De Nederlandse Bank (DNB) heeft opnieuw een Amerikaanse cloudaanbieder goedkeuring gegeven om in zee te gaan met Nederlandse financiële instellingen. Amazon Web Services ofwel de AWS-cloud mag data van onder meer banken en verkeringsmaatschappijen herbergen. Dit geldt voor websites, mobiele applicaties, retail banking-platforms, high performance computing en kredietrisico analyse-oplossingen, meldt Amazon.

Voor de goedkeuring zijn alle obstakels en belemmeringen die noodzakelijk zijn onder de Wet Financieel Toezicht (WFT) uit de weg genomen.

In november 2012 was Microsoft de eerste buitenlandse cloudaanbieder die na diverse toezeggingen toestemming kreeg om in zee te gaan met Nederlandse financiële organisaties. Later volgden ook Salesforce.com, IBM en in Nederland KPN, terwijl met overige aanbieders nog gesprekken gaande zijn.

Verplichte risicoanalyse

Hierbij geldt opnieuw de verplichte risicoanalyse door DNB. Die eist inzage wanneer Nederlandse financiële instellingen hun data onderbrengen bij derden. Omdat Amazon daar net als Microsoft toestemming voor geeft, mogen Nederlandse financiële organisaties nu onder toezicht van DNB gebruik maken van de Amazon-cloud.

"Als prudentieel toezichthouder gaat het ons er om dat de risico's die optreden wanneer bedrijfsprocessen worden uitbesteed aan derden, bijvoorbeeld voor het opslaan en verwerken van data via cloud computing, voldoende kunnen worden beheerst. Onder toezicht staande ondernemingen moeten daarom vooraf de risico’s analyseren en laten zien dat zij deze toereikend kunnen beheersen”, legt DNB-woordvoerder Remko Vellenga uit.

"DNB beoordeelt deze risicoanalyse voordat een onderneming overgaat tot het gebruik van cloud computing. Ook daarna moet DNB hier doorlopend en onbelemmerd op kunnen toezien. Niet alleen via de onderneming, maar ook bij de providers van cloud computing zelf."

Expliciete aandacht

In een uitgebreide toelichting van DNB op cloud computing stelt de toezichthouder dat wanneer er gebruik wordt gemaakt van diensten van derden, dat moet worden beschouwd als uitbesteding (outsourcing).

“Voor cloud computing dient hierbij expliciete aandacht besteed te worden aan de risico’s die samenhangen met onder meer de integriteit, vertrouwelijkheid en beschikbaarheid van data. Tevens dient inzichtelijk te zijn op welke locatie de bedrijfsdata wordt bewerkt en opgeslagen”, schreef DNB eind 2011 al.

Scepsis

Ondanks het verplichte toezicht van DNB blijft er vanuit Europa scepsis ten opzichte van Amerikaanse cloudaanbieders. Data die zij herbergen valt automatisch onder de Patriot Act van de Amerikaanse regering. Die mag om terrorisme en zware criminaliteit te bestrijden vrijelijk graaien in de data die staan opgeslagen op servers van Amerikaanse bedrijven. Overigens hebben veel meer overheden dergelijke verregaande bevoegdheden.

Update 13.06 uur: De Nederlandse Bank laat weten dat ook cloudaanbieders Salesforce.com en IBM zijn toegestaan. Tekst hierop aangepast.


Meer weten over innovatie & ICT? Kom naar de IT Innovation Day op 19 september 2013!