Krav til outsourcingregisteret
1) Outsourcingregisteret skal som minimum indeholde følgende oplysninger om alle outsourcingaftaler:
a) Et referencenummer.
b) Startdato, eventuelle kontraktfornyelsesdatoer, slutdatoer og eventuelle opsigelsesvarsler for leverandøren og outsourcingvirksomheden.
c) En kort beskrivelse af den outsourcede proces, tjenesteydelse eller aktivitet, og en kategorisering af outsourcingaftalen, der afspejler karakteren af processen, tjenesteydelsen eller aktiviteten, så de enkelte typer af outsourcingaftaler kan identificeres i forskellige kategorier.
d) En kort beskrivelse af de data, der er outsourcet, og om der er overført personoplysninger, og om behandlingen heraf er outsourcet til en leverandør.
e) Oplysninger om leverandøren, herunder leverandørens
i) navn,
ii) CVR-nummer eller tilsvarende identifikationsnummer,
iii) registrerede adresse,
iv) kontaktoplysninger og
v) navne på eventuelle moderselskaber.
f) Det land eller de lande, hvor processen, tjenesteydelsen eller aktiviteten skal udføres, herunder datalokalitet.
g) Hvorvidt der er tale om kritisk eller vigtig outsourcing.
h) Datoen for den seneste vurdering af, om der er tale om kritisk eller vigtig outsourcing.
2) Outsourcingregisteret skal i tilfælde af, at en outsourcingaftale indeholder brug af cloudtjenester, indeholde følgende:
a) Oplysninger om den pågældende cloudleverandør.
b) Cloudtjenestens implementeringsmodeller.
c) Den særlige karakter af og lokaliteterne for de data, der skal opbevares.
Særlige krav til kritisk eller vigtig outsourcing
3) For kritisk eller vigtig outsourcing skal outsourcingregisteret som minimum indeholde følgende yderligere oplysninger for hver enkelt aftale:
a) De virksomheder indenfor koncernen, der udover outsourcingvirksomheden gør brug af outsourcingen.
b) Hvorvidt leverandøren eller underleverandøren er en del af koncernen eller er ejet af andre virksomheder i koncernen.
c) Datoen for den seneste risikovurdering af outsourcingen og en kort beskrivelse af resultatet af denne risikovurdering, jf. § 19.
d) Den person eller det beslutningsorgan i outsourcingvirksomheden, som godkendte outsourcingaftalen.
e) Den gældende lovgivning, som outsourcingkontrakten er underlagt.
f) Datoen for de seneste og næste planlagte revisioner, hvor det er relevant.
g) En vurdering af leverandørens substituerbarhed.
h) En vurdering af muligheden for at reintegrere processen, tjenesteydelsen eller aktiviteten i outsourcingvirksomheden.
i) En vurdering af virkningen af, at processen, tjenesteydelsen eller aktiviteten ophører.
j) Identifikation af alternative leverandører.
k) Hvorvidt de outsourcede processer, tjenesteydelser eller aktiviteter understøtter tidskritisk forretningsdrift.
l) De anslåede årlige budgetomkostninger.
m) Hvis det er relevant, navnene på eventuelle underleverandører, som væsentlige dele af en kritisk eller vigtig proces, tjenesteydelse eller aktivitet er videreoutsourcet til, herunder
i) det land, hvor underleverandørerne er registreret,
ii) det sted, hvor ydelsen vil blive udført af underleverandørerne, og
iii) de lokaliteter, hvor eventuel dataopbevaring sker.
4) Vurderer outsourcingvirksomheden, at en leverandørs aftale om videreoutsourcing i sig selv er kritisk eller vigtig, skal denne outsourcingaftale optages i registeret i overensstemmelse med de krav, der følger af nr. 1-3.
5) Outsourcingregisteret skal indeholde oplysninger om den del af en proces, tjenesteydelse eller aktivitet, der er blevet videreoutsourcet, hvis outsourcingvirksomheden vurderer, at den videreoutsourcede del af processen, tjenesteydelsen eller aktiviteten i sig selv er kritisk eller vigtig.