Cloudbankieren

ACHTERGROND - Wanneer je het vliegtuig naar de VS neemt, weet de NSA waarschijnlijk al wat jij aan boord hebt gegeten voordat de cabin crew het aan je heeft gevraagd. Passenger Name Records moeten door vliegmaatschappijen beschikbaar worden gesteld aan de VS, die afspraak is nu eenmaal gemaakt, maar het afluistervraagstuk plaatst internationale afspraken en wet- en regelgeving in een ander perspectief. Onze banken worstelen echter al langere tijd met het datavraagstuk en met vergelijkbare wetten en regels met een eveneens twijfelachtige werking.

Cloud computing is een vorm van outsourcing

Nederlandse banken die zaken doen met Amerikaanse bedrijven hebben te maken met verschillende regelingen. Aan de ene kant is er de Patriot Act, die de Amerikaanse overheid (officieel na toestemming van de rechter) de mogelijkheid biedt om data op te vragen van Amerikaanse burgers en bedrijven, ongeacht waar die zich bevinden. Aan de andere kant dragen Nederlandse organisaties vanuit Nederlandse en Europese wetgeving zelf de verantwoordelijkheid voor een correcte verwerking en bescherming van persoonsgegevens. Wanneer Europese banken zaken doen met internationale dienstverleners, wordt de wet- en regelgeving alleen maar complexer. Niet-Europese dienstverleners moeten verklaren dat zij de Europese wet- en regelgeving respecteren. Hun datacenters moeten bijvoorbeeld binnen Europa gevestigd zijn, zodat voorkomen kan worden dat een vestigingsland (buiten Europa) via eigen wet- en regelgeving kan bepalen hoe er wordt omgegaan met data. Datacenters zijn relevant voor de opslag van klantgegevens. Van grote financiële instellingen is vrijwel nooit bekend waar zij welke data onderbrengen.

Safe harbor

De Safe Harbor-regeling tussen de EU en VS schrijft voor dat Amerikaanse bedrijven alleen privégegevens van Europese consumenten verwerken en opslaan als ze (Safe Harbor)-gecertificeerd zijn. Onderliggende regels hebben betrekking op zaken als toestemming, databeveiliging, handhaving en klachtafhandeling. Het Safe Harbor-keurmerk wordt gehandhaafd door het Amerikaanse ministerie van Handel.

Of het Safe Harbor-keurmerk garanties biedt, is de vraag. De Patriot Act geeft de VS altijd de mogelijkheid om data (of complete servers) te vorderen, iets waardoor het keurmerk aanzienlijk aan kracht inboet. Het College Bescherming Persoonsgegevens (CBP) stelt daarom dat Nederlandse bedrijven en organisaties die clouddiensten afnemen in de VS, zelf eindverantwoordelijk zijn voor de bescherming van persoonsgegevens.

Toezicht?

Om die verantwoordelijkheid goed te kunnen invullen moet je dan wel een audit kunnen uitvoeren bij je clouddienstverlener. Voor financiële instellingen geldt dat De Nederlandsche Bank (DNB) toezicht houdt en dat toezicht strekt zich uiteraard ook uit tot de IT van banken. In de Wet Financieel Toezicht (WFT) en de Pensioenwet is vastgelegd dat DNB een right to audit heeft. Dat recht kan gebruikt worden wanneer DNB er niet of onvoldoende in slaagt om via normale procedures (opvragen van documenten, stellen van vragen) aan informatie te komen. Wanneer banken overgaan tot het uitbesteden van IT, mag dat niet leiden tot belemmeringen in het toezicht, zo is één van de eerste voorschriften van DNB. Cloud computing verandert daar niets aan. Het audit-recht van toezichthouders blijft aan de orde en gaat bij IT-outsourcing bijvoorbeeld tot op het niveau van onderaannemers van IT-dienstverleners. De praktijk is echter tot nu toe dat veel Amerikaanse partijen niet toe stonden dat een Nederlandse toezichthouder het right to audit ook daadwerkelijk zou uitoefenen: toezichthouders kwamen er eenvoudigweg niet in.

Werkbare afspraken

Financials ervaren het dan ook als een hele toer om alle wet- en regelgeving vertaald te krijgen in juridische contracten en afspraken met hun service providers. Service providers op hun beurt vrezen dat opdrachtgevers of toezichthouders zo maar kunnen binnen vallen. Het realiseren van contractuele afspraken met service providers rondom het naleven van wet- en regelgeving is hierdoor tijdrovend maatwerk.

De serviceproviders en de Nederlandse financiële sector zijn gebaat bij heldere afspraken over bijvoorbeeld het invulling van het toezicht. DNB heeft met de clouddienstverleners Microsoft, Salesforce.com en Amazon overeenstemming bereikt over de wijze waarop specifieke clausules van IT-contracten kunnen worden ingevuld. Het gaat dan om aspecten als hoe vaak het right to audit speelt, wie de kosten draagt en wat een audit precies inhoudt. De afspraken die DNB met Salesforce.com, Microsoft en Amazon heeft gemaakt, zijn echter niet openbaar. Ze zijn concurrentiegevoelig en hangen nauw samen met de aangeboden diensten van de betrokken partijen; mede een gevolg van principle-based toezicht door DNB (in plaats van rule-based toezicht).

Meer transparantie?

Hoewel de Patriot Act een pijnpunt blijft, begrijpt een partij als Microsoft dat ze moet inspelen op de lokale Europese situatie – het bedrijf wordt dan ook steeds transparanter over de locatie van de eigen datacenters, aldus DNB. Wanneer concurrentie er voor zorgt dat meer leveranciers versneld gaan inspelen op regelgeving, wordt dat aantrekkelijk voor klanten. Het vergroot tegelijkertijd de complexiteit: dienstverleners zullen namelijk sterker moeten inspelen op uiteenlopende omstandigheden van verschillende lokale markten. Of de verschillende nationale toezichthouders eenzelfde beweging zullen maken en zullen streven naar geharmoniseerde regelgeving, valt te betwijfelen. Daarvoor zijn de verschillen in nationale wet- en regelgeving op het vlak van levensverzekeringen en pensioenen nog veel te groot.

Of juist gebrek aan transparantie?

Leveranciers bieden inmiddels allerlei verschillende clouddiensten aan, bijvoorbeeld afgestemd op verticals of op specifieke vraagstukken rondom data of toepassingen. IT-uitbesteders ervaren tot nu toe vaak gebrek aan transparantie bij aanbieders. Zo worden ze soms achteraf toch geconfronteerd met additionele kosten en vragen ze zich af wat het verschil is tussen een private cloud en gevirtualiseerde diensten. Aan de andere kant kan het schaalvoordeel dat een cloudprovider kan leveren, ook betrekking hebben op het gebied van veiligheid. Kiezen voor de cloud betekent dat je als uitbesteder in een multi-tennant-omgeving terecht komt, waarbij de aanbieder maximale energie in beveiliging zal steken. Maar wanneer financials met die reden allemaal voor dezelfde cloudprovider kiezen, maakt dat die ene provider en daarmee de financiële sector als geheel weer extra kwetsbaar.

Dit blogbericht werd oorspronkelijk gepubliceerd op The Connected World en is gebaseerd op een verslag van een rondetafeldiscussie over ‘financials in de cloud’ (2013).