Richtsnoeren van kracht voor uitbesteden naar de cloud

In augustus treden de richtsnoeren van de European Securities and Markets Authority (ESMA) in werking voor het uitbesteden naar aanbieders van clouddiensten. Ze zijn van toepassing op vrijwel alle organisaties die beschikken over een vergunning van ESMA of de Autoriteit Financiële Markten (AFM), waaronder beleggingsinstellingen en -ondernemingen.

De richtsnoeren bevatten een combinatie van vereisten voor de organisatie inrichting (beleid en procedures), elementen die in contracten en Service Level Agreements terug moeten komen en onderdelen waarvoor een vastlegging aanwezig moet zijn.

Voor reeds bestaande contracten en afspraken die betrekking hebben op outsourcing naar Cloud Service Providers, hebben organisaties tot eind volgend jaar de tijd om aanpassingen door te voeren.

Waar het kritieke en/of belangrijke functies betreffen die uitbesteed worden aan een Cloud Service Provider, moet men na deze deadline de bevoegde autoriteit hiervan op de hoogte stellen, inclusief een plan van maatregelen om de herziening (of exit strategie) af te ronden.

De richtsnoeren moeten helpen om risico’s te beperken bij het uitbesteden naar de cloud. De ESMA-richtsnoeren geven richting om organisaties te helpen bij het identificeren, aanpakken en bewaken van risico’s die voortvloeien uit cloud-outsourcingsovereenkomsten en helpen bij een gemeenschappelijke aanpak hiervan in de EU. De toezichthouder

ESMA heeft negen richtsnoeren gedefinieerd op voor Governance, Oversight and documentation, Pre-outsourcing analysis and due diligence, Key contractual elements, Information security, Exit strategies, Access and Audit Rights, Sub-outsourcing, Written notification to competent authorities en Supervision of cloud outsourcing arrangements. Voor ieder van deze onderwerpen zijn vervolgens diverse sub-richtsnoeren opgenomen.