelt ophør af outsourcingen, herunder risici ved at overføre den outsourcede proces, tjenesteydelse eller aktivitet til en anden leverandør eller ved at reintegrere processen, tjenesteydelsen eller aktiviteten i outsourcingvirksomheden.

§20 Forudgående undersøgelse
En outsourcingvirksomhed skal, før der træffes beslutning om valg af leverandør ved outsourcing, foretage en undersøgelse af leverandøren.

Stk. 2 Undersøgelsen skal som minimum indeholde en vurdering af:

  • 1) Leverandørens forretningsmodel, virksomhedstype, størrelse, kompleksitet, finansielle situation, ejerskab og koncernstruktur.

  • 2) De langsigtede relationer med leverandører, som allerede er vurderet, og som udfører tjenester for outsourcingvirksomheden.

  • 3) Om leverandøren er koncernforbundet med outsourcingvirksomheden.

  • 4) Om leverandøren er underlagt tilsyn af Finanstilsynet eller anden relevant myndighed.

  • 5) Om leverandøren kan træffe passende tekniske og organisatoriske foranstaltninger med henblik på at beskytte outsourcingvirksomhedens data, herunder personoplysninger.

  • 6) Om leverandøren og eventuelle underleverandører handler i overensstemmelse med outsourcingvirksomhedens værdier og adfærdskodeks.

Kapitel 7

Outsourcingkontrakt

§21 Outsourcingvirksomheden skal indgå en skriftlig outsourcingkontrakt med leverandøren, hvor parternes rettigheder og forpligtelser klart fremgår.

Stk. 2 Outsourcingkontrakten skal for kritisk eller vigtig outsourcing opfylde kravene i bilag 3.

Stk. 3 Outsourcingvirksomheden skal i outsourcingkontrakten for outsourcing, der ikke er kritisk eller vigtig, opfylde kravene i bilag 3, nr. 3.

Stk. 4 Outsourcingvirksomheden skal i outsourcingkontrakten for outsourcing, der ikke er kritisk eller vigtig, ud fra en risikobaseret tilgang sikre ret til adgang og revision som anført i stk. 5 og bilag 3, nr. 4.

Stk. 5 Outsourcingvirksomheden skal ved kritisk eller vigtig outsourcing sikre, at outsourcingkontrakten eller andre kontraktordninger ikke hindrer eller begrænser den faktiske udøvelse af retten til adgang og revision for outsourcingvirksomheden, Finanstilsynet, Finansiel Stabilitet eller en tredjepart, der er udpeget af outsourcingvirksomheden til at udøve disse rettigheder.

Stk. 6 Outsourcingvirksomheden skal i outsourcingkontrakten for outsourcing, der ikke er kritisk eller vigtig, tage højde for, at outsourcede processer, tjenesteydelser og aktiviteter kan blive kritiske eller vigtige.

Kapitel 8

Databeskyttelse og it-relateret outsourcing

§22 Outsourcingvirksomheden skal, med forbehold for kravene i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF og senere ændringer hertil, tage hensyn til forskelle i nationale bestemmelser om beskyttelse af data, når der sker outsourcing eller videreoutsourcing af data.

Stk. 2 Outsourcingvirksomheden skal anlægge en risikobaseret tilgang til datalagrings- og databehandlingslokaliteter og informationssikkerhedshensyn, hvis outsourcing involverer behandling eller videregivelse af personoplysninger eller fortrolige data.

Stk. 3 Outsourcingvirksomheden skal, hvor det er relevant, sikre, at den er i stand til at udføre test af it-sikkerheden for at vurdere effektiviteten af foranstaltninger til modvirkning af cyber- og informationsrisici samt kommunikationsteknologiske risici.

Kapitel 9

Overvågning og kontrol

§23 Outsourcingvirksomheden skal ud fra en risikobaseret tilgang løbende overvåge, undersøge og kontrollere leverandørens arbejde og foretage revisionsmæssige gennemgange af leverandøren.

Stk. 2 Outsourcingvirksomheden skal før et planlagt besøg hos en leverandør sikre, at outsourcingvirksomheden, revisorer eller tredjeparter, der handler på vegne af outsourcingvirksomheden, giver leverandøren et rimeligt varsel.

Stk. 3 Leverandøren skal ikke modtage et rimeligt varsel, hvis det ikke er muligt på grund af en nødsituation eller krisesituation, eller hvis besøgets formål vil blive forspildt.

Stk. 4 Ved gennemførelse af et besøg, jf. stk. 2, skal outsourcingvirksomheden tage behørigt hensyn til leverandørens drift og sikkerhed, hvis leverandøren betjener andre kunder. Outsourcingvirksomhedens repræsentanter skal have relevante kvalifikationer og viden til at gennemføre besøget.

Stk. 5 Outsourcingvirksomheden skal løbende ajourføre sine vurderinger i overensstemmelse med §§ 5 og 19.

Stk. 6 Outsourcingvirksomheden skal overvåge sine interne koncentrationsrisici som følge af outsourcing under hensyntagen til § 19, stk. 4.

Stk. 7 Outsourcingvirksomheden skal løbende sikre, at en outsourcing opfylder hensigtsmæssige resultat- og kvalitetsstandarder i overensstemmelse med outsourcingvirksomhedens politikker ved at

  • 1) sikre, at outsourcingvirksomheden modtager passende rapportering fra leverandøren,

  • 2) evaluere de leverancer, der modtages fra leverandøren ved brug af værktøjer, herunder centrale præstations- og kontrolindikatorer, rapporter om udførelsen af tjenesterne, selvcertificering og uafhængige undersøgelser og

  • 3) gennemgå alle andre relevante oplysninger modtaget fra leverandøren, herunder rapporter om beredskabsplaner og test af disse.

Stk. 8 Outsourcingvirksomheden skal overvåge, om leverandøren overholder de aftalte data- og systemsikkerhedskrav, hvis outsourcing vedrører it-ydelser.

§24 Outsourcingvirksomheden skal træffe passende foranstaltninger, og om nødvendigt bringe outsourcingkontrakten til ophør med øjeblikkelig virkning, hvis den finder mangler i varetagelsen af den outsourcede proces, tjenesteydelse eller aktivitet.

§25 Brug af centraliseret overvågning og kontrol
Outsourcingvirksomheden skal, såfremt den operationelle overvågning og kontrol af kritisk eller vigtig outsourcing er centraliseret, sikre, at den centraliserede overvågningsfunktion

  • 1) har mulighed for uafhængigt af outsourcingvirksomheden at foretage overvågning af leverandøren og

  • 2) foretage en passende overvågning af outsourcingvirksomheden.

Stk. 2 Outsourcingvirksomheden skal som minimum, såfremt den operationelle overvågning og kontrol af outsourcing er centraliseret, fra den centraliserede overvågningsfunktion modtage

  • 1) årlig rapportering, der indeholder et sammendrag af risikovurderingen, jf. § 19, og rapportering om relevante resultat- og kvalitetsstandarder, jf. § 23, stk. 7 og 8, og

  • 2) et sammendrag af de relevante revisionsrapporter for så vidt angår kritisk eller vigtig outsourcing og mulighed for at få stillet den fulde revisionsrapport til rådighed.

§26 Brug af fælles revisioner med andre af leverandørens kunder
Outsourcingvirksomheden kan anvende fælles revision, der tilrettelægges og udføres i fællesskab med andre af leverandørens kunder, eller en tredjepart, udpeget af outsourcingvirksomheden og andre af leverandørens kunder i fællesskab.

§27 Brug af interne revisionsrapporter, tredjepartscertificeringer og tredjepartsrevisionsrapporter stillet til rådighed af leverandøren
Outsourcingvirksomheden kan anvende tredjepartscertificeringer, tredjepartsrevisionsrapporter og interne revisionsrapporter stillet til rådighed af leverandøren, hvis betingelserne i nr. 1-7 er opfyldte:

  • 1) Outsourcingvirksomheden vurderer, at revisionsplanen for den outsourcede proces, tjenesteydelse eller aktivitet er tilstrækkelig.

  • 2) Outsourcingvirksomheden sikrer, at anvendelsesområdet for certificeringen eller revisionsrapporten omfatter de centrale systemer og nøglekontroller, som outsourcingvirksomheden har udpeget, og at certificeringen eller revisionsrapporten overholder relevante myndighedskrav.

  • 3) Outsourcingvirksomheden vurderer indholdet af certificeringerne eller revisionsrapporterne løbende og verificerer, at de ikke er forældede.

  • 4) Outsourcingvirksomheden er tilfreds med egnetheden hos den eller de parter, der udfører certificeringen eller revisionen.

  • 5) Outsourcingvirksomheden sikrer, at certificeringerne og revisionerne udføres i henhold til anerkendte relevante branchestandarder og omfatter test af nøglekontrollernes operationelle effektivitet.

  • 6) Outsourcingvirksomheden har kontraktuel ret til at kræve, at certificeringernes eller revisionsrapporternes anvendelsesområde udvides til andre relevante systemer og kontroller.

  • 7) Outsourcingvirksomheden bevarer den kontraktuelle ret til at skønne, om der skal udføres egne revisionshandlinger for så vidt angår kritisk eller vigtig outsourcing.

Stk. 2 Anvender outsourcingvirksomheden tredjepartscertificeringer, tredjepartsrevisionsrapporter eller interne revisionsrapporter stillet til rådighed af leverandøren, skal den sikre, at outsourcingvirksomheden kan opfylde sine regulatoriske forpligtelser.

Stk. 3 Outsourcingvirksomheden må for kritisk eller vigtig outsourcing ikke over tid udelukkende forlade sig på tredjepartscertificeringer, tredjepartsrevisionsrapporter eller interne revisionsrapporter, der er stillet til rådighed af leverandøren.

Kapitel 10

Meddelelse til Finanstilsynet

§28 Outsourcingvirksomheden skal i god tid meddele Finanstilsynet om den planlagte kritiske eller vigtige outsourcing.

Stk. 2 Meddelelsen efter stk. 1 skal indeholde de oplysninger, der er nævnt i bilag 2, nr. 1.

Stk. 3 Ændringer eller hændelser, der kan have en væsentlig indvirkning på den fortsatte levering af en allerede indgået outsourcing, skal i god tid meddeles til Finanstilsynet.

Kapitel 11

Dispensation

§29 Finanstilsynet kan i særlige tilfælde dispensere fra bestemmelserne i bekendtgørelsen.

Kapitel 12

Straf

§30 Overtrædelse af §§ 5-25, §§ 27 og 28 og § 32, stk. 3 straffes med bøde.

Stk. 2 Der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter reglerne i straffelovens 5. kapitel.

Kapitel 13

Ikrafttræden og overgangsbestemmelser

§31 Bekendtgørelsen træder i kraft den 1. juli 2020.

Stk. 2 § 18, stk. 3, nr. 2, træder i kraft den 1. januar 2022.

Stk. 3 Bekendtgørelse nr. 1304 af 25. november 2010 om outsourcing af væsentlige aktivitetsområder ophæves.

§32 Bekendtgørelsen finder anvendelse på outsourcingkontrakter, der indgås, revideres eller genforhandles den 1. juli 2020 eller derefter.

Stk. 2 Outsourcingkontrakter, der er indgået inden den 1. juli 2020, skal senest den 31. december 2022 være i overensstemmelse med reglerne i denne bekendtgørelse. For outsourcingkontrakter, der er indgået inden den 1. juli 2020, finder de hidtidigt gældende regler anvendelse indtil den 31. december 2022.

Stk. 3 Er outsourcingkontrakter om kritisk eller vigtig outsourcing ikke bragt i overensstemmelse med denne bekendtgørelse senest den 31. december 2022, skal outsourcingvirksomheden underrette Finanstilsynet herom, herunder om de foranstaltninger, der er planlagt for at bringe outsourcingkontrakten i overensstemmelse med bekendtgørelsen eller den mulige exitstrategi.

profile photo
Profilside