Overblik over regler om outsourcing og cloud

Denne beskrivelse har til formål at skabe klarhed omkring regler i forbindelse med finansielle virksomheders outsourcing, herunder til cloudleverandører.

Denne beskrivelse gennemgår, hvilke regler der gælder for outsourcing generelt og ved cloud-outsourcing specifikt for forskellige typer af finansielle virksomheder. Outsourcing til cloudleverandører er grundlæggende omfattet af samme regler som øvrig outsourcing, men i visse tilfælde er der yderligere regler og retningslinjer. Således gælder de samme regler om ledelsesansvar og krav om tilstrækkelig kontrol med de outsourcede aktiviteter. 

Bekendtgørelse om outsourcing for kreditinstitutter m.v.

Outsourcing til cloudleverandører skal efterleve bekendtgørelse om outsourcing for kreditinstitutter m.v. af 12. juni 2020 (herefter outsourcingbekendtgørelsen) på lige vilkår med øvrig outsourcing. Outsourcingbekendtgørelsen gælder for:

  • pengeinstitutter
  • realkreditinstitutter
  • fondsmæglerselskaber
  • investeringsforvaltningsselskaber
  • sparevirksomheder
  • fælles datacentraler 
  • operatører af regulerede markeder
  • e-pengeinstitutter
  • betalingsinstitutter
  • Danmarks Skibskredit A/S.

Bekendtgørelsen finder anvendelse, hvor en leverandør udfører en proces, en tjenesteydelse eller en aktivitet for en af de ovenstående typer virksomheder, som denne virksomhed ellers selv ville udføre. Der vil være tale om cloud-outsourcing, hvis en virksomhed outsourcer eksempelvis en tjenesteydelse til en leverandør, som derefter leveres som en cloudtjeneste. 

Der findes ét særkrav til cloud i outsourcingbekendtgørelsen. Virksomheder skal ifølge bekendtgørelsen føre et register med oplysninger om outsourcing. I tilfælde af, at en outsourcingaftale indeholder brug af cloudtjenester, skal outsourcingregistret indeholde følgende:

a) Oplysninger om den pågældende cloudleverandør
b) Cloudtjenestens implementeringsmodeller
c) Den særlige karakter af og lokaliteterne for de data, der skal opbevares.

Finanstilsynet forventer, at der medio 2021 udstedes en vejledning til outsourcingbekendtgørelsen.

Regler for forsikringsselskaber m.fl.  

De krav, der regulerer gruppe 1-forsikringsselskabers outsourcing, findes i lov om finansiel virksomhed og i Kommissionens delegerede forordning (EU) 2015/35 af 10. oktober 2014 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2009/130/EF om adgang til og udøvelse af forsikringsvirksomhed (Solvens II). Outsourcing er desuden berørt i EIOPA’s retningslinjer for ledelsessystemet, og cloud-outsourcing er specifikt reguleret i EIOPA’s retningslinjer vedrørende outsourcing til cloudleverandører. De danske regler om outsourcing vil blive håndhævet i overensstemmelse med EIOPA’s retningslinjer vedrørende outsourcing til cloudleverandører, fra de træder i kraft 1. januar 2021. 

Kravene relateret til outsourcing for gruppe 2-forsikringsselskaber, Arbejdsmarkedets Tillægspension og Lønmodtagernes Dyrtidsfond findes i lov om finansiel virksomhed, ATP-loven og LD-loven samt i bekendtgørelse om outsourcing for gruppe 2-forsikringsselskaber, Arbejdsmarkedets tillægspension og Lønmodtagernes Dyrtidsfond.  

Firmapensionskassers brug af outsourcing er reguleret i lov om firmapensionskasser. 

Alle ovenstående virksomheder skal iagttage en række krav, når en leverandør på vegne af virksomheden udfører en proces, tjenesteydelse eller aktivitet, som virksomhederne ellers selv ville have udført. Virksomhederne bør i den forbindelse være opmærksomme på situationer, der indebærer brug af cloudløsninger. Det er i udgangspunktet kun gruppe 1-forsikringsselskaber, der er omfattet af EIOPA’s retningslinjer. Finanstilsynet finder dog, at blandt andet EIOPA’s retningslinjer vedrørende outsourcing til cloudleverandører rummer en række relevante opmærksomhedspunkter, som Finanstilsynet vurderer, at virksomheder, der gør brug af cloudydelser, generelt bør iagttage. 

Regler for virksomheder på kapitalmarkedsområdet

På kapitalmarkedsområdet er der regler om outsourcing i kapitalmarkedslovens § 62. Her findes hjemmel til at fastsætte nærmere regler om outsourcing. Denne hjemmel ligger til grund for bestemmelserne i outsourcingbekendtgørelsen for kreditinstitutter, som finder anvendelse for fondsmæglerselskaber, investeringsforvaltningsselskaber og operatører af regulerede markeder. 

Værdipapircentraler er reguleret af Europa-Parlamentets og Rådets forordning nr. 909/2014 om forbedring af værdipapirafviklingen i Den Europæiske Union og om værdipapircentraler (CSDR) med tilhørende delegerede EU-forordning 2017/392 (RTS 392). Værdipapircentraler, der outsourcer tjenesteydelser eller aktiviteter, har fortsat det fulde ansvar for opfyldelsen af deres forpligtelser, ligesom de skal iagttage en række krav. 

Det forventes, at ESMA vil offentliggøre retningslinjer for outsourcing til cloudleverandører i første kvartal 2021, som vil finde anvendelse for virksomheder på kapitalmarkedsområdet, herunder fondsmæglerselskaber, investeringsforvaltningsselskaber, operatører af regulerede markeder og værdipapircentraler.