BaFin
Atlassian-richtlijnen voor outsourcing
Deze grafiek is ontworpen om financiële dienstverleners onder toezicht van BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht), de Duitse federale financiële toezichthoudende autoriteit, te helpen bij het in kaart brengen van hoe elke paragraaf in hoofdstuk V (Contractuele voorwaarden in het geval van (materiële) outsourcing) van de Richtlijnen voor outsourcing naar Cloudserviceproviders (de “BaFin-richtlijnen”) overeenkomt met de documentatie van het klantcontract van Atlassian.
Als je een bestaand Atlassian-contract hebt of meer wilt weten over hoe deze voorwaarden van toepassing kunnen zijn op je contract, neem dan contact met ons op.
Laatst bijgewerkt in december 2021, [klik hier om de pdf te downloaden]
Nr. | Overwegingen en vereisten | Atlassian-opmerkingen |
1. | Afhankelijk van de vereisten van het toezichtrecht moeten met name de volgende voorwaarden worden opgenomen in de outsourcingsovereenkomst voor materiële outsourcing1 of voor niet-gedifferentieerde outsourcing volgens de KAGB: |
|
2. | 1. Scope van prestaties |
|
3. | De overeenkomst moet een specificatie bevatten, en indien nodig een beschrijving, van de service die door de cloudserviceprovider moet worden uitgevoerd. Dit moet worden vastgelegd in wat wordt aangeduid als de service level agreement. In dit verband moeten de volgende aspecten worden gedefinieerd: |
|
4. |
| Onze documentatie, die door middel van verwijzing is opgenomen in het Atlassian-klantencontract voor in aanmerking komende klanten, bevat duidelijke beschrijvingen van de Gedekte Cloud-producten. |
5. |
| In aanmerking komende klanten hebben toegang tot het Atlassian-supportaanbod, dat onderworpen is aan het Atlassian-klantcontract. |
6. |
| Over het algemeen behandeld in het Atlassian-klantencontract. |
7. |
| Bepaalde Gedekte Cloud-producten bevatten functionaliteiten voor het bewaren van gegevens in het product, zoals hier verder beschreven, waarmee beheerders van onze klanten productgegevens binnen de scope kunnen vastzetten op een locatie naar keuze. Op deze pagina is onze cloudhostinginfrastructuur beschreven. |
8. |
| Het Atlassian-klantencontract bevat de standaardduur van een abonnementstermijn en alle toepasselijke opzegtermijnen. Wanneer je een bestelling plaatst voor een of meer Gedekte Cloud-producten, bevat deze bovendien de begin- en einddatum van je overeenkomstige abonnementstermijn. |
9. |
| De bijbehorende serviceniveauvoorwaarden, evenals de rechtsmiddelen voor het niet voldoen aan serviceniveaus, voor de Gedekte Cloud-producten zijn opgenomen in onze Service Level Agreement en de bijbehorende productspecifieke voorwaarden. |
10. |
| We publiceren updates over de beschikbaarheid van services op https://status.atlassian.com/ en verplichten ons contractueel om klanten op de hoogte stellen van gebeurtenissen die een wezenlijke impact hebben op de beschikbaarheid van de Gedekte Cloud-producten. |
11. | 2. Informatie- en auditrechten van onder toezicht staande onderneming |
|
12. | Informatie- en auditrechten en controlemogelijkheden van de onder toezicht staande onderneming mogen niet onderworpen zijn aan contractuele beperkingen. Er moet voor worden gezorgd dat de onder toezicht staande onderneming de informatie ontvangt die zij nodig heeft om de risico's in verband met de uitbesteding adequaat te beheersen en te bewaken. | Ons auditprogramma is ontworpen om gekwalificeerde klanten en hun toezichthoudende autoriteiten in staat te stellen de Gedekte Cloud-producten effectief te controleren. |
13. | Om de informatie- en auditrechten te waarborgen, moeten in ieder geval de volgende voorwaarden contractueel worden overeengekomen: | Zie rij 12 hierboven. |
14. | Geen (indirecte) beperking van rechten. Effectieve uitoefening van de informatie- en auditrechten mag niet worden beperkt door een contract. De Duitse toezichthoudende autoriteiten zijn van mening dat een dergelijke ontoelaatbare beperking van informatie- en controlerechten bestaat, met name in het geval van contractuele overeenkomsten waarbij dergelijke rechten slechts onder bepaalde voorwaarden worden verleend. Dit omvat met name: | Zie rij 12 hierboven. |
15. | Vrijstellingen | Dit is een overweging van de klant. Zie ook rij 12 hierboven en rij 20 hieronder. |
16. | Gepoolde audits | Dit is een overweging van de klant. Zie ook rij 12 hierboven. |
17. | In dit verband kan de auditactiviteit worden uitgevoerd door de interne auditafdeling van de cloudserviceprovider, de interne auditafdeling van een of meer van de onder toezicht staande outsourcingsbedrijven namens de onder toezicht staande outsourcingsbedrijven (“gepoolde audits”), een door de cloudserviceprovider aangewezen externe dienstverlener of een derde die is aangesteld door de onder toezicht staande outsourcingsbedrijven. | Dit is een overweging van de klant. Zie ook rij 12 hierboven. |
18. | Voor de andere onder toezicht staande bedrijven kan het in het individuele geval toegestaan zijn om door middel van een gepoolde audit samen met andere onder toezicht staande bedrijven bepaalde informatie- en auditrechten uit te oefenen ten opzichte van de cloudserviceprovider. | Dit is een overweging van de klant. Zie ook rij 12 hierboven. |
19. | Als een onder toezicht staande onderneming gebruikmaakt van een van de bovengenoemde vrijstellingen, mag dit er niet toe leiden dat haar informatie- en auditrechten worden beperkt. | Zie rij 12 hierboven. |
20. | Bewijs/certificaten en auditrapporten | Bij Atlassian wordt regelmatig onafhankelijk onderzoek verricht naar onze beveiligings-, privacy- en compliance-controles. Tijdens de looptijd van ons contract met jou zullen we minimaal voldoen aan de normen die zijn vermeld in ons Trust Center, waaronder ISO/IEC 27001- en ISO/IEC 27018-certificeringen, en SOC 2 Type II- en SOC 3-auditrapporten: https://www.atlassian.com/trust/compliance |
21. | Een onder toezicht staande onderneming mag echter niet alleen hierop vertrouwen bij de uitvoering van haar auditactiviteiten. Wanneer de afdeling interne audit dergelijke documentatie/certificaten gebruikt in haar activiteiten, moet zij het bewijsmateriaal dat eraan ten grondslag ligt, kunnen onderzoeken. | Dit is een overweging van de klant. Zie ook rij 12 hierboven. |
22. | 3. Informatie- en auditrechten van toezichthoudende autoriteiten |
|
23. | Informatie- en auditrechten en controlemogelijkheden van de toezichthoudende autoriteiten mogen niet onderworpen zijn aan contractuele beperkingen. De toezichthoudende autoriteiten moeten in staat zijn om cloudserviceproviders te controleren, precies zoals de toepasselijke wetgeving voorziet voor de onder toezicht staande onderneming. De toezichthoudende autoriteiten moeten hun informatie- en auditrechten en controlemogelijkheden naar behoren en zonder beperking kunnen uitoefenen met betrekking tot het item dat wordt uitbesteed; dit geldt ook voor de personen waarvan de toezichthoudende autoriteiten gebruikmaken tijdens de uitvoering van de audits. | Ons auditprogramma is ontworpen om gekwalificeerde klanten en hun toezichthoudende autoriteiten in staat te stellen de Gedekte Cloud-producten effectief te controleren. |
24. | Om deze rechten te kunnen waarborgen, moeten in ieder geval de volgende voorwaarden contractueel worden overeengekomen: | Zie rij 23 hierboven. |
25. | Geen (indirecte) beperking van rechten | Zie rij 23 hierboven. |
26. | 4. Instructierecht |
|
27. | De rechten van de onder toezicht staande ondernemingen om instructies te geven, moeten worden overeengekomen. De instructierechten zijn bedoeld om te zorgen dat alle vereiste instructies die nodig zijn om de overeengekomen service uit te voeren, kunnen worden afgegeven, d.w.z. de mogelijkheid om het uitbestede item te beïnvloeden en te controleren is vereist. De technische uitvoering kan individueel worden georganiseerd op basis van de specifieke omstandigheden van de onderneming. | Onze klanten kunnen ons via hun ondersteuningskanalen voor klanten instructies geven (inclusief met betrekking tot certificeringen en auditrapporten van derden) met betrekking tot de Gedekte Cloud-producten. |
28. | Als de onder toezicht staande onderneming gebruikmaakt van bewijs/certificeringen of auditrapporten (vgl. V.2), moet zij ook de mogelijkheid hebben om de scope van bewijs/certificeringen en auditrapporten te beïnvloeden, zodat deze kan worden uitgebreid met relevante systemen en controles. Het aantal en hoe vaak dergelijke instructies worden uitgegeven moet in redelijke verhouding staan. | Zie rij 27 hierboven. |
29. | Bovendien moet de onder toezicht staande onderneming te allen tijde toestemming krijgen om instructies uit te geven aan de cloudserviceprovider voor de correctie, verwijdering en blokkering van gegevens en mag de cloudserviceprovider gegevens alleen verzamelen, verwerken en gebruiken in het kader van de instructies van de onder toezicht staande onderneming. Dit moet ook de mogelijkheid omvatten om op elk moment een instructie uit te geven om de door de cloudserviceprovider verwerkte gegevens direct en zonder beperking terug te laten sturen naar de onder toezicht staande onderneming. | We bieden een Addendum voor gegevensverwerking dat gedetailleerde toezeggingen bevat met betrekking tot de verwerking en beveiliging van persoonlijke gegevens van klanten. Meer informatie over ons AVG-complianceprogramma vind je hier: |
30. | Indien er kan worden afgezien van de uitdrukkelijke overeenkomst over de rechten van de onder toezicht staande onderneming om instructies uit te geven, moet de service die door het outsourcingsbedrijf moet worden uitgevoerd met voldoende duidelijkheid worden gespecificeerd in de outsourcingsovereenkomst. | Zie rij 27 hierboven. |
31. | 5. Gegevensbeveiliging/-bescherming (verwijzing naar locatie van gegevensopslag) |
|
32. | Bepalingen die compliance met de voorschriften inzake gegevensbescherming en andere beveiligingsvereisten waarborgen, moeten worden overeengekomen. | Gezien het een-op-veel-karakter van onze Gedekte Cloud-producten, leveren we dezelfde robuuste beveiliging aan al onze klanten. Deze beveiligingspraktijken worden in detail beschreven in ons Trust Center: https://www.atlassian.com/trust/ |
33. | De locatie van de gegevensopslag moet bekend zijn bij de onder toezicht staande onderneming. Dit moet ook de specifieke locatie van de datacenters omvatten. In het algemeen volstaat het opgeven van de naam van de locatie (bijvoorbeeld de stad) voor dit doel. Als de onder toezicht staande onderneming echter het precieze adres van het datacenter nodig heeft op basis van overwegingen van risicobeheer, moet de cloudserviceprovider dit verstrekken. | Zie rij 7 hierboven. |
34. | Bovendien moet de redundantie van de gegevens en systemen worden gewaarborgd, zodat in het geval van een storing bij één datacenter ervoor wordt gezorgd dat de diensten worden onderhouden. | We handhaven bedrijfscontinuïteitsplannen en plannen voor disaster recovery, zoals beschreven in ons Trust Center. Deze plannen worden minimaal eens per jaar herzien en getest. |
35. | De veiligheid van de gegevens en systemen moet ook binnen de outsourcingsketen worden gewaarborgd. | Zie rij 32 hierboven. |
36. | De onder toezicht staande onderneming moet de mogelijkheid hebben om te allen tijde snel toegang te krijgen tot haar gegevens die zijn opgeslagen bij de cloudserviceprovider en deze indien nodig opnieuw over te dragen. In dit verband moet ervoor worden gezorgd dat de gekozen vorm van heroverdracht het gebruik van de gegevens niet beperkt of uitsluit. Om die reden moeten platformonafhankelijke standaardgegevensformaten worden overeengekomen. Er moet rekening worden gehouden met de compatibiliteit van verschillende systemen. | Zie rij 29 hierboven. |
37. | 6. Bepalingen met betrekking tot beëindiging |
|
38. | Het beëindigingsrecht en de adequate opzegtermijnen voor beëindiging moeten worden overeengekomen. In het bijzonder moet er een speciaal beëindigingsrecht worden overeengekomen, dat voorziet in beëindiging om geldige redenen, waarbij de toezichthoudende autoriteit verzoekt de overeenkomst te beëindigen. | We bieden klanten een uitgebreid recht om gemakshalve te beëindigen, waardoor zij onder alle omstandigheden kunnen beëindigen. |
39. | Er moet voor worden gezorgd dat in het geval van beëindiging de aan de cloudserviceprovider uitbestede items doorgaand geleverd worden totdat het uitbestede item volledig is overgedragen aan een andere cloudserviceprovider of aan de onder toezicht staande onderneming. In dit verband moet in het bijzonder worden gegarandeerd dat de cloudserviceprovider de onder toezicht staande onderneming redelijkerwijs zal bijstaan bij de overdracht van de uitbestede items aan een andere cloudserviceprovider of rechtstreeks aan de onder toezicht staande onderneming. | Indien een instelling dit vereist, kan ze haar abonnementstermijn voor een korte periode verlengen om de transitie naar een andere serviceprovider mogelijk te maken. |
40. | Het type, de vorm en de kwaliteit van de overdracht van het uitbestede item en de gegevens moeten worden gedefinieerd. Als gegevensformaten worden aangepast aan de individuele behoeften van de onder toezicht staande onderneming, moet de cloudserviceprovider bij beëindiging documentatie aanleveren van dergelijke aanpassingen. | Deze informatie is toegankelijk in onze documentatie. |
41. | Er moet worden overeengekomen dat na heroverdracht van de gegevens aan de onder toezicht staande onderneming de gegevens volledig en onherroepelijk zijn verwijderd aan de kant van de cloudserviceprovider. | Deze overweging wordt behandeld in ons Addendum voor gegevensverwerking. |
42. | Om ervoor te zorgen dat de uitbestede items gehandhaafd worden in het geval van geplande of ongeplande beëindiging van de overeenkomst, moet de onder toezicht staande onderneming een exitstrategie hebben en de haalbaarheid ervan herzien. | Dit is een overweging van de klant. |
43. | 7. Ketenoutsourcing |
|
44. | Er moeten bepalingen worden overeengekomen met betrekking tot de mogelijkheid en modaliteiten van ketenoutsourcing om ervoor te zorgen dat aan de vereisten van het toezichtrecht wordt voldaan. Beperkingen die er bijvoorbeeld toe leiden dat alleen de meest wezenlijk vergelijkbare verplichtingen worden aangegaan, zijn niet toegestaan. Er moet in het bijzonder voor worden gezorgd dat de informatie- en auditrechten en de controlemogelijkheden van het onder toezicht staande outsourcingsbedrijf en van de toezichthoudende autoriteiten in het geval van ketenoutsourcing ook van toepassing zijn op onderaannemers. | Om wereldwijde producten met minimale onderbrekingen te kunnen leveren, kunnen we bepaalde kritieke functies sub-outsourcen naar hoogwaardige serviceproviders (bijv. datahostingproviders). Met betrekking tot kritieke sub-outsourcing verbindt Atlassian zich ertoe ervoor te zorgen dat het passende contracten heeft met dergelijke sub-outsourcers, die passende audit-, toegangs- en informatierechten verlenen aan instellingen en hun toezichthoudende autoriteiten, en die dergelijke sub-outsourcers verplichten alle toepasselijke wetgeving na te leven. Zie ook rij 12 hierboven. |
45. | Met het oog op ketenoutsourcing moet in de outsourcingsovereenkomst worden voorzien in een voorbehoud van toestemming van het outsourcingsbedrijf of in specifieke voorwaarden waaraan moet worden voldaan om ketenoutsourcing mogelijk te maken. Er moet worden gedefinieerd welke uitbestede items en/of delen daarvan aan de keten kunnen worden uitbesteed en welke niet. | Zie rij 44 hierboven. |
46. | De onder toezicht staande onderneming moet vooraf schriftelijk op de hoogte gesteld worden van de ketenoutsourcing van de uitbestede items en/of delen daarvan. De onderaannemers en de items uit en/of delen van de aan hen uitbestede keten moeten bekend zijn bij de onder toezicht staande onderneming. | Atlassian zal kennisgeven van eventuele wijzigingen aan, of van nieuwe, sub-outsourcing van kritieke of belangrijke functies en informatie verstrekken over dergelijke sub-outsourcing. Als er bij de instelling bedenkingen bestaan over dergelijke sub-outsourcing, zullen we de instelling toestaan haar contract met ons te beëindigen. |
47. | In het geval van een nieuwe ketenoutsourcing moet er rekening mee worden gehouden dat dit gevolgen kan hebben voor de risicosituatie van de outsourcing en voor het outsourcingsbedrijf. Daarom moet de risicoanalyse minimaal worden herzien of opnieuw uitgevoerd worden in het geval van een nieuwe ketenoutsourcing. Dit geldt ook wanneer materiële gebreken en materiële wijzigingen in de door onderaannemers geleverde cloudservice bekend worden. | Dit is een overweging van de klant. |
48. | Het bedrijf moet de prestaties van de volledige service doorlopend beoordelen en controleren, ongeacht of de cloudservice wordt geleverd door de cloudserviceprovider of door een onderaannemer. | Dit is een overweging van de klant. |
49. | 8. Mededelingsverplichtingen |
|
50. | Er moeten bepalingen worden overeengekomen om ervoor te zorgen dat de cloudserviceprovider de onder toezicht staande onderneming op de hoogte stelt over ontwikkelingen die de ordelijke uitvoering van de uitbestede items nadelig kunnen beïnvloeden. Dat zijn onder andere zaken als het melden van eventuele verstoringen bij het leveren van de cloudservice. Dit is om ervoor te zorgen dat het bedrijf het uitbestede item naar behoren kan controleren. | We publiceren updates over de beschikbaarheid van services op https://status.atlassian.com/ en verplichten ons contractueel om klanten op de hoogte stellen van gebeurtenissen die een wezenlijke impact hebben op de beschikbaarheid van de Gedekte Cloud-producten. |
51. | De cloudprovider moet de onder toezicht staande onderneming direct op de hoogte stellen van alle omstandigheden die een risico kunnen vormen voor de veiligheid van de gegevens van de onder toezicht staande onderneming die door de cloudserviceprovider moeten worden verwerkt, bijvoorbeeld als gevolg van handelingen van derden (bijv. verbeuring of beslaglegging), insolventie- of schikkingsprocedures en andere omstandigheden. | Naast de toezeggingen waarnaar wordt verwezen in rij 50 hierboven, verbinden we ons ertoe klanten op de hoogte te stellen van beveiligingsincidenten in ons Addendum voor gegevensverwerking. |
52. | Er moet voor worden gezorgd dat de onder toezicht staande onderneming vooraf voldoende wordt geïnformeerd door de cloudserviceprovider in geval van relevante wijzigingen in de cloudservice die door de cloudserviceprovider moet worden geleverd. Service-omschrijvingen en eventuele wijzigingen daarvan moeten schriftelijk worden verstrekt en/of meegedeeld aan de onder toezicht staande onderneming. Er moet voor worden gezorgd dat de onder toezicht staande onderneming voldoende wordt geïnformeerd, voor zover wettelijk toegestaan, wanneer er door derden verzoeken of eisen tot inlevering van gegevens van de onder toezicht staande onderneming worden gedaan. | We publiceren onze roadmap voor Cloud-producten, die klanten op de hoogte stelt van materiële wijzigingen aan de Gedekte Cloud-producten. |
53. | 9. Kennisgeving van toepasselijke wetgeving |
|
54. | Wanneer een clausule inzake rechtskeuze is overeengekomen en het Duitse recht niet als het toepasselijke recht is overeengekomen, moet het recht van een land uit de Europese Unie of de Europese Economische Ruimte in ieder geval worden overeengekomen als het recht waaronder de overeenkomst valt. | Het standaardrecht van het Atlassian-klantencontract is het Californische recht. Neem voor meer informatie contact op met ons Enterprise-salesteam. |
1De term “materiële outsourcing” zoals gebruikt in de BaFin-richtlijnen is gelijk aan de term “kritische of significante outsourcing” zoals gebruikt in de EBA-richtlijnen.