Outsourcingvirksomheden skal ud fra en risikobaseret tilgang løbende overvåge, undersøge og kontrollere leverandørens arbejde og foretage revisionsmæssige gennemgange af leverandøren.
Stk. 2 Outsourcingvirksomheden skal før et planlagt besøg hos en leverandør sikre, at outsourcingvirksomheden, revisorer eller tredjeparter, der handler på vegne af outsourcingvirksomheden, giver leverandøren et rimeligt varsel.
Stk. 3 Leverandøren skal ikke modtage et rimeligt varsel, hvis det ikke er muligt på grund af en nødsituation eller krisesituation, eller hvis besøgets formål vil blive forspildt.
Stk. 4 Ved gennemførelse af et besøg, jf. stk. 2, skal outsourcingvirksomheden tage behørigt hensyn til leverandørens drift og sikkerhed, hvis leverandøren betjener andre kunder. Outsourcingvirksomhedens repræsentanter skal have relevante kvalifikationer og viden til at gennemføre besøget.
Stk. 5 Outsourcingvirksomheden skal løbende ajourføre sine vurderinger i overensstemmelse med §§ 5 og 19.
Stk. 6 Outsourcingvirksomheden skal overvåge sine interne koncentrationsrisici som følge af outsourcing under hensyntagen til § 19, stk. 4.
Stk. 7 Outsourcingvirksomheden skal løbende sikre, at en outsourcing opfylder hensigtsmæssige resultat- og kvalitetsstandarder i overensstemmelse med outsourcingvirksomhedens politikker ved at
-
1) sikre, at outsourcingvirksomheden modtager passende rapportering fra leverandøren,
-
2) evaluere de leverancer, der modtages fra leverandøren ved brug af værktøjer, herunder centrale præstations- og kontrolindikatorer, rapporter om udførelsen af tjenesterne, selvcertificering og uafhængige undersøgelser og
-
3) gennemgå alle andre relevante oplysninger modtaget fra leverandøren, herunder rapporter om beredskabsplaner og test af disse.
Stk. 8 Outsourcingvirksomheden skal overvåge, om leverandøren overholder de aftalte data- og systemsikkerhedskrav, hvis outsourcing vedrører it-ydelser.