Artikel 2.6

1. Het Informatieknooppunt zorgfraude kan de informatievoorziening, het beheer en het onderhoud daarvan of een onderdeel van deze diensten uitbesteden aan een ICT-leverancier.
2. De overeenkomst met de ICT-leverancier, bedoeld in het eerste lid, voldoet in ieder geval aan de volgende voorwaarden:
a. Gegevens worden uitsluitend binnen de Europese Economische Ruimte opgeslagen door een partij met minstens één vestiging in een lidstaat van de Europese Unie;
b. De ICT Leverancier waaronder begrepen een door hem gecontracteerde onderaannemer gebruikt de meest actuele versies van de (internationale) normen voor informatiebeveiliging, die gelden binnen het betreffende werkveld, waaronder de Code voor Informatiebeveiliging NEN 7510 en ISO/IEC 27002 of daaraan gelijkwaardige normen, dan wel de opvolgers daarvan;
c. Er is een exit-strategie tussen het Informatieknooppunt zorgfraude en de ICT-leverancier opgesteld, waarbij de ICT-leverancier een transitie van gegevens en andere IT-voorzieningen moet ondersteunen naar het Informatieknooppunt zorgfraude of een volgende ICT-leverancier.