0:00
Artikel
ABI Beleggingsinstellingen Beleggingsondernemingen ICBE

Uitbesteding aan aanbieders van clouddiensten: organisatie vereisten

9 min leestijd

Vorige maand besteedden we aandacht aan de naderende van krachtwording de ESMA-richtsnoeren voor het uitbesteden naar aanbieders van clouddiensten. Waar we toen de algemene opzet van de richtsnoeren bespraken, gaan we dit keer dieper in op de nieuwe organisatie vereisten waaraan voldaan moet worden wanneer geen sprake is van uitbesteding van kritieke of belangrijke functies. Met andere woorden: “wat moeten we minimaal ingericht hebben?”.

 

Organisatie vereisten

Om door te pakken op deze ‘wat’- vraag is het goed te beseffen dat de richtsnoeren met ingang van 31 juli 2021 van kracht zijn geworden en dat daarmee alle uitbestedingsovereenkomsten betreffende clouddiensten aan de richtsnoeren moeten voldoen als die op of na deze datum:

  • van kracht zijn geworden;
  • Verlengd zijn of worden; of
  • Worden gewijzigd.

 

Uiteindelijk dienen alle bestaande uitbestedingsovereenkomsten uiterlijk op 31 december 2022 te zijn aangepast om aan deze richtsnoeren te voldoen. Hierbij dient direct een belangrijke kanttekening gemaakt te worden. De mate waarin een organisatie aan de richtsnoeren moet voldoen, hangt namelijk sterk af van of de clouddiensten die worden uitbesteed verband houden met kritieke of belangrijke functies. Als het om kritieke of belangrijke functies gaat, dan dient de organisatie aan alle richtsnoeren te voldoen. Hieronder als specifiek voorbeeld de meldplicht richting de AFM op de organisatie wanneer de deadline van 31 december 2022 niet wordt gehaald. Als het echter geen kritieke of belangrijke functies betreft, dan zijn niet alle richtsnoeren van toepassing.

Onderstaand behandelen wij de richtsnoeren die van toepassing zijn als het geen belangrijke of kritische functies betreft. Oftewel: de organisatorische vereisten waaraan alle organisaties moeten voldoen, ongeacht of het een kritische functie betreft. In het volgende artikel zullen wij nader duiden hoe vastgesteld kan worden wanneer sprake is van een kritieke functie en welke aanvullende organisatorische eisen in dat geval van toepassing worden.

Richtsnoer 1: Governance, toezicht en documentatie

Een onderneming moet:

  1. Beschikken over een uitbestedingsstrategie voor clouddiensten;
  2. Verantwoordelijkheid toekennen voor documenten en beheer van (en toezicht op) de cloud uitbestedingsovereenkomsten;
  3. Middelen hebben toegewezen die ervoor zorgen dat aan de richtsnoeren en wettelijke vereisten voldaan wordt;
  4. Een verantwoordelijke aanwijzen voor het beheer van en toezicht op de risico’s van uitbestedingsovereenkomsten voor clouddiensten;
  5. Een leidinggevend orgaan hebben dat beschikt over de technische vaardigheden om de risico’s van uitbestedingsovereenkomsten van clouddiensten te begrijpen (of voor kleinere organisaties zorgdragen voor adequaat toezicht op de uitbestedingsovereenkomsten);
  6. Periodiek opnieuw beoordelen of haar uitbestedingsovereenkomsten voor clouddiensten een kritieke of belangrijke functie betreffen;
  7. Een geactualiseerd register bijhouden met informatie over al haar uitbestedingsovereenkomsten voor clouddiensten. Op basis van een risico inschatting moet bepaald worden welke gegevens in het register worden opgenomen.

Richtsnoer 2: Analyse voorafgaand aan uitbesteding en due diligence

Voordat een uitbestedingsovereenkomst aangegaan wordt, moeten diverse beoordelingen en analyses plaatsvinden. Deze zijn op te delen in:

  • Een classificatie van de functie die wordt uitbesteed naar de cloud, kritiek/belangrijk of niet;
  • Een beoordeling van de risico’s die met bij de uitbestedingsovereenkomst komen kijken;
  • Een analyse op mogelijke belangenconflicten bij de uitbesteding; en
  • Een passend due diligence onderzoek uitvoeren ten aanzien van de potentiële dienstverlener, ook wel de Cloud Service Provider of CSP genoemd. Om dit onderzoek te ondersteunen mag gebruik gemaakt worden van certificeringen en verslagen van externe of interne audits.

 

De uitgevoerde analyses moeten in verhouding staan tot de aard, omvang en complexiteit van de functie die men wil uitbesteden. Onder de streep komt het neer op een beoordeling waarbij de operationele, juridische, nalevings- en reputatierisico’s voor de onderneming aan bod komen.

Tot slot, bij het afsluiten van een nieuwe overeenkomst met een al beoordeelde CSP of bij een bestaand contract dat verlengd wordt, zal opnieuw vastgesteld moeten worden of er een nieuw due diligence onderzoek nodig is. Dit mag risico gebaseerd aangepakt worden.

Richtsnoer 3: Essentiële contract bepalingen

Het aangaan van een uitbestedingsovereenkomst komt altijd met bepaalde rechten en plichten voor een onderneming en de CSP. Deze rechten en plichten moeten duidelijk worden vastgelegd in een overeenkomst. Daarnaast stellen de richtsnoeren het verplicht om hierin een passage op te nemen over beëindiging van de overeenkomst. Voor niet kritieke of belangrijke functies die uitbesteed worden aan een CSP blijft het daarbij.

In onze optiek zouden ondernemingen echter ook in geval van niet kritieke of belangrijke functies een stap verder moeten gaan. Bijvoorbeeld door, conform punt (g) uit paragraaf 28,  een passage op te nemen met bepalingen over informatiebeveiliging bij de CSP, zoals dat wel verplicht is bij uitbesteding van kritieke en belangrijke functies. Richtsnoer 4 (zie hieronder) maakt in ieder geval duidelijk dat het wel de bedoeling is dat informatiebeveiliging onderdeel uit moet maken van de uitbestedingsovereenkomsten.

Richtsnoer 4: Informatiebeveiliging

Het beschikken over een informatiebeveiligingsbeleid is tegenwoordig een vereiste voor het hebben van een integere en beheerste bedrijfsvoering. De AFM heeft in haar ‘principes voor informatiebeveiliging’ omschreven hoe zij verwacht dat organisaties met informatiebeveiliging omgaan. Het belang hiervan is ook terug te zien in dit richtsnoer.

Richtsnoer 4 stelt daarnaast dat het informatiebeveiligingsniveau van de onderneming naar eisen vertaald moet worden. Deze eisen moeten vervolgens worden opgenomen in de uitbestedingsovereenkomst met de CSP. Het vastleggen van de eisen is hierbij stap één. Onze aanbeveling is om tevens toe te voegen aan de uitbestedingsovereenkomst dat monitoring plaats zal vinden op naleving van die eisen, waarover vervolgens in de SLA rapportages gerapporteerd zal moeten worden. ESMA stelt hier terecht dat de beveiligingseisen wel in verhouding moeten staan tot de aard, schaal en complexiteit van de functie die men uitbesteedt. Een vrij open norm.

Echter, als het een kritieke of belangrijke functie betreft, dan geven de richtsnoeren wel op een gedetailleerd niveau weer aan welke onderdelen moet worden gedacht bij het inregelen van informatiebeveiliging. Om de open norm in te vullen wanneer een organisatie geen kritieke of belangrijke functies heeft uitbesteed, zou de organisatie in dat licht inspiratie kunnen halen uit die gedetailleerde verplichtingen rondom informatiebeveiliging die van toepassing is op kritieke of belangrijke uitbestede functies.

Richtsnoer 6: Toegangs- en auditrecht

De overige richtsnoeren zijn of alleen van toepassing op cloud uitbestedingen van kritieke en belangrijke functies, of hebben betrekking op de toezichthouder zelf (richtsnoer 9). Een uitzondering hierop is richtsnoer 6. Dit richtsnoer roept veel vragen op over de inregeling van het toegangs- en auditrecht.

In de eerste paragraaf van richtsnoer 6 schrijft ESMA iets interessants. Hierin stelt de toezichthouder namelijk dat de schriftelijke uitbestedingsovereenkomst voor clouddiensten geen beperkingen mag opleggen aan de doeltreffende uitoefening van het toegangs- en auditrecht en toezichtopties door de onderneming en de bevoegde autoriteit.

Er staat dus niet expliciet dat het toegangs- en auditrecht een verplicht onderdeel zou moeten zijn van de uitbestedingsovereenkomst. Ons advies is echter om een dergelijk recht altijd op te nemen in uw (cloud)uitbestedingsovereenkomst. Met name zodat u uzelf op de hoogte kunt stellen van de kwaliteit van dienstverlening/clouddiensten, bijvoorbeeld op het gebied van beveiligingsvereisten. Een onafhankelijk oordeel of certificering kan hierbij helpen. Dit wordt ook expliciet door ESMA genoemd. Een auditrapportage of certificering doet echter geen afbreuk aan de eindverantwoordelijkheid van de onderneming op deze onderwerpen.

In de toelichting van de richtsnoeren die terug zijn te vinden in ESMA’s reactie op haar consultatieronde, stelt ESMA duidelijk dat het toegangs- en auditrecht onderdeel niet tot een excessieve last voor zowel de onderneming als de CSP mag leiden. Vertaald: er is ruimte om de richtsnoeren proportioneel toe te passen. Dit houdt in dat als u het toegangs- en auditrecht, of het doel wat u daarmee wilt bereiken, ook op een andere manier kunt borgen, u dat mag doen.

Samengevat

Als het gaat om het uitbesteden naar CSP’s van functies die niet kritiek of belangrijk zijn, moet men nog steeds diverse elementen uit deze richtsnoeren hebben ingericht. Gelukkig komen veel van deze elementen overeen met verplichtingen waarmee organisaties vanuit een beheerste bedrijfsvoering al bekend zouden moeten zijn.

Platgeslagen moet u minimaal denken aan:

  • Zorg dat u iemand in de organisatie verantwoordelijk maakt voor het managen van uitbestedingen en zorg dat deze persoon hier ook formeel de tijd voor krijgt;
  • Leg uw uitbestedingen vast in een overzicht waarbij u ook opneemt wat de overwegingen zijn om wel/niet te komen tot een classificatie van kritiek/belangrijk en documenteer hierbij de elementen uit richtsnoer 2;
  • Regel uw uitbestedingsovereenkomsten goed in en hou hierbij rekening met:
    • De mogelijkheid om (en hoe) de overeenkomst te beëindigen;
    • Informatiebeveiligingsvereisten;
    • Hoe het recht van toegang- en audit voor uzelf en de toezichthouder niet beperkt wordt.

 

Klinkt simpel, niet? Tenzij uw uitbestede functie naar de cloud een kritieke of belangrijke functie is natuurlijk. Dan moet u rekening houden met meer elementen uit deze richtsnoeren.

Meer weten?

Wilt u meer weten over hoe u precies bepaalt of een uitbesteding naar de cloud nu kritiek of belangrijk is voor uw onderneming? Dat bespreken wij in het vervolg op dit artikel. Kunt u niet wachten en heeft u nu al vragen of hulp nodig? Neem dan contact met ons op.

Lees verder Neem contact op