Så följer du EBA:s riktlinjer vid outsourcing av IT-tjänster i fintech – från riskbedömning till avtal och exitstrategier.

Blogg
Outsourcing av IT-tjänster i fintech

För fintechbolag är outsourcing till IT-leverantörer en förutsättning för att driva innovation – från betalplattformar och kundgränssnitt till datalagring och molninfrastruktur. Men outsourcing inom finanssektorn omfattas av särskilda regelverk som ställer höga krav på både processen och leverantörerna. Här kan en specialiserad fintechjurist vara avgörande för att säkerställa regelefterlevnad.

Ett centralt regelverk är EBA:s riktlinjer för utkontraktering (outsourcing). Dessa riktlinjer innehåller detaljerade krav på hur de fintechbolag som träffas ska utvärdera, dokumentera och kontrollera externa IT-leverantörer – särskilt när det rör kritiska eller viktiga funktioner i den egna verksamheten.

När räknas IT-leverantören som en del av en kritisk funktion?

EBA:s riktlinjer (EBA/GL/2019/02) gäller för institut, betalningsinstitut och institut för elektroniska pengar. Om en IT-tjänst klassificeras som en kritisk eller viktig funktion enligt riktlinjerna, exempelvis vid drift av betalsystem, ställs omfattande krav enligt riktlinjerna. Det innebär bland annar att fintechbolag måste:

Identifiera risker och bedöma IT-leverantörens förmåga och kapacitet.
Säkerställa att det finns ett skriftligt avtal som uppfyller de regulatoriska kraven.
Ha kontrollmekanismer för att följa upp och utvärdera leverantörens prestanda över tid.
Det räcker alltså inte att teckna ett avtal med fördelaktiga kommersiella villkor – kontroll, transparens och möjlighet till tillsyn måste vara inbyggda i hela samarbetet.

Kontroll av IT-leverantören – så uppfyller du EBA:s krav

Riktlinjerna innebär att fintechbolaget ska säkerställa att de behåller kontrollen över sin egen verksamhet. Därför måste avtalet med IT-leverantören innehålla tydliga rättigheter och skyldigheter som möjliggör fortsatt tillsyn och styrning. Detta innebär bland annat:

Rätt till revision och fysisk åtkomst till leverantörens lokaler, system och data.
Kontroll över eventuell vidare utkontraktering – leverantören får inte anlita underleverantörer utan godkännande.
Möjlighet att få ut all relevant dokumentation och rapportering löpande.
Avtalade exitstrategier för att säkerställa övergången vid uppsägning eller kris.

Det finns även ytterligare krav enligt andra regelverket som är relevanta att ta hänsyn till vid utkontraktering. Exempelvis vid överföringar av personuppgifter till tredje land tillkommer särskilda krav enligt GDPR, som också måste tillgodoses i avtalet.

Praktiska råd vid upphandling av IT-leverantörer

Fintechbolag bör tänka på följande vid outsourcing till IT-leverantörer enligt EBA:s riktlinjer:

Bedöm om tjänsten klassificeras som kritisk eller viktig, det vill säga om ett fel i tjänsten väsentligt skulle påverka verksamhetens kontinuitet,regelefterlevnad, finansiella ställning eller kvaliteten på de tjänster som tillhandahålls kunder.
Genomlysning av leverantören, inklusive bedömning av informationssäkerhet, regelefterlevnad och operativ kapacitet
Säkerställ avtalsvillkor som uppfyller EBA:s krav på kontroll, revision och notifiering.
Upprätta ett register över all utlagd verksamhet – alla kritiska funktioner och underlag ska finnas tillgängliga för tillsynsmyndigheter.
Planera exitstrategier redan i upphandlingsfasen – så att verksamheten kan fortsätta utan avbrott, även vid återtagande av funktionen eller leverantörsbyte.

Att välja rätt IT-leverantör handlar inte bara om teknik och pris – utan om att uppfylla komplexa juridiska och regulatoriska krav från första dagen.

På Morling Consulting hjälper våra fintechjurister bolag att upphandla och förhandla avtal med IT-leverantörer i enlighet med EBA:s regler om utkontraktering.