Inwerkingtreding ESMA-richtsnoeren inzake uitbesteding aan aanbieders van clouddiensten
Op 31 juli 2021 zijn de richtsnoeren van de European Securities and Markets Authority (ESMA) ingetreden voor het uitbesteden naar aanbieders van clouddiensten in werking. Deze zijn van toepassing op vrijwel alle organisaties die beschikken over een vergunning van ESMA of de Autoriteit Financiële Markten (AFM), waaronder beleggingsinstellingen en -ondernemingen.
‘’Aan de ene kant moeten deze richtsnoeren zorgen voor een geharmoniseerde toezichtsaanpak door alle Europese toezichthouders,’’ vertelt Niels Huijpen, consultant bij Charco & Dique. ‘’Aan de andere kant geeft de toezichthouder richting om organisaties te helpen bij het identificeren, aanpakken en bewaken van risico’s die voortvloeien uit cloud-outsourcingsovereenkomsten.’’
Handvatten voor risicobeheersing
Voor reeds bestaande contracten en afspraken die betrekking hebben op outsourcing naar Cloud Service Providers, hebben organisaties tot 31 december 2022 de tijd om eventuele aanpassingen door te voeren. Waar het kritieke en/of belangrijke functies betreffen die uitbesteed worden aan een Cloud Service Provider, moet men na deze deadline de bevoegde autoriteit hiervan op de hoogte stellen, inclusief een plan van maatregelen om de herziening (of exit strategie) af te ronden.
“De richtsnoeren van ESMA op dit onderwerp bieden goede handvatten om de belangrijkste risico’s te beheersen en adequate afspraken te maken met de Cloud Service Providers,’’ vertelt Huijpen. ‘’Ze dragen bij aan het ‘in control’ zijn. Omdat ze relevant zijn voor vele (grote) onder toezicht staande organisaties in Europa, spelen ook Cloud Service Providers, zoals Microsoft en Amazon, hierop in door hun contracten nu al ‘compliant’ te maken.”
Scope
Het is niet zo dat alleen kritieke of belangrijke functies binnen de scope van de cloud-uitbestedingsrichtsnoeren vallen. Huijpen: ‘’In de richtsnoeren zijn definities opgenomen waarmee organisaties zelf aan de slag kunnen om te bepalen (en vast te leggen!) welke richtsnoeren of onderdelen wel of niet van toepassing zijn.
Een goede eerste stap kan zijn om te bepalen of de organisatie gebruik maakt van clouddiensten, en vervolgens of deze uitbesteed zijn. Zo ja, gaat het hier dan om een uitbesteding van een kritieke en/of belangrijke functie? Deze analyse zal iedere organisatie moeten maken. Uiteindelijk levert dit een overzicht op van alle cloud uitbestedingen.’’
Negen richtsnoeren
ESMA heeft negen richtsnoeren gedefinieerd op de volgende onderwerpen:
- Governance, Oversight and documentation
- Pre-outsourcing analysis and due diligence
- Key contractual elements
- Information security
- Exit strategies
- Access and Audit Rights
- Sub-outsourcing
- Written notification to competent authorities
- Supervision of cloud outsourcing arrangements
Voor ieder van deze onderwerpen zijn vervolgens diverse sub-richtsnoeren opgenomen. De richtsnoeren bevatten een combinatie van vereisten voor de organisatie inrichting (beleid en procedures), elementen die in contracten en Service Level Agreements terug moeten komen en onderdelen waarvoor een vastlegging aanwezig moet zijn.
Zoals eerder geschetst, is de mate waarin de richtsnoeren van toepassing zijn op een organisatie afhankelijk van het hoe kritiek of belangrijk het proces, de applicatie of dienst is die wordt uitbesteed. ‘’Vanwege de grote organisatie afhankelijkheid bij het uitbesteden van functies die kritiek of belangrijk zijn, is het ook van belang de risico’s goed te blijven managen,’’ waarschuwt Huijpen. ‘’Deze ESMA-richtsnoeren helpen hierbij, al zal de implementatie wel een zekere inspanning vergen op het punt van vastlegging.’’
Een artikel van Charco & Dique.
