0:00
Artikel
Banken Betaalinstellingen DNB EBA

EBA-richtsnoeren voor uitbesteding: de acties voor 31 december 2021

9 min leestijd
Luc Bonnet

Banken, betaalinstellingen en elektronischgeldinstellingen moeten bij uitbesteding van hun activiteiten voldoen aan allerlei verschillende wetten en regels. Niet alleen de Wft, MiFID en het Besluit prudentiële regels (Bpr) stellen eisen op dit gebied, ook de European Banking Authority (EBA) publiceerde in 2019 richtsnoeren inzake uitbesteding. Hoewel deze EBA-richtsnoeren al op 30 september 2019 in werking traden, is de kans groot dat u hier nog niet mee aan de slag bent gegaan. Ondernemingen hebben namelijk tot 31 december 2021 om hun bestaande uitbestedingsovereenkomsten in overeenstemming te brengen met de EBA-richtsnoeren.

Dat betekent dat u nog maar twee maanden heeft voor het reviewen van uw uitbestedingsovereenkomsten. Welke stappen moet u hiervoor nemen? Charco & Dique neemt u mee.

 

Inhoudsopgave

  1. Welke uitbestedingsovereenkomsten zijn in scope?
  2. Welke contracten hebben prioriteit?
  3. Gap-analyse: uitbestedingsbeleid en documentatievereisten
  4. Contracten aanpassen
  5. Welke verplichtingen zijn nieuw?
  6. In het kort
  7. Meer weten?

Welke uitbestedingsovereenkomsten zijn in scope?

De definitie van uitbesteding volgens de richtsnoeren luidt als volgt:

‘’Een overeenkomst van om het even welke vorm tussen een instelling, een betalingsinstelling of een instelling voor elektronisch geld en een dienstverlener op grond waarvan deze dienstverlener een proces, een dienst of een activiteit verricht die anders door de instelling, betalingsinstelling of instelling voor elektronisch geld zelf zou worden verricht.’’

U moet zelf bepalen of een regeling met een derde partij te kwalificeren valt als uitbesteding. Hierbij zijn een aantal dingen van belang. Allereerst of de activiteit die de derde verricht doorlopend of periodiek wordt uitgevoerd. Ten tweede of de activiteit gewoonlijk tot de functies behoort die de instelling in principe zelf ook zou kunnen uitvoeren. Het maakt hierbij niet uit of de instelling deze activiteit al eerder heeft verricht of niet.

Als een regeling met derden meerdere functies omvat, zoals het opslaan van data en het bewaren van de back-up, moet gekeken worden naar alle aspecten tezamen. Kunnen de taken in principe door uw eigen onderneming worden verricht? Dan is er sprake van een uitbesteding.

Er zijn een aantal overeenkomsten die over het algemeen niet als een uitbesteding beschouwd worden. Hieronder vallen bijvoorbeeld functies die volgens de wet door een dienstverlener moeten worden verricht, zoals (audit) en marktinformatiediensten. Voor de volledige lijst verwijzen we u naar punt 28 van de richtsnoeren.

Welke contracten hebben prioriteit?

Als u bepaald heeft in welke gevallen er sprake is van uitbesteding, moet u vervolgens onderscheid maken tussen belangrijke functies die worden uitbesteed, de zogenaamde “kritieke functies” en normale functies die worden uitbesteed. Als er sprake is van een kritieke functie, worden er vanuit de richtsnoeren namelijk extra eisen gesteld om deze te beheersen.

Er is sprake van een kritieke functie als de activiteiten essentieel zijn voor de continuïteit van de onderneming of de financiële resultaten, en/of voor het voldoen aan vergunningsvoorwaarden. Om te beoordelen of er sprake is van een kritieke functie, wordt er niet alleen rekening gehouden met de uitkomsten van de risicobeoordeling als beschreven in 12.2 van de richtsnoeren. Ook de volgende punten moeten overwogen worden:

  • of de uitbesteding rechtstreeks verband houdt met bankactiviteiten/betalingsdiensten;
  • mogelijke gevolgen van verstoring van de dienstverlening; en
  • de omvang en complexiteit van het werkterrein.

 

Voor de volledige lijst met factoren verwijzen we u door naar punt 29 en 31 van de richtsnoeren.

Gap-analyse: uitbestedingsbeleid en documentatievereisten

Uitbestedingsbeleid

Volgens de oude richtsnoeren dient uw onderneming een uitbestedingsbeleid te hebben dat is goedgekeurd door het bestuur.

Van het nieuwe uitbestedingsbeleid wordt in dit opzicht meer verwacht. Eerst voldeed het nog om een algemeen beeld te schetsen van alle aspecten van uitbesteding en te focussen op de risico’s voor kritieke functies. In het nieuwe beleid dienen alle fases die doorlopen moeten worden voor een uitbesteding, de processen die daarmee gepaard gaan en een omschrijving van de beginselen en verantwoordelijkheden te worden gespecificeerd. De richtlijn geeft in punt 42 een lijst met punten die er ten minste in moeten staan. Hieronder vallen:

  • de verantwoordelijkheden van het leidinggevend orgaan;
  • de planning van uitbestedingsregelingen en de uitvoering; en
  • bewaking en beheersing van deze regelingen.

 

In het beleid moet ook onderscheid worden gemaakt tussen:

  • kritieke functies en andere functies;
  • uitbesteding aan dienstverleners met en zonder vergunning;
  • uitbestedingsregelingen binnen de groep en daarbuiten; en
  • uitbesteding aan dienstverleners uit een lidstaat of derde land.

 

Documentatievereisten

Als onderdeel van de risicobeheersing hebben instellingen een contractenregister. Hierin staat alle informatie van de lopende uitbestedingscontracten. In dit register wordt de informatie op een correcte manier bijgehouden en moet een onderscheid komen tussen welke uitbestedingscontracten kwalificeren als ‘kritiek’ en ‘belangrijk’.

Voor alle uitbestedingsovereenkomsten gelden eisen wat betreft de informatie die moet worden bewaard. Hierbij moet u denken aan een referentienummer en de ingangsdatum van het contract, maar ook een omschrijving van de functie die een derde partij voor u verricht. Voor een volledige lijst verwijzen we u naar punt 54 van de bovengenoemde richtsnoeren.

Als u een uitbesteding heeft voor een contract dat kwalificeert als ‘kritiek’ of ‘belangrijk’ wordt er extra informatie van u verwacht. Voor een precieze lijst verwijzen wij u naar punt 55 van de richtsnoeren.

Een groot gedeelte van u heeft waarschijnlijk al zo’n register. De oude richtsnoeren verplichtten partijen al om zorg te dragen dat DNB genoeg informatie kon halen uit de uitbestedingsovereenkomsten. In de nieuwe richtsnoeren is concreter gemaakt welke informatie in het register moet worden opgenomen.

Toezichthouder DNB kan vragen hebben of extra informatie opvragen over de informatie over uw uitbestedingen in het register. Als DNB een dusdanig verzoek doet, wordt er van u verwacht dat u inzicht verschaft in alle gevraagde informatie. Ook kan het gebeuren dat een uitbestede functie die eerst niet als kritiek of belangrijk werd gekwalificeerd, na veranderingen in uw onderneming toch een kritieke functie blijkt te zijn. Als dit gebeurt dient u direct een melding te maken bij de DNB en daarbij aanvullende informatie te verstrekken.

Naast de bovenstaande punten worden in de richtsnoeren nog meer aandachtspunten uitgewerkt. Bijvoorbeeld rondom belangenconflicten, bedrijfscontinuïteitsplannen, interne auditfuncties en solide governaceregelingen en uitbesteding. Wij raden u dan ook aan om de deze punten goed door te nemen, zodat u bekend bent met de wijzigingen.

Contracten aanpassen

Om volledig te voldoen aan de EBA-richtsnoeren, kan het zijn dat u uw uitbestedingscontracten voor 31 december 2021 nog moet aanpassen. Aan welke eisen moeten de contracten dan voldoen?

Allereerst is van belang dat voor alle uitbestedingsovereenkomsten contractueel vastgelegd wordt wat, duidelijk afgebakend, de rechten en plichten van de instelling en de dienstverlener zijn. Als er sprake is van een kritieke functie, is er wederom een lijst opgenomen in de richtsnoeren wat er dan ten minste in de overeenkomst dient te staan. Hieronder vallen: een heldere beschrijving van de functie, ingangsdatum, toepasselijke wet- en regelgeving en bepaalde verplichtingen aangaande rapportage en toegang tot documenten. Voor de volledigheid verwijzen we u naar punt 75 van de richtsnoeren.

Daarnaast kan er sprake zijn van onderuitbesteding van kritieke functies door de dienstverlener. In dit geval moet schriftelijk worden vastgelegd dat de dienstverlener daartoe bevoegd is. Ook hier geeft de richtsnoeren extra vereisten aan de overeenkomst. Hiervoor verwijzen we u naar punt 78 en 79 van de richtsnoeren.

Welke verplichtingen zijn nieuw?

Zoals we in de inleiding van dit artikel al stelden, worden ook vanuit de Wft en andere regelgeving eisen en verplichtingen gesteld aan het uitbesteden van activiteiten. Welke aanvullende eisen brengen de EBA-richtsnoeren dan precies met zich mee?

In artikel 3.18 van de WFT komt naar voren dat de uitbestedende instelling zich ertoe verplicht dat, wanneer er gebruik wordt gemaakt van een derde, deze derde de regels naleeft. Een groot deel van de regels zijn verder uitgewerkt in o.a. het Besluit Gedragstoezicht financiële ondernemingen en het Besluit Prudentiële regels (Bpr), specifiek hoofdstuk 5.

Een van de belangrijkste bepalingen vindt u in artikel 32a. Dit artikel stelt dat heel hoofdstuk 5 – met uitzondering van artikel 27a – alleen van toepassing is als er sprake is van een belangrijke activiteit die wordt uitbesteedt. Zorg er dus voor dat u goed voor ogen heeft wanneer er sprake is van een belangrijke activiteiten en wanneer niet.

Een van de eisen die niet in de Wft en het Bpr is geregeld, is de verplichting tot het hebben van een register met alle contracten en informatie. Ook hetgeen wat in de contracten moet staan (artikel 31) is in het Bpr minder omvattend dan volgens de richtsnoeren.

Sommige van de verplichtingen die naar voren komen in de richtsnoeren, komen ook naar voren in de bovengenoemde wetgeving. Bijvoorbeeld het feit dat dagelijks beleidsbepalende werkzaamheden niet mogen worden uitbesteed wanneer er sprake is van een belangrijke taak, en ook de regels over het al dan niet inlichten van de toezichthouder.

Het is daarom aan te raden om de richtsnoeren goed door te nemen. Ook als u al veel zaken op orde heeft.

In het kort

Kort samengevat zijn er meerde punten die aandacht verlangen voor 31 december 2021. Allereerst moet u bepalen of er sprake is van een uitbestedingsovereenkomst volgens de richtsnoeren. Let hierbij op dat het gaat om uw eigen inschatting en beoordeling.

Ten tweede moet u vaststellen met wat voor soort uitbestedingsovereenkomst u te maken heeft. Dit kan een ‘normale’ uitbesteding zijn maar – indien het een functie behelst die van wezenlijk belang is voor uw onderneming en continuïteit daarvan – ook een kritieke functie, zie punten 29 en 31. Let hierbij op de nieuwe vereisten voor het documenteren, het register en een beleidsplan voor uitbesteding.

Ten slotte moet u uw contracten en documenten herzien. Merkt u dat u de deadline van 31 december niet gaat halen? Meld dit dan tijdig bij DNB, met daarbij de maatregelen die u gepland heeft om dit in te halen.

Meer weten?

Charco & Dique helpt u graag met de interpretatie en implementatie van nieuwe wet- en regelgeving, zoals de EBA-richtsnoeren voor uitbesteding. Zo kunnen we u bijvoorbeeld helpen door een gap-analyse uit te voeren. Hierbij brengen we in kaart in hoeverre u al voldoet aan de vereisten vanuit de EBA-richtsnoeren en welke stappen u nog moet nemen om volledig compliant te zijn. Neem hiervoor geheel vrijblijvend contact met ons op.

Contact

Bekijk ook dit

5 publicaties

EBA en ESMA publiceren aangepaste richtsnoeren geschiktheid beleidsbepalers

Lorin Derwish
4 min leestijd

Betaalinstellingen en de Wwft: de grootste digitale uitdagingen

Remco Voogt
8 min leestijd

AFM en DNB consulteren Regeling beheerst beloningsbeleid 2021

Lorin Derwish
3 min leestijd

DNB en AP treden gezamenlijk op in toezicht op PSD-instellingen
4 min leestijd

EBA lanceert ‘EuReCA’ – een centrale Europese AML/CTF database

Luc Bonnet
5 min leestijd

Schrijf ons

Of vraag een vrijblijvend adviesgesprek aan

Contact Adviesgesprek aanvragen

Door op 'toestaan' te klikken ga je akkoord met het plaatsen van cookies voor statistische-, functionele- en marketingdoeleinden.

Cookiebeleid
Toestaan Niet toestaan