Bekendtgørelse om outsourcing for kreditinstitutter m.v. Kapitel 2

Den konsoliderede version af denne bekendtgørelsen er opdateret til i dag, idet vi har implementeret eventuelle senere ændringsbekendtgørelser i det omfang, de er trådt i kraft - se mere her.

Bekendtgørelse nr. 973 af 22. juni 2022

Kapitel 2 Afgrænsning af outsourcing
§ 3

Outsourcing omfatter enhver form for ordning mellem en virksomhed og en leverandør, i henhold til hvilken leverandøren udfører en proces, en tjenesteydelse eller en aktivitet, som outsourcingvirksomheden ellers selv ville udføre.

Stk. 2 Ved vurderingen af, om en ordning udgør outsourcing, skal outsourcingvirksomheden overveje, hvorvidt processerne, tjenesteydelserne eller aktiviteterne eller dele heraf udføres gentagne gange eller løbende af leverandøren. Outsourcingvirksomheden skal desuden overveje om processerne, tjenesteydelserne eller aktiviteterne eller dele heraf normalt ville falde inden for rammerne af processer, tjenesteydelser eller aktiviteter, der realistisk set ville eller kunne udføres af outsourcingvirksomheden.  2. pkt. gælder også, selvom outsourcingvirksomheden ikke har udført disse processer, tjenesteydelser eller aktiviteter selv tidligere.

Stk. 3 Indeholder en ordning med en leverandør flere processer, tjenesteydelser eller aktiviteter, skal outsourcingvirksomheden inddrage alle aspekter af ordningen.

Stk. 4 Følgende udgør ikke outsourcing:

  • 1) En proces, tjenesteydelse eller aktivitet, som virksomheden i henhold til lovgivning er forpligtet til at få udført af en leverandør, herunder lovpligtig revision.

  • 2) Brug af markedsinformationstjenester.

  • 3) Globale betalingsnetværksinfrastrukturer.

  • 4) Clearing og afviklingsordninger mellem clearingcentraler, centrale modparter og afviklingsinstitutter og deres medlemmer.

  • 5) Korrespondentbankydelser.

  • 6) Køb af tjenester, varer eller forsyning, som ikke normalt ville blive udført af outsourcingvirksomheden.

Kritisk eller vigtig outsourcing
§ 4

Outsourcing skal anses som kritisk eller vigtig outsourcing, hvis en fejl eller mangel ved dens udførelse væsentligt vil forringe outsourcingvirksomhedens

  • 1) mulighed for at overholde betingelserne i sin tilladelse,

  • 2) finansielle resultater eller

  • 3) mulighed for på et forsvarligt grundlag at udøve sine aktiviteter.

Stk. 2 Outsourcing af it-opgaver, der udføres for finansielle virksomheder, skal for fælles datacentraler anses som kritisk eller vigtig outsourcing, hvis en fejl eller mangel ved dens udførelse væsentligt vil forringe de finansielle virksomheders

  • 1) mulighed for at overholde betingelserne i deres tilladelse,

  • 2) finansielle resultater eller

  • 3) mulighed for på et forsvarligt grundlag at udøve deres aktiviteter.

Stk. 3 Outsourcing af tilladelsespligtige aktiviteter er kritisk eller vigtig outsourcing.

Stk. 4 Outsourcing af operationelle opgaver i interne kontrolfunktioner skal anses for kritisk eller vigtig outsourcing, medmindre manglende eller uhensigtsmæssig udførelse af de outsourcede processer, tjenesteydelser eller aktiviteter, ikke vil have en negativ indvirkning på effektiviteten af den interne kontrolfunktion.

Stk. 5 Outsourcingvirksomheden skal løbende vurdere, om en outsourcet proces, tjenesteydelse eller aktivitet er kritisk eller vigtig, hvis risikoen ved eller omfanget af processen, tjenesteydelsen eller aktiviteten har ændret sig væsentligt.

§ 5

Outsourcingvirksomheden skal inddrage resultatet af risikovurderingen, jf. § 19, ved vurderingen af, om der er tale om kritisk eller vigtig outsourcing. Outsourcingvirksomheden skal herudover som minimum tage højde for følgende:

  • 1) Om outsourcingen er direkte forbundet med levering af de aktiviteter, som outsourcingvirksomheden har tilladelse til.

  • 2) De mulige konsekvenser af enhver afbrydelse af den outsourcede proces, tjenesteydelse eller aktivitet, eller leverandørens manglende evne til at levere de aftalte leverancer løbende på det aftalte serviceniveau i forhold til

    • a) kort- og langsigtet økonomisk modstandskraft og levedygtighed,

    • b) forretningskontinuitet og operationel robusthed,

    • c) operationelle risici,

    • d) omdømmemæssige risici eller

    • e) eventuel genopretnings- og afviklingsplanlægning, afviklingsmuligheder og operationel kontinuitet i forbindelse med tidlig indgriben, genopretning eller afvikling.

  • 3) De potentielle konsekvenser ved outsourcing for outsourcingvirksomhedens evne til at

    • a) identificere, styre og overvåge alle risici,

    • b) overholde alle lovgivningsmæssige krav eller

    • c) foretage revisioner af den outsourcede proces, tjenesteydelse eller aktivitet.

  • 4) Den potentielle indvirkning på ydelser til outsourcingvirksomhedens kunder.

  • 5) Al øvrig outsourcing, outsourcingvirksomhedens samlede eksponering overfor den samme leverandør, og den potentielle samlede virkning af outsourcing indenfor samme forretningsområde.

  • 6) Størrelsen og kompleksiteten af de berørte forretningsområder.

  • 7) Muligheden for, at outsourcing kan udvides uden at erstatte eller revidere den underliggende kontrakt.

  • 8) Muligheden for at overføre outsourcingen til en anden leverandør.

  • 9) Muligheden for at reintegrere den outsourcede proces, tjenesteydelse eller aktivitet i outsourcingvirksomheden.

  • 10) Beskyttelse af data og de potentielle konsekvenser af brud på fortroligheden eller manglende sikring af datatilgængelighed og dataintegritet for outsourcingvirksomheden og dens kunder.

Videreoutsourcing
§ 6

Outsourcingvirksomheden skal ved en leverandørs videreoutsourcing af kritisk eller vigtig outsourcing til en underleverandør sikre, at der foreligger en skriftlig kontrakt mellem leverandøren og underleverandøren, der forpligter underleverandøren til at overholde gældende lovgivning, myndighedskrav og kontraktlige forpligtelser.

Stk. 2 Kontrakten, jf. stk. 1, skal give outsourcingvirksomheden, en tredjepart udpeget af outsourcingvirksomheden og Finanstilsynet de samme rettigheder til adgang og revision, som fremgår af § 21, stk. 4 og 5.

Stk. 3 Outsourcingvirksomheden skal opsige outsourcingkontrakten eller dele heraf med leverandøren, eller udøve sin ret til at modsætte sig videreoutsourcing, i tilfælde af en sådan ret er aftalt, hvis den foreslåede videreoutsourcing eller ændring i eksisterende videreoutsourcing har væsentlige negative virkninger for den kritiske eller vigtige outsourcing, eller vil føre til en væsentlig forøgelse af risikoen, eller hvis kontraktkravene fastsat efter stk. 1 og 2, ikke efterleves.