1) Outsourcingkontrakten for kritisk eller vigtig outsourcing skal som minimum indeholde:
a) En beskrivelse af den outsourcede proces, tjenesteydelse eller aktivitet, der skal leveres, herunder kvantitative og kvalitative mål for leverancerne og resultaterne indeholdt i outsourcingaftalerne.
b) En startdato og eventuel slutdato for outsourcingkontrakten.
c) Opsigelsesfrister for outsourcingvirksomheden.
d) Den gældende lovgivning, som outsourcingkontrakten er underlagt.
e) Aftaleparternes finansielle forpligtelser overfor hinanden.
f) Angivelse af, hvorvidt leverandøren kan videreoutsource en kritisk eller vigtig proces, tjenesteydelse eller aktivitet eller væsentlige dele deraf.
g) Den eller de lokaliteter, hvor outsourcingen vil blive leveret, eller hvor relevante data vil blive opbevaret og behandlet, herunder den mulige lokalitet for opbevaring.
h) De betingelser, som skal opfyldes, herunder kontraktkrav om at underrette outsourcingvirksomheden, hvis leverandøren ønsker at ændre lokaliteten for opbevaringen.
i) Adgang, tilgængelighed, integritet, databeskyttelse og sikkerhed med hensyn til data, hvis det er relevant for outsourcingaftalen.
j) Outsourcingvirksomhedens ret til løbende at overvåge leverandørens leverancer og præstationer.
k) Outsourcingvirksomhedens krav til den løbende rapportering, som leverandøren skal give til outsourcingvirksomheden, herunder interne revisionsrapporter udarbejdet af leverandørens interne revisor, hvor det er relevant.
l) Leverandørens forpligtelser til at informere outsourcingvirksomheden om enhver udvikling hos leverandøren, der kan have en væsentlig indflydelse på leverandørens evne til effektivt at udføre den outsourcede kritiske eller vigtige proces, tjenesteydelse eller aktivitet i overensstemmelse med
i) de aftalte serviceniveauer eller
ii) gældende lovgivning og myndighedskrav.
m) Leverandørens eventuelle pligt til at tegne en forsikring mod visse risici og et eventuelt omfang af forsikringsdækningen.
n) Kravene til leverandørens gennemførsel og test af beredskabsplaner.
o) Krav, der sikrer, at de data, der tilhører outsourcingvirksomheden og tilhørende relevante systemer, kan tilgås i tilfælde af insolvens, afvikling eller ophør af leverandørens forretningsaktiviteter.
p) Krav, der sikrer, at leverandøren er forpligtet til at samarbejde med Finanstilsynet, Finansiel Stabilitet og andre personer udpeget af disse myndigheder.
q) Outsourcingvirksomhedens eller en tredjepart udpeget af outsourcingvirksomheden og Finanstilsynets ubegrænsede ret til at undersøge og foretage revision hos leverandøren.
r) Opsigelsesrettigheder.
Særlige krav ved videreoutsourcing
2) Tillader outsourcingkontrakten brug af videreoutsourcing af kritiske eller vigtige processer, tjenesteydelser eller aktiviteter eller væsentlige dele deraf, jf. bilag 3, nr. 1, litra f, skal outsourcingkontrakten opfylde følgende krav:
a) Den skal angive eventuelle typer af processer, tjenesteydelser eller aktiviteter, der ikke må videreoutsources.
b) Den skal angive de betingelser, der skal opfyldes i tilfælde af videreoutsourcing.
c) Den skal angive, at leverandøren er forpligtet til at overvåge og kontrollere de processer, tjenesteydelser eller aktiviteter, som leverandøren har videreoutsourcet, med henblik på at sikre, at alle kontraktlige forpligtelser mellem leverandøren og outsourcingvirksomheden løbende er opfyldte.
d) Den skal stille krav om, at leverandøren skal indhente en forudgående specifik eller generel skriftlig tilladelse fra outsourcingvirksomheden inden videreoutsourcing af data, der er omfattet af artikel 28 i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF.
e) Den skal indeholde en forpligtelse til, at leverandøren beskytter fortrolige, personlige eller på anden måde følsomme oplysninger og overholder alle lovkrav med hensyn til beskyttelse af data, der gælder for outsourcingvirksomheden.
f) Den skal omfatte en forpligtelse for leverandøren til med et aftalt varsel at underrette outsourcingvirksomheden om planlagt videreoutsourcing eller væsentlige ændringer i eksisterende videreoutsourcing. Underretningsperioden skal være tilstrækkelig lang til, at outsourcingvirksomheden som minimum kan foretage en risikovurdering, jf. § 19, af de foreslåede ændringer og gøre indvendinger mod ændringer, før den planlagte videreoutsourcing eller væsentlige ændringer heraf træder i kraft.
g) Den skal, hvor det er hensigtsmæssigt, omfatte en ret for outsourcingvirksomheden til at modsætte sig den planlagte videreoutsourcing eller væsentlige ændringer i eksisterende videreoutsourcingaftaler eller ret til, at outsourcingvirksomheden udtrykkeligt skal godkende den planlagte videreoutsourcing eller væsentlige ændringer i eksisterende videreoutsourcingaftaler.
h) Den skal sikre, at outsourcingvirksomheden har ret til at bringe kontrakten til ophør i tilfælde af uberettiget videreoutsourcing, herunder i tilfælde, hvor den uberettigede videreoutsourcing
i) væsentligt øger risikoen for outsourcingvirksomheden, eller
ii) hvor leverandøren videreoutsourcer uden på forhånd at underrette outsourcingvirksomheden, jf. bilag 3, nr. 2, litra f.
i) Den skal sikre, at underleverandøren forpligter sig til at overholde gældende lovgivning, myndighedskrav og kontraktlige forpligtelser, der svarer til de forpligtelser, som leverandøren har påtaget sig overfor outsourcingvirksomheden, og give outsourcingvirksomheden, herunder en tredjepart udpeget af outsourcingvirksomheden, og Finanstilsynet de samme kontraktlige rettigheder til adgang og revision, som nævnt i § 21, stk. 4 og 5.
j) Den skal sikre, at leverandøren overvåger og fører kontrol med underleverandører i overensstemmelse med outsourcingvirksomhedens politikker.
Særlige krav ved outsourcing, der indebærer it-ydelser
3) Ved outsourcing af it-ydelser skal outsourcingkontrakten definere data- og systemsikkerhedskrav og sikre, at leverandører opfylder relevante it-sikkerhedsstandarder, som sætter outsourcingvirksomheden i stand til at efterleve sin it-sikkerhedspolitik.
Særlige krav om rettigheder til adgang og revision
4) Outsourcingkontrakten skal indeholde krav til leverandøren, der sikrer følgende:
a) At den interne revision i outsourcingvirksomheden kan foretage revision af den outsourcede proces, tjenesteydelse eller aktivitet.
b) At Finanstilsynet har ret til at indhente oplysninger og udøve undersøgelsesbeføjelser, jf. §§ 346 og 347 i lov om finansiel virksomhed.
c) At Finanstilsynet og Finansiel Stabilitet har ret til at indhente oplysninger og udøve undersøgelsesbeføjelser i forbindelse med afviklingsplanlægning.
d) At outsourcingvirksomheden, Finanstilsynet, Finansiel Stabilitet og enhver anden person, der er udpeget af outsourcingvirksomheden, Finanstilsynet eller Finansiel Stabilitet, har
i) fuld adgang til alle relevante forretningslokaler, herunder alle relevante enheder, systemer, netværk, oplysninger og data, der anvendes til at levere den outsourcede proces, tjenesteydelse eller aktivitet, herunder relevante finansielle oplysninger, personale og leverandørens eksterne revisorer, og
ii) ubegrænset ret til at foretage inspektion og revision af outsourcing med henblik på at overvåge outsourcingaftalen og sikre overholdelse af alle gældende myndighedskrav og kontraktuelle krav.
Særlige krav til opsigelsesrettigheder
5) Outsourcingkontrakten skal for kritisk eller vigtig outsourcing indeholde aftaler om opsigelsesrettigheder, herunder outsourcingvirksomhedens udtrykkelige mulighed for at opsige outsourcingkontrakten i overensstemmelse med gældende ret, og i følgende situationer:
a) Hvor leverandøren af de outsourcede processer, tjenesteydelser eller aktiviteter overtræder gældende lovgivning, andre forskrifter eller kontraktmæssige bestemmelser.
b) Hvor der er hindringer, som kan ændre resultatet af den outsourcede proces, tjenesteydelse eller aktivitet.
c) Hvor der er væsentlige ændringer, der påvirker leverancerne eller leverandøren, herunder væsentlige ændringer som følge af videreoutsourcing eller ved ændring af underleverandører.
d) Hvor der konstateres svagheder i håndteringen og sikkerheden omkring fortrolige, personlige eller på anden måde følsomme data og oplysninger.
e) Hvor Finanstilsynet giver outsourcingvirksomheden et eller flere påbud, der relaterer sig til de outsourcede processer, tjenesteydelser eller aktiviteter.
6) Outsourcingkontrakten skal for kritisk eller vigtig outsourcing indeholde krav til leverandøren, der i tilfælde af opsigelse:
a) Beskriver den eksisterende leverandørs forpligtelser, hvis den outsourcede proces, tjenesteydelse eller aktivitet overføres til en anden leverandør eller til outsourcingvirksomheden.
b) Fastsætter en passende overgangsperiode, hvor leverandøren efter opsigelsen af outsourcingkontrakten forpligter sig til at fortsætte sine leverancer.
c) Indeholder en forpligtelse for leverandøren til at hjælpe outsourcingvirksomheden med at sikre en forsvarlig overførsel af processen, tjenesteydelsen eller aktiviteten.
7) For pengeinstitutter, realkreditinstitutter og fondsmæglerselskaber skal outsourcingkontrakten om kritisk eller vigtig outsourcing indeholde oplysninger om de beføjelser, som Finansiel Stabilitet er tildelt i henhold til kapitel 5 i lov om restrukturering og afvikling af visse finansielle virksomheder, herunder
a) henvisninger til de forpligtelser, der følger af §§ 31 og 34 i lov om restrukturering og afvikling af visse finansielle virksomheder, og
b) en beskrivelse af de væsentlige forpligtelser i kontrakten i overensstemmelse med § 243 d, stk. 2, i lov om finansiel virksomhed og § 31, stk. 2, i lov om restrukturering og afvikling af visse finansielle virksomheder.