Publicaties

Outsourcing en financieel toezicht

J.W.P.M. van der Velden, Outsourcing en financieel toezicht, in: Outsourcing (L. Moerel en B. van Reeken e.a.), Kluwer, Deventer 2009.

 

Outsourcing en financieel toezicht

15.1 Inleiding
De Pensioenwet en de Wet op het financieel toezicht (Wft) geven voorschriften voor
outsourcing door banken, beleggingsinstellingen, beleggingsondernemingen, pensioenfondsen, verzekeraars en andere instellingen (gereglementeerde instellingen) die onder toezicht staan van De Nederlandsche Bank (DNB) of de Autoriteit Financiële Markten (de AFM). De voorschriften uit de Pensioenwet en de Wft zijn van invloed op het gehele traject dat een outsourcing doorloopt: van het voorbereiden (eventueel) opstellen van een letter of intent, uitvoeren van een due diligence onderzoek, onder¬handelen over de inhoud van de uitbestedingsovereenkomst en de Service Level Agreement (SLA), het uitvoeren van de gemaakte afspraken (monitoring, evaluaties), tot het beëindigen van de outsourcing.

Dit hoofdstuk bespreekt de meest relevante aspecten van regelgeving die een rol spelen bij outsourcing door gereglementeerde instellingen. Deze regelgeving raakt de positie van zowel de gereglementeerde instelling die voornemens is bepaalde ac¬tiviteiten te outsourcen, als de positie van de leverancier die voornemens is outsourcing voor een gereglementeerde instelling te verrichten.
In paragraaf 15.2 wordt het (juridisch) kader geschetst waarbinnen gereglementeerde instellingen moeten manoeuvreren. Paragraaf 15.3 beschrijft het uitgangspunt van de eigen verantwoordelijkheid van gereglementeerde instellingen en verboden vormen van outsourcing. Voordat het tot outsourcing komt, moet de gereglementeerde instel¬ling intern bepaalde zaken op orde hebben. Dat interne 'huiswerk' wordt behandeld in paragraaf 15.4. Paragraaf 15.5 beschrijft de eisen aan het due diligence onderzoek dat een gereglementeerde instelling naar de leverancier moet instellen. Paragraaf 15.6 gaat in op de eisen die zijn gesteld aan de outsourcingovereenkomst inclusief de SLA. Paragraaf 15.7 beschrijft overige voorschriften waar de gereglementeerde instelling aan moet denken en waarmee de leverancier te maken kan krijgen. Paragraaf 15.8 beschrijft de sancties op niet-naleving. De samenvatting in paragraaf 15.9 sluit dit hoofdstuk af.

15.2 Juridisch kader
15.2.1 Gereglementeerde instellingen
In dit hoofdstuk wordt voortdurend gesproken over gereglementeerde instellingen. Onder gereglementeerde instellingen worden verstaan:
1 beleggingsinstellingen, beheerders en bewaarders;
2 beleggingsondernemingen (zoals vermogensbeheerders en orderremisiers);
3 clearinginstellingen;
4 financiële dienstverleners;
5 financiële instellingen;
6 kredietinstellingen (banken en elektronischgeldinstellingen);
7 marktexploitanten;
8 pensioenfondsen; en
9 verzekeraars,

15.2.2 Toepasselijke regelgeving
Voor outsourcing door gereglementeerde instellingen gelden verschillende regels:
• beheerders , bewaarders en beleggingsondernemingen: artikel 3:18 Wft, artikel 4:16 Wft, artikel 27 Besluit prudentiële regels Wft (Bpr) en artikel 37 e.v. Besluit Gedragstoezicht financiële ondernemingen Wft (BGfo);
• clearinginstellingen, kredietinstellingen en verzekeraars: artikel 3:18 Wft, artikel 4:16 Wft, artikel 37 BGfo en artikel 27 e.v. Bpr;
• beleggingsinstellingen, financiële dienstverleners en financiële instellingen: artikel 3:18 Wft, artikel 4:16 Wft, artikel 37 BGfo en artikel 27 Bpr;
• marktexploitanten: artikel 5:31 Wft;
• pensioenfondsen: artikel 34 Pensioenwet en artikel 12 e.v. Besluit uitvoering Pensioenwet en Wet verplichte beroepspensioenregeling (BuPw).

Tot de inwerkingtreding van de Wft en de Pensioenwet in 2007 ontbraken wettelijke voorschriften voor outsourcing door gereglementeerde instellingen. DNB en de AFM hanteerden aparte beleidsregels per soort gereglementeerde instelling. Deze beleids¬regels verschilden onderling en waren tamelijk detaillistisch opgezet. De huidige voorschiften zijn meer algemeen van aard (principle based) en de onderlinge verschillen zijn veel kleiner. In dit hoofdstuk wordt van de meeste verschillen geabstraheerd. Alleen in het oog springende bijzonderheden worden vermeld.

15.2.3 Definitie van uitbesteding
Uitbesteding is gedefinieerd in artikel 1:1 Wft, terwijl in de Pensioenwet een definitie ontbreekt. De definitie in de Wft bevat de volgende elementen.
Uitbesteding is:
1. het verlenen van een opdracht;
2. aan een derde;
3. tot het voor de gereglementeerde instelling;
4. verrichten van werkzaamheden:
a. die deel uitmaken van of voortvloeien uit het uitoefenen van haar bedrijf of het verlenen van financiële diensten; of
b. die deel uitmaken van de wezenlijke bedrijfsprocessen ter ondersteuning daarvan.

Uitbesteding begint met een opdracht. Te denken valt aan het uitbesteden van de automatisering. Het laten leveren van gestandaardiseerde producten als marktinfor¬matie of kantoorinventaris (inkoop) valt niet onder het uitbesteden van werkzaam¬heden. Van uitbesteden is sprake indien werkzaamheden die normaal worden verricht binnen de klant worden verricht door derden. Onder derden worden ook entiteiten verstaan binnen de groep waartoe de klant behoort.
Uitbesteding in de zin van de Wft of de Pensioenwet is overigens niet beperkt tot overeenkomsten van opdracht. Soms investeren verzekeraars of pensioenfondsen via beleggingspools waarin alleen groepsvennootschappen deelnemen. De AFM en DNB plegen dit aan te merken als uitbesteding van het beheer over het vermogen. Overigens zijn de voorschriften waaraan de gereglementeerde instellingen in het kader van uitbesteding moeten voldoen, deels niet goed toepasbaar op dergelijke vormen van uitbesteding.

De eisen met betrekking tot uitbesteding dienen er toe de toezichthouder in staat te stellen toezicht te blijven houden op de relevante bedrijfsprocessen van de klant. Uitbesteding mag er niet toe leiden dat de toezichthouder geen adequaat toezicht meer kan uitoefenen. Het gaat om het uitbesteden van werkzaamheden die onderdeel uitmaken van de bedrijfsprocessen ter uitoefening van het bedrijf van de gereglemen¬teerde instelling (zie hiervoor onderdeel 4.1 van de definitie).

Schoonmaakwerkzaam¬heden en catering vormen bijvoorbeeld geen onderdeel van de processen ter uitvoering van het bedrijf van gereglementeerde instellingen. Onderdeel 4b van de definitie is opgenomen om de indruk weg te nemen dat elke opdracht zal worden onderworpen aan regels. Het moet gaan om (delen van) de wezenlijke bedrijfsprocessen.
De term 'wezenlijk' brengt tot uitdrukking dat niet elk bedrijfsproces voor het toezicht van belang is. Zo is juridisch advies volgens de toelichting over het algemeen geen wezen¬lijk bedrijfsproces voor een gereglementeerde instelling.

15.2.4 Quasi-oursourcing en grijze gebieden

De Wft kent verplichtingen tot het onderbrengen van bepaalde werkzaamheden bij derden. Men denke aan bewaarders die het vermogen van beleggingsfondsen moeten bewaren en custodian banks die financiële instrumenten onder zich houden voor beleggingsondernemingen. Aan deze bewaarder en custodian worden eisen gesteld, waarvoor de beleggingsonderneming of de beheerder van het beleggingsfonds verantwoordelijk wordt gehouden. Deze eisen tonen enige gelijkenissen met de algemene outsourcingregels. Toch is dit geen uitbesteding, zoals gedefinieerd. Daarvan is slechts sprake als een gereglementeerde instelling eigen werkzaamheden laat vervul¬len door een derde. Nu deze werkzaamheden door de wetgever zijn toebedeeld aan een ander dan de gereglementeerde instelling en deze de activiteiten niet zelf mag verrichten, is niet voldaan aan de definitie van uitbesteding.

• Overigens kan een overeenkomst met een custodian zeer wel leiden tot uitbeste¬ding, bijvoorbeeld wanneer de custodian naast het bewaren van financiële instrumen¬ten ook belasting terugvordert of securities lending transacties aangaat voor (de cliënten van) de beleggingsonderneming of beleggingsinstelling.
• Discussie bestaat over de kwalificatie van distributieovereenkomsten. Beleggingsinstellingen en verzekeraars bieden vaak hun deelnemingsrechten respectievelijk polissen aan via bemiddelaars. In wezen vertrouwen zij daarmee eigen werkzaamhe¬den (het aanbieden) toe aan derden. Niettemin lijkt de wetgever ervan uit te gaan, dat de outsourcingregels niet toepasselijk zijn bij verzekeringsbemiddeling, met als reden dat de bemiddelaars zelf onder toezicht staan voor deze activiteiten, zodat toezicht door middel van de outsourcingregels overbodig is.

15.3 Uitgangspunten

15.3.1 Eigen verantwoordelijkheid

Een gereglementeerde instelling die overgaat tot outsourcing blijft zelf verantwoor¬delijk voor de naleving van wet- en regelgeving die op haar van toepassing is, waaronder de in paragraaf 15.2 genoemde outsourcingregels. Het management van een gereglementeerde instelling is verantwoordelijk voor de afweging of uitbesteding gepast en wenselijk is. Het toezicht door de toezichthouders zal intensiever worden indien een outsourcing een groter risico meebrengt voor de gereglementeerde instel¬ling.

De gereglementeerde instelling kan haar verantwoordelijkheden dus niet 'af¬schuiven' op anderen onder het mom van uitbesteding. De toezichthouders zullen effectief toezicht moeten kunnen blijven houden op alle relevante aspecten van de bedrijfsvoering van een gereglementeerde instelling, zelfs wanneer die aan derden is uitbesteed.

15.3.2 Geheel verboden outsourcing

De outsourcingregels verbieden bepaalde vormen van outsourcing. Een gereglemen¬teerde instelling mag geen taken uitbesteden als dat het toezicht door de AFM of DNB belemmert. Zij mag de taken en werkzaamheden van haardagelijkse beleidsbepalers, het vaststellen van het beleid en het afleggen van verantwoording erover niet uitbe¬steden. Verder mag de outsourcing geen afbreuk doen aan de interne toetsing. Dit hoeft overigens niet te betekenen dat de interne controlefunctie niet mag worden uitbesteed. De behoefte aan uitbesteding van die functie kan met name bij kleinere gereglementeerde instellingen bestaan. Overigens kunnen DNB en de AFM op dit punt verschillend beleid voeren. Daarnaast mag de outsourcing niet zover gaan, dat de gereglementeerde instelling een lege huls, een zogenaamde brievenbusmaatschap¬pij zou worden. Ten slotte mag de uitbesteding de verantwoordelijkheid van de gereglementeerde instelling voor haar organisatie en beheersing van bedrijfsprocessen noch het toezicht daarop kunnen ondermijnen. Bijvoorbeeld indien activiteiten worden uitbesteed waardoor relevante informatie over risicomanagement niet (tijdig) beschikbaar kan worden gemaakt, zal de gereglementeerde instelling van de uitbesteding dienen af te zien.

15.3.3 Uitbesteding binnen de groep

Het laten verrichten van werkzaamheden door groepsmaatschappijen wordt in beginsel ook gezien als uitbesteding. Sommige gereglementeerde instellingen zijn echter vrijgesteld van bepaalde vereisten, wanneer zij aan een groepsmaatschappij uitbesteden. Dit brengt een lichter regime met zich. Zo hoeven clearinginstellingen, kredietinstellingen en verzekeraars geen beleid te hebben omtrent uitbesteding aan groepsmaatschappijen gevestigd in een lidstaat van de Europese Unie, en zijn zij niet verplicht om de uitbestedingsovereenkomst schriftelijk vast te leggen.

15.4 Intern huiswerk door gereglementeerde instellingen

Voordat tot ondertekening van een uitbestedingsovereenkomst wordt overgegaan, moet de gereglementeerde instelling ervoor zorgen dat er een aantal interne regelingen, afspraken en verplichtingen bestaat en ook wordt nageleefd.
• Outsourcingbeleid. De gereglementeerde instelling dient een adequaat beleid te hebben en te voeren voor het op structurele basis outsourcen van werkzaamheden. Dit beleid kan ingaan op de volgende onderwerpen (i) hoe wordt bepaald welke bedrijfsprocessen kunnen worden uitbesteed, (ii) hoe zal de gereglementeerde instelling voldoen aan voorschriften inzake bedrijfsvoering, (iii) hoe wordt de continuïteit van de bedrijfsvoering gewaarborgd, (iv) hoe verkrijgt de instelling waarborgen voor het handhaven van een beheerste en integere bedrijfsvoering, (v) hoe treft de leverancier maatregelen inzake fraudepreventie. Voorts is het verstandig in het beleid ook aandacht te besteden aan eventuele risico's die ont¬staan wanneer meer activiteiten bij één en dezelfde leverancier terechtkomen.
• Meldingen aan toezichthouders. Afhankelijk van de (omvang van de) activiteiten die worden uitbesteed, kan het nodig zijn om DNB of de AFM te informeren over de outsourcing, met name waar het de inrichting van de bedrijfsvoering van een gereglementeerde instelling significant raakt. Dat zal bij outsourcing overigens vaak het geval zijn.
• Monitoringbeleid en deskundige monitoring. De gereglementeerde instelling dient een beleid te hebben met betrekking tot de monitoring van de uitbestede werkzaamheden. De gereglementeerde instelling dient de uitbestede werkzaamheden deskundig te monitoren. Daarvoor moet de gereglementeerde instelling dan ook toereikende procedures, deskundigheid en informatie in huis hebben. Bijvoorbeeld: in het kader van een outsourcing gaan medewerkers van de back¬office afdeling over naar de leverancier. De gereglementeerde instelling moet zorgen dat voldoende deskundige medewerkers achterblijven om de dienstverle¬ning te controleren.
• Risicoanalyse. De gereglementeerde instelling moet regelmatig en systematisch de risico's analyseren, die uitbesteding heeft voor haar organisatie als geheel en haar bedrijfsonderdelen. Dat geldt uiteraard ook in het kader van voorgenomen outsourcing.
• Procedures en maatregelen. De gereglementeerde instelling moet het outsourcingbeleid en de risicoanalyse verwerken in organisatorische en administratieve procedures en maatregelen, zoals in een plan voor het omgaan met calamiteiten (denk aan uitwijkmogelijkheden als de IT-systemen uitvallen en back-upprocedures in geval van verlies van data). Ook dient de gereglementeerde instelling procedures en maatregelen te hebben om de dienstverlening van de leverancier te monitoren en te toetsen. Voor beleggingsondernemingen geldt een aantal specifieke voor¬schriften.
• Koersgevoelige informatie. Indien de leverancier of de klant is genoteerd aan Euronext Amsterdam of een andere gereglementeerde markt of aan een multila¬terale handelsfaciliteit, dan zijn de voorschriften omtrent koersgevoelige informatie en voorwetenschap van belang. Koersgevoelige informatie is informatie die niet openbaar is gemaakt en waarvan openbaarmaking significante invloed zou kunnen hebben op de koers van financiële instrumenten van de leverancier of de klant. Een beursgenoteerde leverancier of klant zal moeten nagaan of de uitbesteding zelf, bijvoorbeeld vanwege de omvang daarvan, significante invloed zou kunnen hebben op zijn beurskoers. In dat geval moet hij deze koersgevoelige informatie onverwijld openbaar maken door middel van een persbericht. Tegelijkertijd moet hij de AFM van deze informatie op de hoogte stellen.
• Voorwetenschap. Degene die beschikt over koersgevoelige informatie mag deze informatie, kort gezegd, niet doorgeven aan anderen volgens de voorwetenschaps¬regels van artikel 5:56 e.v. Wft. Hij mag daarvan ook geen gebruik maken door transacties te verrichten of bewerkstelligen in genoteerde financiële instrumenten. Als de leverancier een due diligence onderzoek verricht naar een beursgenoteerde klant of de klant naar een beursgenoteerde leverancier, dan heeft hij deze voorwe¬tenschapsregels in acht te nemen. Dit kan ertoe leiden dat de beursgenoteerde partij bepaalde informatie, bijvoorbeeld over een voorgenomen verkoop van een bedrijfsonderdeel, niet overhandigt. De beursgenoteerde partij kan eventueel aangeven dat het desbetreffende bedrijfsonderdeel om interne politieke redenen buiten de scope wordt gehouden. Indien onvermijdelijk is dat de beursgenoteerde partij de informatie doorgeeft in het kader van de outsourcing, zullen degenen die inzage krijgen in die informatie (inclusief de werknemers en adviseurs) moeten worden onderworpen aan strenge geheimhoudingsverplichtingen.
• Naleving intern beleid. De gereglementeerde instelling moet zich ook in het kader van outsourcing houden aan de eigen interne regels en beleid van de gereglemen¬teerde instelling. Die interne regels kunnen zien op autorisatie, limietstellingen, limietbewaking, melding- of rapportageverplichtingen. Voor zover de gereglemen-teerde instelling werkzaamheden uitbesteedt die dergelijke interne regels betreffen, zal zij de naleving daarvan aan de leverancier moeten opleggen.
• Naleving afspraken met derden. Gereglementeerde instellingen moeten nagaan of uitbesteding van (bepaalde soorten) dienstverlening in strijd is met afspraken met derden. Wij geven twee voorbeelden. Beleggingsinstellingen dienen ten be¬hoeve van hun beleggers een prospectus en (half)jaarcijfers op te stellen, met in¬formatie over outsourcing van kerntaken van de beleggingsinstelling. Een voorge¬nomen nieuwe outsourcing moet tegen het licht van die eerder verstrekte infor¬matie worden gehouden. Indien een prospectus moet worden aangepast als gevolg daarvan, dan moet de belegger daarover worden geïnformeerd. Beleggingsinstel¬lingen komen verder ook met beleggers uitgangspunten en voorwaarden van be¬legging overeen, zoals over de samenstelling van de portefeuille en de verdeling en mate van risico dat mag worden gelopen. Indien de beleggingsinstelling het beheer van de portefeuille uitbesteedt, moet de beleggingsinstelling ervoor zorgen dat ook de leverancier de beleggingsuitgangspunten en -voorwaarden steeds in acht neemt.

15.5 Due diligence onderzoek naar de leverancier
Voorafgaand aan een outsourcing zal een gereglementeerde instelling een due dili¬gence onderzoek moeten doen naar de leverancier. Het doel van dat due diligence onderzoek is op alle relevante aspecten van de outsourcing vast te stellen of de leve¬rancier in staat is dienstverlening op een adequaat niveau te bieden, of de beheerste en integere bedrijfsvoering van de klant niet kan worden aangetast en of toezicht niet kan worden ondermijnd door de outsourcing. Indien dat twijfelachtig blijft, dan zal de gereglementeerde instelling moeten afzien van outsourcing (zie paragraaf 15.2).
Tijdens dit due diligence onderzoek behoren onder andere de volgende onderwerpen aan de orde te komen:
• kan de gereglementeerde instelling met deze leverancier blijven voldoen aan re¬levante wet- en regelgeving?
• worden de externe controle en het toezicht door de toezichthouders niet beperkt en wat zijn de mogelijkheden voor de gereglementeerde instelling, haar externe accountant en de toezichthouder om toegang te krijgen tot relevante informatie van of over de leverancier? Dit vergt -tenminste voor wat betreft de toezichthou¬ders- bijzondere aandacht indien de leverancier zich buiten de Europese Unie bevindt of de dienstverlening vanuit daar verricht:
• financiële gegoedheid: verkeert de leverancier in een gezonde financiële situatie? Is continuïteit van de leverancier gewaarborgd? (Zie ook paragraaf 13.5.)
• reputatie en integriteit: is de leverancier voldoende betrouwbaar?
• kwaliteit van de dienstverlening: is de leverancier voldoende deskundig?
• Interne organisatie en beheersing: heeft de leverancier een adequate en integere bedrijfsvoering?
• is voldoende deskundig personeel bij de leverancier beschikbaar? is de leverancier afhankelijk van derden? Zal er sprake zijn van onderuitbesteding? Zo ja, hoe wordt de onderuitbesteding georganiseerd en contractueel vastgelegd?
• hoe garandeert de leverancier de vertrouwelijkheid van informatie?
• hoe worden systemen en persoonsgegevens beveiligd?
• hoe garandeert de leverancier de scheiding van informatie van één of meer cliënten?
• hoe is de continuïteit van de dienstverlening gewaarborgd? (Zie ook paragraaf 13.5).
• welke mogelijkheden tot uitwijk, back-up etc. heeft de leverancier in het geval van calamiteiten?
• voor beleggingsinstellingen: kunnen belangenconflicten ontstaan die de belangen van beleggers kunnen schaden?

15.6 Eisen aan de uitbestedingsovereenkomst en de SLA
De toezichtwetgeving bevat voorschriften die relevant zijn voor de inhoud van de uitbestedingsovereenkomst zelf, inclusief de bijbehorende SLA. Daarnaast is het raadzaam voor de onder toezicht staande gereglementeerde instelling om bijzondere bepalingen in de uitbestedingsovereenkomst op te nemen. Een en ander wordt hier¬onder kort besproken:
• opschortende voorwaarden. De gereglementeerde instelling kan verlangen dat de uitbestedingsovereenkomst pas van kracht wordt indien aan bepaalde voor¬waarden is voldaan, bijvoorbeeld dat de in paragraaf 15.4 beschreven meldingen aan toezichthouders door de gereglementeerde instelling hebben plaatsgevonden;
• duidelijke afspraken. De uitbestedingsovereenkomst zal alle relevante afspraken met betrekking tot de dienstverlening moeten bevatten. Daartoe behoren de uit¬bestede werkzaamheden, prestatienormen, aard, omvang, kwaliteit, tijdigheid. servicegraad en deskundigheid van de leverancier. Ook moet een regeling worden getroffen voor informatievoorziening (voor de eigen bedrijfsvoering en de controle op de leverancier) en de eigendom en bescherming van gegevens;
• informatievoorziening. In het algemeen moet de gereglementeerde instelling afspraken maken met de leverancier over de tijdigheid, deugdelijkheid en wijze van rapporteren over alle bij de outsourcing betrokken aspecten, alsmede over de verstrekking van informatie waarom de toezichthouders verzoeken. De leve¬rancier dient de gereglementeerde instelling te informeren over elke ontwikkeling die van wezenlijke invloed kan zijn op zijn vermogen om de uitbestede werkzaam¬heden efficiënt en met inachtneming van de wettelijke voorschriften uit te voeren. De gereglementeerde instelling, haar accountant en de toezichthouder dienen toegang te hebben tot de gegevens over de uitbestede werkzaamheden.
Dit leidt regelmatig tot uitgewerkte rapportage- en overlegstructuren, waarbij de leveran¬cier periodiek een incidentenrapportage verstrekt en evalueert met de gereglementeerde instellingen partijen eventuele maatregelen tot verbetering bespreken. Soms wordt de leverancier ertoe verplicht om een eigen operational risk manage¬ment systeem te hebben;
• meten en beoordelen van nakoming outsourcing. De uitbestedingsovereenkomst zal duidelijke maatstaven moeten bevatten waarmee de nakoming van de afspraken over outsourcing kan worden gemeten en beoordeeld;
• onderuitbesteding. Onderuitbesteding is mogelijk, met dien verstande dat afge¬leide verplichtingen gelden in de relatie tussen de onderdienstverlener en de le¬verancier. Deze verplichtingen zijn hetzelfde als die tussen de leverancier en de gereglementeerde instelling en moeten via de leverancier dus ook van diens toe¬leveranciers worden bedongen. Deze zogenaamde back-to-back verplichtingen blijken in de (met name internationale) praktijk van de (sub-)custody nog wel eens tot moeizame onderhandelingen te leiden;
• verplichting tot het naleven van wet- en regelgeving. In de uitbestedingsover-eenkomst moet een bepaling worden opgenomen dat de leverancier alle relevante wet- en regelgeving nakomt (inclusief beschikking over benodigde vergunningen ) en dat hij de gereglementeerde instelling in staat stelt om blijvend daaraan te voldoen. Eventueel kan de gereglementeerde instelling periodieke audits uitvoeren op de naleving van toepasselijke voorschriften. Veelal wordt ook geregeld wie verantwoordelijk is voor het signaleren van relevante wijzigingen in de regelgeving. Indien de leverancier minder is ingevoerd in de op de gereglementeerde instelling toepasselijke regelgeving, zal deze verantwoordelijkheid veelal aan de geregle¬menteerde instelling worden toebedeeld;
• informatieplicht en medewerking aan audits. DNB en de AFM hebben de be¬voegdheid om informatie in te winnen en/of onderzoek te doen bij onder hun toezicht staande gereglementeerde instellingen. Deze bevoegdheid moeten de toezichthouders kunnen blijven uitoefenen indien de gereglementeerde instelling activiteiten heeft uitbesteed. Daarvoor is nodig dat de gereglementeerde instelling de leverancier verplicht om (i) informatie te verschaffen die de toezichthouder nodig heeft of die de gereglementeerde instelling nodig heeft om aan verzoeken van de toezichthouder te voldoen en (ii) alle benodigde medewerking te geven aan een onderzoek of audit door de toezichthouder. Dezelfde verplichting moet aan de toeleveranciers worden opgelegd, omdat het nodig kan zijn informatie in te winnen en onderzoek te doen bij de onderdienstverlener;
• accountantsverklaring. Het is niet ongebruikelijk dat de gereglementeerde instel¬ling vraagt dat de externe accountant van de leverancier jaarlijks een onderzoek doet naar de naleving van regelgeving en de afspraken die zijn gemaakt in de uitbestedingsovereenkomst. Een van de methoden die hiervoor worden gebruikt is het verlangen van een 'SAS 70' verklaring, waarover meer in paragraaf 9.3.8;
• isolering van processen. Indien de leverancier ook aan anderen dan de geregle-menteerde instelling (soortgelijke) diensten verleent dient de leverancier te waarborgen dat processen, gegevens, bestanden en informatieverstrekking logisch van elkaar worden gescheiden en dat privacy aspecten zijn gewaarborgd. Zie hierover ook paragraaf 8.5.4;
• wijziging. Bepaalde gereglementeerde instellingen dienen te allen tijde wijzigingen
aan te kunnen brengen in de wijze waarop de leverancier de werkzaamheden uitvoert;
• opzegging. De uitbestedingsovereenkomst moet een opsomming bevatten van bepaalde, nauwkeurig omschreven omstandigheden waarin de overeenkomst door de gereglementeerde instelling kan worden opgezegd. In ieder geval moet de gereglementeerde instelling de overeenkomst kunnen opzeggen wanneer een toezichthouder daartoe opdracht geeft. Aangezien de toezichthouder aanpassing van de uitbestedingsovereenkomst van een gereglementeerde instelling kan ver¬langen. is het raadzaam eveneens de mogelijkheid op te nemen dat de uitbestedingsovereenkomst kan worden beëindigd wanneer dergelijke aanpassingen in redelijkheid niet acceptabel zijn voor een van de partijen. Soms wordt in plaats van een opzeggingsbevoegdheid een ontbindende voorwaarde bedongen, bijvoor¬beeld wanneer de leverancier een vereiste vergunning verliest;
• exitregeling. Indien de uitbestedingsovereenkomst wordt beëindigd, moet de gereglementeerde instelling de desbetreffende werkzaamheden ofwel weer zelfstan¬dig kunnen voortzetten ofwel onderbrengen bij een andere partij. Voor een goede overdracht van de diensten. moet de gereglementeerde instelling financiële waarborgen (wat geldt er financieel bij beëindiging?) en uitvoeringstechnische waarborgen bedingen van de leverancier in verband met de beëindiging van de uitbestedingsovereenkomst. Als een gereglementeerde instelling bijvoorbeeld haar vermogensbeheer uitbesteedt. moet zij na beëindiging van de overeenkomst weer in staat zijn om zelf het vermogensbeheer te kunnen verrichten. of dit door een derde te laten doen. Daarvoor zal het vermogen aan haar ter beschikking moeten staan. Indien het vermogen bijvoorbeeld is ondergebracht in fondsen van de vermogensbeheerder. moet het daar weer uit kunnen worden gehaald opdat de gereglementeerde instelling het zelf kan beheren;
• continuïteit. De uitbestedingsovereenkomst moet waarborgen dat de leverancier zijn verplichtingen nakomt, ook vanuit financieel perspectief. Een eventueel door de leverancier bedongen opschortingsrecht voor lijn dienstverlening moet daarom kritisch benaderd worden. In dat kader kan de gereglementeerde instelling vragen om garanties en/of andere zekerheden van derden of groepsmaatschappijen. Zie ook paragraaf 13.5;
• vertrouwelijkheid. De outsourcing kan de gegevens over de gereglementeerde instelling en haar cliënten betreffen. De leverancier zal dergelijke gegevens vertrouwelijk moeten behandelen. Wanneer partijen overeenkomen om de overeenkomst en daaruit voortvloeiende informatie vertrouwelijk te behandelen. moet de uitzondering worden gemaakt dat de vertrouwelijkheidseis niet geldt voor zover aan wet- en regelgeving, beurs regels of aanwijzingen van relevante toezicht¬houders moet worden voldaan.

15.7 Overige voorschriften
In de paragrafen 15.5 en 15.6 is beschreven met welke specifieke regels over outsourcing de gereglementeerde instelling en de leverancier te maken hebben. Op grond van financiële toezichtwetgeving moet de gereglementeerde instelling een aantal interne regelingen opstellen en handhaven:

• regeling ter voorkoming van tegenstrijdige belangen (onder andere Chinese walls);
• regeling ter voorkoming van strafbare feiten;
• regelingen over de behandeling van incidenten, dat wil zeggen onregelmatigheden die een ernstig gevaar vormen voor een integere bedrijfsvoering van de geregle¬menteerde instelling;
• regeling over pre-employment screening voor integriteitgevoelige functies;
• identificatie van cliënten en melding ongebruikelijke transacties bij dienstverle¬ning;
• onderzoek naar terroristische activiteiten van cliënten op grond van sanctiewet¬geving;
• beleid inzake afgeschermde rekeningen;
• voor zover het een beursgenoteerde gereglementeerde instelling betreft: reglement inzake voorwetenschap, waaronder monitoring privé beleggingstransacties.

Afhankelijk van de dienstverlening die wordt uitbesteed, zullen die regelingen ook moeten worden nageleefd door de leverancier (naast zijn al bestaande, interne rege¬lingen, maar in beginsel alleen voor zover hij betrokken is bij de desbetreffende dienstverlening). Eveneens afhankelijk van de dienstverlening die wordt uitbesteed en de activiteiten die de leverancier reeds in huis heeft, kan financiële toezichtwetge¬ving van toepassing zijn op de leverancier, zodat de leverancier vergunningplichtig wordt. Dit is bijvoorbeeld het geval indien een leverancier beleggingen gaat verrichten voor een beleggingsinstelling. Hij zal dan veelal zijn aan te merken als 'vermogensbe¬heerder' en onderworpen zijn aan de vergunningplicht van artikel 2:96 Wft, ook als de beleggingsinstelling zelf is vrijgesteld van de Wft.

15.8 Ontheffing en sancties

15.8.1 Ontheffing
Anders dan voorheen bestaat er geen mogelijkheid tot ontheffing van de uitbestedingsvoorschriften.

15.8.2 Sancties
Overtreding van de Wft en de Pensioenwet of de daarop gebaseerde regels kan een economisch delict vormen. Straffen die kunnen worden opgelegd, zijn hechtenis, gevangenisstraf of geldboetes. Daarnaast kunnen DNB en de AFM de administratief¬rechtelijke weg bewandelen en boetes en dwangsommen opleggen aan de geregle¬menteerde instelling.
Ook kunnen zij aanwijzingen geven aan gereglementeerde in¬stellingen dat uitbestedingsafspraken, zoals vastgelegd in de uitbestedingsovereenkomst, moeten worden gewijzigd of dat de overeenkomst moeten worden beëindigd. Het meest vergaande middel tot ingrijpen is intrekking van de vergunning.

15.9 Samenvatting
In dit hoofdstuk is beschreven aan welke voorschriften gereglementeerde instellingen moeten voldoen als zij tot outsourcing overgaan. Dit betreft beleggingsinstellingen, beheerders en bewaarders, beleggingsondernemingen, clearinginstellingen, financiële dienstverleners, financiële instellingen, kredietinstellingen, marktexploitanten, pen¬sioenfondsen en verzekeraars. Het uitgangspunt van de regels is dat bij elke vorm van outsourcing de gereglementeerde instelling een eigen verantwoordelijkheid blijft behouden voor de naleving van op haar van toepassing zijnde wet- en regelgeving en dat het toezicht door de toezichthouders niet wordt ondergraven.

De regels beperken de dienstverlening die kan worden uitbesteed en de onderhandelingsvrijheid van zowel de gereglementeerde instelling als de leverancier. De gereglementeerde instelling die voornemens is tot outsourcing over te gaan. heeft zich te houden aan een aantal voorschriften, zoals met betrekking tot de inhoud van de uitbestedingovereenkomst. Dit heeft directe gevolgen voor de positie van de leveran¬cier. Een sprekend voorbeeld daarvan is dat de gereglementeerde instelling van de leverancier moet bedingen dat de gereglementeerde instelling, haar externe accountant en de relevante toezichthouder steeds toegang hebben tot informatie van en over de leverancier en de uitbestede dienstverlening en dat zij desgewenst audits ter zake kunnen verrichten.

Daarnaast moet de gereglementeerde instelling intern een aantal zaken op orde hebben, zoals adequate procedures en maatregelen die ervoor zorgen dat de geregle¬menteerde instelling te allen tijde aan de op haar van toepassing zijnde wetgeving kan voldoen, dat toezicht door de toezichthouders niet wordt belemmerd en dat eventuele risico's verbonden aan de outsourcing zoveel mogelijk worden beperkt. Ten slotte dient de gereglementeerde instelling de toezichthouders onder omstandig¬heden vooraf te informeren over de voorgenomen outsourcing.