Senere ændringer til forskriften
Lovgivning forskriften vedrører
Ændrer i/ophæver
Den fulde tekst

Vejledning til bekendtgørelse om outsourcing af væsentlige aktivitetsområder

1. Indledning

1.1. Bekendtgørelse nr. 21 af 11. januar 2010 om outsourcing af væsentlige aktivitetsområder gælder for pengeinstitutter, realkreditinstitutter, fondsmæglerselskaber, investeringsforvaltningsselskaber, forsikringsselskaber, udstedere af elektroniske penge, sparevirksomheder, operatører af regulerede markeder, clearingscentraler, værdipapircentraler, firmapensionskasser, Lønmodtagernes Dyrtidsfond og Arbejdsmarkedets Tillægspension. Bekendtgørelsen er ikke specifik i forhold til de enkelte typer af virksomheder. Der bliver endvidere ikke skelnet mellem koncernintern og -ekstern outsourcing.

1.2. Det primære princip bag bekendtgørelsen er, at outsourcingvirksomheden, det vil sige den virksomhed, der outsourcer, har et endeligt ansvar for, at den outsourcede aktivitet udføres tilfredsstillende. Derfor skal outsourcingvirksomheden sikre, at aktiviteten bliver udført korrekt. Dette ændrer sig ikke, selvom der er tale om koncernintern outsourcing.

2. Anvendelsesområde og definitioner

2.1. I § 1, stk. 2, henvises der til definitionerne, som er angivet i de love, som bekendtgørelsen er udstedt i medfør af, dvs. lov om finansiel virksomhed, lov om værdipapirhandel m.v., lov om firmapensionskasser, lov om Lønmodtagernes Dyrtidsfond og lov om Arbejdsmarkedets Tillægspension. Outsourcing defineres som en virksomheds henlæggelse af væsentlige aktivitetsområder, der er underlagt Finanstilsynets tilsyn, til en leverandør. Der er ikke tale om outsourcing, hvis aftalen kun vedrører en enkeltstående ydelse, som ikke er tænkt til at indgå i et løbende samarbejde. Aktiviteter, som ikke er underlagt Finanstilsynets tilsynsvirksomhed, er ikke omfattet af bekendtgørelsen. Dette kan for eksempel være tilfældet vedrørende aktiviteter, som er underlagt Beskæftigelsesministeriets tilsyn.

Som udgangspunkt vil en beslutning om at overlade juridisk rådgivning, uddannelse af medarbejdere, fakturering og lignende til en leverandør ikke kræve iagttagelse af reglerne om outsourcing, idet disse aktiviteter normalt ikke vil være afgørende eller væsentlige for virksomhedens kerneaktiviteter, og derfor heller ikke er underlagt Finanstilsynets tilsyn. Væsentlig outsourcing omfatter heller ikke forsyning af vand og elektricitet, telefon- og andre eksterne kommunikationsforbindelser, drift af kantine samt drift og vedligeholdelse af lokaler og bygninger m.v. Derimod vil outsourcing af diskretionær porteføljepleje, it og regnskabs-/solvensopgørelser normalt være omfattet. I de tilfælde, hvor en finansiel virksomhed investerer i en investeringsforenings produkter, vil der normalt ikke være tale om outsourcing, idet der er tale om en overdragelse til eje af et investeringsforeningsbevis, og der foreligger således ikke en aftale om formueforvaltning eller porteføljeforvaltning. Det afgørende i denne situation er, at der sker en overdragelse til eje, der ikke kan betragtes som outsourcing i modsætning til en serviceydelse som f.eks. formueforvaltning.

Der gælder således et væsentlighedskrav, da bekendtgørelsen kun omhandler outsourcing af væsentlige aktivitetsområder. Væsentlighedskravet følger af definitionen af outsourcing, der er angivet i de love, som bekendtgørelsen er udstedt i medfør af. I bemærkningerne til disse definitioner følger, at outsourcing af en aktivitet er væsentlig, hvis det går ud over, hvad direktionen normalt kan beslutte, når der tages hensyn til virksomhedens art og størrelse samt til sædvane inden for de enkelte brancher. Det er således ikke afgørende ved vurderingen af væsentlighedskravet, om bestyrelsen faktisk har taget stilling til en indgået kontrakt om outsourcing. Bestyrelsen skal i henhold til § 70 i lov om finansiel virksomhed udfærdige skriftlige retningslinjer for den finansielle virksomheds væsentligste aktivitetsområder, hvor arbejdsdelingen mellem bestyrelsen og direktionen fastlægges. Bestemmelsen indebærer, at bestyrelsen i disse retningslinjer generelt skal have forholdt sig til, hvilke beslutninger om outsourcing, der kræver bestyrelsesgodkendelse.

2.2. § 1, stk. 3 angiver, at ved en eventuel videreoutsourcing fra leverandøren til underleverandører skal outsourcingvirksomheden sikre, at leverandøren også sikrer, at underleverandøren overholder samme krav som leverandøren, og herunder at leverandøren kontrollerer, at disse krav bliver overholdt. Væsentlighedskravet i regelsættet gælder også ved videreoutsourcing. Det vil sige, at den videreoutsourcede del af aktiviteterne skal være en for outsourcingvirksomheden væsentlig del af eller hele aktiviteten. Ved videreoutsourcing forstås en leverandørs outsourcing af opgaver, som denne varetager i henhold til en aftale med outsourcingvirksomheden, til en underleverandør og underleverandørens eventuelle videreoutsourcing af opgaverne til næste led i kæden af underleverandører samt eventuel videreoutsourcing til andre led i kæden af underleverandører. Reglerne gælder således også ved videreoutsourcing i tredje eller flere led.

3. Outsourcingvirksomhedens ansvar og kontrol med en leverandør

3.1. Løbende rapportering i § 2, stk. 2 vil sige, at rapporteringen skal gennemføres regelmæssigt og med intervaller efter opgavens betydning og den risiko, som opgavevaretagelsen medfører for outsourcingvirksomheden, dog mindst en gang årligt. Da det endelige ansvar for outsourcingaktiviteten ligger hos bestyrelsen, er det vigtigt, at bestyrelsen har mulighed for at sikre sig, at outsourcingaktiviteten løses efter de fastsatte regler og krav.

Bestyrelsen skal løbende vurdere, om outsourcingaktiviteten løses tilfredsstillende. Det vil sige, at bestyrelsen aktivt skal forholde sig til aktivitetsvaretagelsen. At det er løst tilfredsstillende indebærer, at outsourcingaktiviteten er løst efter de af outsourcingvirksomheden fastsatte krav og, at outsourcingvirksomheden overholder gældende lovgivning vedrørende outsourcingaktiviteten.

En aftale om outsourcing skal nedfældes i en kontrakt med outsourcingvirksomheden og leverandøren som aftaleparter. Kontrakten kan deles op i flere dele, f.eks. en hovedkontrakt, der opfylder bekendtgørelsens bestemmelser mv. og bagvedliggende kontrakter, der f.eks. indeholder vilkår om specifikationer mv. (f.eks. såkaldte service level agreements).

3.2. Kravet i § 3, stk. 1, om at den pågældende leverandør skal have evne og kapacitet til at udføre den outsourcede aktivitet på en tilfredsstillende måde indebærer, at leverandøren skal kunne udføre aktiviteten pålideligt og professionelt. Grundlaget og omfanget af outsourcingvirksomhedens vurderinger kan f.eks. fastlægges på baggrund af en due diligence eller på baggrund af kendskab til leverandøren i øvrigt. Vurderingen skal ske på et kvalificeret grundlag, og arbejdet med at tilvejebringe et sådan grundlag er mere omfattende i forhold til en leverandør, hvor outsourcingvirksomheden ikke fra en pålidelig tredjemand har en vis grad af viden om, at leverandøren på kvalificeret vis kan levere den ønskede outsourcingaktivitet. Ved fornyelse af eksisterende kontrakter kan outsourcingvirksomheden basere sig på erfaringerne med leverandøren.

Outsourcingvirksomheden skal sikre sig, at leverandøren har tilstrækkelige godkendelser fra myndigheder m.v. til at udføre den pågældende aktivitet i overensstemmelse med de stillede krav, herunder gældende regler. Dette kan f.eks. være, at leverandøren skal have en tilladelse fra Finanstilsynet.

3.3. Løbende kontrol i § 3, stk. 2, vil sige, at kontrollen skal gennemføres regelmæssigt med et interval efter opgavens betydning og den risiko opgavevaretagelsen medfører for den finansielle virksomhed. I visse tilfælde vil kontrollen skulle ske dagligt (f.eks. om it-leverancer fungerer, herunder løbende overvågning af ydelsen) og i andre tilfælde mindst en gang årligt.

Det er vigtigt, at outsourcingvirksomheden overvåger, at den outsourcede aktivitet bliver udført efter de gældende regler på det konkrete outsourcingområde, da outsourcingvirksomheden har det endelige ansvar for aktiviteten.

3.4. Passende foranstaltninger efter § 3, stk. 3, indebærer, at outsourcingvirksomheden skal reagere, hvis leverandøren ikke opfylder kontrakten og lovgivningen. Det vil være op til den enkelte virksomhed i det konkrete tilfælde at vurdere, hvad der er den mest hensigtsmæssige måde at gøre dette på. Outsourcingvirksomheden kan være nødsaget til enten at trække outsourcingaktiviteten tilbage og selv eller ved outsourcing til en ny leverandør sikre, at den outsourcede aktivitet lever op til de gældende regler på det konkrete outsourcingområde.

3.5. Outsourcingvirksomheden skal ifølge § 3, stk. 4, have tilstrækkelig indsigt til at kontrollere, at leverandøren og ydelsen lever op til kravene. Dette hænger sammen med, at outsourcingvirksomheden har ansvaret for, at ydelsen varetages tilfredsstillende. Det vil være op til den enkelte virksomhed i det konkrete tilfælde at vurdere, hvordan det er mest hensigtsmæssigt at gennemføre kontrollen. Som et element i kontrollen kan anvendes erklæringer afgivet af en godkendt revisor eller et systemrevisionsudvalg, som eksempelvis beskrevet i systemrevisionsbekendtgørelsen.

Outsourcingvirksomheden bliver derfor nødt til at sikre sig, at den til stadighed har et tilstrækkeligt kendskab til ydelsen, således at det er muligt at foretage den kontrol og overvågning, som er pålagt virksomheden i stk. 2. Det er ligeledes af stor betydning, at outsourcingvirksomheden har tilstrækkelige ressourcer og viden om ydelsen til at håndtere den situation, at man bliver nødt til at trække aktiviteten fra den pågældende leverandør og finde en anden løsning af opgaven.

4. Outsourcingvirksomhedens interne ret­nings­lin­jer

4.1. Outsourcingvirksomheden har i forhold til overholdelsen af reglerne ansvaret for den outsourcede aktivitet. De interne retningslinjer i § 4, stk. 1, skal sikre, at alle relevante aspekter vedrørende kontrol, opfølgning og rapportering om udførelsen af den outsourcede aktivitet er dækket samt sikring af, at den risikoprofil og de strategier, som outsourcingvirksomheden har besluttet, herunder outsourcingvirksomhedens it-sikkerhedspolitik ikke tilsidesættes ved outsourcingen.

4.2. Ifølge § 4, stk. 2, skal retningslinjerne præcisere, hvilke personer eller enheder hos outsourcingvirksomheden, der står for overvågningen og kontrollen af ydelsen, således at lovgivningen og virksomhedens krav bliver overholdt samt at bestyrelsen får den rapportering, som er fastsat i retningslinjerne om outsourcing. Retningslinjerne skal ligeledes sikre, at outsourcingvirksomhedens risikoprofil og strategier, herunder it-sikkerhedspolitik og sikkerhedsregler, også overholdes vedrørende den outsourcede del. Ligeledes skal der fastsættes procedurer som sikrer, at outsourcingen ikke forhindrer, at outsourcingvirksomhedens beredskabsplaner kan gennemføres.

5. Krav til kontrakten

5.1. Det er outsourcingvirksomhedens ansvar, at kravene i § 5 bliver en del af kontrakten mellem outsourcingvirksomheden og leverandøren.

5.2. Ifølge nr. 1 skal der være en klar afgrænsning og beskrivelse af de outsourcede aktiviteter herunder en beskrivelse af, hvad leverandøren skal levere kvalitativt og kvantitativt. Der skal således ikke være tvivl om, hvad der er outsourcet og omfanget heraf. I afgrænsningen ligger der herved en del mere end en generel beskrivelse af de outsourcede aktiviteter.

5.3. Ifølge nr. 2 må der ikke være tvivl om, hvad leverandøren kan gøres ansvarlig for, hvis der opstår fejl eller mangler ved den leverede ydelse. Endvidere skal det i kontrakten anføres, hvorfra leverandøren kan leverer sin ydelse, da ydelsen ikke nødvendigvis leveres fra leverandørens adresse. Det skal fremgå tydeligt af kontrakten, hvornår ansvaret for en leverance overgår til outsourcingvirksomheden.

5.4. Ifølge nr. 3 skal kontrakten indeholde krav om, at leverandøren skal levere outsourcingaktiviteten i overensstemmelse med den tid og de krav, som er fastsat i kontrakten. Ved outsourcing af eksempelvis it-opgaver kan dette – ud over de generelle krav i selve hovedkontrakten – være yderligere specificeret i såkaldte ”service level agreements” (SLA’ere), hvor de specifikke kvalitative krav til leverancen i forbindelse med drift af enkeltsystemer fremgår.

Outsourcingvirksomhedens krav skal være formuleret, så den kan kontrollere overholdelsen af aftalen ud fra veldefinerede kriterier.

5.5. Kravet i nr. 4 skal være med til at sikre, at outsourcingvirksomheden har mulighed for at foretage eventuelle nødvendige foranstaltninger på et så tidligt tidspunkt som muligt.

5.6. Kravet om rapportering i nr. 5 er af hensyn til virksomhedens kontrol og opfølgning på kontraktens overholdelse, herunder også den kontrol og opfølgning som outsourcingvirksomhedens bestyrelse skal gennemføre. Kravene skal fastsætte rapporteringens indhold, hvor ofte og hvad der forventes af rapporteringen. Rapporteringen kan eksempelvis ske skriftligt og/eller på regelmæssige møder, hvor aktuelle og fremadrettede fælles forhold drøftes mellem outsourcingvirksomheden og leverandøren. Rapporteringsform og indhold vil afhænge af, hvad der er outsourcet.

5.7. Kravet i nr. 6 skal sikre, at oplysningerne ikke i strid med videregivelsesreglerne uberettiget kommer 3. mand i hænde, og der skal være foranstaltninger hos leverandøren, der sikrer, at sådanne fortrolige oplysninger kun er tilgængelige for de medarbejdere hos leverandøren, der har et arbejdsmæssigt behov herfor. Beskyttelsen skal også gælde efter outsourcingens ophør. Det bør fremgå af kontrakten, at leverandøren og dens personale er omfattet af f. eks. lov om finansiel virksomheds § 117, stk. 2, jf.§ 373 eller lignende bestemmelser, hvorefter kundeoplysninger hos leverandøren skal behandles på samme måde som hos outsourcingvirksomheden selv. Leverandøren og dets personale vil også være omfattet af disse bestemmelser efter kontraktens ophævelse.

5.8. Kravet i nr. 7 er for at sikre, at bl.a. Finanstilsynet kan føre tilsyn med den outsourcede aktivitet. De nødvendige oplysninger vil være de oplysninger, som Finanstilsynet, outsourcingvirksomheden eller dennes revisor finder nødvendige i deres respektive opgavevaretagelse i relation til de outsourcede aktiviteter.

5.9. Bestemmelsen i nr. 8 tænkes anvendt i de situationer, hvor Finanstilsynet ikke har kunnet skaffe oplysninger gennem outsourcingvirksomheden eller ved at anmode om dem hos leverandøren. Det fremgår af lovbestemmelserne til de love, som bekendtgørelsen er udstedt i medfør af, at Finanstilsynet uden retskendelse kan få adgang hos leverandører og underleverandører, hvis disse har hjemsted i Danmark. I forhold til udenlandske leverandører skal det være aftalt i kontrakten, at Finanstilsynet kan få adgang uden retskendelse. Adgangen er ikke ubegrænset, da den kun vedrører oplysninger om den outsourcede aktivitet. Finanstilsynet skal som offentlig myndighed følge de forvaltningsretlige principper, herunder proportionalitetsprincippet, og som beskrevet i bemærkningerne til lov nr. 392 af 25. maj 2009 om ændring af lov om finansiel virksomhed og forskellige andre love, vil Finanstilsynet som udgangspunkt skaffe de nødvendige oplysninger hos outsourcingvirksomheden. Det er en bestemmelse, som Finanstilsynet som udgangspunkt kun vil anvende, hvis nødvendige oplysninger ikke kan fremskaffes på anden måde, og Finanstilsynet vil i givet fald samarbejde med hjemlandets tilsynsmyndighed om adgangen.

5.10. Ifølge kravet i nr. 9 skal leverandøren sikre, at virksomhedens leverancer til kunderne stadig kan varetages forsvarligt. Finanstilsynet har, efter de love som bekendtgørelsen er udstedt i medfør af, mulighed for at træffe afgørelse om, at outsourcingvirksomhedens outsourcing skal bringes til ophør inden for en af Finanstilsynets nærmere fastsat frist, hvis outsourcingkontrakten eller dennes parter ikke opfylder kravene fastsat i bekendtgørelsen. I tilfælde, hvor den manglende opfyldelse af reglerne beror på kontraktens udformning, kan Finanstilsynet give en frist for outsourcingvirksomheden til at bringe kontraktgrundlaget i overensstemmelse med reglerne.

Træffer Finanstilsynet beslutning om, at outsourcingen skal bringes til ophør, påhviler det outsourcingvirksomheden inden for den fastsatte frist enten at gennemføre outsourcing til en anden leverandør i overensstemmelse med reglerne i denne bekendtgørelse eller selv at overtage de outsourcede aktiviteter. Ved fastsættelse af de nævnte frister tager Finanstilsynet hensyn til kompleksiteten og omfanget af de outsourcede opgaver. Inden Finanstilsynet træffer en sådan afgørelse, skal Finanstilsynet give outsourcingvirksomheden mulighed for at få forholdene bragt på plads, medmindre outsourcingvirksomheden gentagne gange har overtrådt kravene, eller hvis Finanstilsynet skønner, at en udsættelse af afgørelsen er formålsløs. Ved fastsættelse af fristen skal der tages hensyn til de alvorlige følgevirkninger, der kan være ved, at outsourcingvirksomheden i utide skal bringe outsourcingaktiviteten til ophør, og efter omstændighederne kan der tages hensyn til den tid, det tager virksomheden at kontrahere til anden side.

5.11. Ifølge nr. 10 skal outsourcingvirksomheden godkende, at leverandøren videreoutsourcer hele eller væsentlige dele af den outsourcede aktivitet. Outsourcingvirksomheden skal sikre sig, at leverandøren ved videreoutsourcing sørger for, at det er de aktiviteter som for outsourcingvirksomheden er væsentlige, som skal godkendes af outsourcingvirksomheden ved en videreoutsourcing. Outsourcingvirksomheden skal godkende såvel underleverandør som de funktioner, der videreoutsources. Det kan fremgå af kontrakten, at outsourcingvirksomheden ved kontraktindgåelsen godkender, at leverandøren kan videreoutsource til specifikke underleverandører.

Godkendelsen kan ikke i sig selv outsources. Hvis en leverandør har flere finansielle virksomheder som kunder, kan det være, at en funktion, der videreoutsources, er væsentlig for nogle kunder men ikke for andre. Outsourcingvirksomheden bør kun godkende en videreoutsourcing, hvis underleverandøren vil overholde alle relevante krav, som outsourcingvirksomheden har fastsat over for leverandøren, jf. § 6. Videreoutsourcing må ikke forringe outsourcingvirksomhedens mulighed for at gennemføre kontrol og opfølgning på de outsourcede aktiviteter.

5.12. Hvis en aftale om videreoutsourcing ophører, skal leverandøren ifølge nr. 11 give outsourcingvirksomheden meddelelse om dette, således at outsourcingvirksomheden til alle tider ved, hvor aktiviteten varetages. Underretningen kan ske gennem en fuldmagt.

6. Videreoutsourcing

6.1. Outsourcingvirksomheden skal ifølge § 6 sikre sig, at den outsourcede aktivitet bliver udført efter de fastsatte krav, selvom den bliver videreoutsourcet. Der gælder et væsentlighedskrav ved videreoutsourcing, jf. definitionen på videreoutsourcing og outsourcing. Der skal således være tale om, at hele eller en væsentlig del af den outsourcede aktivitet videreoutsources. Af hensyn til kontrol og opfølgning på videreoutsourcede aktiviteter, skal leverandøren dog skriftligt meddele outsourcingvirksomheden, når underleverancen ophører, jf. § 5, nr.11.

7. Underretning

7.1. Der er efter § 7 tale om en underretning som skal ske på et skema, der kan hentes på Finanstilsynets hjemmeside (www.finanstilsynet.dk). Underretningen kan ligeledes ske pr. post. Underretningen kan ske gennem fuldmagt. Selve kontrakten behøves ikke medsendt. Underretningspligten finder anvendelse for nye kontrakter. Virksomhedernes allerede indgåede kontrakter bliver først omfattet af underretningspligten, når der sker genforhandling, jf. principperne i §§ 10 og 11. Underretningen skal foretages senest 8 hverdage efter kontraktens indgåelse.

8. Dispensation

8.1. Dispensationsadgangen i § 8 kan tænkes anvendt i de situationer, hvor en virksomhed, f.eks. på grund af EU-udbudsregler, ikke kan ændre kontrakten uden meget store omkostninger. Dispensationen vil ske efter et konkret skøn.

9. Straffebestemmelser

9.1. Overtrædelse af § 2-6 og § 7, stk. 1 og 2, kan efter § 9 straffes med bøde.

10. Ikrafttræden og overgangsbestemmelser

10.1. Det er udgangspunktet efter § 11, stk. 1, at allerede indgåede outsourcingkontrakter bliver omfattet af bekendtgørelsen den 1. marts 2010. Men de bestemmelser i bekendtgørelsen som vedrører kontraktkrav i § 5, videreoutsourcing i § 6 og underretning i § 7 vil først gælde for allerede indgåede kontrakter på et senere tidspunkt, som er fastsat i § 11, stk. 2. Det vil sige, at bestemmelserne om blandt andet outsourcingvirksomhedens kontrol med leverandøren og kravet om interne retningslinjer vil gælde for allerede indgåede kontrakter den 1. marts 2010. Genforhandling er det tidspunkt, hvor parterne skal foretage sig noget aktivt med henblik på, at aftalen kan fortsætte. Det vil sige, at en forlængelse vil betragtes som en genforhandling. Det betragtes ikke som genforhandling, hvis en af aftaleparterne efterfølgende gør brug af en option i kontrakten, uden at dette medfører, at kontrakten skal ændres.

10.2. § 11, stk. 2, 1. pkt. fastsætter, at i de tilfælde, hvor allerede indgåede kontrakter skal genforhandles inden den 1. marts 2013, og hvor det kun er prisen som genforhandles, så vil kontrakten blive omfattet af §§ 5-7 den 1. marts 2013. Det vil sige, at hvis prisen (som det eneste i kontrakten) skal genforhandles i eksempelvis efteråret 2010, kan man vente med at ændre resten af kontrakten m.v. til 1. marts 2013. Det er dog kun i de tilfælde, hvor resten af kontrakten ikke kan genforhandles uden betaling af en bod.

10.3. § 11, stk. 2, 2. pkt. fastsætter, at de kontrakter, som ifølge kontrakten, ikke udløber før og ikke kan genforhandles inden den 1. marts 2013 uden at der skal betales bod, kan vente med at ændres til genforhandling, dog senest den 1. marts 2015.

Finanstilsynet, den 12. maj 2010

Mark Andrew Rønnenfelt

/ Malene Baadsgaard Nissen