Vejledning til outsourcingbekendtgørelsen udgivet – her er, hvad du skal vide

FOR AN  ENGLISH SUMMARY, PLEASE SEE BELOW.

1. Baggrund
Den 1. juli 2020 trådte bekendtgørelse nr. 877 af 12. juni 2020 om outsourcing for kreditinstitutter m.v. i kraft og erstattede den tidligere bekendtgørelse. 

I forlængelse heraf sendte Finanstilsynet i november 2020 et udkast til vejledning til den nye bekendtgørelse om outsourcing for kreditinstitutter m.v. i høring. Vejledningen er blevet tilpasset og uddybet og er nu blevet offentliggjort i en endelig version.

Selv om reglerne ikke er fuldstændigt de samme for andre finansielle institutioner er der dog betydelige overlap og de forskellige forhold behandles typisk meget ens på tværs af de forskellige regelsæt. Bekendtgørelsen for kreditinstitutter er baseret på EBA-guidelines fra 2019, som siden har været væsentlig inspiration for EIOPA’s cloud guidelines og ESMA’s cloud guidelines. De fleste af de nedenstående pointer gælder derfor også for andre finansielle institutioner.

2. Der er flere krav end tidligere, og man skal derfor have fokus på sine processer
Den nye bekendtgørelse indførte en række ændringer i forhold til tidligere. Nogle af disse ændringer har (eller burde have) haft væsentlig indflydelse på de omfattede virksomheders arbejde med at leve op til reglerne. Det drejer sig blandt andet om:

• Dokumentationskravet i bekendtgørelsens § 15, der forpligter virksomheden til at dokumentere vurderinger og beslutninger, der er nødvendige for at overholde bekendtgørelsen.
  
  
• Kravet om at føre et outsourcingregister i bekendtgørelsens § 16, der forpligter virksomheden til at føre og løbende opdatere et register med en lang række oplysninger som fastsat i bekendtgørelsens bilag 2.
  
  
• Kravet om at udpege en outsourcingansvarlig i bekendtgørelsens § 12, stk. 3, der forpligter virksomheden til at have en person, der er ansvarlig for styring, overvågning og kontrol af outsourcing og for sikring af dokumentationen af outsourcing.

Særligt dokumentationskravet og outsourcingregisteret stiller store krav til virksomhedernes processer, og der er ingen tvivl om, at dokumentationskravene er udvidet betydeligt i forhold til tidligere. Det stod klart allerede fra bekendtgørelsens vedtagelse og er kun blevet slået yderligere fast med vejledningen. 

Selv om man med den nye bekendtgørelse har fået nogle frihedsgrader, f.eks. til at anvende proportionalitetsprincippet (som omtalt nedenfor), understreger vejledningen, at alle vurderinger og beslutninger skal dokumenteres, når det for eksempel besluttes at anvende proportionalitetsprincippet eller ved udarbejdelse og vurdering af exit- og transitionsplaner, risikovurderinger m.v. 

Dette dokumentationskrav gør det nødvendigt med effektive systemer og processer omkring outsourcing, hvis outsourcingvirksomheden skal undgå at bruge unødigt lang tid på at opfylde reglerne eller undgå at have utilstrækkelig dokumentation for de beslutninger m.v., som ligger til grund for outsourcingen.

Bekendtgørelsen og vejledningen opstiller ikke nogen form- eller konkrete indholdsmæssige krav, men outsourcingvirksomheden bør fastsætte retningslinjer for dette i den lovpligtige outsourcingpolitik, så der sikres ensformighed på tværs af outsourcingvirksomheden.

3. Hvad er de typiske udfordringer i forbindelse med aftaleindgåelse?
I arbejdet med at hjælpe virksomheder med at sikre, at deres outsourcingaftaler lever op til kravene, har vi siden den nye bekendtgørelse trådte i kraft erfaret, at der er en række forhold, som parterne typisk har svært ved at enes om. Det gælder blandt andet:

• Notifikationsforpligtelsen ved videreoutsourcing: Varslet for notifikation af videreoutsourcing eller ændring af eksisterende videreoutsourcing skal være tilstrækkeligt langt til, at outsourcingvirksomheden kan hjemtage eller skifte til en alternativ leverandør inden en underleverandør påbegynder sin ydelse. Leverandøren kræver ofte et væsentligt kortere varsel, end hvad der umiddelbart er ønskværdigt for klienten. Denne problemstilling er behandlet nærmere nedenfor i punkt 3.2.
  
  
• Opsigelsesrettigheder: I henhold til bekendtgørelsen skal outsourcingvirksomheden have ret til at opsige kontrakten i nogle særlige situationer. Udfordringen er, at situationerne er relativt vagt beskrevet og giver anledning til usikkerhed for særligt leverandøren, som ofte vil argumentere for, at de reelt giver kunden en ensidig og subjektiv ret til at opsige aftalen. Dette kan tit løses ved at præcisere opsigelsesmulighederne i forhold til bekendtgørelsens ordlyd og virksomhedens risikoprofil og/eller at give leverandøren ret til en kompensation i nogle tilfælde af opsigelse. Den nærmere udformning vil afhænge af omstændighederne, herunder den outsourcede ydelse og parternes forhold.
  
  
• Adgang i forbindelse med audits: Outsourcingvirksomheden og myndigheder skal have vidtgående rettigheder til at foretage audits hos leverandøren og dennes eventuelle underleverandører. Dette er en udfordring, da leverandøren oftest ikke kan (af sikkerhedsmæssige årsager) eller vil give adgang til sine eller underleverandørers fysiske lokaliteter. Dette kan tit løses ved ud fra en proportionalitetsvurdering at indsnævre adgangen til hvad der er nødvendigt for at opnå formålet med auditrettighederne samt at acceptere rimelige begrænsninger i hvordan audit kan udnyttes. Her er det vigtigt, at anvendelsen af proportionalitetsprincippet dokumenteres, som nærmere behandlet i punkterne 1 og 3.3 samt at evt. begrænsninger ikke reelt hindrer en effektiv audit og kontrol.

I forhandlingerne er det generelt vigtigt, at leverandøren har (eller får) en forståelse for kravene, så denne bedre kan forstå, hvorfor kunden fremsætter sine krav. Samtidig er det vigtigt, at kunden ikke stirrer sig blind på kravenes ordlyd alene. Så længe at outsourcingen fortsat kan foregå på betryggende vis, at beslutninger tages på et oplyst og velovervejet grundlag, og at disse dokumenteres ordentligt, vil parterne ofte kunne finde pragmatiske løsninger, der både lever op til reglerne og imødekommer både leverandørens og kundens behov.

4. Hvad kan vi lære yderligere af den endelige vejledning?
Vi kigger i dette afsnit nærmere på nogle af forhold, der er præciseret, ændret eller tilføjet i Finanstilsynets vejledning til outsourcingbekendtgørelsen i forhold til høringsudkastet til vejledningen fra november 2020. 

4.1 Hvornår er noget outsourcing?
Et af de mest centrale spørgsmål for, hvorvidt reglerne i bekendtgørelsen overhovedet finder anvendelse er, om der er tale om outsourcing. I bekendtgørelsen er ”outsourcing” defineret som ”enhver form for ordning mellem en virksomhed og en leverandør, i henhold til hvilken leverandøren udfører en proces, en tjenesteydelse eller en aktivitet, som virksomheden ellers selv ville udføre.” I den endelige vejledning er det nu blevet præciseret, hvad der skal forstås ved en ”ordning”.

En ordning skal forstås som enhver outsourcingaftale, uanset om den er fastlagt i en kontrakt. Det vil sige, at der reelt ikke er nogen formkrav. 

I forlængelse heraf præciseres det, at man i tilfælde af en rammeaftale vil kunne have flere ordninger under samme rammeaftale, dvs. at en rammeaftale om outsourcing ikke nødvendigvis kan anses som én outsourcing. Som konsekvens heraf, vil man i det lovpligtige outsourcingregister skulle indføre oplysninger om alle ordninger, og det vil derfor ikke nødvendigvis være nok at indføre oplysninger om blot rammeaftalen. 

4.2 Varsel ved videreoutsourcing
Som noget nyt blev der med bekendtgørelsen indført mulighed for, at der både kan aftales aktiv og passiv (med notifikationsforpligtelse) godkendelse af leverandørens videreoutsourcing til underleverandører. I praksis er den passive metode den mest udbredte, da det giver leverandøren en meget ønsket fleksibilitet. I de store cloud-løsninger er det den eneste mulighed.

Det er et krav i henhold til bekendtgørelsen, at en outsourcing skal foregå på betryggende måde. Den endelige vejledning holder nu fast i angivelsen af, at det ved brug af den passive godkendelse med notifikationskrav ikke vil anses for betryggende, hvis outsourcingvirksomheden skal tåle, at der kommer en ny underleverandør ind i leverancen, som outsourcingvirksomheden ikke ønsker skal bidrage til levering af den outsourcede ydelse. 

Det betyder i praksis, at varslet under den passive godkendelsesmetode skal gives i så god tid, at outsourcingvirksomheden har tilstrækkelig tid til (i) at foretage en ny risikovurdering og (ii) at hjemtage eller flytte outsourcingen til en anden leverandør, således at den nye underleverandør ikke når at blive taget i brug. Punkt (ii) ovenfor er en skærpelse i forhold til EBA guidelines om cloud outsourcing, som blot medtager kravet i punkt (i).

Længden på det varsel, som outsourcingvirksomheden kan få leverandøren med på at aftale, er sjældent langt nok til, at det i praksis vil være muligt for outsourcingvirksomheden at leve op til punkt (ii) ovenfor. Det vil særligt være en udfordring, når leverandøren er en stor, global leverandør, som er outsourcingvirksomheden overlegen i forhandlingsstyrke, men kan også sagtens være en udfordring i andre outsourcinger, hvor leverandøren står hårdt fast på at kunne skifte underleverandør med kort varsel.

Outsourcingvirksomheden kan i mange tilfælde håndtere denne udfordring gennem sin risikovurdering og exitplaner, men det er vigtigt, at baggrunden for eventuelt at acceptere et kort varsel dokumenteres sammen med en beskrivelse af de forhold, som gør, at outsourcingvirksomheden på trods af det korte varsel konkluderer, at outsourcingen er betryggende.

4.3 Proportionalitetsprincippet
Bekendtgørelsen indeholder et proportionalitetsprincip, der giver outsourcingvirksomheder mulighed for – ud fra en proportionalitetsbetragtning med udgangspunkt i outsourcingvirksomhedens risikoprofil, forretningsmodel, størrelse kompleksiteten af aktiviterne og virksomhedsstruktur – at lempe på kravene i bekendtgørelsen, så længe at det overordnede krav om, at outsourcingen skal være betryggende, er opfyldt. 

Udover en konstatering af, at proportionalitetsprincippet aldrig kan medføre, at et eksplicit krav helt fraviges, giver hverken bekendtgørelsen eller vejledningen særligt mange konkrete retningslinjer til, hvordan en lempelse af opfyldelse af kravene med henvisning til proportionalitetsprincippet kan udmønte sig i de kontraktuelle forhold. 

I stedet lægges der op til, at outsourcingvirksomheden selv kan vurdere, hvilke foranstaltninger, der er tilstrækkelige til at sikre, at outsourcingen er betryggende. Hvis outsourcingvirksomheden vælger at lempe på krav med henvisning til proportionalitetsprincippet, skal dette dokumenteres.

Vejledingen har nu præciseret, at der ikke er nogen formelle krav til, hvordan outsourcingvirksomheden dokumenterer anvendelsen af proportionalitetsprincippet, og at dette derfor både kan ske som en del af outsourcingvirksomhedens risikovurdering eller som et særskilt dokument, der redegør for alle anvendelser af proportionalitetsprincippet. Selvom virksomheder derfor frit kan vælge, hvordan anvendelsen dokumenteres, så er anvendelsen stadig underlagt tilsyn og dokumentation er nødvendig og kan således ikke undlades.

4.4 Rapportering om outsourcing
Outsourcingvirksomheder er forpligtet til at give Finanstilsynet meddelelse om kritiske eller vigtige outsourcinger i ”god tid”. Det er nu blevet præciseret i vejledningen, at forpligtelsen skal forstås på den måde, at der skal gives meddelelse i ”god tid inden den planlagte kritiske eller vigtige outsourcing påtænkes påbegyndt.” 

Det betyder i praksis, at der ikke er noget til hinder for, at der først gives meddelelse efter outsourcingkontrakten er indgået, så længe meddelelsen gives i god tid inden selve påbegyndelsen af outsourcingordningen, dvs. inden leverandøren begynder sin levering af ydelserne.

I forlængelse af det under afsnit 1 anførte om hvornår noget er en outsourcing, skal det bemærkes, at der vil skulle gives meddelelse til Finanstilsynet i god tid inden hver enkelt outsourcingordning under en rammeaftale påbegyndes. Det er ikke tilstrækkeligt, at der blot gives meddelelse om rammeaftalen.

4.5 Bestyrelsens godkendelse og mandat til direktionen
Ifølge bekendtgørelsen skal bestyrelsen beslutte klare rammer og betingelser før indgåelse af kritiske eller vigtige outsourcingkontrakter samt for de herved forbundne risici, som bestyrelsen kan acceptere, og denne beslutning skal bygge på en særlig analyse. Direktionen er ansvarlig for, at virksomhedens outsourcing sker inden for de af bestyrelsen fastsatte rammer og betingelser, og at outsourcingen er betryggende.

Det er i vejledningen blevet præciseret, at bestyrelsen ikke blot kan henvise til outsourcingvirksomhedens outsourcingpolitik. I så fald vil mandatet til direktionen ikke være tilstrækkeligt klart. Mandatet skal være bestyrelsens konkrete stillingtagen til, hvilken kompetence direktionen tildeles – dermed ikke forstået således, at kravet om ”konkret stillingtagen” medfører et krav om, at bestyrelsen skal godkende hver enkelt outsourcing. 

Fastlæggelsen af et mandat fra bestyrelsen er efter vores opfattelse samtidig en god måde at sikre på, at den praktiske håndtering af outsourcingprojekter og -beslutninger ikke ender i bestyrelsen. Det kan nemlig – særligt i større virksomheder – være en tung proces og kan nemt få den konsekvens, at reglerne ender med at besværliggøre eller forhindre innovation i virksomheden og samarbejder med outsourcingleverandører.

4.6 Outsourcingansvarlig i koncerner
I henhold til bekendtgørelsen skal direktionen udpege en outsourcingansvarlig, som skal styre, overvåge og kontrollere outsourcinger. Det kan være oplagt i nogle koncerner at udpege en fælles outsourcingansvarlig. 

Vejledningen præciserer nu, at der ikke gælder nogen lovmæssige betingelser for, hvornår der kan udpeges en fælles outsourcingansvarlig i en koncern, men at proportionalitetsprincippet kan inddrages ved beslutningen herom, idet der dog også skal tages højde for de potentielle interessekonflikter, som en fælles outsourcingansvarlig kan give anledning til – særligt hvis der sker koncernintern outsourcing.

5. Hvad kigger Finanstilsynet på, når de kommer på inspektion?
Det må forventes, at det nye dokumentationskrav sammen med de materielle krav til kontrakten, som fremgår af bekendtgørelsens bilag 3, er blandt Finanstilsynets fokusområder, når de kommer på inspektion hos omfattede virksomheder. De nævnte ting var netop noget af det, som Finanstilsynet udstedte påbud om, da de i december 2020 var på inspektion hos et forsikringsselskab (forsikringsselskaber er omfattet af Solvens II og EIOPA’s cloud guidelines der, som nævnt i indledningen, på mange punkter indeholder de samme krav som outsourcingbekendtgørelsen).

Læs hele vejledningen her: https://www.retsinformation.dk/eli/retsinfo/2021/9399 

6. The English summary
The rules on outsourcing have been significantly expanded over the past years. The Danish Executive Order on Outsourcing for credit institution etc. came into force 1 July 2020. In November 2020 the Danish FSA circulated a draft guidance paper on the Executive Order, and the Danish FSA has now released their final guidance paper.  

Even though the rules are not identical for other types of financial institutions, there are significant overlapping requirements and obligations, and the different areas and issues are typically handled the same in the different rulesets. The Executive Order is based on the EBA guidelines from 2019 which have subsequently been a significant inspiration for EIOPA’s cloud guidelines and ESMA’s cloud guidelines. Most of the points set out below will therefore also apply to other types of financial institutions.

With the Executive Order that came into force 1 July 2020, there are more requirements and obligations to fulfil than previously. Namely the documentation obligation in article 15 of the Executive Order, the obligation to keep an outsourcing register in article 16 of the
Executive Order, and the obligation to appoint an outsourcing responsible person in article 12(3) of the Executive Order. Especially the first two obligations necessitate efficient outsourcing procedures.

Working with both outsourcing entities and providers since the Executive Order became effective, we have found that the typical items of contention during negotiations are (i) the notice period when sub-outsourcing, (ii) the outsourcing entity’s expanded termination rights, and (iii) access to the outsourcing provider’s and subcontractors’ premises in case of audits. Given the proper guidance, a pragmatic approach and some proper documentation, the parties can usually find a solution that satisfies both parties.

Now that the final guidance paper has been published, we have identified some of the things that have been added or detailed in this final version compared to the draft version:

• An outsourcing arrangement is subject to the rules regardless of the form of contract. Outsourcings under a framework agreement may be considered separate outsourcing arrangements which shall be notified individually to the Danish FSA.
  
  
• In relation to the provider’s sub-outsourcing, the guidance states that the notification period agreed in regard to a passive approval method for sub-outsourcing shall be so long that it not only allows the outsourcing entity to perform a renewed risk assessment, but also to exit the outsourcing before the new sub-contractor starts its performance. This is a more strict requirement than what follows from the EBA guidelines on cloud outsourcings.

• An outsourcing entity’s use of the proportionality concept in complying with the requirements must be documented, however, there is no requirements as to the form. Thus, it may be documented as part of the risk assessment or in a separate document detailing the application of the proportionality concept throughout the outsourcing arrangement.
  
  
• Notification to the Danish FSA shall be provided with “sufficient notice prior to effective date of the outsourcing”. This means that notice may be given after contract signing, but prior to the date when the provider starts its performance.
  
  
• The board of directors must decide on clear guidelines and conditions for the outsourcing entity’s entering of critical and important outsourcings, i.e. the mandate given to the executive level. It is not sufficient to refer to the outsourcing entity’s general outsourcing policy. The board of directors do not need to approve each individual outsourcing, unless they are outside the mandate given.
  
  
• Group companies may designate a joint outsourcing responsible person based on a proportionality assessment, however, the potential conflict of interest between the group companies must be observed, especially if there are group internal outsourcings.
  
  You can find the entire guidance paper here: https://www.retsinformation.dk/eli/retsinfo/2021/9399 (in Danish).
  
  You are also very welcome to contact us and we can provide you with a rough English translation and answer any questions that you may have.