Nieuwe EBA Richtsnoeren inzake uitbesteding

Nieuwsbericht
Datum 3 oktober 2019

De EBA heeft de EBA richtsnoeren inzake uitbesteding (hierna: richtsnoeren) gepubliceerd. Deze treden per 30 september 2019 in werking en schrijven verschillende governance vereisten voor bij het aangaan van uitbesteding van activiteiten.

Logo EBA

DNB heeft een ‘intend to comply’ statement afgegeven over deze richtsnoeren, met de disclaimer dat de richtsnoeren op dit moment alleen niet kunnen worden toegepast voor intra-groep uitbesteding binnen de EER (als gevolg van artikel 32 van het Besluit prudentiële regels). Voor alle overige uitbestedingsovereenkomsten treden per 30 september 2019 deze richtsnoeren in werking. De ECB heeft aangegeven per 30 september 2020 compliant te zijn voor SI’s.

Het doel van de richtsnoeren is het minimaliseren van de risico’s die kunnen voortkomen uit uitbesteding van activiteiten. De richtsnoeren zijn een update van de oude CEBS richtsnoeren inzake uitbesteding (van 2006) en vervangen de EBA aanbevelingen inzake uitbesteding aan aanbieders van clouddiensten.

Voor wie?

Binnen de scope van de richtsnoeren vallen kredietinstellingen en beleggingsondernemingen die vallen onder de Kapitaaleisenrichtlijn (CRD IV) en voornoemde verordening (CRR) en daarnaast betaalinstellingen en elektronischgeldinstellingen (EGI’s). De richtsnoeren maken een uitzondering voor betaalinstellingen die alleen rekeninginformatiediensten (dienst 8) uit PSD II uitvoeren.

Wat is er nieuw?

De richtsnoeren schrijven op verschillende terreinen risico mitigerende acties en maatregelen voor, die instellingen moeten nemen bij uitbestede activiteiten. Op basis van bestaande wet- en regelgeving moeten instellingen al beschikken over een uitbestedingsbeleid en over bedrijfscontinuïteitsplannen (voor als de uitbestede functie weg valt of ondermaats wordt), maar specificeren de richtsnoeren verder wat hier in moet staan.

Er zijn ook andere veranderingen met de inwerkingtreding van de richtsnoeren. Hieronder vindt u een niet-limitatief overzicht van de meest ingrijpende veranderingen voor instellingen.

  • Er wordt uitvoeriger omschreven wat verstaan moet worden onder ‘uitbesteding van kritieke en belangrijke functies’, de nieuwe benaming voor materiële uitbesteding.
  • Instellingen dienen een uitbestedingsfunctie in te stellen of een hoger personeelslid aan te wijzen, dat verantwoordelijk is voor de beheersing op de risico’s van de uitbestedingsregelingen.
  • Instellingen moeten een register bijhouden met informatie over alle uitbestedingsregelingen van de instelling.
  • Instellingen dienen stappen te zetten om er voor te zorgen dat bij (onder-)uitbesteding in derde landen ook ethische en maatschappelijke verantwoordelijkheden worden nageleefd.
  • De toegangs-, informatie- en auditrechten van instellingen zelf en hun toezichthouders worden nader gespecificeerd. In geval van kritieke of belangrijke functies moeten zowel instellingen als toezichthouders een volledig recht van toegang, inspectie en audit hebben. In geval van ‘niet-kritieke of –belangrijke’ uitbesteding mogen instellingen deze rechten risico-gebaseerd waarborgen.
  • Instellingen dienen alle kritieke of belangrijke uitbestedingsovereenkomsten bij DNB te melden. DNB is op dit moment bezig het digitaal loket toezicht voor cloud uitbesteding hiervoor beschikbaar te maken. Binnenkort staat het DLT open voor alle meldingen.

> Terug naar de Nieuwsbrief