Nieuws

Cloudcomputing 17 maart 2015

Cloud computing is niet zonder risico. Lees wat uw organisatie kan doen om de risico’s in de hand te houden en wat DNB van u verwacht.

Organisaties onder toezicht van DNB moeten bij cloudcomputing rekening houden met de daaraan gestelde eisen. Zo dient bijvoorbeeld outsourcen in de cloud vooraf gemeld te worden bij DNB. Tevens dient te worden voldaan aan de Wft. Denk daarbij onder andere aan  het onderzoeksrecht van DNB, “right to audit”, dat in de overeenkomst met de aanbieder dient te worden opgenomen.

Van cloud computing circuleren vele definities, maar DNB definieert cloudcomputing als een on-demand service model voor de levering van IT diensten, veelal gebaseerd op virtualisatie technieken en gedistribueerde computeromgevingen.

Cloud computing ziet DNB als een vorm van uitbesteding. Voor deze dienstverlening gelden dan ook de gebruikelijke voorschriften van uitbesteding.

Op basis van de geldende prudentiële wet- en regelgeving geldt voor onder toezicht staande ondernemingen onder meer de eis dat bedrijfsprocessen en bedrijfsrisico’s worden beheerst. Deze eis geldt onverkort wanneer onder toezicht staande ondernemingen wezenlijke werkzaamheden uitbesteden aan een derde, bijvoorbeeld de uitbesteding van IT-diensten in de vorm van cloudcomputing. Indien sprake is van uitbesteding dient de onder toezicht staande onderneming er dus ondermeer voor zorg te dragen dat ook bij de derde sprake is van een integere en beheerste bedrijfsvoering met betrekking tot de dienstverlening aan de onderneming.

Deze risicoanalyse omvat minimaal een beoordeling van compliance met bestaande (Nederlandse-) wet- en regelgeving, de gemaakte afspraken met betrekking tot de aangeboden diensten (de overeenkomst), de stabiliteit en betrouwbaarheid van de service provider, de locatie waar de diensten worden aangeboden, en het belang en afhankelijkheid van de IT-diensten en/of IT-componenten. De afnemer van clouddiensten dient afspraken te maken over wie toegang tot de data hebben en waar de data zich fysiek bevindt. Ook moet contractueel vastgelegd worden dat er geen data achterblijft bij de provider zodra het contract afloopt/wordt beëindigd. Voor clouddiensten die vanuit Nederland aangeboden worden en waarvan de server ook in Nederland staat zijn deze eisen eenvoudiger te borgen.

Tevens stelt DNB dat uitbesteding aan derden geen belemmering mag vormen voor toezicht. Dit houdt onder andere in dat de mogelijkheid voor de toezichthouder geregeld moet zijn om onderzoek ter plaatse te doen, of te laten doen bij de derde. Ook dit is bij dienstverlening op Nederlandse server eenvoudiger te borgen.

Naast eisen van de toezichthouder is ook een trend waarneembaar bij cliënten van instellingen die onder toezicht staan. Cliënten van deze instellingen stellen in toenemende mate zelf ook eisen aan de veiligheid en de locatie van hun vertrouwelijk gegevens. Hierbij spelen naast objectieve criteria soms ook min of meer subjectieve criteria mee. Objectief gezien kan een clouddienst vanuit een server in Amerika of Engeland wellicht volstaan, maar kan een cliënt of UBO er zich toch prettiger bij voelen als de informatie in Nederland staat en meenemen in zijn overwegingen. 

Bron: Nieuwsbrieven DNB