Nye regler om outsourcing
Finanstilsynet har den 16. juni 2020 offentliggjort en pressemeddelelse, hvori det angives, at der er blevet vedtaget en ny bekendtgørelse om outsourcing. Bekendtgørelsen træder i kraft den 1. juli 2020, dog fremhæver Finanstilsynet, at der i de første måneder efter ikrafttrædelsen vil blive taget hensyn på grund af den sene offentliggørelse af bekendtgørelsen.
Bekendtgørelsen finder anvendelse på en række finansielle virksomheder, herunder f.eks. for kreditinstitutter, fondsmæglerselskaber, investeringsforvaltningsselskaber men også på betalingsinstitutter og e-pengeinstitutter. Finanstilsynet angiver i pressemeddelelsen, at Finanstilsynet forventer, at virksomhederne arbejder målrettet på efterlevelse af de nye krav.
Den 25. februar 2019 udstedte Det Europæiske Banktilsyn (”EBA”) ”Retningslinjer for outsourcing”. Disse retningslinjer erstattede de tidligere retningslinjer om outsourcing af 14. december 2006. De nye retningslinjer nødvendiggjorde en række ændringer i dansk ret, hvis de danske regler skulle være i overensstemmelse med de nye retningslinjer.
I forlængelse af anbefalingerne fra EBA blev der fremsat et lovforslag i februar 2020 om ændring af lov om finansiel virksomhed, som blandt andet indeholder en ny definition af outsourcing. Bekendtgørelsen om outsourcing er udformet i overensstemmelse med de seneste internationale anbefalinger og implementerer således ”Retningslinjer for outsourcing” udstedt af EBA.
Bekendtgørelsen har til formål at klarificere reguleringen på outsourcing-området for finansielle virksomheder m.v. samt bringe reglerne på området i overensstemmelse med de nye fælleseuropæiske retningslinjer.
Outsourcingreglerne på det finansielle område har overordnet til formål at sikre, at tilsynsbelagte virksomheder fortsat bærer ansvaret for de opgaver, der udføres ved leverandøren, samt sikre, at Finanstilsynet fortsat kan udøve et effektivt tilsyn. Reglerne fastsætter dermed, hvordan den tilsynsbelagte virksomhed skal sikre, at en opgave varetages i henhold til den gældende lovgivning, selvom denne opgave er henlagt til en leverandør.
Den nugældende bekendtgørelse om outsourcing fra 2010 har hidtil reguleret området for tilsynsbelagte virksomheders outsourcing af væsentlige aktivitetsområder. De eksisterende regler og krav retter sig mod ”væsentlig outsourcing”. Dette har givet anledning til tvivl – særligt i forhold til hvad der skal forstås ved ”væsentlig”. Disse fortolkningsproblemer søges elimineret ved den nye bekendtgørelse.
Centralt i bekendtgørelsen er ændringen af definitionerne på outsourcing og væsentlighed, hvor definitionsbestemmelsen om outsourcing i § 5, stk. 1, nr. 27 i lov om finansiel virksomhed nyaffattes. I forlængelse heraf omfatter den nye bekendtgørelse enhver outsourcing, hvorved den nugældende regel, om at der skal være tale om outsourcing af væsentlige aktivitetsområder, erstattes af bestemmelser, der fastsætter yderligere krav, når outsourcingen er kritisk eller vigtig.
Således ændres den tidligere sondring mellem ”væsentlig” og ”uvæsentlig” outsourcing til, at der i stedet sondres mellem ”kritisk eller vigtig outsourcing” og ”øvrig outsourcing”, hvilket er i overensstemmelse med EBA’s formulering i retningslinjerne. Bekendtgørelsens §§ 4 og 5 fastsætter nærmere regler for, hvornår outsourcing skal anses som kritisk eller vigtig og hvilke elementer, der skal inddrages i vurderingen heraf.
Formålet med denne sondring er at gøre det klart for de finansielle virksomheder, hvornår outsourcing af aktiviteter er ”kritisk” eller ”vigtig”, da kravene til outsourcingen vil være større, når der er tale om kritisk eller vigtig outsourcing end i øvrig outsourcing. F.eks. gælder der et krav om, at der skal foreligge en exitplan for den enkelte outsourcing. Endvidere skal outsourcingpolitikken angive rammerne for de konsekvenser, som en kritisk eller vigtig outsourcing kan have på virksomhedens kompilerede risikoprofil.
Derudover udvides anvendelsesområdet for outsourcingsreglerne, hvorved også e-pengeinstitutter og betalingsinstitutter omfattes.
Bekendtgørelsen indeholder derudover bestemmelser, der fastsætter krav til ledelse og styring af outsourcing, krav ved videreoutsourcing, krav til outsourcing-kontrakten og dokumentationskrav.
I forhold til virksomhedens outsourcingpolitik stilles der yderligere krav til risikostyringen og virksomhedens interne kontrol. Virksomheden skal foretage en risikovurdering af enhver outsourcing, inden den iværksættes. Outsourcingvirksomheden skal i den forbindelse sikre sig, at risici forbundet med outsourcing indenfor alle forretningsområder indgår i virksomhedens øvrige risikostyring og interne kontrolforanstaltninger. Det er herunder et krav, at virksomhedens outsourcingpolitik indeholder principper for at sikre en tilstrækkelig styring af risici samt overvågning af og kontrol med leverandørerne.
I forbindelse med den enkelte risikovurdering af en given outsourcing, skal virksomheden blandt andet være opmærksom på risikoen ved outsourcede ydelser, der samlet varetages af samme leverandør. Derudover skal virksomheden tage højde for de risici, der er forbundet med virksomhedens samlede brug af outsourcing på tværs af virksomheden. I risikovurderingen indgår f.eks. mængden og arten af den data, der outsources, kategorisering af outsourcingaftalen, der afspejler typen af outsourcede processer og aktiviteter, relevante sikkerhedsforanstaltninger samt den økonomiske dygtighed ved leverandørens forretningssted.
Endvidere gælder der et dokumentationskrav, hvor virksomheden skal føre og løbende opdatere et ”outsourcingregister”, der indeholder oplysninger om foretagne afsluttede outsourcinger og øvrig dokumentation i mindst 5 år. Registret skal som minimum indeholde:
- et referencenummer,
- en startdato, slutdatoer og andre relevante datoer,
- en kort beskrivelse af den outsourcede proces eller aktivitet,
- en kort beskrivelse af de data, der er outsourcet, og om der er overført personoplysninger, og om behandlingen heraf er outsourcet til en leverandør,
- oplysninger om leverandøren, herunder leverandørens CVR-nummer,
- det land, hvor processen, outsourcingen skal udføres,
- hvorvidt der er tale om kritisk eller vigtig outsourcing,
- datoen for den seneste vurdering af, om der er tale om kritisk eller vigtig outsourcing.