Kapitel 3 Ledelse og styring af outsourcing
Outsourcingvirksomheden må ikke som følge af brug af outsourcing blive en juridisk enhed uden selvstændig aktivitet.
Stk. 2 Outsourcingvirksomheden skal til enhver tid opfylde alle betingelserne i sin tilladelse til at drive virksomhed.
Stk. 3 Outsourcingvirksomheden skal ved brug af outsourcing opretholde en god adfærd i udøvelsen af de forretningsmæssige aktiviteter og udbud af tjenesteydelser.
Outsourcingvirksomheden skal som led i sin risikostyring og interne kontrol sikre, at risici forbundet med outsourcing indenfor alle forretningsområder indgår i outsourcingvirksomhedens øvrige risikostyring og interne kontrolforanstaltninger.
Stk. 2 Outsourcingvirksomheden skal have tilstrækkelige kompetencer og ressourcer til at sikre en tilstrækkelig styring og overvågning af og kontrol med outsourcing.
Outsourcingvirksomheden skal sikre, at den effektivt udøver sine ledelsesbeføjelser i forbindelse med outsourcing.
Stk. 2 Outsourcingvirksomheden skal ved brug af outsourcing sikre relevante foranstaltninger, der sikrer tilstrækkelig varetagelse af personoplysninger og data, der behandles af leverandører.
Stk. 3 Outsourcingvirksomheden skal ved kritisk eller vigtig outsourcing kunne foretage mindst én af følgende handlinger indenfor en passende tidsramme:
-
1) Overføre processen, tjenesteydelsen eller aktiviteten til en eller flere leverandører.
-
2) Reintegrere processen, tjenesteydelsen eller aktiviteten i outsourcingvirksomheden.
-
3) Lade de forretningsmæssige aktiviteter, der er afhængige af processen, tjenesteydelsen eller aktiviteten, ophøre.
Bestyrelsen i outsourcingvirksomheden har ansvaret for, at outsourcing anvendes betryggende i outsourcingvirksomheden.
Stk. 2 Bestyrelsens ansvar og opgaver kan ikke outsources.
Stk. 3 Bestyrelsen skal overvåge direktionens beslutninger og styring af alle risici i forbindelse med outsourcing.
Stk. 4 Bestyrelsen skal godkende, regelmæssigt revidere og ajourføre en skriftlig outsourcingpolitik, der opfylder kravene i bilag 1. Bestyrelsen skal sikre, at politikken efterleves i outsourcingvirksomheden.
Bestyrelsen skal beslutte klare rammer og betingelser før indgåelse af kritiske eller vigtige outsourcingkontrakter samt for de herved forbundne risici, som bestyrelsen kan acceptere.
Stk. 2 Bestyrelsens rammer og betingelser, jf. stk. 1, skal besluttes på baggrund af en forudgående analyse, der som minimum inddrager kravene i §§ 4, 13 og 18-20.
Stk. 3 Indgår outsourcingvirksomheden i en koncern, der benytter en centraliseret forhåndsvurdering af outsourcing, skal outsourcingvirksomheden modtage vurderingen og sikre, at der tages hensyn til outsourcingvirksomhedens særlige struktur og risici i forhåndsvurderingen.
Direktionen i outsourcingvirksomheden skal indenfor de rammer, som er fastlagt af bestyrelsen, jf. §§ 10 og 11 sikre, at anvendelse af outsourcing i virksomheden sker betryggende.
Stk. 2 Direktionen skal sikre, at ansvaret for styring, overvågning og kontrol samt dokumentation af al outsourcing er entydigt placeret.
Stk. 3 Direktionen skal udpege en outsourcingansvarlig, som er ansvarlig for styring, overvågning og kontrol af outsourcing og for sikring af dokumentationen af outsourcing.
Stk. 4 Direktionen kan indenfor de rammer og betingelser, som er fastsat i medfør af § 11, stk. 1, indgå outsourcingkontrakter med leverandører.
Stk. 5 Direktionen skal sikre, at bestyrelsen orienteres om ændringer af kritisk eller vigtig outsourcing og de potentielle konsekvenser af disse ændringer. Orienteringen skal også foretages i outsourcingvirksomheder, der indgår i en koncern, og hvor overvågningen foretages centralt, jf. § 25.