6 Utkontraktering av virksomhet på finansområdet
6.1 Bakgrunnen for lovforslagene
Banklovkommisjonen foreslo i NOU 2001: 23 Finansforetakenes virksomhet, avgitt til Finansdepartementet 29. juni 2001, lovregler om utkontraktering. Det ble i utkastet § 10-3 blant annet foreslått at et finansforetak skulle kunne gi et annet foretak i oppdrag å utføre enkelte avgrensede deler av den virksomhet det driver på grunnlag av konsesjon, samt at finansforetaket ikke må bruke oppdragstakere i et omfang eller på felter som innebærer at det overlater utførelsen av vesentlige deler av konsesjonspliktig virksomhet til andre, og heller ikke på en slik måte at tilsynet med dets samlede virksomhet blir vanskeliggjort. Det ble også foreslått en plikt for finansforetak til å gi Finanstilsynet melding om avtale om bruk av oppdragstaker samt en adgang for tilsynet til å på nærmere vilkår gi pålegg om oppsigelse av avtalen. NOU 2001: 23 Finansforetakenes virksomhet ble sendt på høring 5. juli 2001 med høringsfrist 5. november 2001.
Deler av NOU 2001: 23 har blitt fulgt opp i Ot.prp. nr. 104 (2001–2002) Om lov om endringer i lov 10. juni 1988 nr. 40 om finansieringsvirksomhet og finansinstitusjoner (verdipapirisering og obligasjoner med særskilt sikkerhet) og i Ot.prp. nr. 44 (2005–2006) Om lov om endringer i lov 18. juni 1993 nr. 109 om autorisasjon av regnskapsførere (regnskapsførerloven), lov 15. januar 1999 nr. 2 om revisjon og revisorer (revisorloven), lov 10. juni 1988 nr. 40 om finansieringsvirksomhet og finansinstitusjoner (finansieringsvirksomhetsloven) og enkelte andre lover.
I brev 3. juni 2010 ba Finansdepartementet Finanstilsynet om å redegjøre for rammeverket for utkontraktering av virksomhet under Finanstilsynets tilsyn og tilsynets myndighet i forbindelse med slik utkontraktering, og gi en vurdering av om det var behov for endringer eller utvidelse av tilsynets kompetanse på området.
I brev 30. september 2010 svarte Finanstilsynet at de var positive til en generell lovregulering av utkontraktering, og til at det ble etablert et klart rettslig grunnlag for at tilsynet kunne gripe inn overfor uønsket utkontraktering i tråd med forslaget fremsatt av Banklovkommisjonen i NOU 2001: 23. Finanstilsynet skrev videre at det burde vurderes å lovfeste overordnede regler for andre virksomheter som er under tilsyn av Finanstilsynet. Finanstilsynet foreslo også lovfesting av en generell meldeplikt for utkontraktering av virksomhet som er virksomhetskritisk, samt et klart rettslig grunnlag for at Finanstilsynet kan kreve at utkontraktering bringes til opphør innen en fastsatt frist.
Banklovkommisjonen avga 27. mai 2011 utredningen NOU 2011: 8 Ny finanslovgivning til Finansdepartementet. I utredningen kapittel 10.2.5 drøfter kommisjonen finansforetakenes bruk av oppdragstakere ved utførelse av arbeidsoppgaver (utkontraktering), og foreslår i sitt utkast til ny finansforetakslov § 2-24 en bestemmelse om finansforetakenes utkontraktering av virksomhet. Banklovkommisjonen viste videre til at det ikke burde være noe i veien for at det inntas en generell inngrepshjemmel om utkontraktering i finanstilsynsloven som kan supplere de regler som følger av utkastet til ny finansforetakslov.
I brev 26. april 2013 ba Finansdepartementet Finanstilsynet om å vurdere beredskap for hendelser i den finansielle infrastrukturen, herunder behovet for regelverksendringer. Finanstilsynet ga slik vurdering i brev 19. juni 2013 til Finansdepartementet. Med henvisning til Finanstilsynets brev 30. september 2010 og Banklovkommisjonens utkast i NOU 2011: 8 uttalte Finanstilsynet at bruk av oppdragstakere burde lovreguleres, og videre at det burde innføres en generell meldeplikt ved utkontraktering av IKT-virksomhet som er av vesentlig betydning for foretaket selv og/eller markedet.
I brev 3. oktober 2013 til Finansdepartementet har Finanstilsynet foreslått regler i finanstilsynsloven som kan bidra til å effektivisere tilsyn med og presisere Finanstilsynets adgang til å gripe inn ovenfor utkontraktering av virksomhet i institusjoner under tilsyn. Finanstilsynet foreslår 1) en bestemmelse med krav om meldeplikt for institusjoner under tilsyn av Finanstilsynet ved inngåelse av avtale om utkontraktering av virksomhet og 2) en hjemmel for Finanstilsynet til å sette vilkår for utkontraktering, eller gi foretaket pålegg om å ikke iverksette eller om å avslutte et utkontrakteringsoppdrag. Bakgrunnen for forslaget er behovet for en klar generell hjemmel for Finanstilsynet til å gripe inn overfor utkontraktering som er i strid med regelverket på finansmarkedsområdet eller som er lite betryggende ut fra de hensyn dette regelverket skal ivareta, i lys av en økende tendens til at foretak under Finanstilsynets tilsyn utkontrakterer sin virksomhet.
6.2 Gjeldende rammer for finansinstitusjoners utkontraktering av virksomhet
Finansinstitusjoner har en viktig rolle i moderne samfunn. Det er krav om konsesjon for å drive virksomhet som finansinstitusjon, og finansinstitusjoner har enerett til visse typer virksomhet. Finansinstitusjonene er særskilt regulert med krav til blant annet hvordan virksomheten utføres samt minstekrav til kapital og likviditet. De er også underlagt tilsyn, og det er begrensninger på hva finansinstitusjoner kan drive med av annen virksomhet enn det de har fått tillatelse til.
I NOU 2011: 8 Ny finanslovgivning viser Banklovkommisjonen til at det ikke er generelle lovregler om finansinstitusjoners adgang til å utkontraktere deler av sin virksomhet. Med begrepet utkontraktering menes i denne sammenheng å benytte oppdragstakere til å få utført arbeidsoppgaver som alternativt kunne vært utført av finansinstitusjonen selv. Begrepet oppdragstakere omfatter andre juridiske personer enn finansinstitusjonen, også andre foretak som direkte eller indirekte har samme eier.
Det følger av finansieringsvirksomhetsloven § 2-9 annet ledd at en finansinstitusjon skal organiseres og drives på en forsvarlig måte. Både konsesjonskravene og kravene om forsvarlig organisering og drift legger føringer for hvordan blant annet utkontraktering kan og bør organiseres. Etter dagens konsesjonspraksis på finansområdet skal normalt kjerneoppgaver, dvs. oppgaver som er nødvendig og integrert del av den konsesjonsbelagte virksomhet, beholdes i foretaket. Videre vil det ofte være stilt eksplisitte vilkår knyttet til tillatelser til å drive virksomhet på finansområdet som begrenser adgangen til å utkontraktere, og vilkår om at utkontraktering av oppgaver eller deler av virksomheten som ikke er kjerneoppgaver, i tilfelle bare kan gjennomføres på en måte som ikke svekker muligheten for forsvarlig tilsyn.
På enkelte områder er det gitt lovregler som eksplisitt tillater utkontraktering av virksomhet. Pensjonskasser kan i medhold av forsikringsvirksomhetsloven § 7-7 tredje og fjerde ledd utkontraktere sentrale deler av sin virksomhet. Utkontraktering av virksomhet i verdipapirforetak er regulert i verdipapirhandelloven § 9-11 annet ledd.
Forskrift 21. mai 2008 nr. 630 om bruk av informasjons- og kommunikasjonsteknologi (IKT-forskriften) § 12 fastsetter at foretak har ansvar for at IKT-virksomheten oppfyller alle krav som følger av forskriften, også i de tilfeller der hele eller deler av IKT-virksomheten er utkontraktert. Utkontrakteringsavtalen mellom foretaket og oppdragstakeren skal sikre at Finanstilsynet gis tilgang til opplysninger fra, og tilsyn hos IKT-leverandøren når Finanstilsynet anser at slikt tilsyn er nødvendig som en del av tilsynet med foretaket. Tilsvarende bestemmelse finnes i forskrift 22. september 2008 nr. 1080 om risikostyring og internkontroll (internkontrollforskriften) § 5, som angir at foretak har ansvar for risikostyring og internkontroll også der deler av virksomheten er utkontraktert. Utkontrakteringsavtalen mellom foretaket og oppdragstakeren «skal sikre at Finanstilsynet gis tilgang til opplysninger fra og tilsyn med virksomheten der Finanstilsynet finner det nødvendig». I Finanstilsynets rundskriv 14/2010 datert 31. mai 2010 presiseres at IKT-oppgaver ikke kan utkontrakteres til landområder med høy risiko.
Et viktig generelt prinsipp ved finansinstitusjoners virksomhet er at opplysninger om kunder er konfidensielle. Personopplysningsloven setter grenser for behandling og lagring av slike personopplysninger. Personopplysningsloven pålegger den behandlingsansvarlige en rekke plikter i forbindelse med behandling av personopplysninger. I gjeldende finanslovgivning er det gitt regler om taushetsplikt i forretningsbankloven § 18, sparebankloven § 21, forsikringsvirksomhetsloven § 1-3, finansieringsvirksomhetsloven §§ 2a-13 og 3-14. Disse reglene går foran personopplysningslovens regler om utlevering av personopplysninger, jf. personopplysningsloven § 5, slik at personopplysninger ikke kan utleveres dersom dette er i strid med taushetspliktsbestemmelsene. Forretningsbankloven § 18 og sparebankloven § 21 pålegger taushetsplikt om «bankkundens forhold». Forsikringsvirksomhetsloven § 1-3 og finansieringsvirksomhetsloven § 3-14 pålegger taushetsplikt om «andres forretningsmessige eller private forhold».
Det framgår av lov 7. desember 1956 nr. 1 om tilsynet med finansinstitusjoner mv. (finanstilsynsloven) § 3 første ledd, at Finanstilsynet skal «se til at de institusjoner det har tilsyn med, virker på hensiktsmessig og betryggende måte i samsvar med lov og bestemmelser gitt i medhold av lov samt med den hensikt som ligger til grunn for institusjonens opprettelse, dens formål og vedtekter». Dette innebærer at Finanstilsynet blant annet skal håndheve de krav som stilles til institusjonen under tilsyn, herunder begrensningene i utkontraktering av virksomhet. Videre fremgår det av finanstilsynsloven § 4, som regulerer tilsynets adgang til å gi pålegg overfor institusjoner under tilsyn, i første ledd nr. 7 at Finanstilsynet har adgang til å pålegge de institusjoner det har tilsyn med «å rette på forholdet dersom en institusjons organer ikke har overholdt sine plikter i henhold til bestemmelser gitt i eller eller [sic] i medhold av lov, eller handlet i strid med konsesjonsvilkår. Det samme gjelder dersom institusjonens organer ikke har overholdt vedtekter eller interne retningslinjer fastsatt etter bestemmelser gitt i eller i medhold av lov». Disse bestemmelsene vil etter omstendighetene kunne gi Finanstilsynet adgang til å gripe inn overfor utkontraktering av virksomhet som anses i strid med lov, forskrift eller konsesjonsvedtak. Finanstilsynsloven inneholder imidlertid ingen særskilt hjemmel for Finanstilsynet til å gripe inn ved utkontraktering av virksomhet, ut over de mer generelle inngrepshjemlene som tilsynet har. I medhold av finanstilsynsloven § 3 annet ledd annet punktum har Finanstilsynet hjemmel til å kreve utlevering av alle dokumenter som er nødvendig for å utføre tilsynet.
Bankene er en svært viktig del av vår samfunnsøkonomiske infrastruktur, blant annet for oppbevaring av sparemidler og utføring av betalingstransaksjoner, herunder å motta kontantinnskudd og å utbetale kontanter. Banker har enerett til å ta imot innskudd fra publikum. Dette er en kjerneoppgave for bankene, og kan derfor i utgangspunktet ikke utkontrakteres. Det er av stor betydning at publikum har tilgang til bankinnskudd og betalingstjenester på en hensiktsmessig måte. Kunder må også ha adgang til å ta ut igjen sine innskudd. En bankkunde vil normalt ta kontakt med sin bank for å sette inn penger på konto, ta ut kontanter, betale regninger og få kontoinformasjon. Noen banker har over lang tid tilbudt en tjeneste kalt «bank i butikk». Denne tjenesten kan gi inntrykk av at bankene der overdrar oppgaven med å ta i mot innskudd fra allmennheten og andre oppgaver for kunden til dagligvarebutikker. Ved en slik tjeneste er det viktig at forholdet til bankenes innskuddsmonopol, hvem som på ethvert tidspunkt er ansvarlig for innskuddet etter at det er foretatt i butikken, jf. også finansavtaleloven § 27, og forholdet til taushetspliktregler og reglene om hvitvasking, avklares og håndteres etter gjeldende regelverk. Spørsmålet om kontanthåndtering i bankene kan også bli berørt. Etter det Finansdepartementet er kjent med, behandler bankene de aktuelle butikkene som agenter. Begrepet agent er ikke entydig definert, og kan ha flere betydninger, reelt og formelt. Etter gjeldende rett må bruk av en «agent» i dette tilfellet, for at det ikke skal ha skjedd en urettmessig utkontraktering, innebære at kunden får godskrevet sitt innskudd på samme måte som kunden ville ha fått hvis kunden hadde henvendt seg direkte i en av bankens filialer, og dette uansett om innskudd skjer kontant eller ved overføring fra en konto til en annen. Bruk av agent vil for øvrig ikke på noen måte endre bankenes enerett til å ta imot innskudd og andre tilbakebetalingspliktige midler fra allmennheten, samt bankenes enerett og plikt til håndteringen av kontanter. Denne type agentvirksomhet reiser også flere andre problemstillinger, blant annet spørsmål om håndtering av personopplysninger og hvitvasking.
Virksomhet som ikke er kjerneoppgaver, kan i noen tilfelle på nærmere vilkår utkontrakteres. Denne typen utkontraktering reiser en rekke problemstillinger, blant annet spørsmål knyttet til vern av personopplysninger, sikring av IKT-systemer og annen finansiell infrastruktur, beredskap og håndtering av hendelser på en trygg og effektiv måte og mulighet for tilsyn med den utkontrakterte virksomheten.
Oppmerksomheten om behovet for vern av konfidensielle personopplysninger har økt de siste årene, samtidig som omfanget av digital informasjon om den enkelte har økt. Misbruk av slik informasjon kan ta mange former, både i form av kriminell virksomhet og identitetstyveri, men også i form av misbruk gjennom kobling av personinformasjon til kommersielle formål. Vernet av konfidensiell informasjon ved utkontraktering er blitt et mer viktig område både for myndigheter og for institusjonene under tilsyn.
Ved utkontraktering av oppgaver til foretak i andre jurisdiksjoner kan problemstillingene nevnt i foregående avsnitt i enda større grad aktualiseres. Det vil derfor kunne ha betydning for vurderingen av om utkontrakteringen er i tråd med regelverket, om utkontrakteringen skjer til et foretak i en annen jurisdiksjon, herunder om utkontraktering skjer til et foretak i en jurisdiksjon innenfor eller utenfor EØS.
Utkontraktering av for eksempel IKT-oppgaver til foretak i andre jurisdiksjoner vil kunne innebære at personopplysninger og andre data sendes over landegrensene. Dette reiser spørsmål om hvilken jurisdiksjon som faktisk regulerer håndteringen av dataene og om regelverket som gjelder er betryggende tatt i betraktning de hensyn som norsk lovgivning på området skal ivareta, for eksempel knyttet til personvern, taushetsplikt og tilsynsmyndigheters adgang til opplysninger. Hvorvidt Finanstilsynet vil være sikret adgang til å få utlevert informasjon hos oppdragstakeren vil derfor være et relevant moment ved vurderingen av risiko forbundet med utkontraktering og eventuelle begrensninger som eventuelt må fastsettes.
6.3 Banklovkommisjonens utkast i NOU 2011: 8 Ny finanslovgivning
Banklovkommisjonen viser i NOU 2011: 8 Ny finanslovgivning til at spørsmålet om finansforetaks adgang til å benytte oppdragstakere til å få utført arbeidsoppgaver som ellers omfattes av deres konsesjon og vanlige virksomhet, ikke har vært gjenstand for alminnelig lovregulering.
Banklovkommisjonen fremholder at finansforetakenes bruk av oppdragstakere etter hvert er blitt så omfattende og mangeartet at foretakenes adgang til å overlate arbeidsoppgaver som inngår i virksomheten til oppdragstakere, bør avklares ved bestemmelser i den nye finanslovgivningen:
«Det naturlige utgangspunkt for en lovregulering er at finansforetakene, særlig ut fra kostnads- og effektiviseringshensyn, bør ha en ganske vid adgang til å gjøre bruk av oppdragstakere i sin virksomhet. Banklovkommisjonen viser til at finansforetakenes behov for å kunne sette bort arbeidsoppgaver til ulike typer av oppdragstakere i hovedsak kan tilbakeføres til forhold og utviklingstendenser av vesentlig og økende betydning for næringsvirksomhet i sin alminnelighet, både nasjonalt og internasjonalt.»
Om bakgrunnen for utkontraktering av virksomhet i finansnæringen uttaler Banklovkommisjonen blant annet:
«Bruk av oppdragstakere kan være nødvendig for å få tilgang til spesialkompetanse som ikke vil være tilgjengelig eller kan bygges opp innenfor egen organisasjon, eller for å oppnå tilgang til markeder eller distribusjonskanaler for egne produkter som ellers er utenfor rekkevidde. Hovedårsaken vil imidlertid gjennomgående ha sammenheng med foretakets konkurranseforhold og det kontinuerlige behov for kostnadsreduksjon og effektivisering av foretakenes virksomhet generelt sett. I så måte står de ulike deler av finansnæringen ikke i noen særstilling.»
Banklovkommisjonen viser blant annet til følgende som eksempler på oppgaver som i praksis utkontrakteres:
«De ulike finansforetaks bruk av oppdragstakere varierer en god del. Vanlige oppdrag vil gjelde arbeidsoppgaver knyttet til personal- og administrasjonsfunksjoner, økonomi- og kapitalforvaltning, aktuartjenester mv., men for eksempel for mindre pensjonskasser er det ikke uvanlig at det aller meste av virksomheten – unntatt det overordnede ansvar – bortsettes til andre, se Utredning nr. 12, NOU 2004: 24 Pensjonskasselovgivningen. Konsolidert forsikringslov side 95 til 96 om såkalte «nøkkelferdige pensjonskasser». Omvendt kan det dreie seg om spesialiserte oppdrag, for eksempel hvis en bank eller annet finansforetak overlater til et inkassoforetak å foreta innkreving av forfalte eller misligholdte lån, se Banklovkommisjonens Utredning nr. 5, NOU 1999: 31 Oppkjøp og inndriving av fordringer, avsnitt 4.5.3.»
Etter Banklovkommisjonen vurdering gjør det seg gjeldende særlige hensyn som tilsier at finansforetakenes adgang til å benytte oppdragstakere i sin virksomhet likevel må undergis visse begrensninger:
«Det er etter Banklovkommisjonens oppfatning flere forhold som medfører at bruk av oppdragstakere reiser særlige spørsmål på finansområdet. For det første, et finansforetak driver konsesjonspliktig virksomhet. Konsesjon meddeles etter en vurdering fra konsesjonsmyndighetens side av det enkelte foretaks forutsetninger for å drive den virksomhet som omfattes av den enkelte konsesjon på en forsvarlig måte i samsvar med de hensyn finanslovgivningen skal ivareta. Det er derfor selvsagt at et finansforetak ikke har adgang til å overlate til et annet foretak å forestå utførelsen av hele den virksomhet som kan drives i henhold til foretakets konsesjon. Også bruk av oppdragstakere for å få utført sentrale deler av konsesjonspliktig virksomhet reiser særlige problemer, enten fordi oppdragstakere ikke har tilsvarende konsesjon eller – dersom dette er tilfellet – fordi det dreier seg om en form for samarbeid mellom ellers uavhengige finansforetak. Dessuten kreves det i lovgivningen at finansforetak skal organisere og drive sin virksomhet på forsvarlig måte innenfor betryggende styrings- og kontrollsystemer som omfatter den samlede virksomhet, jf. lovutkastet kapittel 13.
Omfattende bruk av oppdragstakere kan representere en betydelig utfordring i denne sammenheng, blant annet fordi det kan vanskeliggjøre så vel foretakets egen overordnede styring av virksomheten som det offentlige tilsyn med finansforetaket og dets virksomhet. Omfanget og arten av de arbeidsoppgaver som overlates til én eller flere oppdragstakere og forholdet mellom utsatte arbeidsoppgaver og den samlede virksomhet i et finansforetak, vil da være relevante forhold ved vurderingen. Det samme gjelder omfanget og arten av kundeopplysninger undergitt taushetsplikt som oppdragstakeren vil trenge for å utføre oppdraget, samt tiltakene fra finansforetakets side for å påse at oppdragstakeren overholder taushetsplikten etter lovutkastet § 9-7. Om oppdragstakeren selv er et finansforetak undergitt tilsyn i Norge eller i annen EU/EØS stat, vil også kunne ha betydning. Det samme vil for øvrig også gjelde størrelsen av finansforetaket. Hensynet til rasjonell drift i mindre foretak setter således i praksis grenser for i hvilken utstrekning det enkelte foretak kan bygge opp slik egen kapasitet og kompetanse på en rekke områder som trengs for at foretaket skal kunne hevde seg på finansmarkedet i konkurranse med foretak innenfor ulike finansgrupperinger.
På bakgrunn av disse forhold mener Banklovkommisjonen at grenser for finansforetaks adgang til å bruke oppdragstakere vanskelig kan fastsettes i konkrete regler. Variasjonsbredden er stor med til dels betydelige forskjeller mellom de ulike tilfelle som kan oppstå i praksis. Samtidig er det prinsipielt viktig at det av loven fremgår at finansforetakenes adgang til å bruke oppdragstakere, må undergis begrensninger når dette er nødvendig for at de vesentlig offentligrettslige hensyn som ligger til grunn for finanslovgivningen skal sikres gjennomslag. Det er derfor behov for et vesentlig unntak fra hovedregelen om at finansforetak kan gjøre bruk av oppdragstakere i sin virksomhet.»
Etter Banklovkommisjonens oppfatning bør det generelt kreves av finansforetak at oppdragstakere ikke blir benyttet i et omfang eller på en måte som ikke kan anses som betryggende i forhold til de krav som stilles til styring av finansforetakets samlede virksomhet. Det vises videre til at vurdering av enkelttilfelle for øvrig vil være en oppgave for tilsynsmyndighetene, jf. den påleggshjemmel for Finanstilsynet som foreslås i utkastets § 2-24 første ledd annet punktum.
Banklovkommisjonen viser til at kommisjonen har lagt stor vekt på reglene om utkontraktering («outsourcing») i Europaparlaments- og rådsdirektiv 2009/138/EF av 25. november 2009 om adgang til å starte og utøve forsikrings- og gjenforsikringsvirksomhet (Solvens II) (heretter forsikringsdirektivet) ved utformingen av utkastet til § 2-24 i ny finansforetakslov. Bestemmelsene om utkontraktering i forsikringsdirektivet følger to hovedspor. For det første, i direktivets fortale punkt 37 og i artikkel 38 legges hovedvekten på å sikre at den utkontrakterte virksomhet forblir fullt ut undergitt offentlig tilsyn. Medlemsstatene plikter å stille de vilkår for utkontrakteringen og i forhold til oppdragstakeren som trengs for at tilsynet ikke vanskeliggjøres. Formålet er å sikre at oppdragstakeren samarbeider med tilsynsmyndigheten og gir tilgang til opplysninger og adgang til stedlig tilsyn. For det annet inneholder direktivet artikkel 49 regler som setter vilkår for et forsikringsforetaks adgang til utkontraktering av deler av virksomheten. Det fastsettes generelt at foretaket fortsatt skal ha det fulle ansvar for at dets plikter i henhold til direktivet vil bli oppfylt. Dessuten setter artikkel 49 nr. 2 forbud mot at «critical or important operational functions or activities» blir utkontraktert på en måte som vil:
«[...]
materially impairing the quality of the system of governance of the undertaking»
unduly increasing the operational risk,
impairing the ability of the supervisory authorities to monitor compliance of the undertaking with its obligations,
undermining the continuous and satisfactory services to policy holders.»»
I direktivet artikkel 49 fremgår det at utkontraktering av «critical or important operational functions or activities» ikke skal kunne gå på bekostning av ulike styrings-, risiko-, tilsyns- og kundehensyn knyttet til det forsikringsforetak som utkontrakterer deler av sin virksomhet. Videre fremgår det av direktivet artikkel 39 at utkontraktert virksomhet fortsatt skal være undergitt betryggende tilsyn og kontroll fra tilsynsmyndigheter og revisorer.
Banklovkommisjonen gir uttrykk for at dette er viktige elementer som bør gjelde for finansforetak generelt. Banklovkommisjonen viser i denne sammenhengen til at selv om kredittinstitusjonsdirektivet (direktiv 2000/12/EF) ikke inneholder tilsvarende bestemmelser om utkontraktering som forsikringsdirektivet, så inneholder imidlertid direktivets artikkel 22 et alminnelig krav til kredittinstitusjonenes «system of governance» som omfatter de samme forhold som forsikringsdirektivet artikkel 41. Dette gir etter kommisjonens syn et visst grunnlag for å anta at bestemmelsen vil bli anvendt i det store og hele på en måte som er i samsvar med forsikringsdirektivet artikkel 49.
6.4 Høring
Banklovkommisjonens Utredning nr. 24, NOU 2011: 8 Ny finanslovgivning ble sendt på høring 31. mai med høringsfrist 30. september 2011.
Høringen ble sendt til følgende instanser:
Alle departementene
Akademikerne
Aksjonærforeningen i Norge
AktuarKonsulenters Forum
Arbeids- og velferdsdirektoratet
Arbeidsgiverforeningen Spekter
Banklovkommisjonen
Brønnøysundregistrene
Coop Norge SA
Datatilsynet
Den Norske Advokatforening
Den Norske Aktuarforening
Den norske Revisorforening
Econa
Eiendomsmeglerforetakenes Forening
Energibedriftenes Landsforening
Finansforbundet
Finansieringsselskapenes forening
Finansnæringens Arbeidsgiverforening
Finans Norge (da Finansnæringens Fellesorganisasjon)
Finanstilsynet
Folketrygdfondet
Forbrukerombudet
Forbrukerrådet
Handelshøyskolen BI
Handelshøyskolen i Bodø
Havtrygd Gjensidig Forsikring
HSH
Huseiernes Landsforbund
Høyskolen i Sogn og Fjordane
Imarex Nos ASA
Konkurransetilsynet
KS
Landsforeningen for trafikkskadde
Landsorganisasjonen i Norge
Likestillingsombudet
Lotteri- og stiftelsestilsynet
Nord Pool ASA
Nordic Association of Energy Traders (NAET)
Nordisk Energimeglerforbund (NEBA)
Norges Autoriserte Regnskapsføreres Forening
Norges Bank
Norges Bondelag
Norges Eiendomsmeglerforbund
Norges Fondsmeglerforbund
Norges Handelshøyskole
Norges Ingeniørorganisasjon
Norges Juristforbund
Norges Kommunerevisorforening
Norges Rederiforbund
Norges Røde Kors
Norges Skogeierforbund
Norsk Bedriftsforbund
Norsk Kapitalforvalterforening
Norsk Sjøoffisersforbund
Norsk Tillitsmann ASA
Norsk Venture
Norsk Øko-Forum
Norske Boligbyggelags Landsforbund
Norske Finansanalytikeres Forening
Norske Forsikringsmegleres Forening
Norske Kredittopplysningsbyråers Forening
NOS Clearing ASA
NTL-Skatt
Næringslivets Hovedorganisasjon
Oljeindustriens Landsforening
Oslo Børs
Pensjonskasseforeningen
Regjeringsadvokaten
Revisjonssjefkretsen
Riksadvokaten
Riksrevisjonen
Skattebetalerforeningen
Skattedirektoratet
Skatterevisorenes Forening
Småbedriftsforbundet
Sparebankforeningen i Norge
Statens Pensjonskasse
Statistisk sentralbyrå
Stortingets ombudsmann for forvaltningen
The Nordic Association of Marine Insurers (Cefor)
Tilsynsrådet for Advokatvirksomhet
Unio
Universitetet i Agder
Universitetet i Bergen
Universitetet i Oslo
Universitetet i Tromsø
Verdipapirfondenes Forening
Verdipapirsentralen
Yrkesorganisasjonenes Sentralforbund
Økokrim
Økonomiforbundet
Ingen av høringsinstansene har gått i mot forslaget i høringen. Finans Norge og Forbrukerombudet har opplyst at de har merknader til utkastet til regulering av utkontraktering.
6.5 Høringsinstansenes syn
Finans Norge støtter i hovedsak Banklovkommisjonens vurdering og forslag til regler om markedsadgang og konsesjoner i utkastet kapittel 2 og 4. I tilknytning til utkastet § 13-1 om krav til forsvarlig virksomhet uttaler Finans Norge bl.a. at det bør vurderes «om det er behov for bestemmelser om egnethet for ansatte i nøkkelposisjoner (fit and proper) og utkontraktering (outsourcing)».
Forbrukerombudet viser til at Forbrukerombudet i forskrift om kredittavtaler § 16 er gitt tilsyn med finansavtalelovens bestemmelser om markedsføring av kredittavtaler, og uttaler videre:
«Jeg er i forskrift med om [sic] kredittavtaler § 16 gitt tilsyn med finansavtalelovens bestemmelser om markedsføring av kredittavtaler. Gjennom dette tilsynsarbeidet ser jeg flere eksempler på bruk av oppdragstakere i forbindelse med markedsføring av kreditt. Foruten markedsføring fra tradisjonelle låneagenter har jeg de siste årene møtt visse utfordringer knyttet til internettbaserte kredittformidlingssider. Dette er gjerne websider, både norske og utenlandske, som presenterer annonser for ulike kredittytere. Jeg opplever det tidvis utfordrende å avdekke hvem som står bak websidene, det kan også være vanskelig å oppnå kontakt med disse, og det kan være utfordrende å få dem til å iverksette nødvendige endringer. Websidene markedsfører seg på lik linje med andre lånetilbydere og får på den måten forbrukere til å oppsøke siden. På annonsørens webside får forbrukerne presentert ulike annonser for kreditt og ved å klikke på annonsene blir man ledet til kredittyters hjemmeside, gjerne direkte til et søknadsskjema. Websiden får presumptivt en økonomisk kompensasjon for den trafikk de genererer videre til de enkelte kredittyterne.
Jeg opplever at det i denne gruppen av annonsører er flere aktører som har vanskelig med å etterleve finansavtalelovens bestemmelser. Dette gjelder i særlig grad markedsføring for egen nettside, men også når det gjelder informasjon knyttet til de ulike tilbud man finner på den aktuelle siden. Gjennom å benytte slike samarbeidspartnere kan finansforetakene potensielt oppnå et økt kundetilfang som følge av en pågående, villedende og utilstrekkelig informativ markedsføring.
Bestemmelsen som er foreslått i § 2-24 tredje ledd bør kunne tjene som en hjemmel for å holde foretak ansvarlig i tilfeller hvor oppdragstakere eksempelvis bryter markedsføringsloven eller finansavtaleloven. Dette bør etter mitt syn også gjelde dersom oppdraget utføres gjennom flere ledd, eksempelvis ved at oppdragstaker benytter ulike samarbeidspartnere. Det avgjørende bør etter mitt syn være at foretaket må være ansvarlig for hvordan dets tjenester presenteres for potensielle kunder. Om nødvendig bes det om at dette presiseres i kommentarene til § 2-24.»
6.6 Departementets vurdering
Banklovkommisjonen viser som nevnt over til at finansforetakenes bruk av oppdragstakere etter hvert er blitt så omfattende og mangeartet at foretakenes adgang til å overlate arbeidsoppgaver til en tredjepart bør avklares ved bestemmelser i finanslovgivningen. Departementet er enig i at det er flere forhold som medfører at bruk av oppdragstakere reiser særlige spørsmål på finansområdet.
Departementet slutter seg også til at det er naturlig å se hen til hvordan utkontraktering skal håndteres etter nytt EU-regelverk. Kredittinstitusjonsdirektivet er etter at Banklovkommisjonen avga sin utredning erstattet av direktiv 2013/36/EU (CRD IV-direktivet), som foreløpig ikke er tatt inn i EØS-avtalen. Bestemmelsen i kredittinstitusjonsdirektivet artikkel 22 synes her i stor grad videreført i artikkel 74. Departementet anser, som Banklovkommisjonen, at det uavhengig av dette neppe er noe til hinder for at nasjonale lovregler om utkontraktering generelt utformes med utgangspunkt i forsikringsdirektivet artiklene 38 og 49.
Utkontraktering har flere fordeler, både for finansinstitusjonene selv og for finansmarkedet som helhet. Institusjonene vil kunne skaffe den nødvendige ekspertise til en lavere kostnad, og derved øke sin konkurranseevne. Utkontraktering vil også kunne gi bedre og mer driftssikre tjenester ved å gi foretaket tilgang til et profesjonelt miljø av en viss kritisk størrelse. Slike større miljøer kan blant annet gi foretaket bedre tilgang til spisskompetanse og redusere dets avhengighet til nøkkelpersonell.
Utkontraktering kan imidlertid medføre utfordringer både for foretakene selv, andre markedsaktører og for tilsynsmyndighetene. Overføring av en funksjon til andre vil kunne svekke institusjonens kontroll med funksjonen og dens utførelse, og vil kunne skape et avhengighetsforhold til utenforstående. Valg av en tjenesteleverandør som ikke har den nødvendige kvaliteten kan lede til feil og forsinkelser som i verste fall kan medføre systemrisiko for markedet som helhet. I tillegg kan tilsynsmyndighetens tilgang til informasjon om institusjonenes virksomhet reelt sett kunne forsinkes eller reduseres.
Ved vurderingen av hvilken risiko som er forbundet med en utkontrakteringsavtale vil det være av stor betydning hvem utkontrakteringen skjer til, herunder om utkontrakteringen skjer eksternt eller til annet foretak i konsernet. Utkontraktering innenfor konsernet kan gi opphav til andre interessekonflikter enn ved utkontraktering til eksterne leverandører, det kan blant annet være uklart om tjenestene leveres på alminnelige forretningsmessige vilkår.
En finansinstitusjon kan i utgangspunktet ikke overlate til et annet foretak å forestå utførelsen av hele den virksomhet som kan drives i henhold til foretakets konsesjon. Adgangen til å utkontraktere avgrensede deler av virksomheten bør avhenge av hvor sentral oppgaven er i forhold til de oppgavene som omfattes av foretakets konsesjon. Oppgaver eller funksjoner som ikke er nødvendig for den konsesjonsbelagte virksomheten bør kunne tillates utkontraktert i noen utstrekning. Det bør også ha betydning om oppdragstaker er et foretak som har konsesjon og er underlagt tilsyn eller ikke, og hva slags relasjon det er mellom det foretaket som utkontrakterer virksomhet og oppdragstakeren.
Departementet legger opp til at lovreguleringen av utkontraktering på finansmarkedsområdet bør følge to hovedspor. For det første bør det være bestemmelser som regulerer adgangen til å utkontraktere virksomhet for de ulike kategorier foretak på finansmarkedsområdet. Departementet foreslår at finansinstitusjoners adgang til utkontraktering reguleres i en ny bestemmelse i finansieringsvirksomhetsloven § 2-17 a. For det annet bør det være bestemmelser i finanstilsynsloven som pålegger institusjonene under tilsyn meldeplikt ved utkontraktering og som gir Finanstilsynet adgang til på nærmere vilkår å gripe inn i utkontraktering av virksomhet i institusjoner under tilsyn, jf. forslaget til finanstilsynslov ny § 4 c første og annet ledd.
Departementet foreslår, i tråd med det som nå følger av praksis, å lovfeste at oppgaver som er eller må anses som en nødvendig og integrert del av den konsesjonsbelagte virksomhet som utgangspunkt ikke skal kunne utkontrakteres. Dette innebærer at den konsesjonsbelagte virksomheten i utgangspunktet skal drives i foretaket som har konsesjon til å drive denne virksomheten. Et eksempel på konsesjonsbelagt virksomhet er å ta imot innskudd fra allmennheten.
Eksempler på oppgaver som må anses som en nødvendig og integrert del av den konsesjonsbelagte virksomheten er utbetaling av kontanter og bankenes kredittvurderinger. Utbetaling av kontanter kan likevel gjennomføres på flere måter, for eksempel gjennom uttak i forbindelse med kortbetaling. At bankenes kredittvurderinger i utgangspunktet ikke kan utkontrakteres, er likevel ikke til hinder for at bankene kan innhente kredittopplysninger fra eksterne tilbydere, eller for at bankene bruker eksternt utviklede systemer for kredittanalyser. Det sentrale er at bankene selv må ha kompetanse til å forstå risikoen, og foreta den endelige kredittvurderingen.
Som Banklovkommisjonen peker på, er variasjonsbredden når det gjelder utkontraktering stor med til dels betydelige forskjeller mellom de ulike tilfelle som kan oppstå i praksis. Dette tilsier at man vanskelig kan regulere grensene for utkontraktering uttømmende i lovtekst. Det vil derfor fortsatt blant annet være behov for nærmere regulering av tillatt omfang av utkontraktering i konsesjonspraksis, dvs. at det kan oppstilles begrensninger i adgangen til å utkontraktere som vilkår for å få konsesjon til virksomhet på finansmarkedsområdet. Av samme grunn bør også departementet gis adgang til å gi nærmere regler i forskrift, herunder gjøre unntak fra forbudet mot utkontraktering.
Utkontraktering av virksomheten eller deler av virksomheten som ikke er kjerneoppgaver, foreslås bare tillatt hvis den gjennomføres på en måte og innenfor rammer som sikrer at de hensyn som ligger til grunn for konsesjonsreglene ikke blir dårligere ivaretatt som følge av utkontrakteringen, og at muligheten for forsvarlig tilsyn ikke svekkes.
Finansinstitusjonen som foretar utkontraktering av oppgaver må selv inneha den nødvendige kompetanse til å vurdere utførelsen av de utkontrakterte oppgavene. Det er et viktig prinsipp at utkontraktering ikke fratar finansinstitusjonen for det juridiske ansvaret for virksomheten som utkontrakteres. Det vises til skranker for utkontraktering av slik virksomhet i forslaget til ny § 2-17 a første ledd første punktum.
Finansinstitusjonen må derfor blant annet sørge for at det i avtaleforhold med oppdragstakere sikres nødvendig grunnlag for at Finanstilsynet gis tilgang til opplysninger og mulighet for tilsyn hos oppdragstakeren, tilsvarende som om institusjonen selv hadde drevet den utkontrakterte virksomheten. Oppdragstaker skal ha tilstrekkelig kunnskap om og holde seg innenfor de lover, forskrifter og retningslinjer som gjelder for den utkontrakterte oppgaven. I avtaler om utkontraktering bør oppdragstakerens rettigheter og juridiske ansvar komme klart frem slik at oppdragstakeren forstår de sikkerhetsrutiner og tiltak som skal komme til anvendelse ved uønskede hendelser. Videre skal avtalen regulere oppdragstakerens adgang til selv å utkontraktere den aktuelle oppgaven (såkalt under-utkontraktering). Det skal gjennomføres risiko- og sårbarhetsanalyse for det som utkontrakteres, herunder analyse av konsekvensene for sikkerhet og personvern. Departementet legger stor vekt på at personvernhensyn blir ivaretatt på en trygg og god måte.
Det vises til forslaget til ny § 2-17 a i finansieringsvirksomhetsloven.
For at Finanstilsynet lettere skal kunne følge opp utkontraktering, bør tilsynet også ha en eksplisitt hjemmel for å gripe inn. Tilsynets kompetanse i en inngrepshjemmel bør formuleres vidt nok til å omfatte alle deler av virksomheten som har betydning for et foretaks risiko, slik at tilsynet i slike tilfeller kan gi pålegg om endringer eller oppsigelse av utkontrakteringsavtaler. Kompetansen må omfatte de deler av virksomheten som det kan være aktuelt å utkontraktere, og som Finanstilsynet mener det er viktig å føre kontroll med. Særlig gjelder dette tekniske tjenester, som gjerne har avgjørende betydning for om foretakene kan utføre sin virksomhet. Finanstilsynets myndighet til å gi pålegg mv. bør derfor omfatte alle funksjoner av vesentlig betydning for virksomhetens risiko. På denne måten klargjøres det at blant annet IKT-funksjoner og systemmessige forhold i foretaket som regel vil være omfattet. Tilsvarende vurderinger er lagt til grunn for Banklovkommisjonens forslag til utkontraktering, jf. merknader til forslag til § 2-24 i utkastet til ny samlet finanslovgivning.
For å legge til rette for kontroll med utkontraktering, bør det videre etter departementets vurdering innføres en generell meldeplikt for utkontraktering av virksomhet.
Meldingen bør inneholde opplysninger om hvem som er avtaleparter, og angi avtalens art, omfang, varighet og hvordan risiko er håndtert. Normalt vil det ikke være nødvendig for Finanstilsynet å se avtalen som regulerer utkontrakteringen mellom oppdragstaker og oppdragsgiver. En generell regel om at avtalene skal være vedlagt meldingen synes derfor unødig ressurskrevende for tilsynet og byrdefullt for foretakene. Finanstilsynet vil imidlertid ha adgang til å be om avtalen der tilsynet finner grunn til det.
Et av formålene med en meldeplikt vil være at Finanstilsynet skal kunne kontrollere utkontrakteringen, og gripe inn dersom institusjonen setter bort oppgaver i strid med lov, eller på en måte som ikke er betryggende. Av kontrollhensyn er det derfor viktig at meldeplikten inntreffer før utkontrakteringen gjennomføres og at melding sendes i rimelig tid forut for gjennomføringen, slik at Finanstilsynet har mulighet til å gjennomføre en reell vurdering av forholdet.
Det bør tas høyde for at meldingen i enkelte tilfelle ikke er tilstrekkelig grunnlag for Finanstilsynet til å vurdere om foretaket har forstått risikoene og vil håndtere disse på forsvarlig måte. Det bør derfor være en adgang for Finanstilsynet å be om en redegjørelse for risikoen som er forbundet med utkontrakteringen.
I tillegg til meldeplikt bør det også etableres et klart rettslig grunnlag for at Finanstilsynet kan kreve at utkontraktering bringes til opphør innen en fastsatt frist dersom foretaket setter bort oppgaver som er av vesentlig betydning for foretaket selv og/eller er av samfunnskritisk betydning i strid med lov eller på en måte som ikke er betryggende.
Etter departementets vurdering vil en generell inngrepshjemmel for utkontraktering i finanstilsynsloven være et naturlig motstykke til de materielle reglene om utkontraktering som finnes i det virksomhetsspesifikke regelverket. Plassering i finanstilsynsloven vil også sikre at inngrepshjemmelen ved behov kan gis anvendelse på hele området for Finanstilsynets virksomhet. Departementet ser i tillegg at det kan være tvil om en adgang for Finanstilsynet etter gjeldende rett til å gi pålegg om at en utkontrakteringsavtale skal avsluttes, har tilstrekkelig forankring i eksisterende finanstilsynslov § 4 nr. 7. Departementet foreslår derfor at en kompetanse til å gi pålegg om å avslutte en utkontrakteringsavtale bør tydeliggjøres i en egen inngrepshjemmel. Det vises til forslaget til finanstilsynsloven § 4 c annet ledd.