EBA-richtlijnen

§ 74

De rechten en plichten van de instelling, de betalingsinstelling en de serviceprovider moeten duidelijk worden toegewezen en vastgelegd in een schriftelijke overeenkomst.

Over het algemeen behandeld in het Atlassian-klantencontract.

§ 75

De outsourcingsovereenkomst voor kritieke of belangrijke functies moet ten minste het volgende bevatten:

(a) een duidelijke beschrijving van de te verstrekken uitbestede functie;

Onze documentatie, die door middel van verwijzing is opgenomen in het Atlassian-klantencontract voor in aanmerking komende klanten, bevat duidelijke beschrijvingen van de Gedekte Cloud-producten.

(b) de begin- en einddatum, indien van toepassing, van de overeenkomst en de opzegtermijnen voor de serviceprovider en de instelling of betalingsinstelling;

Het Atlassian-klantencontract bevat de standaardduur van een abonnementstermijn en alle toepasselijke opzegtermijnen. Wanneer je een bestelling plaatst voor een of meer Gedekte Cloud-producten, bevat deze bovendien de begin- en einddatum van je overeenkomstige abonnementstermijn.

(c) het toepasselijke recht van de overeenkomst;

Het standaardrecht van het Atlassian-klantencontract is het Californische recht. Neem voor meer informatie contact op met ons Enterprise-salesteam.

(d) de financiële verplichtingen van de partijen;

De prijzen voor elk van de Gedekte Cloud-producten worden gepubliceerd op www.atlassian.com

(e) of sub-outsourcing van een kritieke of belangrijke functie, of materiële delen daarvan, is toegestaan en, zo ja, de voorwaarden gespecificeerd in paragraaf 13.1 (Sub-outsourcing van kritieke en belangrijke functies) waaraan de sub-outsourcing onderworpen is;

Raadpleeg de opmerkingen over Sectie 13.1 in de rijen 21 tot en met 36.

(f) de locatie (s) (d.w.z. regio's of landen) waar de kritieke of belangrijke functie zal worden geleverd en/of waar relevante gegevens zullen worden bewaard en verwerkt, met inbegrip van de mogelijke opslaglocatie, en de voorwaarden waaraan moet worden voldaan, met inbegrip van een verplichting om de instelling of betalingsinstelling in kennis te stellen indien de dienstverlener voorstelt de locatie(s) wijzigen;

Bepaalde Gedekte Cloud-producten bevatten functionaliteiten voor het bewaren van gegevens in het product, zoals hier verder beschreven, waarmee beheerders van onze klanten productgegevens binnen de scope kunnen vastzetten op een locatie naar keuze. Op deze pagina is onze cloudhostinginfrastructuur beschreven.

We verplichten ons contractueel tot (a) de productfunctionaliteit niet wezenlijk verminderen tijdens de toepasselijke abonnementsperiode en (b) klanten op de hoogte stellen van eventuele wijzigingen in onze gegevenshostinglocaties.

(g) indien relevant, bepalingen met betrekking tot de toegankelijkheid, beschikbaarheid, integriteit, privacy en veiligheid van relevante gegevens, zoals gespecificeerd in sectie 13.2 (Beveiliging van gegevens en systemen);

Raadpleeg de opmerkingen over sectie 13.2 in de rijen 36 tot en met 39.

(h) het recht van de instelling of betalingsinstelling om doorlopend toezicht te houden op de prestaties van de serviceprovider;

We publiceren updates over de beschikbaarheid van services op status.atlassian.com en verplichten ons contractueel om klanten op de hoogte stellen van gebeurtenissen die een wezenlijke impact hebben op de beschikbaarheid van de Gedekte Cloud-producten.

(i) de overeengekomen serviceniveaus, die nauwkeurige kwantitatieve en kwalitatieve prestatiedoelstellingen voor de uitbestede functie moeten bevatten, zodat tijdig toezicht kan worden gehouden en zonder onnodige vertraging passende corrigerende maatregelen kunnen worden genomen indien de overeengekomen serviceniveaus niet worden gehaald;

De bijbehorende serviceniveauvoorwaarden, evenals de rechtsmiddelen voor het niet voldoen aan serviceniveaus, voor de Gedekte Cloud-producten zijn opgenomen in onze Service Level Agreement en de bijbehorende productspecifieke voorwaarden.

(j) de rapportageverplichtingen van de serviceprovider aan de instelling of betalingsinstelling, met inbegrip van de communicatie door de serviceprovider van elke ontwikkeling die een wezenlijke invloed kan hebben op het vermogen van de serviceprovider om de kritieke of belangrijke functie daadwerkelijk te vervullen overeenkomstig de overeengekomen serviceniveaus en in overeenstemming met de toepasselijke wet- en regelgeving en, in voorkomend geval, de verplichtingen om rapporten over de interne auditfunctie van de serviceprovider in te dienen;

We publiceren updates over de beschikbaarheid van services op status.atlassian.com en verplichten ons contractueel om klanten op de hoogte stellen van gebeurtenissen die een wezenlijke impact hebben op de beschikbaarheid van de Gedekte Cloud-producten.

(k) of de serviceprovider een verplichte verzekering moet afsluiten tegen bepaalde risico's en, indien van toepassing, het vereiste niveau van verzekeringsdekking;

Atlassian onderhoudt verzekeringsdekkingen tegen een aantal geïdentificeerde risico's en zoals vereist door wetten die van toepassing zijn op ons bedrijf.

(l) de vereisten voor de uitvoering en het testen van rampenplannen voor bedrijven;

We handhaven bedrijfscontinuïteitsplannen en plannen voor disaster recovery, zoals beschreven in ons Trust Center. Deze plannen worden minimaal eens per jaar herzien en getest.

(m) bepalingen die waarborgen dat de gegevens die eigendom zijn van de instelling of betalingsinstelling, toegankelijk zijn in geval van insolventie, afwikkeling of beëindiging van de bedrijfsactiviteiten van de serviceprovider;

We staan de klant toe zijn gegevens gedurende de duur van ons contract te raadplegen en exporteren.

Geen van deze toezeggingen wordt buiten werking gesteld bij de insolventie van Atlassian. Atlassian heeft evenmin het recht om het contract te beëindigen wegens eigen insolventie van Atlassian. De klant kan er echter voor kiezen om bij dit scenario het contract gemakshalve te beëindigen.

In het onwaarschijnlijke geval van insolventie van Atlassian kan de klant naar deze toezeggingen verwijzen wanneer hij te maken heeft met de aangewezen insolventiefunctionaris.

(n) de verplichting van de serviceprovider om samen te werken met de bevoegde autoriteiten en afwikkelingsautoriteiten van de instelling of betalingsinstelling, met inbegrip van andere door hen aangewezen personen;

Atlassian zal samenwerken met de bevoegde autoriteiten en afwikkelingsautoriteiten van de instelling bij de uitoefening van hun audit-, informatie- en toegangsrechten.

(o) voor instellingen, een duidelijke verwijzing naar de bevoegdheden van de nationale afwikkelingsautoriteit, met name naar de artikelen 68 en 71 van Richtlijn 2014/59/EU (BRRD), en met name een beschrijving van de 'materiële verplichtingen' van het contract in de zin van artikel 68 van die richtlijn;

Atlassian begrijpt dat instellingen en elke afwikkelingsentiteit tijdens de afwikkeling zaken moeten kunnen doen. Om ondersteuning te bieden via oplossingen verbinden we ons ertoe om de Gedekte Cloud-producten te blijven leveren tijdens de oplossing zoals vereist door de BRRD.

(p) het onbeperkte recht van instellingen, betalingsinstellingen en bevoegde autoriteiten om de serviceprovider te inspecteren en controleren met betrekking tot met name de kritieke of belangrijke uitbestede functie, zoals gespecificeerd in sectie 13.3 (Toegangs-, informatie- en auditrechten); en

Raadpleeg de opmerkingen over sectie 13.2 in de rijen 40 tot en met 53.

(q) beëindigingsrechten, zoals gespecificeerd in sectie 13.4 (Beëindigingsrechten).

Raadpleeg de opmerkingen over sectie 13.4 in rij 56.

§ 76

In de outsourcingsovereenkomst moet worden gespecificeerd of sub-outsourcing van kritieke of belangrijke functies, of materiële delen daarvan, al dan niet is toegestaan

Om wereldwijde producten met minimale onderbrekingen te kunnen leveren, kunnen we bepaalde kritieke of belangrijke functies sub-outsourcen naar hoogwaardige serviceproviders (bijv. datahostingproviders).

§ 77

Als sub-outsourcing van kritieke of belangrijke functies is toegestaan, moeten instellingen en betalingsinstellingen bepalen of het deel van de functie dat moet worden uitbesteed als zodanig kritisch of belangrijk is (d.w.z. een wezenlijk onderdeel van de kritieke of belangrijke functie) en, zo ja, dit in het register opnemen

Dit is een overweging van de klant.

§ 78

Als sub-outsourcing van kritieke of belangrijke functies is toegestaan, moet de schriftelijke overeenkomst:

(a) alle soorten activiteiten specificeren die zijn uitgesloten van sub-outsourcing;

Zie rij 22 hierboven.

(b) de voorwaarden specificeren waaraan moet worden voldaan in het geval van sub-outsourcing;

Atlassian zal kennisgeven van eventuele wijzigingen aan, of van nieuwe, sub-outsourcing van kritieke of belangrijke functies en informatie verstrekken over dergelijke sub-outsourcing. Als er bij de instelling bedenkingen bestaan over dergelijke sub-outsourcing, zullen we de instelling toestaan haar contract met ons te beëindigen.

(c) specificeren dat de serviceprovider verplicht is toezicht te houden op de diensten die hij heeft uitbesteed om ervoor te zorgen dat voortdurend aan alle contractuele verplichtingen tussen de serviceprovider en de instelling of betalingsinstelling wordt voldaan;

Atlassian blijft verantwoordelijk voor zijn algehele prestaties in het kader van het Atlassian-klantencontract, inclusief voor alle functies die worden uitbesteed. Daarnaast verbindt Atlassian zich met betrekking tot sub-outsourcing er ook toe ervoor te zorgen dat het passende contracten heeft met dergelijke sub-outsourcers, die passende audit-, toegangs- en informatierechten verlenen aan instellingen en hun toezichthoudende autoriteiten, en die dergelijke sub-outsourcers verplichten alle toepasselijke wetgeving na te leven.

(d) eisen dat de serviceprovider voorafgaande specifieke of algemene schriftelijke toestemming van de instelling of betalingsinstelling verkrijgt voordat gegevens worden uitbesteed;

Als onderdeel van onze naleving van de AVG verbinden we ons er in onze DPA toe geen subverwerkers in te schakelen om persoonlijke gegevens van klanten te verwerken zonder voorafgaande schriftelijke toestemming van een klant.

(e) een verplichting van de serviceprovider bevatten om de instelling of betalingsinstelling op de hoogte te stellen van geplande sub-outsourcing of wezenlijke wijzigingen daarvan, met name wanneer dit van invloed kan zijn op het vermogen van de serviceprovider om zijn verantwoordelijkheden uit hoofde van de outsourcingsovereenkomst na te komen. Dit omvat geplande belangrijke wijzigingen van onderaannemers en wijzigingen in de kennisgevingsperiode; in het bijzonder moet de vast te stellen kennisgevingsperiode de outsourcingsinstelling of betalingsinstelling in gelegenheid geven ten minste een risicobeoordeling van de voorgestelde wijzigingen uit te voeren en bezwaar te maken tegen wijzigingen voordat de geplande sub-outsourcing of materiële wijzigingen daarvan in werking treden;

Zie rij 26 hierboven.

(f) er in voorkomend geval voor zorgen dat de instelling of betalingsinstelling het recht heeft bezwaar te maken tegen voorgenomen sub-outsourcing of materiële wijzigingen daarvan, of dat uitdrukkelijke goedkeuring vereist is;

Zie rij 26 hierboven.

(g) ervoor zorgen dat de instelling of betalingsinstelling het contractuele recht heeft om de overeenkomst te beëindigen in geval van ongerechtvaardigde uitbesteding, bijv. wanneer de sub-outsourcing de risico's voor de instelling of betalingsinstelling wezenlijk vergroot of wanneer de serviceprovider uitbesteedt zonder de instelling of betalingsinstelling hiervan in kennis te stellen.

Zie rij 26 hierboven.

§ 79

Instellingen en betalingsinstellingen mogen alleen instemmen met sub-outsourcing als de onderaannemer zich ertoe verbindt:

(a) te voldoen aan alle toepasselijke wetten, wettelijke vereisten en contractuele verplichtingen; en

Zie rij 27 hierboven.

(b) de instelling, betalingsinstelling en bevoegde autoriteit dezelfde contractuele rechten op toegang en controle te verlenen als die welke door de serviceprovider worden verleend.

Zie rij 27 hierboven.

§ 80

Instellingen en betalingsinstellingen moeten ervoor zorgen dat de dienstverlener op passende wijze toezicht houdt op de sub-serviceproviders, overeenkomstig het door de instelling of betalingsinstelling vastgestelde beleid. Indien de voorgestelde sub-outsourcing wezenlijke nadelige gevolgen zou kunnen hebben voor de outsourcingsregeling van een kritieke of belangrijke functie of zou leiden tot wezenlijk grotere risico's, ook wanneer niet aan de voorwaarden van paragraaf 79 zou zijn voldaan, dient de instelling of betalingsinstelling haar recht uit te oefenen om bezwaar te maken tegen de sub-outsourcing indien een dergelijk recht is overeengekomen, en/of het contract te beëindigen.

Zie de rijen 26 en 27 hierboven.

§ 81

Instellingen en betalingsinstellingen moeten ervoor zorgen dat serviceproviders, waar relevant, voldoen aan passende IT-beveiligingsnormen

Bij Atlassian wordt regelmatig onafhankelijk onderzoek verricht naar onze beveiligings-, privacy- en compliancecontroles. Tijdens de looptijd van ons contract met jou zullen we minimaal voldoen aan de normen die worden vermeld in ons Trust Center, waaronder ISO/IEC 27001- en ISO/IEC 27018-certificeringen, en SOC 2 Type II- en SOC 3-auditrapporten:
https://www.atlassian.com/trust/compliance

§ 82

Waar relevant (bijvoorbeeld in het kader van cloud- of andere ICT-outsourcing), moeten instellingen en betalingsinstellingen gegevens- en systeembeveiligingsvereisten definiëren in de outsourcingovereenkomst en voortdurend toezicht houden op de naleving van deze vereisten.

Gezien het een-op-veel-karakter van onze Gedekte Cloud-producten, leveren we dezelfde robuuste beveiliging aan al onze klanten. Deze beveiligingspraktijken worden in detail beschreven in ons Trust Center:
https://www.atlassian.com/trust/

We verbinden ons ertoe de beveiligingspraktijken in ons Trust Center na te leven en om de algehele beveiliging van onze Gedekte Cloud-producten tijdens je abonnementsperiode niet wezenlijk te verminderen.

§ 83

In het geval van outsourcing aan cloudserviceproviders en andere outsourcingregelingen die verwerking of overdracht van persoonlijke of vertrouwelijke gegevens verzorgen, moeten instellingen en betalingsinstellingen een risicogebaseerde benadering hanteren voor gegevensopslag en gegevensverwerkingslocatie(s) (d.w.z. land of regio) en overwegingen inzake informatiebeveiliging naleven.

Dit is een overweging van de klant.

§ 84

Onverminderd de vereisten van Verordening (EU) 2016/679 moeten instellingen en betalingsinstellingen bij outsourcing (met name aan derde landen) rekening houden met verschillen in nationale bepalingen inzake de bescherming van gegevens. Instellingen en betalingsinstellingen moeten ervoor zorgen dat de outsourcingsovereenkomst de verplichting bevat dat de serviceprovider vertrouwelijke, persoonlijke of anderszins gevoelige informatie beschermt en voldoet aan alle wettelijke vereisten met betrekking tot de bescherming van gegevens die van toepassing zijn op de instelling of betalingsinstelling (bijv. de bescherming van persoonsgegevens, en dat bankgeheim of soortgelijke wettelijke vertrouwelijkheidsplichten met betrekking tot de informatie van cliënten, indien van toepassing, in acht worden genomen).

We bieden een Addendum voor gegevensverwerking dat gedetailleerde toezeggingen bevat met betrekking tot de verwerking en beveiliging van persoonlijke gegevens van klanten. Meer informatie over ons AVG-complianceprogramma vind je hier:

https://www.atlassian.com/trust/compliance/resources/gdpr

§ 85

Instellingen en betalingsinstellingen moeten er in het kader van de schriftelijke outsourcingsregeling voor zorgen dat de interne-auditfunctie de uitbestede functie kan beoordelen op basis van een risicogebaseerde benadering.

Atlassian biedt instellingen contractuele mechanismen om de Gedekte Cloud-producten doorlopend te beoordelen.

§ 86

Ongeacht het kritieke karakter of belang van de uitbestede functie, moeten de schriftelijke outsourcingsregelingen tussen instellingen en serviceproviders verwijzen naar de bevoegdheden voor het verzamelen van informatie en voor onderzoek van bevoegde autoriteiten en afwikkelingsautoriteiten uit hoofde van artikel 63(1)(a) van Richtlijn 2014/59/EU en artikel 65(3) van Richtlijn 2013/36/EU met betrekking tot serviceproviders die in een lidstaat zijn gevestigd, en moeten zij deze rechten ook waarborgen met betrekking tot serviceproviders die in derde landen zijn gevestigd.

Atlassian erkent de bevoegdheden voor het verzamelen en onderzoeken van informatie van bevoegde autoriteiten en afwikkelingsautoriteiten uit hoofde van de relevante en toepasselijke EU-wetgeving.

§ 87

Met betrekking tot de uitbesteding van kritieke of belangrijke functies moeten instellingen en betalingsinstellingen er in het kader van de schriftelijke outsourcingsovereenkomst voor zorgen dat de serviceprovider hen en hun bevoegde autoriteiten, met inbegrip van afwikkelingsautoriteiten en elke andere door hen of de bevoegde autoriteiten aangestelde persoon, het volgende verleent:

(a) volledige toegang tot alle relevante bedrijfspanden (bijv. hoofdkantoren en activiteitencentra), met inbegrip van het volledige scala aan relevante apparaten, systemen, netwerken, informatie en gegevens die worden gebruikt voor het leveren van de uitbestede functie, met inbegrip van gerelateerde financiële informatie, personeel en auditors van de serviceprovider ('toegangs- en informatierechten'); en

(b) onbeperkte inspectie- en auditrechten in verband met de outsourcingsregeling ('auditrechten'), om hen in staat te stellen toezicht te houden op de outsourcingsregeling en om ervoor te zorgen dat alle toepasselijke wettelijke en contractuele vereisten worden nageleefd.

Voor alle instellingen die de Gedekte Cloud-producten gebruiken, biedt Atlassian de vereiste audit-, informatie- en toegangsrechten aan instellingen, hun bevoegde autoriteiten en hun aangewezen personen.

§ 88

Voor de outsourcing van functies die niet kritisch of belangrijk zijn, moeten instellingen en betalingsinstellingen zorgen voor de toegangs- en auditrechten zoals uiteengezet in paragraaf 87(a) en (b), en sectie 13.3, volgens een risicogebaseerde benadering, waarbij rekening wordt gehouden met de aard van de uitbestede functie en de daarmee samenhangende operationele en reputatierisico's, de schaalbaarheid ervan, de potentiële impact op de continue uitvoering van activiteiten en de contractperiode. Instellingen en betalingsinstellingen moeten er rekening mee houden dat functies na verloop van tijd kritisch of belangrijk kunnen worden.

Zie rij 44 hierboven.

§ 89

Instellingen en betalingsinstellingen moeten ervoor zorgen dat de outsourcingsovereenkomst of enige andere contractuele regeling de daadwerkelijke uitoefening van de toegangs- en auditrechten door hen, de bevoegde autoriteiten of derden die door hen zijn aangewezen om deze rechten uit te oefenen, niet belemmert of beperkt.

Ons auditprogramma is ontworpen om gekwalificeerde klanten en hun competente autoriteiten in staat te stellen de Gedekte Cloud-producten effectief te controleren.

§ 90

Instellingen en betalingsinstellingen moeten hun toegangs- en auditrechten uitoefenen, de auditfrequentie en de te controleren gebieden bepalen op basis van een risicogebaseerde aanpak en zich houden aan relevante, algemeen aanvaarde, nationale en internationale auditnormen.

We hebben een auditprogramma ontwikkeld dat in overeenstemming is met deze overweging.

§ 91

Onverminderd hun eindverantwoordelijkheid met betrekking tot outsourcingsregelingen, kunnen instellingen en betalingsinstellingen gebruik maken van:

(a) gepoolde audits die samen met andere cliënten van dezelfde dienstverlener zijn georganiseerd en die door hen en deze cliënten of door een door hen aangewezen externe partij worden uitgevoerd, om de auditmiddelen efficiënter te gebruiken en de organisatorische last voor de cliënten en de serviceprovider te verminderen;

(b) certificeringen van derden en externe of interne auditrapporten, beschikbaar gesteld door de serviceprovider.

Ons auditprogramma stelt instellingen in staat om de Gedekte Cloud-producten te beoordelen met behulp van gepoolde audits en/of certificeringen van externe partijen.

§ 92

Met het oog op de uitbesteding van kritieke of belangrijke functies moeten instellingen en betalingsinstellingen beoordelen of certificeringen en rapporten van externe partijen zoals bedoeld in paragraaf 91(b), toereikend en voldoende zijn om aan hun wettelijke verplichtingen te voldoen, en dienen zij zich in de loop van de tijd niet uitsluitend op deze rapporten te baseren.

Dit is een overweging van de klant.

§ 93

Instellingen en betalingsinstellingen mogen de in paragraaf 91(b) bedoelde methode alleen gebruiken als zij:

(a) tevreden zijn met het auditplan voor de uitbestede functie;

(b) ervoor zorgen dat de scope van het certificerings- of auditverslag betrekking heeft op de systemen (d.w.z. processen, toepassingen, infrastructuur, datacenters, enz.) en belangrijke controles die door de instelling of betalingsinstelling zijn vastgesteld en de naleving van relevante wettelijke vereisten;

(c) voortdurend de inhoud van de certificeringen of auditverslagen grondig beoordelen en nagaan of de rapporten of certificeringen niet achterhaald zijn;

(d) ervoor zorgen dat belangrijke systemen en controles worden verwerkt in toekomstige versies van het certificerings- of auditrapport;

(e) tevreden zijn met de bekwaamheid van de certificerings- of auditpartij (bijv. met betrekking tot de roulatie van het certificerings- of auditbedrijf, kwalificaties, deskundigheid, hernieuwde controle/verificatie van het bewijsmateriaal in het onderliggende auditdossier);

(f) ervan overtuigd zijn dat de certificeringen worden afgegeven en dat de audits worden uitgevoerd aan de hand van algemeen erkende relevante professionele normen en een test bevatten van de operationele effectiviteit van de belangrijkste doorgevoerde controles;

(g) het contractuele recht hebben om uitbreiding van de scope van de certificeringen of auditverslagen naar andere relevante systemen en controles te verzoeken; het aantal en de frequentie van dergelijke verzoeken om wijziging van het scope moeten vanuit het oogpunt van risicobeheer redelijk en legitiem zijn; en

(h) het contractuele recht behouden om naar eigen goeddunken individuele audits uit te voeren met betrekking tot de uitbesteding van kritieke of belangrijke functies.

De subparagrafen (a) tot en met (f) zijn klantoverwegingen. Met betrekking tot subparagraaf (g) bieden we instellingen een contractueel mechanisme om wijzigingen in onze auditcontroles en -processen aan te vragen. Subparagraaf (h) wordt behandeld in rij 44 hierboven.

§ 94

Overeenkomstig de EBA-richtlijnen inzake ICT-risicobeoordeling in het kader van het SREP moeten de instellingen er waar nodig voor zorgen dat zij in staat zijn veiligheidspenetratietests uit te voeren om de doeltreffendheid van de geïmplementeerde ICT-beveiligingsmaatregelen en -processen te beoordelen. Gelet op Titel I moeten betalingsinstellingen ook beschikken over interne ICT-controlemechanismen, waaronder ICT-beveiligingscontrole en mitigatiemaatregelen.

Atlassian biedt klanten het recht om op elk moment penetratietests uit te voeren zonder voorafgaande goedkeuring van Atlassian: https://www.atlassian.com/trust/security/security-testing

§ 95

Vóór een gepland bezoek ter plaatse dienen instellingen, betalingsinstellingen, bevoegde autoriteiten en auditors of derden die namens de instelling, betalingsinstelling of bevoegde autoriteiten optreden, de serviceprovider hiervan op redelijke wijze in kennis te stellen, tenzij dit niet mogelijk is vanwege een noodsituatie of crisissituatie of wanneer dit zou leiden tot een situatie waarin de audit niet langer effectief is.

Ons auditprogramma is op maat gemaakt voor deze overweging.

§ 96

Bij het uitvoeren van audits in omgevingen met meerdere klanten moet ervoor worden gezorgd dat risico's voor de omgeving van een andere klant (bijv. impact op serviceniveaus, beschikbaarheid van gegevens, vertrouwelijkheidsaspecten) worden vermeden of beperkt.

Het is voor Atlassian en onze klanten erg belangrijk dat wat we bij een klant doen, geen andere klanten in gevaar brengt. Dit is van toepassing wanneer je een audit uitvoert. Het is ook van toepassing wanneer een andere klant een audit uitvoert. Wanneer een instelling een audit uitvoert, werken we met hen samen om onze andere klanten zo min mogelijk te verstoren. Net zoals we zullen samenwerken met een andere auditklant om de verstoring van de instelling tot een minimum te beperken. We zullen er met name op letten dat we te allen tijde onze veiligheidsverplichtingen nakomen.

§ 97

Wanneer de outsourcingsregeling een hoge mate van technische complexiteit met zich meebrengt, bijvoorbeeld in het geval van cloudoutsourcing, moet de instelling of betalingsinstelling nagaan of degene die de audit uitvoert (of het nu gaat om haar interne auditors, de pool van accountants of externe accountants die namens haar optreedt) beschikt over passende en relevante vaardigheden en kennis om relevante audits en/of beoordelingen effectief uit te voeren. Hetzelfde geldt voor alle personeelsleden van de instelling of betalingsinstelling die door serviceproviders uitgevoerde certificeringen of audits van derden beoordelen.

Dit is een verantwoordelijkheid van de klant.

§ 98

De outsourcingsregeling moet de instelling of betalingsinstelling uitdrukkelijk de mogelijkheid bieden om de overeenkomst te beëindigen, overeenkomstig het toepasselijke recht, onder meer in de volgende situaties:

(a) wanneer de provider van de uitbestede functies de toepasselijke wet- en regelgeving of contractuele bepalingen schendt;

(b) wanneer belemmeringen worden vastgesteld die de prestaties van de uitbestede functie kunnen veranderen;

(c) wanneer er wezenlijke wijzigingen zijn die van invloed zijn op de outsourcingsregeling of de serviceprovider (bijv. sub-outsourcing of wijzigingen van onderaannemers);

(d) wanneer er sprake is van zwakke punten met betrekking tot het beheer en de beveiliging van vertrouwelijke, persoonlijke of anderszins gevoelige gegevens of informatie; en

(e) wanneer er instructies worden gegeven door de bevoegde autoriteit van de instelling of betalingsinstelling, bijvoorbeeld in het geval dat de bevoegde autoriteit, op grond van de outsourcingsregeling, niet langer in staat is daadwerkelijk toezicht te houden op de instelling of betalingsinstelling.

We bieden klanten voor het gemak een ruim beëindigingsrecht, waardoor ze kunnen beëindigen in elk van de gevallen die worden vermeld in sectie 13.4 van de EBA-richtlijnen.

§ 99

De schriftelijke outsourcingsregeling moet:

(a) de verplichtingen van de bestaande serviceprovider duidelijk uiteenzetten ingeval van een overdracht van de uitbestede functie aan een andere serviceprovider of terug naar de instelling of betalingsinstelling, met inbegrip van de verwerking van gegevens;

We bieden alle klanten een in de producten inbegrepen functionaliteit om hun gegevens op elk moment tijdens de looptijd van hun contract zonder onze hulp te exporteren.

(b) een passende overgangsperiode vermelden, gedurende welke de serviceprovider na beëindiging van de outsourcingsovereenkomst de uitbestede functie blijft leveren om het risico op verstoringen te beperken; en

Indien een instelling dit vereist, kan ze haar abonnementstermijn voor een korte periode verlengen om de transitie naar een andere serviceprovider mogelijk te maken.

(c) aangeven dat de serviceprovider verplicht is de instelling of betalingsinstelling te ondersteunen bij de ordelijke overdracht van de functie ingeval van beëindiging van de outsourcingsovereenkomst.

Zie de rijen 58 en 59 hierboven.