‘Alles gaat naar de cloud’ is een uit­spraak die de laat­ste jaren de boven­toon is gaan voe­ren. Menig orga­ni­sa­tie houdt zich bezig met een eer­ste dan wel ver­nieuw­de cloud­stra­te­gie, waar ook de selec­tie van de juis­te leve­ran­cier voor clouduit­be­ste­din­gen bij hoort. Finan­ci­ë­le onder­ne­min­gen wor­den gecon­fron­teerd met het toe­ne­mend toe­zicht­hou­dend appa­raat, dat zich per 31 decem­ber 2022 ver­der uit­breidt. De Euro­pean Insu­ran­ce and Occu­pa­ti­o­nal Pen­si­ons Autho­ri­ty (“EIOPA”)[1] en Euro­pean Secu­ri­ties and Mar­kets Autho­ri­ty (“ESMA”)[2] heb­ben name­lijk bei­den hun eigen ‘Richt­snoe­ren inza­ke Cloud Uit­be­ste­ding’ (“Richt­snoe­ren”) gepu­bli­ceerd, om de risico’s die gepaard gaan met deze clouduit­be­ste­din­gen te kun­nen iden­ti­fi­ce­ren en inper­ken. Daar­naast heeft ook de Euro­pean Ban­king Autho­ri­ty (“EBA”) al eer­der eigen Richt­snoe­ren betref­fen­de uit­be­ste­din­gen[3] gepu­bli­ceerd.

De Richt­snoe­ren van EIOPA en ESMA zijn in begin­sel van toe­pas­sing op finan­ci­ë­le onder­ne­min­gen. Van­af 2023[4] zul­len, naast nieu­we con­trac­ten, ook reeds gete­ken­de con­trac­ten met leve­ran­ciers van cloud­op­los­sin­gen moe­ten vol­doen aan de Richt­snoe­ren,[5], wat kan vra­gen om nieu­we onder­han­de­lin­gen. Ook indien slechts een ‘klein stuk­je naar de cloud gaat’, zoals enkel het hos­ten van data in de cloud, kun­nen de Richt­snoe­ren van toe­pas­sing zijn op het bestaan­de con­tract.

Een con­tract met een der­de par­tij waar­on­der een cloud­com­po­nent wordt gele­verd, zal bij­voor­beeld dui­de­lijk de ver­eis­te opzeg­gings­gron­den, vast­ge­stel­de cri­te­ria voor onder­uit­be­ste­ding en diver­se toe­gangs- en audit­rech­ten moe­ten bevat­ten. Als het gaat om een kri­tie­ke of belang­rij­ke uit­be­ste­ding, zijn er aan­vul­len­de ver­eis­ten van toe­pas­sing. Met alge­me­ne gecon­trac­teer­de uit­gangs­pun­ten komen par­tij­en dan niet meer weg: het is het doel van de Richt­snoe­ren dat de finan­ci­ë­le onder­ne­min­gen in con­trol zijn en blij­ven over de gecon­trac­teer­de clouduit­be­ste­din­gen.

Omdat de Richt­snoe­ren diver­se onder­wer­pen bestrij­ken, van inter­ne risi­co­ana­ly­ses tot exit-plan­nen met de cloud­le­ve­ran­ciers, ligt er meer dan vol­doen­de op het bord­je van de finan­ci­ë­le onder­ne­min­gen. Het aan­pas­sen van lopen­de con­trac­ten en/of de eigen con­tract­mo­del­len om te kun­nen vol­doen aan de Richt­snoe­ren, dreigt dan soms in de prak­tijk te wor­den afge­daan met een ‘one size fits all’ oplos­sing zoals een alge­meen con­tract­ad­den­dum voor alle (cloud)leveranciers. Daar­mee wor­den de ver­plich­tin­gen uit de Richt­snoe­ren teniet­ge­daan: name­lijk het spe­ci­fiek ana­ly­se­ren, kwa­li­fi­ce­ren en moni­to­ren van een indi­vi­du­e­le clouduit­be­ste­ding en de bij­be­ho­ren­de con­trac­tu­e­le afspra­ken daar­op afstem­men.

Ove­ri­gens ont­staat een extra uit­da­ging indien de finan­ci­ë­le onder­ne­ming onder­deel van een groep is, waar­bin­nen meer­de­re ver­gun­nin­gen aan­we­zig zijn en het toe­zichts­re­gime van meer­de­re toe­zicht­hou­ders geldt. Denk aan een groep die zowel over een ver­ze­ke­raars­ver­gun­ning en ban­cai­re ver­gun­ning beschikt. Zo bevat­ten de Richt­snoe­ren elk hun eigen con­trac­tu­e­le ver­eis­ten voor beno­dig­de opzeg­gings­gron­den van de finan­ci­ë­le onder­ne­min­gen. Indien een finan­ci­ë­le onder­ne­ming ten behoe­ve van groeps­on­der­ne­min­gen met diver­se ver­gun­nings­plich­ti­ge acti­vi­tei­ten één inkoop­con­tract sluit met een (cloud)leverancier, zal goed beke­ken die­nen te wor­den aan wel­ke indi­vi­du­e­le Richt­snoe­ren (zijn­de EBA, ESMA of EIOPA) dat con­tract zal moe­ten vol­doen. [6]

Het is dan ook van belang dat finan­ci­ë­le onder­ne­min­gen afstap­pen van de risico’s met een ‘one size fits all’ oplos­sing, en kij­ken naar een effi­ci­ën­te en tóch com­pli­ant ana­ly­se en aan­pas­sing van de con­trac­ten. Daar­bij is van belang dat wordt vast­ge­steld wel­ke Richt­snoe­ren van toe­pas­sing zijn op de finan­ci­ë­le onder­ne­ming in groe­pen. Zo heeft HVG Law een con­trac­tu­e­le aan­pak, inclu­sief check­list, ont­wik­keld om zowel bestaan­de als nieu­we en model­con­trac­ten te beoor­de­len op com­pli­an­ce met de Richt­snoe­ren van zowel de EIOPA, ESMA and EBA. Daar­mee kij­ken wij samen met de finan­ci­ë­le onder­ne­ming naar de van toe­pas­sing zijn­de Richt­snoe­ren, de spe­ci­fie­ke cloud­dienst en de gemaak­te risi­co­ana­ly­se, om ervoor te zor­gen dat de bij­be­ho­ren­de con­trac­ten op de juis­te wij­ze wor­den opge­zet en/of aan­ge­past.

 

 

[1] EIOPA Gui­de­li­nes EIO­PA-BoS-20-002, onli­ne ver­krijg­baar via: https://www.eiopa.europa.eu/document-library/guidelines/guidelines-outsourcing-cloud-service-providers_en

[2] ESMA Gui­de­li­nes ESMA50-157-2403, onli­ne ver­krijg­baar via: https://www.esma.europa.eu/press-news/esma-news/esma-publishes-cloud-outsourcing-guidelines

[3]EBA Gui­de­li­nes EBA/GL/2019/02, onli­ne ver­krijg­baar via https://www.eba.europa.eu/regulation-and-policy/internal-governance/guidelines-on-outsourcing-arrangements

[4] Para­graaf 11 EIOPA Richt­snoe­ren en para­graaf 4 ESMA Richt­snoe­ren.

[5] Wel­ke finan­ci­ë­le onder­ne­min­gen onder de Richt­snoe­ren val­len, wordt gede­fi­ni­eerd in para­graaf 1 ‘Inlei­ding’ van de EIOPA Richt­snoe­ren en in para­graaf 1 ‘Toe­pas­sings­ge­bied’ van de ESMA Richt­snoe­ren.

[6] Bij­voor­beeld de EIOPA Richt­snoe­ren, para­graaf 4: “De richt­snoe­ren gel­den voor indi­vi­du­e­le onder­ne­min­gen en muta­tis mutan­dis ook voor groe­pen. De enti­tei­ten waar­voor ande­re sec­to­ra­le voor­schrif­ten gel­den en die deel uit­ma­ken van een groep, val­len op indi­vi­du­eel niveau bui­ten het toe­pas­sings­ge­bied van deze richt­snoe­ren, aan­ge­zien zij zich zowel aan de spe­ci­fie­ke sec­to­ra­le voor­schrif­ten als aan de rele­van­te richt­snoe­ren van de Euro­pe­se Auto­ri­teit voor effec­ten en mark­ten en de Euro­pe­se Bank­au­to­ri­teit moe­ten hou­den”