Outsourcingvirksomheden skal inddrage resultatet af risikovurderingen, jf. § 19, ved vurderingen af, om der er tale om kritisk eller vigtig outsourcing. Outsourcingvirksomheden skal herudover som minimum tage højde for følgende:
-
1) Om outsourcingen er direkte forbundet med levering af de aktiviteter, som outsourcingvirksomheden har tilladelse til.
-
2) De mulige konsekvenser af enhver afbrydelse af den outsourcede proces, tjenesteydelse eller aktivitet, eller leverandørens manglende evne til at levere de aftalte leverancer løbende på det aftalte serviceniveau i forhold til
-
a) kort- og langsigtet økonomisk modstandskraft og levedygtighed,
-
b) forretningskontinuitet og operationel robusthed,
-
c) operationelle risici,
-
d) omdømmemæssige risici eller
-
e) eventuel genopretnings- og afviklingsplanlægning, afviklingsmuligheder og operationel kontinuitet i forbindelse med tidlig indgriben, genopretning eller afvikling.
-
-
3) De potentielle konsekvenser ved outsourcing for outsourcingvirksomhedens evne til at
-
a) identificere, styre og overvåge alle risici,
-
b) overholde alle lovgivningsmæssige krav eller
-
c) foretage revisioner af den outsourcede proces, tjenesteydelse eller aktivitet.
-
-
4) Den potentielle indvirkning på ydelser til outsourcingvirksomhedens kunder.
-
5) Al øvrig outsourcing, outsourcingvirksomhedens samlede eksponering overfor den samme leverandør, og den potentielle samlede virkning af outsourcing indenfor samme forretningsområde.
-
6) Størrelsen og kompleksiteten af de berørte forretningsområder.
-
7) Muligheden for, at outsourcing kan udvides uden at erstatte eller revidere den underliggende kontrakt.
-
8) Muligheden for at overføre outsourcingen til en anden leverandør.
-
9) Muligheden for at reintegrere den outsourcede proces, tjenesteydelse eller aktivitet i outsourcingvirksomheden.
-
10) Beskyttelse af data og de potentielle konsekvenser af brud på fortroligheden eller manglende sikring af datatilgængelighed og dataintegritet for outsourcingvirksomheden og dens kunder.