Jurainfo logo
LUK
Juridiske nyheder Kurser Find juridisk specialist Jobbørs Domme
Om Jurainfo Podcasts Juridiske links Privatlivspolitik Kontakt
Ansøg om en profil Bliv kursusudbyder Bliv jobannoncør
Artikel

Det svenske finanstilsyn giver påtale og bøde for manglende kontrol med outsourcing­leverandør

Kromann Reumert
19/04/2017
Det svenske finanstilsyn giver påtale og bøde for manglende kontrol med outsourcing­leverandør
Det svenske finanstilsyn (Finansinspektionen) har for nylig tildelt bøder på hhv. 30 og 25 millioner svenske kroner til de svenske selskaber Nasdaq Stockholm AB og Nasdaq Clearing AB (Nasdaq Sverige). Bøderne blev givet, fordi Nasdaq Sverige ikke havde sikret sig tilstrækkeligt imod risiciene for cyberangreb og ikke havde kontrol med kvaliteten af de ydelser, som deres outsourcingleverandør – moderselskabet Nasdaq, Inc. (Nasdaq US) – leverede. Nasdaq Sverige har appelleret bøderne.


SAGEN KORT


Nasdaq Sverige er, ligesom finansielle virksomheder i Danmark, underlagt krav i forbindelse med deres outsourcingaktiviteter, herunder i forhold til 1) hvad der kan outsources, og 2) outsourcingaftalens udformning og den løbende kontrol hermed. Det er netop disse to forhold, som det svenske finanstilsyn ikke mener, at Nasdaq Sverige har levet op til.

Nasdaq Sverige har i dag outsourcet dele af deres IT, herunder IT-sikkerhed, til Nasdaq US. Outsourcingen er baseret på to generelle aftaler, der summarisk beskriver de leverede ydelser og giver Nasdaq Sverige begrænsede muligheder for at overvåge og kontrollere kvaliteten af ydelserne over for Nasdaq US. Det svenske finanstilsyn vurderede, at Nasdaq US' risk management og business continuity-planer ikke tager tilstrækkeligt højde for risikoen for cyberangreb, eller de procedurer, der skal iværksættes i tilfælde af, at Nasdaq Sverige bliver ramt af et angreb. Tilsynet lagde i den forbindelse også vægt på, at planerne er af generel karakter, og ikke tager højde for lokale svenske forhold.


KONTROLLEN SKÆRPES


Samlet takserer det svenske finanstilsyn overtrædelserne til bøder på hhv. 30 og 25 millioner svenske kroner, men lader dog Nasdaq Sverige beholde deres tilladelser. Ved bødefastsættelsen er der blandt andet taget højde for de faktiske og potentielle konsekvenser på det finansielle system, som overtrædelsen har haft og kunne have haft. Nasdaq Sverige har appelleret bøderne til Förvaltningsrätten i Stockholm.

Afgørelsen nævner derudover, at outsourcing til et moderselskab ikke giver carte blanche til at læne sig tilbage og se til i den tro, at moderselskabets IT-sikkerhed og business continuity-planer er tilstrækkelige, hvis ikke de konkret tager højde for den outsourcende virksomheds forhold og aktiviteter, og tilpasses hertil. Outsourcingvirksomhedens forpligtelse til at kontrollere kvaliteten af de leverede ydelser, forsvinder heller ikke, fordi det er moderselskabet, der leverer ydelserne.


EN GOD KONTRAKT ER ET MUST


De regler, det svenske finanstilsyn har udstedt bøderne på baggrund af, bygger på EU-lovgivning, som også gælder i Danmark. Hertil kommer, at såvel clearingcentraler, børser og finansielle virksomheder i Danmark er underlagt reglerne i outsourcingbekendtgørelsen, der ved outsourcing af væsentlige aktivitetsområder stiller skærpede krav til outsourcingkontrakten, og hvad den outsourcende virksomhed skal sikre sig fra en outsourcingleverandør.

Finansielle virksomheder mm., der ønsker at outsource, skal således blandt andet sikre sig, at kontrakten klart beskriver de outsourcede ydelser og giver mulighed for at overvåge kvaliteten, herunder gennem løbende rapportering og underretning. I lyset af det svenske finanstilsyns afgørelse er der ingen tvivl om vigtigheden af, at man som finansiel virksomhed har fokus på de særlige krav, der gælder ved outsourcing, når man udarbejder outsourcingkontrakter – også selvom det blot sker til et koncernselskab. Se også vores artikel: Finanstilsynet uddyber krav til finansielle virksomheders cloud-løsninger.

Læs de to afgørelser fra det svenske finanstilsyn:
Nasdaq Stockholm AB
Nasdaq Clearing AB






Gå ikke glip af vigtig juridisk viden - Tilmeld dig vores gratis nyhedsservice her →
Artikler, der kunne være relevante for dig
VIRK23 er på gaden
VIRK23 er på gaden
16/04/2024
Kontraktret, IT- og telekommunikation, Persondata
EUs nye AI-forordning (AI Act) vedtages snart
EUs nye AI-forordning (AI Act) vedtages snart
26/04/2024
EU-ret, IT- og telekommunikation, Øvrige
Når klagen ikke er helt på plads
Når klagen ikke er helt på plads
21/05/2024
Udbud, IT- og telekommunikation
AI-forordningen endelig vedtaget i EU
AI-forordningen endelig vedtaget i EU
28/05/2024
EU-ret, Immaterialret, Persondata, IT- og telekommunikation
Hvad betyder den ”risikobaserede tilgang” i AI-forordningen i virkelighedens verden?
Hvad betyder den ”risikobaserede tilgang” i AI-forordningen i virkelighedens verden?
11/07/2024
EU-ret, IT- og telekommunikation, Øvrige
Principiel dom om fortolkning af ansvarsbegrænsningsklausul
Principiel dom om fortolkning af ansvarsbegrænsningsklausul
12/08/2024
IT- og telekommunikation, Kontraktret
Jurainfo logo

Jurainfo.dk er landets største juridiske nyhedsside. Her finder du juridiske nyheder, kurser samt ledige juridiske stillinger. Vi hjælper dagligt danske virksomheder med at tilegne sig juridisk viden samt at sætte virksomheder i forbindelse med den rigtige juridiske rådgiver, når de har brug for råd og vejledning.

Jurainfo.dk ApS
CVR-nr. 38375563
Vandtårnsvej 62B, DK-2860 Søborg
(+45) 71 99 01 11
kontakt@jurainfo.dk
Ønsker du at udgive materiale?
2024 © Jurainfo.dk - Juridiske nyheder og arrangementer samlet ét sted