Har ni anpassat era avtal till EBA:s riktlinjer för utkontraktering?

Har ni anpassat era avtal till EBA:s riktlinjer för utkontraktering?

Europeiska bankmyndigheten (European Banking Authority, EBA) publicerade riktlinjer för utkontraktering [1] som trädde i kraft den 30 september 2019. Riktlinjerna ska vara fullt ut implementerade till den 31 december 2021. Riktlinjerna gäller för kreditinstitut, värdepappersbolag, betalningsinstitut och institut för elektroniska pengar (”Instituten”) och ska som huvudregel tillämpas då Instituten utkontrakterar en kritisk eller viktig funktion. Finansinspektionen anser även att riktlinjerna ska vägleda alla företag inom finanssektorn vid avsaknad av tillämplig vägledning. Riktlinjerna är att jämställa med allmänna svenska råd och ställer upp ett flertal krav på avtalsklausuler mellan Instituten och leverantörerna vid utkontraktering. Det finns några områden där kraven är särskilt omfattande, så som exempel kan anges följande.

Anlitande av underleverantörer

Institutet ska, bland annat, lämna ett särskilt eller allmänt skriftligt tillstånd för vidare anlitande av underleverantörer, och ange de villkor som ska gälla vid anlitandet av underleverantörer. Den som agerar leverantör till ett Institut och som har utkontrakterat tjänster till en underleverantör har en skyldighet att kontrollera de utkontrakterade tjänsterna för att tillse att samtliga förpliktelser i kontraktet mellan leverantören och Institutet efterlevs. Vid otillbörlig utkontraktering ska avtalet innehålla en bestämmelse som medger en rätt för Instituten att säga upp avtalet. Med otillbörlig utkontraktering avses exempelvis att utkontrakteringen avsevärt ökar riskerna för Instituten eller genomförande av en olovlig utkontraktering.

Data och systemsäkerhet

Instituten som träffas av riktlinjerna ska säkerställa att det finns villkor i avtalet som ställer tillräckligt höga krav på tillgänglighet, åtkomlighet, integritet, sekretess och säkerhet för relevanta uppgifter. Leverantören ska även tillse att regulatoriska krav efterlevs och att sekretessregleringar kan upprätthållas.

Information och revision

Instituten ska ha en rätt till en oinskränkt (det vill säga en obegränsad) revisionsrätt. Detta innebär en rätt för både tillsynsmyndighet och Institut att få besöka lokaler och få tillgång till system, information och processer i syfte att kontrollera den utlagda verksamheten. Instituten kan genomföra revisionen i egen regi eller genom en utsedd tredje part. Rätten till revision får inte avtalas bort. Som leverantör ska man dock vara uppmärksam på att den oinskränkta revisionsrättigheten endast gäller om Institutet utkontrakterar en kritisk eller viktig funktion och att den i övrigt endast ska tillämpas om Institutet kan motivera det utifrån ett riskbaserat arbetssätt.

Uppsägningsrättigheter

Riktlinjerna anger en katalog över i vilka situationer Instituten ska tillåtas att säga upp avtalet. Som exempel kan nämnas leverantörens brott mot gällande lagstiftning eller väsentliga förändringar som påverkar den utkontrakterade lösningen eller leverantörens verksamhet. Även förseelser som rör svagheter beträffande förvaltningen av och säkerheten för konfidentiella och personliga uppgifter kan resultera i uppsägningsrättighet.

Avtal som ingicks efter den 30 september 2019 ska vara anpassade efter kraven i riktlinjerna. Instituten hade emellertid en övergångsperiod under vilken befintliga avtal kunde revideras eller avslutas. Denna övergångsperiod löper snart ut och den 31 december 2021 förväntas Instituten ha genomfört nödvändiga anpassningar av avtalen. Därefter inträder en skyldighet för berörda Institut att delge Finansinspektionen information om att avtalen inte är anpassade samt eventuella åtgärder som planerats för att fullgöra granskningen och/eller möjlig exitstrategi.

Som Institut är det därför hög tid att se över avtalen för att tillse att eventuella anpassningar är genomförda före årsskiftet. Som leverantör är det viktigt att identifiera de avtal som eventuellt kan kräva omförhandling och vara väl förberedd inför en diskussion med Instituten som träffas av riktlinjerna. Leverantörer bör även se över sina underleverantörer för att identifiera eventuella risker och säkerställa att underleverantörer i flera led uppfyller riktlinjens krav.

 

Behöver ni rådgivning kring EBA:s riktlinjer för utkontraktering? Kontakta gärna oss på Wikström & Partners Advokatbyrå.

 

Christina Wikström

christina@wikstrompartners.se

Tel: +46 (0)70 691 68 00

 

[1] https://www.eba.europa.eu/