Nye regler på vej om outsourcing og cloud i finanssektoren

Finanstilsynet har netop foreslået en ændring af outsourcingbekendtgørelsen, som giver bredere muligheder for at bruge cloudleverandører i finanssektoren. Den foreslåede ændring medfører, at en finansiel virksomhed - hvis en række betingelser er opfyldt - ikke længere aktivt skal godkende cloudleverandørens brug af underleverandører.

Finanstilsynet har udsendt et høringsforslag til ændring af outsourcingbekendtgørelsen. Her foreslås det, at man kan fravige reglen om, at outsourcingkontrakten skal indeholde krav om aktiv godkendelse af videreoutsourcing efter outsourcingbekendtgørelsens § 5, nr. 10 ved indgåelse af kontrakter om brug af cloudservices, hvis outsourcingvirksomheden sikrer sig, at kontrol- og sikringsforanstaltninger hos outsourcingvirksomheden og cloudleverandøren samlet set er betryggende.

Ved "cloudservice" forstås: En service leveret ved hjælp af cloudcomputing, det vil sige en model, der tillader let tilgængelig og anvendelig on demand-netværksadgang til en fælles pulje af konfigurerbare computerressourcer, som hurtigt kan leveres og idriftsættes med et minimum af administration eller interaktion med leverandøren.

Ændringen medfører, at outsourcingvirksomheden ikke længere aktivt skal godkende (give samtykke) en cloudleverandørs videreoutsourcing (brug af en underleverandør). I den forbindelse opstilles nogle konkrete betingelser, som skal være opfyldt, før hovedreglen om aktiv godkendelse kan fraviges. Betingelserne har til formål at sikre, at outsoucingvirksomheden til enhver tid skal have overblik og kontrol med den outsourcede aktivitet.

Outsourcingvirksomheden skal navnlig:

  1. Foretage en risikovurdering af de data, systemer og processer, som virksomheden planlægger at outsource til leverandøren samt definerer og fastlægger et passende beskyttelsesniveau heraf.
  2. Løbende overvåge om ændringer i anvendelsen af cloudservicen kan påvirke den eksisterende risikovurdering, og om sådanne ændringer giver anledning til en revurdering af parternes aftalegrundlag, forretningsgange, exitplaner og øvrige relevante forhold.
  3. Føre et ajourført register med oplysninger om alle væsentlige aktiviteter, der outsources til cloudserviceleverandører på institut- og koncernniveau. 

Der stilles endvidere krav om, at der i outsourcingkontrakten fastsættes en notifikationsmekanisme, hvorefter at leverandøren notificerer outsourcingvirksomheden forud for hel eller delvis videreoutsourcing af de outsourcede aktiviteter.

Notifikationsmekanismen har til formål at sikre, at outsourcingvirksomheden kan nå at foretage en riskovurdering af leverandørens nye underleverandør samt have tilstrækkelig tid til at iværksætte og gennemføre en transition til en ny (cloud)leverandør, hvis outsourcingvirksomheden ikke kan godkende den nye underleverandør.

Den påtænkte ændring af reglerne i outsourcingbekendtgørelsen skal ses i sammenhæng med reglerne i persondataforordningen (GDPR) vedrørende brug af databehandlere, herunder særligt reglerne om generelt og specifikt samtykke til brug af underdatabehandlere.

Hvis ændringen til bekendtgørelsen gennemføres, vil det for de finansielle virksomheder blive lettere at anvende cloudservices fra cloudleverandørerer, da flere af disse leverandører ikke har været i stand til efterkomme kravet om specifikt (aktivt) samtykke.

Den foreslåede ændring åbner således i højere grad op for finansielle virksomheders brug af cloudservices, men pålægger dem samtidig en række nye forpligtelser i forhold til etablering af register mv. Det skal også haves for øje, at de øvrige dele af outsourcingbekedtgørelsen forbliver uforandret, og der fortsat vil være udfordringer i forhold til den konkrete anvendelse, da cloudleverandørerne ofte stiller deres cloudservice til rådighed på standardvilkår, hvor det blandt andet ikke er muligt at tage højde for individuelle varsler og risikovurderinger.

Outsourcingbekendtgørelsen finder kun i meget begrænset omfang anvendelse på gruppe 1-forsikringsselskaber, som er omfattet af Solvens-II Forordningen. Bekendtgørelsen vil dog formentlig have en vis afsmittende effekt i forhold til Finanstilsynets vurdering af kravene til outsourcingkontrakten for gruppe 1-forsikringsselskaber under Solvens II Forordningen.

Finanstilsynet skriver i sit høringsbrev, at tilsynet ved fastlæggelse af sin praksis vil følge EBA's (det europæiske finanstilsyn) henstillinger om outsourcing til cloudserviceudbydere.
Se EBA's anbefalinger om outsourcing til cloudserviceudbydere

Ændringen til bekendtgørelsen forventes at træde i kraft den 1. januar 2019. Bemærkninger til udkastet skal sendes til Finanstilsynet senest den 1. oktober 2018.
Se Finanstilsynets høringsbrev og udkast til lovforslaget

Seneste nyt om Bank og Finans

Bank og Finans