Richtsnoeren voor uitbesteding aan aanbieders van bestaande en nieuwe clouddiensten

Vanaf 1 januari 2021 gelden er voor verzekerings- en herverzekeringsondernemingen (‘Ondernemingen’) richtsnoeren voor de uitbesteding aan aanbieders van clouddiensten (‘Aanbieders’). De Richtsnoeren zijn uitgevaardigd door EIOPA (‘Richtsnoeren’). EIOPA is de Europese Toezichthouder voor bedrijfspensioenen en verzekeringen, een onafhankelijk orgaan dat advies geeft aan de Europese Commissie, het Europees Parlement en de Raad van Europa. Deze richtsnoeren zijn bedoeld om Ondernemingen te helpen met de toepassing van de uitbestedingsbepalingen van Richtlijn 2009/138/EG (‘Richtlijn Solvabiliteit II’). 

DNB en toezicht op uitbestedingen

De regels die reeds voor de uitbesteding van kritieke of belangrijke uitbestedingen door financiële ondernemingen gelden (waaronder verzekeringsmaatschappijen) zijn opgenomen in artikel 3.18 Wet financieel toezicht, dat een implementatie vormt van artikel 49 van de Richtlijn Solvabiliteit II. IT- of clouduitbestedingen zullen vrijwel altijd beschouwd moeten worden als kritieke uitbestedingen.  Financiële ondernemingen die actief zijn in Nederland (onder toezicht staande instellingen) en die werkzaamheden uitbesteden aan derden, blijven verantwoordelijk voor de naleving van de financiële toezichtwetgeving met betrekking tot die werkzaamheden. Een financiële onderneming gaat niet over tot uitbesteding als dat een belemmering kan vormen voor het uitoefenen van adequaat toezicht door De Nederlandse Bank (‘DNB’).

Deze financiële wetgeving staat onder voorwaarden toe dat financiële ondernemingen uitbesteden aan een dienstverlener. De voorwaarden die daaraan gesteld worden hebben als doel de risico’s van uitbesteding te beheersen en te waarborgen dat uitbesteding geen belemmering vormt voor goed toezicht. Een deel van de betreffende voorwaarden dient te worden opgenomen in de contracten die met de aanbieders van de uitbesteding wordt afgesloten. In de zogenaamde ‘Good practice uitbesteding door verzekeraars’ heeft DNB aanbevelingen gegeven voor aandachtspunten bij een uitbesteding door verzekeraars. De EIOPA richtsnoeren die van kracht gaan worden zullen door de DNB worden toegepast in de toezichtsuitvoering op de financiële wetgeving die geldt voor verzekeraars daar waar het betreft uitbestedingen aan Aanbieders. De eerder genoemde ‘Good practice’ blijft aanvullend op de Richtsnoeren van betekenis voor deze specifieke vorm van uitbesteding, namelijk voor clouddiensten.

Richtsnoeren en de uitbestedingsovereenkomst

De Richtsnoeren gelden vanaf 1 januari 2021 voor alle uitbestedingsovereenkomsten (‘Overeenkomsten’) met betrekking tot clouddiensten die op of na deze datum ingaan. Ook bestaande uitbestedingsovereenkomsten moeten zodanig worden herzien of gewijzigd dat ze uiterlijk op 31 december 2022 aan de richtsnoeren voldoen. Indien dat om wat voor reden dan ook niet lukt, dan moet dat de betreffende Onderneming de toezichthouder daarvan op de hoogte stellen.

De Richtsnoeren bevatten veel aandachtspunten zoals inzake:

  • de melding aan de toezichthouders,
  • documentatievereisten,
  • het maken van een analyse voorafgaand aan de uitbesteding,
  • een beoordeling van de kritieke of belangrijke operationele functies en activiteiten,
  • beoordeling van de risico’s van de uitbesteding van de clouddiensten, en
  • due diligence onderzoek ten aanzien van de aanbieder van clouddiensten.

Richtsnoer 10 is voor de Overeenkomst van belang, omdat deze een aantal onderwerpen noemt, waarvan wordt aanbevolen om ze duidelijk afgebakend in een schriftelijke overeenkomst op te nemen. Een aantal van deze onderwerpen wordt op haar beurt verder uitgewerkt in de Richtsnoeren die daarop volgen. Hieronder noemen we de belangrijkste onderwerpen die volgens de Richtsnoeren in ieder geval in de Overeenkomst zouden moeten worden opgenomen. Overigens gaat het in veel gevallen alleen over de onderwerpen die geadresseerd moeten worden, maar laten de Richtsnoeren zich niet uit over de specifieke wijze waarop de onderwerpen geregeld zouden moeten zijn.

Scope (10a)

De Overeenkomst dient een duidelijke beschrijving van de uitbestede functies en activiteiten te bevatten, met inbegrip van het type dienstverlening. Dat klinkt eenvoudiger dan het in de praktijk is. Vaak gebeurt het namelijk pas na het tekenen van de Overeenkomst dat de scope duidelijk wordt afgebakend in een door de partijen nog uit te werken implementatieplan.   

Duur van de overeenkomst (10b)

Er dient een aanvangsdatum en een einddatum van de Overeenkomst te zijn vermeld. Dat is uiteraard niet in alle gevallen mogelijk omdat de Overeenkomst ook voor onbepaalde tijd kan zijn afgesloten. Daarnaast vermeldt deze Richtsnoer ook dat er een opzegtermijn voor zowel de Aanbieder als voor de Onderneming moet worden opgenomen. Voor de Onderneming is het van belang dat de opzegtermijn van de Aanbieder voldoende ruim is dat de Onderneming over kan stappen naar een andere aanbieder of eventueel de diensten zelf weer in huis kan nemen.

Financiële verplichtingen van de partijen (10d)

Hier staat in deze Richtsnoer verder geen uitleg bij zodat het niet geheel duidelijk is hoe uitgebreid dit in de Overeenkomst moet worden opgenomen. Het is verstandig om een Dossier Financiële Afspraken als bijlage bij de Overeenkomst te hebben. Voor de Onderneming kan uiteraard gedacht worden aan de kosten van een implementatie, licentievergoedingen en vergoedingen voor onderhoud. Voor de Aanbieder is het moeilijker om te bepalen wat financiële verplichtingen zouden kunnen zijn. Het zou kunnen gaan om eventuele boetes of bonussen voor de Aanbieder.

Onderuitbesteding (10e)

Aanbieders maken bij de uitvoering van werkzaamheden niet zelden gebruik van onderaannemers. De Overeenkomst dient te vermelden of de verdere uitbesteding van kritieke of belangrijke operationele functies en activiteiten is toegestaan en onder welke voorwaarden. Richtsnoer 13 geeft daaraan verdere uitwerking met uitgebreide voorwaarden. De Aanbieder dient te allen tijde verantwoordelijk te blijven en zij dient de uitbestede werkzaamheden te monitoren en te controleren. Verder is van belang dat de Onderneming op de hoogte moet worden gebracht en bezwaar moet kunnen maken tegen belangrijke wijzigingen van de onderaannemers of de door de onderaannemers uit te voeren diensten.

Verwerking van (persoons)gegevens (10f en g)

Dit onderdeel vereist dat er in de Overeenkomst bepalingen worden opgenomen:

  • Ten aanzien van de locatie (land of regio) waar (persoons)gegevens zullen worden opgeslagen en verwerkt (locatie van datacentra), met inbegrip van de verplichting om de Onderneming in kennis te stellen als de Aanbieder voorstelt om de locatie te wijzigen. Dit onderdeel is, vanuit privacyrechtelijk oogpunt, relevant indien er persoonsgegevens worden verwerkt in een land buiten de Europese Economische Ruimte, waarvoor speciale regels gelden op grond van de Algemene Verordening Gegevensbescherming (‘AVG’).
  • Ten aanzien van toegankelijkheid, beschikbaarheid, integriteit, vertrouwelijkheid en veiligheid van de (persoons)gegevens. Voor al deze onderwerpen zijn nadere specificaties opgenomen in artikel 12 van de richtsnoeren. Deze specificaties betreffen echter met name de normen die voortvloeien uit de AVG.

Het lijkt, mede ook met het oog op het bovenstaande, verstandig om voorafgaand aan de verwerking van persoonsgegevens in het kader van de uitbesteding een Data Protection Impact Assessment (DPIA) uit te voeren en indien persoonsgegevens buiten de Europese Economische Ruimte tevens een Data Transfer Impact Assesment . Een DPIA is mogelijk niet verplicht (zie artikel 35 AVG) maar wel van belang om eventuele risico’s tijdelijk in kaart te brengen en tijdig met de aanbieder van de clouddiensten te bespreken. Het belang van een DTIA volgt uit het arrest van het Europese Hof van Justitie van 16 juli 2020 (zaak C-311/18) inzake Facebook en Schrems .

Verzekering (10k)

Aansprakelijkheid en verzekering is een onderwerp dat waarschijnlijk in geen enkele Overeenkomst zal ontbreken. Toch vermeldt Richtsnoer 10 dat de Aanbieder zich verplicht tegen bepaalde risico’s moet verzekeren en, indien van toepassing, de vereiste hoogte van de verzekeringsdekking. Er wordt echter niet gezegd om welke risico’s het gaat. Dat zal veel ruimte opleveren voor onderhandeling, omdat Aanbieders vaak niet bereid zijn vormen van indirecte schade te accepteren (ook omdat dit vaak is uitgesloten in polisvoorwaarden). Dat begrip is echter niet vastomlijnd zodat het de vraag is wat partijen daaronder verstaan, en dit in de praktijk tot veel discussie aanleiding geeft.

Service levels, monitoring en rapportage (10 h, i en j)

In de operationele fase moet de Onderneming het recht hebben om de prestaties van de Aanbieder regelmatig te monitoren. Monitoring vereist dat de overeengekomen niveaus van dienstverlening nauwkeurige kwantitatieve en kwalitatieve prestatiedoelen (‘Service levels”) omvatten. Daarvoor wordt gebruik gemaakt van de Service Level Agreement (‘SLA”). Deze SLA is meestal afkomstig van de Aanbieder. De Onderneming zal er goed op moeten letten dat deze SLA de bedoelde prestatiedoelen bevat. Tevens moeten deze afdwingbaar zijn (dus in de vorm van garanties of op zijn minst resultaatsverplichtingen, eventueel gesanctioneerd door een boeteregime). Ook zal de SLA moeten voorzien in corrigerende maatregelen in het geval de prestatiedoelen niet (kunnen) worden gehaald.

In dat kader wordt van de Aanbieder verwacht dat hij zorgt voor adequate rapportage, niet alleen met betrekking tot het halen van de service levels, maar ook voor andere verplichtingen uit de Overeenkomst. Daarbij kan gedacht worden aan rapportages over de informatiebeveiliging en andere compliance verplichtingen.

Monitoring en controle, en nadere eisen voor de opname in de Overeenkomst, staan ook vermeld in Richtsnoer 14

Continuïteit (10 l en n)

Aangezien het hier gaat om vaak zeer bedrijfskritische uitbestedingen, is het van belang dat de Overeenkomst voorziet in bepalingen die de continuïteit betreffen. In de eerste plaats zal de Onderneming moeten beschikken over een bedrijfscontinuïteitsplan. Wat dat plan precies dient in te houden, daar zeggen de Richtsnoeren niks over. Verder zal in de Overeenkomst moeten worden opgenomen dat de Onderneming haar gegevens onmiddellijk kan herstellen in het geval van insolvabiliteit, liquidatie of beëindiging van de bedrijfsactiviteiten van de Aanbieder. Dat vereist dat de Aanbieder beschikt over een (cloud)escrowregeling of andere voorziening waarmee de continuïteit van de dienstverlening is geborgd (naast een goede back-upvoorziening in de SLA).

Audit- en controle (10m)   

De Aanbieder heeft de verplichting om aan de onderneming en aan de relevante toezichthouders:

  • Een toegangsrecht te verlenen tot alle voor de uitbesteding relevante bedrijfslocaties
  • Een onbeperkt recht van onderzoek en audits te verlenen met betrekking tot de naleving van alle aspecten van de uitvoering van de uitbestedingsovereenkomst

Dit onderwerp roept veel discussie op met Aanbieders, die vaak kritisch staan tegenover auditrechten voor de Onderneming. Een uitgebreide verdere uitwerking van het toegangs- en auditrecht is opgenomen in Richtsnoer 11.

Beëindigingsrecht en exitstrategieën

Daar waar de aanbevelingen voor contractbepalingen in Richtsnoer 10 zijn opgenomen (en sommige onderdelen verder worden uitgewerkt in de Richtsnoeren die daarop volgen), is er een belangrijk onderwerp dat alleen in Richtsnoer 15 staat, de exit.

In de Overeenkomst zal een duidelijk gedefinieerde exitclausule moeten worden opgenomen die ervoor zorgt dat de Onderneming de Overeenkomst kan beëindigen zonder afbreuk te doen aan de continuïteit en de kwaliteit van de dienstverlening aan de polishouders.

Conclusie

De Richtsnoeren bevatten in Richtsnoer 10 (‘contractsbepalingen’) verschillende onderwerpen die aandacht behoeven in een Overeenkomst. Dat geldt niet alleen voor Overeenkomsten die ingaan op 1 januari 2021, maar ook voor reeds bestaande Overeenkomsten. Deze zullen uiterlijk op 31 december 2022 in het licht van de Richtsnoeren moeten zijn herzien.

De Richtsnoeren zijn weliswaar aanbevelingen maar DNB zal in het kader van de toezichtuitoefening wel toezien op de manier waarop de Richtsnoeren zijn verwerkt in de Overeenkomst.  Daarnaast zal er ook in het kader van de verplichte melding aan de DNB kritisch worden gekeken naar de wijze waarop de Richtsnoeren zijn opgenomen in de Overeenkomst.

Wat betekenen de Richtsnoeren voor de praktijk?

De Richtsnoeren zijn van groot belang voor de uitbestedingspraktijk.

De Onderneming zal kritisch moeten kijken naar de wijze waarop de Richtsnoeren in de verschillende overeenkomsten worden verwerkt (waarbij een complexe uitbesteding een samenspel is van verschillende overeenkomsten zoals de implementatie-overeenkomst, licentieovereenkomst, SLA en verwerkersovereenkomst).

De Aanbieders zullen zich bewust moeten zijn van de implicaties van de Richtsnoeren op hun dienstverlening en op de Overeenkomsten die ze afsluiten met Ondernemingen. Dat vereist kennis van de Richtsnoeren en de van toepassing zijn financiële regelgeving. Voor de Aanbieder is het zaak de juiste balans te vinden tussen haar eigen belang en het belang van de Onderneming om aan de verplichtingen op grond van de financiële regelgeving te voldoen.

Meer weten?

Wilt u meer weten over de ‘Richtsnoeren’ en de wijze waarop ze kunnen worden vertaald naar de Overeenkomst? Heeft u hulp nodig bij het opstellen of beoordelen van een Overeenkomst? Of heeft u andere vragen over de IT-uitbestedingen of IT-contracten? Neem dan contact op met Tom de Wit of Huub de Jong.