BDO Nederland gebruikt cookies en trackingtechnologieën om het browser-gebruik op onze site te verbeteren, gepersonaliseerde content te tonen en traffic te analyseren. Door het gebruik van onze website, stemt u in met het gebruik van functionele cookies. Door op onderstaande button te klikken, stemt u in met analytische cookies. Lees meer over ons cookiebeleid en privacybeleid.
Artikel:

Nieuwe uitbestedingsrichtlijn banken en betaalinstellingen: belangrijkste wijzigingen

16 juni 2020

In eerdere artikelen informeerden wij banken en betaalinstellingen over de implementatie van de nieuwe uitbestedingsrichtlijn van de EBA. Deze richtlijn brengt nieuwe verplichtingen met zich mee voor uitbestedingen en heeft een aanzienlijke impact. U leest de artikelen hier en hier

In deze update geven wij, op hoofdlijnen, de belangrijkste verschillen weer van de nieuwe uitbestedingsverplichtingen ten opzichte van de oude regeling. Tijdens een webinar op 2 juli a.s. gaan we inhoudelijk in op deze nieuwe verplichtingen. Ook is er ruimte voor een interactieve discussie om de zienswijze op de implementatie en de belangrijkste zorgpunten met elkaar te delen. 

Achtergrond

De oude Europese richtlijn op het gebied van uitbestedingen stamt uit 2006. In deze richtlijn werden op beknopte wijze algemene verplichtingen gesteld ten aanzien van uitbestedingen. De laatste jaren zijn uitbestedingen in toenemende mate van belang voor de bedrijfsvoering van de banken. Dit komt mede door de veranderende verdienmodellen, technologische ontwikkelen en de behoefte aan corporate agility, waardoor ook materiële activiteiten vaker worden uitbesteedt. Naar aanleiding van deze ontwikkelingen is in 2018 een specifieke richtlijn ten aanzien van uitbesteding van cloudactiviteiten uitgevaardigd. In 2019 heeft en de EBA een nieuwe algemene richtlijn voor uitbestedingen uitgegeven, waaraan financiële instellingen met een bankvergunning in december 2021 moeten voldoen.

De nieuwe verplichtingen en voorwaarden

De nieuwe richtlijn stelt striktere eisen aan de uitbesteding van banken en betaalinstellingen. Eén van de belangrijkste doelstellingen van de nieuwe richtlijn is dat financiële instellingen geen zogeheten ‘lege hulzen’ zijn en dat de verantwoordelijkheid voor de activiteiten niet kan worden overgedragen. 

Om deze doelstelling te bereiken, zijn de reeds bestaande eisen rondom uitbesteding meer in detail uitgewerkt in de nieuwe richtlijn. Daarnaast is een aantal nieuwe verplichtingen opgenomen. In onderstaande overzichten vindt u op hoofdlijnen de nieuwe en aangescherpte verplichtingen. 

Enkele nieuwe richtlijnen

  Toelichting
Evenredigheidsbeginsel Bij de implementatie van de nieuwe richtlijn dient te worden gekeken naar het individuele risicoprofiel, de aard en het bedrijfsmodel en de omvang en complexiteit van de activiteiten. Tevens dient rekening te worden gehouden met de complexiteit van de uitbestede functie en het kritische karakter. 
Uitbestedingsfunctie  Er is een verplichting om een uitbestedingsfunctie in te stellen of het aanwijzen van een hoger personeelslid die rechtstreeks verantwoording aan het leidinggevend orgaan moet afleggen en verantwoordelijk is voor het beheer van en het toezicht op de risico's van uitbestedingsregelingen als onderdeel van het interne controlekader van de instelling en voor het toezicht op de documentatie van uitbestedingsregelingen.
Contractenregister Het wordt voor instellingen verplicht om een register bij te houden met informatie over alle uitbestedingsregelingen van de instelleningen en, indien van toepassing, op gesubconsolideerd en geconsolideerd niveau. De richtlijn geeft aan welke aspecten moeten worden vastgelegd in een dergelijk register. Hierbij wordt onderscheid gemaakt tussen kritische en niet-kritische uitbestedingen. 
Bedrijfscontinuïteit In de richtlijn worden de eisen ten aanzien van de continuïteit expliciet genoemd. Instellingen en betalingsinstellingen zijn verplicht om passende bedrijfscontinuïteitsplannen met betrekking tot uitbestede kritieke of belangrijke functies te hebben te onderhouden en periodiek te testen. 
Rol Interne Audit Functie In de nieuwe richtlijn worden expliciete eisen gesteld aan de rol en de activiteiten van de Interne Audit Functie ten aanzien van uitbestedingen. 
Analyse voor uitbesteding  In de nieuwe richtlijn staan duidelijke en expliciete eisen ten aanzien van de risico analyse en de due diligence voordat de uitbesteding start. 
Exit strategie  Instellingen zijn verplicht om een gedocumenteerde exit strategie op te stellen die in lijn is met hun uitbestedingsbeleid en hun bedrijfscontinuïteitsplannen.

 

 

 

 

 

 

 

 

 

 










 

 


Aangescherpte en/of aangepaste richtlijnen

Oude richtlijn Nieuwe richtlijn Toelichting
Materiële uitbesteding Kritische functie  In de nieuwe richtlijn wordt gesproken over ‘kritische’ uitbestedingen. Deze bewoording vervangt de definitie materiële activiteiten uit de oude richtlijn. De criteria wanneer een uitbesteding als kritisch kan worden aangemerkt staan uitgelegd in de richtlijn. Indien een uitbesteding als kritisch wordt aangemerkt zijn er striktere verplichtingen verbonden aan deze uitbesteding. 
Uitbestedingsbeleid Aangescherpt uitbestedingsbeleid In de nieuwe richtlijn worden aanvullende eisen gesteld aan de inhoud van het uitbestedingsbeleid. 
Schriftelijk uitbestedingscontract Aangescherpt uitbestedingscontract In de nieuwe richtlijn worden aanvullende eisen gesteld aan wat exact in het uitbestedingscontract moet worden vastgelegd. 
Continue risicomonitoring en monitoring op uitvoering Uitgebreidere eisen ten aanzien van de periodieke risicomonitoring en monitoring op uitvoering

Periodiek updaten van de risicobeoordeling en het doorlopend toezicht op feit dat de leverancier voldoet aan de afgesproken prestatie- en kwaliteitsnormen. 

 

 

 

 

 

 

 

 

 

 

 

 

Meer informatie

Heeft u naar aanleiding van deze globale overzichten behoefte aan meer inhoudelijke diepgang ten aanzien van deze verplichtingen of wilt u weten wat de concrete uitdaging voor uw organisatie wordt? Schrijf u dan kosteloos in voor ons webinar ‘De nieuwe uitbestedingsrichtlijn voor financiële instellingen, wat betekent dit voor u?’. Dit webinar vindt plaat op donderdag 2 juli van 10.00 – 11.30 uur. Aanmelden kan door middel van het sturen een e-mail naar [email protected].

Meld u aan