Nederlandse banken mogen naar Amerikaanse cloud

Banken krijgen van de toezichthouder toestemming om in zee te gaan met cloudaanbieder Microsoft. De Nederlandse Bank heeft een akkoord bereikt met de Amerikanen over het recht op onderzoek.


De Nederlandse Bank (DNB) had banken eerder nog verboden om diensten van cloudaanbieders af te nemen. De toezichthouder heeft bij cloudgebruik namelijk geen recht meer om onderzoeken uit te voeren. DNB heeft in de afgelopen tijd mede namens de gezamenlijke internationale IT-toezichthouders (ITSG) rechtstreeks contact gezocht met "verschillende internationale cloudserviceproviders". Daaronder dus ook Microsoft.

Deur open voor Office 365

Die software- en cloudaanbieder neemt het onderzoeksrecht voor DNB nu op in overeenkomsten die het sluit met Nederlandse financiŽle instellingen die zijn Office 365-clouddiensten willen afnemen. Microsoft biedt daarmee online de functionaliteit van zijn gelijknamige applicatiepakket, maar ook van servertoepassingen als mail- en agendasoftware Exchange plus collaboration-software Sharepoint.

"Dit heeft ook voor andere internationale toezichthouders de deur geopend om bij Microsoft het right to examine te verzoeken", schrijft DNB in een verklaring. Overigens moet de kwaliteit van de door Microsoft geleverde diensten eerst nog worden beoordeeld door een onafhankelijke derde partij.

Voldoen aan wettelijke vereisten

Volgens DNB is hiermee een belangrijke hobbel weggenomen voor outsourcen naar de cloud door Nederlandse banken en andere financiŽle instellingen die onder het toezicht staan van de DNB. "Voor de financiŽle instellingen in Nederland is het nu mogelijk gemaakt te voldoen aan de wettelijke vereisten bij afname van Office 365 van Microsoft", zegt DNB.

Een jaar geleden deed DNB een circulaire uit (PDF) naar de financiŽle instellingen en pensioenfondsen die onder zijn toezicht staan. In die brief gaf de instantie de toenmalige regels aan voor cloud computing. DNB wil vooraf weten wie er met welke aanbieder in zee wil en zal dan een risico-analyse opvragen bij de onder toezicht staande onderneming. Die betreffende financiŽle instelling moet een dergelijke risico-analyse zelf opstellen.

Risico's en uitdagingen

DNB heeft een aantal "additionele risico's en uitdagingen" geformuleerd waarop die risico-analyse een antwoord moet geven. Daaronder de vragen: "Waar is uw data fysiek? Wie hebben toegang tot uw gegevens? Hoe controleert u dat? Hoe vergewist u zich er van dat uw cloud service provider uw gegevens conform uw vereisten verwerkt? Hoe krijgt u uw data terug bij beŽindiging van de overeenkomst?"

Daarnaast mag de uitbesteding aan derden "geen belemmering vormen voor toezicht". Deze voorwaarde voor controle heeft DNB nu in het geval van Microsoft zelf opgelost. Een andere grotere aanbieder is Google, maar daar is blijkbaar nog geen overeenstemming mee bereikt.

Kwetsbaar voor Patriot Act

De clouddiensten van Amerikaanse aanbieders staan aan kritiek bloot vanwege de kwetsbaarheid waaraan Europese data zijn blootgesteld door de mogelijke toepassing van de Patriot Act door de Amerikaanse regering. Die mag in het kader van de bestrijding van terrorisme en zware criminaliteit vrijelijk graaien in de data van Europese burgers als die data op servers staan van Amerikaanse bedrijven. Ook andere overheden hebben dergelijke verregaande bevoegdheden.