Ny vejledning for outsourcing i den finansielle sektor

European Banking Authority (EBA) lancerede den 22. juni 2018 en offentlig høring vedrørende en ny vejledning for outsourcing i den finansielle sektor. Den nye vejledning reviderer de gældende CEBS guidelines fra 2006, som blandt andet er baggrunden for den danske outsourcingbekendtgørelse.

Bredere anvendelsesområde

Ifølge udkastet vil den nye vejledning gælde – i modsætning til CEBS' outsourcing guidelines fra 2006 - alle finansielle institutioner omfattet af EBAs mandat, hvilket eksempelvis betyder, at betalings- og e-pengeinstitutter vil blive omfattet. Dog ser det ikke ud til, at udbydere af kontooplysningstjenester under PSD2 vil være omfattet. Udbydere af betalingsinitieringstjenester er ikke specifikt nævnt eller undtaget, så det må antages, at udbydere af betalingsinitieringstjenester vil være omfattet af den nye vejledning.

Selvom betalings- og e-pengeinstitutter ikke direkte er omfattet af de gældende CEBS guidelines fra 2006 – eller outsourcingbekendtgørelsen i Danmark – har det danske Finanstilsyn tidligere alligevel taget udgangspunkt i outsourcingbekendtgørelsens krav til outsourcingkontrakter i forbindelse med vurderingen af om en outsourcingkontrakt opfylder kravene til outsourcing i lov om betalinger. Udvidelsen af anvendelsesområdet vil derfor i forhold til betalings- og e-pengeinstitutter – i hvert fald i Danmark - måske mere have karakter af en formalisering af praksis fremfor en egentlig udvidelse.

Den nye vejledning

I udkastet til den nye vejledning har EBA taget højde for de nye regulatoriske regelsæt, som er trådt i kraft siden CEBS' guidelines fra 2006, herunder særligt MiFID II, PSD2 samt GDPR.

Vejledning indeholder bestemmelser om ledelsens ansvar for etablering af de nødvendige rammer for outsourcing, implementering og anvendelse heraf samt krav til due diligence og risikovurdering forud for indgåelsen af en outsourcingkontrakt. Derudover indeholder vejledningen fortsat specifikke krav til outsourcingkontrakten samt monitoreringen heraf.

Vejledningen specificerer, at ledelsen aldrig kan outsources, og at outsourcing ikke må føre til en situation, hvor virksomheden bliver en "empty shell". Virksomheden skal endvidere effektivt kunne kontrollere kvaliteten og udførelsen af de outsourcede processer, services og aktiviteter samt føre deres egen risikovurdering og løbende monitorering.

Endelig er EBAs retningslinjer vedrørende brug af cloud-løsninger ved IT-outsourcing fra december 2017 indarbejdet i den nye vejledning.

Annette Printz Nielsens kommentar: Vigtigheden af input fra både finans- og IT-branchen

Drifts- og sikkerhedsmæssigt kan outsourcing til en professionel IT-udbyder, for eksempel en hostingudbyder, i mange tilfælde være langt mere stabilt og sikkert, end hvis en finansvirksomhed – særligt de mindre fintechs – selv skal drive og hoste deres IT-systemer. Set i det lys er det vigtigt, at reguleringen ikke får den modsatte effekt og dermed ligefrem modvirker formålet, hvis reguleringen bliver så restriktiv, at nogle finansvirksomheder ligefrem vælger outsourcing fra af den grund.

Som fintech advokat og tidligere general counsel i en finansvirksomhed kender jeg alt for godt, hvor svært det kan være at få IT-virksomheder – særligt de amerikanske - til at ændre deres standardvilkår og processer, så de lever op til de krav, der stilles til outsourcing. Det er naturligvis ekstremt vigtigt, at de krav, der stilles til outsourcing, giver den sikkerhed, som er formålet med reguleringen, men det er lige så vigtigt, at reguleringen tager højde for, at den også skal være "workable" for IT-virksomhederne, samt ikke mindst at reguleringen følger med den teknologiske udvikling.

Derfor er det helt essentielt, at både finansbranchen og IT-branchen kommer på banen med input til EBAs guidelines. Bemærkninger kan sendes til EBA via deres hjemmeside, og deadline er den 24. september 2018. Derudover afholder EBA en offentlig høring den 4. september 2018.

Når EBAs vejledning er endelig vedtaget, må det forventes, at Finanstilsynet ligeledes vil opdatere den danske outsourcingbekendtgørelse.

 



 

---