Outsourcing er et lederansvar

Outsourcing er et lederansvar

JUSS OG IT: Man kan outsource arbeidet, men ikke ansvaret.

Datatilsynet kom tidligere i år til at EDB Business Partner ikke hadde tilstrekkelig grunnlag for utsetting av visse tjenester til en underleverandør i Ukraina. Ifølge Datatilsynet forelå ikke tilstrekkelig databehandleravtale.

I pressen ble det lagt særlig vekt på at Ukraina som land kommer nesten øverst på listen over verdens mest korrupte land, og at det å gi medarbeidere i ukrainske selskap tilgang til personopplysninger og banksystemer for norske banker, kunne være hasardiøst og gi redusert sikkerhet.

Rundskriv

I etterhånd har Finanstilsynet utarbeidet et rundskriv med vurdering av utkontraktering av bankenes sentrale ikt-funksjoner til høyrisiko-områder. Tilsynet uttrykker at utflytting av slike oppgaver må skje på en forsvarlig måte og slik at kritiske driftsfunksjoner i norske banker ikke blir utsatt for uakseptabel risiko. Vurderingen er at risikoen ved utflytting av driftsfunksjoner knyttet til bankenes reskontro- og betalingssystemer til høyrisikoland er for høy til at det kan aksepteres.

Det hører med til historien at EDB umiddelbart traff tiltak for å etterkomme tilsynets krav, og for å etterkomme krav fra bankene EDB betjener.

Det fremgår av Finanstilsynets rundskriv at bankene har ansvar for forsvarlig drift og for sikkerhet. Dette følger av finansieringsvirksomhetsloven § 2-9 andre ledd. Bankene må derfor til enhver tid gjøre de nødvendige risikovurderinger knyttet til bruk av ekstern driftsleverandør. Ifølge Ikt-forskriften § 3 skal bruk av ekstern driftsleverandør inngå i bankens risikoanalyse.

Rundskrivet fremholder at beslutningen om utflytting skal være forankret i bankens styre.

Et viktig element i vurderingen av den operasjonelle risikoen er landrisikoen knyttet til det landet virksomheten skal flyttes til. Flytting av oppgaver ut av Norge må reguleres i avtale med leverandør.

Ledelsesansvar

Vi ser her nok et konkret utslag av det grunnleggende prinsippet at it-sikkerhet er et ledelsesansvar. Dette fremgår av Personopplysningslov med forskrifter, av Sikkerhetslov med tilhørende forskrifter, av lov om finansieringsvirksomhet med forskrifter og en rekke andre lover.

I en tid med økende krav til kostnadseffektive løsninger, som i stigende grad tar i bruk offshoring og cloudbaserte tjenester, må det aldri være tvil om at ledelsen i den enkelte bedrift har ansvaret for at sikkerhet er analysert på en tilfredsstillende måte.

Videre har ledelsen et klart ansvar for at det er inngått tilfredsstillende avtaler som ivaretar bedriftens krav til sikkerhet og gjeldende lovgivning. Arbeidsoppgaver og praktisk gjennomføring av tiltak kan delegeres, men ansvar kan ikke delegeres.

Øverste ledelse (styre og administrerende direktør) vil alltid sitte med ansvaret. Spørsmålet er om de er seg ansvaret bevisst og har det høyt nok på dagsordenen!

Advokat Arve Føyen, Føyen advokatfirma

Les om: