12.1.2022

ESMAlta uudet ohjeet pilvipalveluiden ulkoistamisesta finanssialalle – tarkista yrityksesi ohjeet tämän vuoden aikana

Euroopan arvopaperimarkkinaviranomaisen (ESMA) ohjeet ulkoistamisesta pilvipalvelujen tarjoajille tulivat sovellettavaksi 31.7.2021 alkaen kaikkiin pilvipalvelujen ulkoistamisjärjestelyihin, jotka on tehty tai joita on jatkettu tai muutettu kyseisestä päivämäärästä alkaen.

Uudet ohjeet auttavat yrityksiä yksilöimään, käsittelemään ja seuraamaan yhä yleistyvistä pilvipalvelujen ulkoistamisjärjestelyistä aiheutuvia riskejä ja haasteita.

Ohjeita sovelletaan toimivaltaisten viranomaisten lisäksi finanssialan toimijoihin, joihin lukeutuvat muun muassa yhteissijoituspalveluyritykset, keskusvastapuolet, sijoituspalveluyritykset ja luottolaitokset sijoituspalveluiden ja -toimien suorittamisen yhteydessä sekä luottoluokituslaitokset.

Ohjeet täydentävät aiempia Euroopan pankkiviranomaisen (EPV) sekä Euroopan vakuutus- ja lisäeläkeviranomaisen (EIPOA) ulkoistamisia koskevia ohjeistuksia. ESMA on todennut, että uudet suuntaviivat ovat yhdenmukaisia näiden ohjeistusten kanssa. Vaikka ohjeistusten yhdenmukaisuus on hyödyllistä soveltamisalan piiriin kuuluville yrityksille, kaikkia pilvipalvelujen ulkoistamiseen liittyviä ohjeita on kuitenkin tarkasteltava erikseen ja huomioitava kunkin oma soveltamisala.

Mitä yritysten on uusien ohjeiden mukaan huomioitava?

Ohjeissa on asetettu näille toimijoille yhdeksän suuntaviivaa, jotka niiden tulee ottaa huomioon pilvipalvelujen ulkoistuksessa.

1. Yrityksellä on oltava määritelty ja ajantasainen pilven ulkoistamisstrategia, joka on yhdenmukainen yrityksen strategioiden, sisäisten toimintatapojen ja menettelyiden kanssa.

Vastuu pilvipalvelujen ulkoistamisjärjestelyjen dokumentoinnista, hallinnasta ja valvonnasta on määriteltävä selkeästi omassa organisaatiossa. Sisäinen valvonta on järjestettävä ottaen huomioon liiketoiminnan luonne ja laajuus. Vähimmäisvaatimuksena on hallinnoinnin ja valvonnan selkeä tehtävän- ja vastuunjaon varmistaminen.

Muiden kuin pienten yritysten on perustettava valvontatoimi tai nimettävä johtoasemassa olevat työntekijät, jotka ovat vastuussa riskien hallinnoinnista ja valvonnasta. Valvonnan on oltava riskiperusteista ja siinä on painotettava ensisijaisesti ulkoistettuja kriittisiä tai tärkeitä toimintoja.

Kaikista ulkoistamisjärjestelyjä koskevista tiedoista on ylläpidettävä ajantasaista rekisteriä. Säännöllisin väliajoin on arvioitava koskevatko pilvipalvelujen ulkoistamisjärjestelyt kriittistä tai tärkeää toimintoa ja rekisterissä on eroteltava kriittisten tai tärkeiden toimintojen ulkoistaminen muista ulkoistamisjärjestelyistä.

2. Ennen pilvipalveluja koskevan ulkoistamisjärjestelyn tekemistä yrityksen on suoritettava analyysi ja asianmukainen huolellisuusvelvollisuuden tarkastus oikeassa suhteessa kyseisen sopimuksen luonteeseen.

Yrityksen on arvioitava, koskeeko pilvipalvelujen ulkoistamisjärjestely kriittistä tai tärkeää toimintoa, tunnistettava ja arvioitava oleelliset riskit ja mahdolliset eturistiriidat. Analyysiin on sisällyttävä arviointi pilvipalvelujen ulkoistamisjärjestelyn mahdollisista vaikutuksista yrityksen operatiivisiin ja oikeudellisiin riskeihin sekä vaatimustenmukaisuuteen ja maineeseen liittyviin riskeihin.

Erona EPV:n ulkoistamista koskeviin ohjeisiin tulee ESMAn ohjeiden mukaan pilvipalveluiden tarjoajaa koskevassa huolellisuusvelvollisuuden tarkastuksessa huomioida esimerkiksi palvelun tuki, mukaan luettuina tukisuunnitelmat ja yhteyspisteet, sekä häiriötilanteiden hallintamenettelyt.

3. Vähimmäisvaatimuksena on kirjallisessa sopimuksessa selkeästi määritellyt osapuolten oikeudet ja velvollisuudet.

Kirjallisessa sopimuksessa on oltava muun muassa ulkoistettavan toiminnon selkeä kuvaus, sopimuksen voimassaolo ja irtisanominen, sekä maininta yrityksen mahdollisuudesta päättää sopimus, osapuolten taloudelliset velvoitteet, tietoturvaa ja henkilötietojen suojausta koskevat säännöt, käyttö- ja tarkastusoikeudet sekä pilvipalvelun tarjoajalle asetetut vähimmäisvelvoitteet.

4. Tietoturvavaatimukset on sisällytettävä ulkoistussopimukseen.

Yrityksen on määritettävä tietoturvavaatimukset sisäisissä toimintatavoissaan ja menettelyissään sekä ulkoistussopimuksessa ja seurattava näiden vaatimusten noudattamista myös luottamuksellisten tietojen, henkilötietojen tai muutoin arkaluonteisten tietojen suojaamiseksi.

Kriittisten tai tärkeiden toimintojen ulkoistamisen yhteydessä yrityksen on muun muassa

Vaikka EPV:n ohjeet sisältävät samansuuntaisia ehtoja, ovat ESMAn ohjeistuksen ehdot vahvoista tunnistusmekanismeista ja riskiperusteisesta lähestymistavasta erilaisia tai kokonaan uusia verrattuna niihin.

5. Sopimuksessa on oltava irtautumisstrategioita, jotka eivät häiritse liiketoimintaa ja/tai palveluita.

Jos kyseessä on kriittisten tai tärkeiden toimintojen ulkoistaminen, yrityksen on varmistettava, että se voi irtautua pilvipalvelujen ulkoistamisjärjestelystä ilman, että sen liiketoiminnassa tai asiakkailleen toimittamissa palveluissa esiintyy kohtuuttomia häiriöitä, ja siten, että irtautuminen ei vaaranna yrityksen sovellettavan lainsäädännön mukaisten velvoitteiden noudattamista tai sen tietojen luottamuksellisuutta, eheyttä ja saatavuutta.

Yrityksen on laadittava irtautumisstrategia sekä tunnistettava vaihtoehtoisia strategioita. Yrityksen on myös määriteltävä siirtymän onnistumista koskevat kriteerit ja osoitettava tehtävät ja vastuut irtautumisstrategian hallinnointia varten.

6. Sopimus ei saa rajoittaa käyttö- ja tarkastusoikeuksia.

Yrityksen on varmistettava, että kirjallisella sopimuksella ei rajoiteta toimivaltaisen viranomaisen mahdollisuutta käyttää tehokkaasti pilvipalvelun tarjoajaa koskevia käyttö- ja tarkastusoikeuksia ja valvontavaihtoehtoja.

Yritykset voivat tehostaa tarkastusresurssien käyttöä ja pienentää pilvipalvelujen tarjoajan ja asiakkaiden organisatorista taakkaa vaatimalla saataville kolmannen osapuolen sertifioinnit ja ulkoiset tai sisäiset tarkastuskertomukset sekä yhteisillä tarkastuksilla ilman, että yritysten lopullista vastuuta pilvipalvelujen ulkoistamisjärjestelyistä rajoitetaan.

7. Mikäli sovitaan edelleen ulkoistamisen mahdollisuudesta, sopimuksessa on täsmennettävä selkeät velvoitteet ja vaatimukset.

Jos kriittisten tai tärkeiden toimintojen (tai olennaisten osien) ulkoistaminen edelleen on sallittua, yrityksen ja pilvipalvelujen tarjoajan tekemässä kirjallisessa sopimuksessa on sovittava tietyistä ehdoista ja varmistettava, että pilvipalvelun tarjoaja valvoo alihankkijaa asianmukaisesti.

8. Yrityksen on ilmoitettava toimivaltaiselle viranomaiselleen kirjallisesti ja ajoissa suunnitteilla olevista pilvipalvelujen ulkoistamisjärjestelyistä, jotka koskevat kriittistä tai tärkeää toimintoa.

Myös sellaisista pilvipalvelujen ulkoistamisjärjestelyistä, jotka koskevat aiemmin muuksi kuin kriittiseksi tai tärkeäksi luokiteltua toimintoa, josta on sittemmin tullut kriittinen tai tärkeä, on ilmoitettava toimivaltaisille viranomaisille.

9. Toimivaltaisten viranomaisten valvonta keskittyy kriittisiin ulkoistusjärjestelyihin.

Toimivaltaiset viranomaiset arvioivat pilvipalvelujen ulkoistamisjärjestelyistä aiheutuvat riskit osana valvontamenettelyään ja keskittyvät arvioinnissa erityisesti kriittisten tai tärkeiden toimintojen ulkoistamiseen sekä arvioivat tämän perusteella

Seurauksia ja tulevaisuuden näkymiä

Yritysten on arvioitava ja muutettava nykyiset pilvipalvelujen ulkoistamisjärjestelyt ohjeita vastaaviksi 31.12.2022 mennessä.

Painetta arvioinnille ja mahdollisille muutoksille lisää se, että mikäli kriittisiä tai tärkeitä toimintoja koskevia pilvipalvelujen ulkoistamisjärjestelyjä ei ole arvioitu vuoden 2022 loppuun mennessä, yritysten on ilmoitettava tästä toimivaltaiselle viranomaiselle ja sisällytettävä ilmoitukseen suunnitellut toimenpiteet, joilla arviointi saatetaan päätökseen, tai vaihtoehtoisesti ilmoitettava mahdollinen irtautumisstrategia.

 

Pia Ek

Miika Junttila

Lauri Laatunen

Ida Laakkonen

Uusimmat referenssit

Toimimme menestyksekkäästi Citycon Oyj:n ulkopuolisena pääneuvonantajana järjestelyssä, jossa Citycon ulkoisti pohjoismaiseen talous- ja vuokrahallintoon liittyvät toimintonsa Staria Oyj:lle. Ulkoistamisen piiriin kuuluu näiden toimintojen työntekijöitä Suomessa, Ruotsissa, Norjassa, Tanskassa ja Virossa. Ulkoistuksen odotetaan tapahtuvan 1.8.2024. Ulkoistusjärjestelyllä Citycon pyrkii sopeuttamaan talousorganisaationsa kokoa ja valmiuksia yhtiön tulevaan kehitykseen ja varmistamaan, että se pystyy mukautumaan joustavasti liiketoiminnan muuttuviin tarpeisiin. Toimeksiannon aikana avustimme Cityconia tarvittavan sopimusdokumentaation laadinnassa ja sopimusneuvottelujen suunnittelussa ja aikatauluttamisessa. Johdimme ulkoistussopimusta koskevia neuvotteluja ja neuvoimme Cityconia työntekijöiden siirtoon ja tietosuojaan liittyvissä kysymyksissä. Lisäksi koordinoimme oikeudellista neuvontaa muissa järjestelyn piiriin kuuluneissa maissa. Citycon on johtava kaupunkikeskusten omistaja ja kehittäjä Pohjoismaissa ja Baltiassa. Cityconilla on 33 monikäyttöistä, välttämättömyyshyödykkeisiin keskittyvää keskusta Suomen, Ruotsin, Norjan, Tanskan ja Viron suurimmissa kaupungeissa. Citycon kehittää ainutlaatuisia kohteita, joista se luo kestäviä yhteisöjä ja eläväisiä kaupunkeja. Sen toiminta saavuttaa 140 miljoonaa henkilöä vuosittain ja tuottaa pitkäaikaista arvoa yhtiön osakkeenomistajille. Citycon tuottaa arvoa yhteisöille kehittämällä keskuksia asumiseen, shoppailuun, työskentelyyn ja vapaa-aikaan. Cityconilla on laaja kokemus kaupunkiympäristöjen kehittämisestä, ja osaamisensa pohjalta se luo monikäyttöisiä keskuksia, joissa yhdistyvät vähittäiskauppa, asuminen, toimistotilat, ravintolat ja kahvilat sekä terveydenhuollon, kulttuurin ja vapaa-ajan palvelut.
Julkaistu 13.5.2024
Avustimme Fenniaa vakuutusjärjestelmäkokonaisuuden hankinnassa Salesforcelta ja Accenturelta. Data- ja teknologiatiimimme osallistui tiiviisti asiakirjojen laatimiseen ja sopimuksista neuvottelemiseen Salesforcen ja Accenturen kanssa. Uuden, asiakashallinta- ja vakuutusjärjestelmät sisältävän kokonaisuuden myötä Fennia uudistaa samalla vakuutusliiketoimintansa. Näin koko vakuutusprosessi voidaan miettiä aidosti asiakaslähtöisesti. ”Edessä on valtava urakka, jonka aikana me tulemme uudistamaan liiketoimintamalleja, selkeyttämään tuotteita ja sujuvoittamaan prosesseja. Uusi järjestelmäkokonaisuus rakennetaan puhtaalta pöydältä ja tehty järjestelmävalinta on perinteistä vakuutusjärjestelmää joustavampi ja mukautuvampi, mikä antaa meille parhaat mahdolliset edellytykset tuottaa alan parasta asiakaskokemusta”, Fennian kehitysjohtaja Patrik Serén sanoo. Käytännössä Fennia rakentaa uuden vakuutusliiketoiminnan nykyisen rinnalle sen sijaan, että lähtisi kehittämään nykyistä. Saman mittaluokan uudistusta ei ole aikaisemmin Suomessa tehty.
Julkaistu 7.9.2021
Edustimme OP Ryhmää sen syventäessä digitaalisten ja ICT-palvelujensa ulkoistamiseen liittyvää kumppanuutta CGI:n kanssa. Uuden sopimuksen myötä CGI vastaa jatkossa OP:n vakuutustoiminnan sovelluskehityksestä ja tuottaa sille monenlaisia digitaalisia palveluja. CGI:n ja OP Ryhmän yhteistyö alkoi vuonna 2013. Nykyisin OP Ryhmää palvelee kansainvälisesti yli 600 CGI:n työntekijää. OP Ryhmän keskeisimpinä tavoitteina yhteistyössä on parantaa IT-palvelujen arvonluontikykyä ja kustannustehokkuutta ja tätä kautta OP Ryhmän asiakas- ja työntekijäkokemusta. CGI:llä on maailmanlaajuisesti 76 000 konsulttia ja muuta asiantuntijaa. Se tarjoaa kokonaisvaltaista palveluvalikoimaa asiakkaiden liiketoiminnan ja IT-ratkaisujen kehittämiseen, integrointiin ja hallintaan. OP Ryhmä on Suomen suurin finanssiryhmä, ja se on kokonaan asiakkaidensa omistama. OP Ryhmällä on yli 12 000 työntekijää, noin 3,3 miljoonaa yksityisasiakasta, 300 000 yritysasiakasta ja kaksi miljoonaa omistaja-asiakasta. OP Ryhmän muodostavat 137 itsenäistä osuuspankkia sekä ryhmän keskusyhteisö OP Osuuskunta tytär- ja lähiyhteisöineen.
Julkaistu 30.3.2021
Avustimme asiakastamme merkittävän toimintojen uudelleenorganisointi- ja ulkoistamissuunnitelman toteuttamisessa. Suunnitelma liittyi asiakkaamme ydinliiketoimintaan kuuluvan toimintamallin muutokseen. Toimeksianto koski niin muutosprosessin suunnittelua, aikatauluttamista kuin toteuttamista, ja asiakkaamme sai toimintamallin muutoksen toteutettua hallitusti tavoitellussa aikataulussa. Toimeksiannon hoitaminen edellytti tiimiltämme syvällistä työ- ja yhteistoimintalainsäädännön tuntemusta, asiakkaamme liiketoiminnan ja tavoitteiden sisäistämistä sekä käytännönläheistä otetta.
Julkaistu 20.10.2017