Inleiding
Van Lanschot Bank kondigde eerder dit jaar aan bancaire basisdienstverlening te willen inkopen bij nieuwe FinTech-ondernemingen. (Bökkerink & Couwenbergh 2016). Het gaat onder meer om het platform voor het betalingsverkeer en voor hypotheken. Daarnaast moeten diensten geschikt worden gemaakt voor de smartphone. Van Lanschot Bank is al in onderhandeling met zulke nieuwe FinTech-ondernemingen. Dit is geen op zichzelf staand geval. Zo werkt Rabobank nauw samen met MyOrder voor mobiel betalen. ABN AMRO heeft 10.000 klanten de (bèta-versie van de) GRIP-app van de Zweedse startup Tink ter beschikking gesteld. Met de app biedt ABN AMRO zijn klanten meer inzicht in en grip op hun financiën. ING werkt met ongeveer 45 FinTech-ondernemingen aan “innovatieve oplossingen voor de bankwereld, zoals financieel beheer, betalingen, kredietverlening en mobiele oplossingen”.
FinTech-ondernemingen worden vaak gepresenteerd als een alternatief voor gevestigde financiële ondernemingen. Zij zouden daardoor een bedreiging vormen voor de gevestigde orde. Deze voorbeelden illustreren dat die gevestigde orde ook een (zelfs vérgaande) samenwerking kan aangaan met FinTech-ondernemingen. Dat biedt beide partijen voordeel. De gevestigde financiële onderneming (bijvoorbeeld: Van Lanschot Bank) krijgt toegang tot nieuwe technologie die zij zelf niet kan of wil ontwikkelen. De FinTech-onderneming op haar beurt krijgt toegang tot een substantieel deel van de markt die het moeilijk op eigen houtje had kunnen veroveren.
Ook regelgeving is voor sommige FinTech-ondernemingen reden om een samenwerking met een gevestigde financiële onderneming aan te gaan. De financiële sector is sterk gereguleerd. De regelgeving in deze sector gaat in principe uit van een vergunningenstelsel voor financiële ondernemingen. Afhankelijk van de werkzaamheden kunnen bepaalde FinTech-ondernemingen onder deze regelgeving – en dus een vergunningplicht – vallen. Door een samenwerking aan te gaan met een gevestigde partij die reeds over een vergunning beschikt, kan de FinTech-onderneming zelf mogelijk buiten de financiële regels (en de vergunningplicht) blijven.
Indirect kan een FinTech-onderneming echter tóch met de financiële regelgeving te maken krijgen. De kans is namelijk heel groot dat de samenwerking van de FinTech-onderneming met de gevestigde partij wettelijk als outsourcing-relatie moet worden bestempeld. Daarvan is sprake als, (te) kort gezegd, de uitbestede activiteiten “wezenlijk” zijn voor de uitbestedende financiële onderneming. Op die afbakening gaan wij hier niet in.3 Bij outsourcing blijft een financiële onderneming verantwoordelijk voor de kwaliteit van zijn dienstverlening en voor de naleving van zijn wettelijke verplichtingen. Een “fout” van de dienstverlener wordt daarbij toegerekend aan de outsourcer: die had de fout maar moeten voorkomen. Om de kwaliteit van zijn dienstverlening en de naleving van zijn wettelijke verplichtingen te waarborgen zal de financiële onderneming: 1) niet in zee mogen gaan met een partij die – kort gezegd – daar ongeschikt voor is, en 2) contractueel een aantal verplichtingen aan zijn dienstverlener, de FinTech-onderneming, moeten opleggen.
FinTech-ondernemingen die zijn voorbereid op de eisen die opdrachtgevers in de financiële sector (moeten) stellen, hebben een strategisch voordeel. In dit artikel stippen wij, niet uitputtend, een aantal onderwerpen aan die spelen bij een outsourcingrelatie.
FinTech-ondernemingen zijn er in soorten en maten. Er zijn er bijvoorbeeld die zich richten op crowdfunding, contactless payments, mobile wallets, blockchain technology, robo-advising, big data analysis en nog veel meer. Zij begeven zich ook op alle deelsectoren van de financiële markt, zoals die van banken, verzekeraars, beleggingsondernemingen en beleggingsinstellingen.
Om niet in een abstract verhaal te blijven steken, gebruiken wij in dit artikel één concreet voorbeeld. In dit voorbeeld heeft een FinTech-onderneming software ontwikkeld voor een efficiënte en goedkope betaaldienst. De FinTech-onderneming biedt de betaaldienst niet zelf aan, maar is een samenwerking aangegaan met een bank. De bank biedt de betaaldienst aan en de FinTech-onderneming voert de processen uit en onderhoudt de software.
Vanwege het voorbeeld gebruiken wij in dit artikel veelvuldig de term “bank”. De lessen zijn echter ook toepasbaar op outsourcing-relaties met andere financiële ondernemingen. In die gevallen kan voor “bank” ook bijvoorbeeld “verzekeraar” of een ander type financiële onderneming worden gelezen.
De essentie van de regels voor outsourcing
Voordat we ingaan op de onderwerpen die bij een outsourcing-overeenkomst een rol spelen, is het nuttig om eerst de essentie van de regels voor outsourcing onder ogen te zien. De regels voor outsourcing zijn het best te begrijpen vanuit het perspectief van de outsourcer. Net als elke andere onderneming, moet een bank – uiteraard – al zijn (contractuele en wettelijke) verplichtingen jegens zijn klanten nakomen. Om dat geen zaak van toeval te laten zijn, moet een bank ook over een beheerste bedrijfsvoering beschikken: hij moet “in control” zijn over alle aspecten van zijn bedrijfsvoering. De financiële toezichthouders (DNB en de AFM) zien erop toe dat de bank zijn verplichtingen nakomt.
Een bank mag wel werkzaamheden uitbesteden aan een derde. In principe is elke activiteit uitbesteedbaar, ook kernactiviteiten. Echter, de uitbesteder blijft te allen tijde volledig verantwoordelijk voor de nakoming van alle verplichtingen. Lukt dat niet, dan kan de financiële onderneming zich niet achter de outsourcing verschuilen, ook niet als de oorzaak van het probleem bij de dienstverlener ligt. De outsourcer is verantwoordelijk voor het handelen van zijn dienstverlener als ware het zijn eigen handelen.
FinTech-ondernemingen die zijn voorbereid op de eisen die opdrachtgevers in de financiële sector (moeten) stellen, hebben een strategisch voordeel
Zo had de Ierse Ulster Bank het beheer van zijn IT-systemen uitbesteed. Door een probleem met een software update en het ontbreken van adequate noodvoorzieningen konden 600.000 klanten een maand lang geen gebruik maken van hun betaalrekening. De oorzaak van het probleem lag bij de dienstverlener, maar Ulster Bank bleef verantwoordelijk. Het was Ulster Bank die uiteindelijk € 3,5 miljoen boete aan de toezichthouder en circa € 59 miljoen aan schadevergoedingen aan klanten betaalde. De reputatieschade is waarschijnlijk nog veel groter.
Om zulke en andere missers te voorkomen, moet een bank “in control” zijn over zijn outsourcings. In hoofdlijnen komt dat erop neer dat hij zorgvuldig een capabele dienstverlener selecteert, effectief toezicht houdt op de dienstverlener, zorgt dat hij kan ingrijpen (en dat zo nodig ook doet), en te allen tijde de relatie kan beëindigen. Hiervoor moet de outsourcer een aantal afspraken in de outsourcingovereenkomst opnemen. Bovendien schrijft ook de wet voor sommige typen instellingen een aantal specifieke contractsafspraken voor.
Aantoonbaarheid van een beheerste bedrijfsvoering
Zoals gezegd moet een bank, overigens net als elke andere financiële onderneming, aantoonbaar over een beheerste bedrijfsvoering beschikken. Dat omvat onder meer dat de systemen die de bank gebruikt stabiel en continue beschikbaar zijn.
De werkzaamheden die een bank uitbesteedt, zijn onderdeel van de eigen bedrijfsvoering. De bank moet daarom zekerstellen dat ook zijn dienstverlener over een aantoonbaar beheerste bedrijfsvoering beschikt. Als de dienstverlener geen beheerste bedrijfsvoering heeft, dan heeft de uitbestedende bank dat automatisch ook niet.
Om zich ervan te verzekeren dat zijn dienstverlener over een beheerste bedrijfsvoering beschikt, zal de bank een streng selectieproces hanteren. Vaak zal een bank onder meer letten op: de reputatie van de dienstverlener, of de dienstverlener al onder toezicht van DNB en de AFM staat, en of hij een ISAE 3402-verklaring heeft.
De essentie is dat de financiële onderneming in control moet blijven over de uitbestede activiteiten, ook al worden die activiteiten niet meer door hemzelf verricht
Dergelijke criteria zijn bij een FinTech-startup niet toepasbaar. Dat maakt het voor de FinTech-startup des te belangrijker om aan te tonen voor een stabiele en continue dienstverlening te kunnen zorgen. Daarbij valt te denken aan onder andere uitgebreide trouble shooting van de gebruikte software en systemen en de beschikbaarheid van backup-systemen. De FinTech-onderneming in ons voorbeeld zal moeten aantonen dat betalingen niet per ongeluk “blijven steken” of dat geld op een verkeerde rekening kan belanden. Het zal ook moeten aantonen dat het over procedures beschikt om te voorkomen dat medewerkers kunnen frauderen met betaalgegevens. Het gaat echter niet alleen om operationele, maar ook financiële stabiliteit en continuïteit. De FinTech-onderneming moet financieel gezond zijn. Een geloofwaardig business plan is daarvoor vereist. Het sluiten van een outsourcing-overeenkomst met de bank zou daar overigens aan bijdragen.
Is de dienstverlener eenmaal aangesteld, dan blijft de aantoonbaarheid van de beheerste bedrijfsvoering van belang. Daarbij kan men denken aan periodieke controles door de interne audit-afdeling van de bank, rapportageverplichtingen en verplichte incidentmeldingen. Ook kan de bank van een FinTech-startup verlangen om een ISAE 3402-verklaring te verkrijgen.
Aanwijzingsbevoegdheid
Een bank is wettelijk verplicht om contractueel vast te leggen dat hij “te allen tijde wijzigingen aan [kan] brengen in de wijze waarop de uitvoering van de werkzaamheden door de derde geschiedt”. Een beding dat in déze bewoording in de outsourcing-overeenkomst zou worden opgenomen, grijpt potentieel érg ver in in de bedrijfsvoering van de dienstverlener. Voor een dienstverlener zou dat ondoenlijk zijn. Hij heeft zijn bedrijfsvoering ingericht op een wijze waarmee hij meent optimaal de markt op te kunnen. Het is onwerkbaar als opdrachtgevers te allen tijde op verschillende wijzen en in alle aspecten van zijn bedrijfsvoering kunnen ingrijpen. Bovendien heeft het bestuur van de dienstverlenende onderneming een eigen verantwoordelijkheid om haar onderneming te leiden. De leiding kan en mag niet – ook niet via een uitbestedingsovereenkomst – bij een ander, bijvoorbeeld een opdrachtgever komen te liggen.
Anderzijds heeft een uitbestedende onderneming ook een gerechtvaardigd belang om in te kunnen grijpen wanneer de uitvoering van zijn uitbestede werkzaamheden niet (langer) naar wens is. Dat hoeft echter ook niet door middel van een oekaze. Wel moet er een mechanisme bestaan waardoor de bank wijzigingen te weeg kan brengen. In dat mechanisme mag overleg worden ingebouwd. Als er echter geen (effectief) mechanisme bestaat om wijzigingen aan te brengen, dan kan de uitbestedende bank niet in control zijn.
Aansprakelijkheid
Hoe stabiel en betrouwbaar de bedrijfsvoering en dienstverlening van de FinTech-onderneming ook mogen wezen, het is niet bij voorbaat uit te sluiten dat er een keer iets mis gaat. Bij schade rijst de vraag wie daarvoor aansprakelijk is. Moet de FinTechonderneming de volledige schade dragen voor zijn werkzaamheden? Vaak zal zij daar niet toe in staat zijn.
In de pensioensector leeft wel de opvatting dat de aansprakelijkheid van de dienstverlener op geen enkele wijze beperkt moet worden. Dat zou afbreuk doen aan de “control” van de uitbesteder. Die opvatting lijkt ons onjuist. Toegegeven, als de aansprakelijkheid van de dienstverlener tot het minimum is beperkt (te weten: alleen voor fouten die het gevolg zijn van opzet of grove schuld), dan heeft de dienstverlener weinig reden om problemen voor zijn opdrachtgever te voorkomen. Hij zou zeer waarschijnlijk toch al niet aansprakelijk zijn, dus waarom zou hij kostbare maatregelen nemen om schadegevallen te voorkomen? De “control” van de uitbesteder is dan ver te zoeken.
Volledige aansprakelijkheid is ook niet reëel. Zou de bank geen werkzaamheden uitbesteden, dan ging er ook wel eens wat mis. De bank zat in dat geval ook zelf met de schade. Het is bovendien onverstandig om van de FinTech-onderneming te verwachten dat hij wél geheel foutloos kan werken. Bij volledige aansprakelijk zal de FinTech-onderneming immers voor lief nemen dat hij periodiek schadevergoedingen moet uitkeren. De kosten daarvan zal hij doorrekenen aan zijn opdrachtgever. Hij loopt bovendien een risico dat de schades in een bepaald jaar erg hoog uitpakken, bijvoorbeeld als gevolg van nieuwe security threats. De FinTech-onderneming zal daarvoor ook een risico-opslag doorrekenen aan zijn opdrachtgever. In ons voorbeeld zal volledige aansprakelijkheid van de FinTech-onderneming dus niet kosteneffectief zijn voor de bank.
Het ene noch het andere uiterste is effectief. Waar het voor de uitbestedende bank om gaat, is dat een aansprakelijkheidsregeling wordt getroffen die de FinTech-onderneming voldoende (financiële) prikkel geeft om zich optimaal voor zijn opdrachtgever in te zetten. Is de prikkel groot genoeg, dan zal de FinTech-onderneming daar ook alle (kosteneffectieve) maatregelen voor benutten.
Opzegging
Een bank die ontevreden is over de prestaties van zijn dienstverlener en onvoldoende zicht heeft op tijdige verbetering, moet de uitbestedingsovereenkomst opzeggen. Hij is immers niet “in control” als hij teleurstellende prestaties krijgt geleverd. Dat betekent dat de bank zijn dienstverlener ook (realiter) moet kunnen opzeggen. Dat stelt grenzen aan de opzegdrempels die in een uitbestedingsovereenkomst mogen worden opgeworpen.
Opzegdrempels kunnen onder meer bestaan in opzegtermijnen en opzegvergoedingen. Het opnemen van opzegdrempels is op zich niet bezwaarlijk. De FinTech-onderneming – ook als ze zelf geen financiële onderneming is – moet vanzelfsprekend zelf óók “in control” zijn over de eigen organisatie. Het is dan ook niet op voorhand onredelijk dat de FinTech-onderneming een opzegvergoeding ontvangt of een opzegtermijn wordt gegund. Voor hem kan de opzegvergoeding dienen om investeringen te vergoeden die hij nog niet heeft terugverdiend, en de opzegtermijn om zijn interne organisatie aan de nieuwe situatie aan te passen.
De bank moet echter wel een reële opzegmogelijkheid behouden. De hoogte van de opzegvergoeding mag geen reële belemmering zijn om op te zeggen als de FinTech-onderneming niet naar wens presteert. Ook mag de duur van de opzegtermijn niet zo lang zijn dat de bank nog heel lang moet “doormodderen” met een teleurstellende dienstverlener.
Wat een acceptabele opzegvergoeding of –termijn is, is in zijn algemeenheid echter niet te zeggen. Steeds zal meewegen hoe belangrijk de dienstverlening is voor de bank. Is de dienstverlening ronduit cruciaal, dan moet de bank makkelijker kunnen opzeggen om nog van “in control” te kunnen spreken.
Beloning
FinTech-ondernemingen zijn veelal jonge ondernemingen. Zeker voor een beginnend bedrijf drukken werkgeverslasten zwaar. Vaak werken beginnende bedrijven daarom met beloningsstructuren waarbij het reguliere salaris laag is en de werknemer / ondernemer wordt beloond in bijvoorbeeld aandelen in de FinTech-onderneming. Uiteraard is de gedachte dat deze aandelen bij succes voor de FinTech-onderneming flink in waarde zullen stijgen. Nog afgezien van de fiscale kant van een dergelijke beloningsstructuur, kan een FinTechonderneming die haar diensten aanbiedt, lelijk worden verrast door de beloningsregels van haar klant. De beloningsregels voor de financiële sector zijn verscherpt en kortetermijnbeloningen uit den boze. Beloningen moeten juist zien op goede prestaties op de langere termijn. Een FinTech-ondernemer kan in een outsourcing-relatie met een financiële instelling worden beperkt in zijn beloningsbeleid.
Hoewel bij banken de regels voor beloning nog niet zo ver strekkend zijn dat deze ook zien op een outsourcing relatie, is dat bijvoorbeeld in pensioenland wel het geval. Ook bij beleggingsfondsen dienen fondsmanagers die bepaalde taken delegeren, zeker te stellen dat deze “delegates” zich aan de beloningsregels houden die voor de fondsmanagers gelden. Het is niet ondenkbaar dat de beloningsregels van andersoortige financiële instellingen zich op den duur ook zullen uitstrekken over de outsourcing-relatie, of dat bepaalde financiële instellingen uit het oogpunt van “good governance” in hun selectiebeleid rekening houden met het beloningsmodel van de dienstverlener.
Bevoegdheden voor de toezichthouder
DNB en de AFM houden toezicht op de werkzaamheden van een bank. Wanneer een bank werkzaamheden uitbesteedt, dreigen deze aan het toezicht van de toezichthouder te worden onttrokken. Uitbesteding mag echter het toezicht niet belemmeren. Daarom moet een uitbestedende bank in elke uitbestedingsovereenkomst een tweetal bedingen ten gunste van de toezichthouder opnemen. Het eerste is een verplichting om informatie waar de toezichthouder (ter uitvoering van zijn wettelijke taak) om vraagt, rechtstreeks aan de toezichthouder ter beschikking te stellen. Het tweede betreft de mogelijkheid voor de toezichthouder om ter plaatse van de dienstverlener onderzoek te (laten) verrichten.
Dienstverleners zijn wel eens bang dat toezichthouders te pas en te onpas bij hen op de stoep zullen staan. Die vrees is niet helemaal gegrond.
Het uitgangspunt is dat de toezichthouder inlichtingen opvraagt bij de onder toezicht staande bank. De bank zal deze inlichtingen opvragen bij zijn FinTech-dienstverlener indien hij die niet zelf ter beschikking heeft en de gevraagde inlichtingen betrekking hebben op de outsourcing relatie.
Conclusie
Voor FinTech-ondernemingen kan het aantrekkelijk zijn om een samenwerking aan te gaan met een gevestigde financiële onderneming (bijvoorbeeld een bank of een verzekeraar). De FinTechonderneming treedt dan waarschijnlijk in een outsourcing-relatie met die financiële onderneming.
Wettelijk is geregeld dat een financiële onderneming slechts een outsourcing-relatie met een dienstverlener (hier: FinTech-onderneming) mag aangaan als die dienstverlener aantoonbaar over een beheerste bedrijfsvoering beschikt. Bovendien stelt de wet eisen aan de afspraken die de financiële onderneming maakt met zijn dienstverlener. De essentie is dat de financiële onderneming “in control” moet blijven over de uitbestede activiteiten, ook al worden die activiteiten niet meer door hemzelf, maar door zijn dienstverlener verricht.
Niemand kan zeggen welke FinTech-ondernemingen de winnaars van morgen zijn. Echter, als de dienstverlening van een FinTech-onderneming als outsourcing wordt gezien en de FinTechonderneming speelt in op de wettelijke outsourcing-eisen van de opdrachtgever(s), dan is de kans op succes voor deze FinTech onderneming aanzienlijk groter dan de FinTech-onderneming die dit niet doet. Voor financiële instellingen die overwegen te investeren in of samenwerken met de FinTech-sector is het van belang om voorgaande in overweging te nemen in hun selectiebeleid.
Literatuur
- I. Bökkerink & P. Couwenbergh, Van Lanschot vraagt meer tijd om financiële doelen te halen, FD 27 april 2016.
- P. Laaper, Uitbesteding in de financiële sector, Deventer: Kluwer 2015.
Noten
- Mr. Peter Laaper en mr. Ella van Kranenburg (partner) zijn beiden werkzaam bij Keijser Van der Velden advocaten. Peter Laaper is tevens Universitair Docent financieel privaatrecht aan de Universiteit van Utrecht. Peter Laaper is in december 2015 gepromoveerd op het onderwerp “Uitbesteding in de financiële sector”. Ella van Kranenburg heeft een ruime ervaring als advocaat financieel recht en een uitgebreide praktijk in de FinTech.
- Zie het artikel “ING werkt samen met 45 fintech-startups” op www. financeinnovations.nl.
- Zie verder: P. Laaper, Uitbesteding in de financiële sector, Deventer: Kluwer 2015, p. 32-66.
- Een ISAE 3402-verklaring wordt afgegeven door een registeraccountant of een register-EDP-auditor. De verklaring geeft zekerheid over bestaan, opzet en werking van interne beheersingsmaatregelen. Een opdrachtgever ontleent daaraan vertrouwen dat de dienstverlener “in control” is over (het beoordeelde deel van) zijn bedrijfsvoering
in VBA Journaal door Peter Laaper (l) Ella van Kranenburg (r)