Contract


Krav til utkontraktering av drift1

Krav:

1.

Oppbevaring av regnskapsmateriell og oppdragsdokumentasjon


Driftsleverandør bekrefter at regnskapsopplysninger knyttet til regnskapsførervirksomhetens kunder, og som oppbevares for regnskapsførervirksomheten gjennom driften, oppbevares i det geografiske området som fremgår av bokføringsforskriftens kapittel 7. Videre bekrefter driftsleverandør at oppdragsdokumentasjon knyttet til regnskapsførervirksomhetens kunder, og som oppbevares for regnskapsførervirksomheten gjennom driften, oppbevares i Norge.


Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon på dette.

2.

Bransjekompetanse


Driftsleverandøren bekrefter å ha god kjennskap til regnskapsførervirksomhet, herunder kjennskap til frister og krav til oppbevaring av regnskapsopplysninger, samt god kjennskap til drift av systemer for regnskapsførervirksomhet.


Driftsleverandøren skal kunne synliggjøre dette ved forespørsel fra regnskapsførervirksomheten.

3.

Teknisk kapasitet og teknisk kompetanse til å ta på seg utkontraktering


Driftsleverandøren skal ved kontraktsinngåelse, og senere på forespørsel, fremlegge dokumentasjon på driftskvalitet, tilgjengelighet, og vedlikehold for tjenesten som skal leveres. Driftsleverandøren bekrefter å ha relevant teknisk kompetanse og teknisk kapasitet til å levere avtalt tjeneste.


Dersom driftsleverandør har eventuelle sertifiseringer, og/eller autoriseringer eller bekreftelser fra tredjepart, som er relevant for de driftstjenester leverandøren skal levere, skal driftsleverandør på forespørsel fra regnskapsførervirksomheten fremlegge dokumentasjon på dette.



1 Med «utkontraktering av drift» menes leveranse av driftstjenester knyttet til regnskapsproduserende programvare/-systemer. Det omfatter både skybaserte løsninger, ASP, og andre driftsløsninger.


Krav til utkontraktering av drift1

Krav:

4.

Konkret angivelse av driftstjenesten


Driftsleverandøren skal tydelig angi hvilke tjenester og kvalitet på tjenester som inngår i driftsleveransen, og hvilke krav som eventuelt stilles til regnskapsførervirksomhetens øvrige maskinvare og/eller programvare.

5.

Rutiner for informasjonssikkerhet, beredskapsplan, internkontroll, mv.


Driftsleverandør bekrefter at leverandøren har rutiner for;

a) å kartlegge sannsynlighet for og konsekvenser av sikkerhetsbrudd, og risikovurdering i den forbindelse,

b) beredskapsplan for håndtering og rapportering av vesentlige feil, avvik eller sikkerhetsbrudd ved driftstjenestene, herunder brudd på konfidensialitet,

c) testing av driftstjenesten, programvare og maskinvare som brukes i levering av driftstjenesten, både ved vesentlig utvikling, feilretting, endring og utskifting av slik programvare og/eller maskinvare,

d) sikring av konfidensialitet, tilgjengelighet og integritet for regnskapsopplysninger, oppdragsdokumentasjon og personopplysninger som lagres gjennom driftstjenesten,

e) dokumentasjon av informasjonssikkerhet og sikkerhetstiltak,

f) internkontroll for driftstjenestene, og årlig revisjon av driftstjenestene og internkontrollen.


Rutinene skal være basert på anerkjente prinsipper og identifisert risiko. Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon for rutinene og konklusjonen fra gjennomførte revisjoner.


Ved relevante og dokumenterte krav fra regnskapsførervirksomheten, bekrefter driftsleverandøren at de innen rimelig tid vil iverksette tiltak for å sikre at (i) driftsleveransen oppfyller avtalte krav, (ii) driftsleverandørens rutiner er i samsvar med driftsleverandørens bekreftelse etter punkt a) til og med f) ovenfor, og/eller (iii) driftsleveransen oppfyller nye, obligatoriske lovmessige krav.


Krav til utkontraktering av drift1

Krav:

6.

Personopplysninger


Dersom regnskapsopplysninger som behandles på vegne av regnskapsførervirksomheten gjennom driftstjenesten inneholder personopplysninger, bekrefter driftsleverandør å oppfylle de krav til informasjonssikkerhet som følger av den til enhver tid gjeldende personvernlovgivning. Regnskapsførervirksomheten skal ved forespørsel få fremlagt dokumentasjon for dette.


Dersom regnskapsopplysninger som behandles på vegne av regnskapsførervirksomheten gjennom driftstjenesten inneholder personopplysninger, bekrefter driftsleverandør at det skal inngås skriftlig databehandleravtale mellom regnskapsførervirksomheten og driftsleverandør. Databehandleravtalen skal oppfylle krav etter personvernlovgivningen.

7.

Innsyn fra regnskapsførervirksomheten


Driftsleverandør bekrefter at regnskapsførervirksomheten har rett til innsyn i

(i) dokumentasjon som angitt i punkt 5,

(ii) regnskapsopplysninger, oppdragsdokumentasjon og personopplysninger som behandles for regnskapsførervirksomheten gjennom driften, og

(iii) driftsleverandørens og/eller driftsleverandørens underleverandørers systemer i den grad det er nødvendig for å ivareta regnskapsførervirksomhetens ansvar for å kontrollere at (a) leveransen oppfyller avtalte krav, og/eller (b) driftsleverandørens rutiner er i samsvar med driftsleverandørens bekreftelse etter punkt 5.


Dersom regnskapsførervirksomhetens innsyn avdekker avvik, bekrefter driftsleverandøren at leverandøren, ved relevante og dokumenterte krav fra regnskapsførervirksomheten, innen rimelig tid vil iverksette tiltak for å rette slike avvik.

8.

Innsyn fra Finanstilsynet


Driftsleverandør bekrefter at Finanstilsynet har rett til innsyn i

(i) regnskapsopplysninger og oppdragsdokumentasjon som behandles for regnskapsførervirksomheten gjennom driften, og

(ii) driftsleverandørens og/eller driftsleverandørens underleverandørers systemer som er relevant for driftsleverandørens leveranse til regnskapsførervirksomheten, og dokumentasjon og rutiner knyttet til slike systemer,

i den grad Finanstilsynet finner det nødvendig, jf. risikostyringsforskriftens § 5.


Krav til utkontraktering av drift1

Krav:

9.

Underleverandør


Driftsleverandør bekrefter at regnskapsførervirksomheten ved kontraktsinngåelse og på forespørsel skal få informasjon om

a) foretaksnavn,

b) driftssted, og

c) driftsoppgaver,

for underleverandører som driftsleverandør bruker i levering av driftstjenester til regnskapsførervirksomheten.

10.

Rett til overføring av data ved opphør av avtalen


Driftsleverandøren bekrefter at regnskapsførervirksomheten, ved opphør av avtalen om driftsleveranse, skal kunne eksportere regnskapsopplysninger og oppdragsdokumentasjon som lagres gjennom driftsleveransen til et egnet maskinlesbart format, for regnskapsopplysninger fortrinnsvis i henhold til SAF-T- standarden.

11.

Konfidensialitet


Driftsleverandøren bekrefter at regnskaps- og personopplysninger knyttet til regnskapsførervirksomhetens kunder, og som behandles for regnskapsførervirksomheten gjennom driften, behandles konfidensielt.


Krav til utkontraktering av drift1

Krav:

12.

Mislighold


Driftsleverandør bekrefter at følgende forhold skal særlig legges vekt på ved vurdering av om det foreligger et vesentlig mislighold av driftsleverandørens leveranse;

- urettmessig endring av, herunder sletting, og tilgang til regnskapsopplysninger, oppdragsdokumentasjon og personopplysninger som behandles gjennom driftsleveransen,

- manglende mulighet for gjenfinning og lesbarhet av regnskapsopplysninger, oppdragsdokumentasjon og personopplysninger som behandles gjennom driftsleveransen,

- manglende beredskapsplan for driftstjenestene,

- manglende revisjon av driftstjenestene,

- oppbevaring av regnskapsopplysninger og oppdragsdokumentasjon utenfor det geografiske området som fremgår av bokføringsforskriftens kapittel 7,

- behandling av personopplysninger i strid med obligatoriske regulatoriske krav,

- gjentatt hindring av innsyn for regnskapsførervirksomheten eller Finanstilsynet, og/eller

- bruk av underleverandør som ikke oppfyller obligatoriske regulatoriske krav

Document Metadata

Filed: May 22nd, 2018