Cloud voor financiële instellingen
Iets nieuws onder de zon?Cloud voor financiële instellingen
Iets nieuws onder de zon?Samenvatting
Vanuit wettelijk oogpunt is het een financiële instelling toegestaan om werkzaamheden uit te besteden aan derden, zolang wordt voldaan aan de verplichtingen die de toezichthouders opleggen.
Cloud-diensten kennen verschillende implementatiemodellen waardoor minstens 12 varianten ontstaan. In iedere variant is de mate van controle (“span of control”) verschillend voor de uitbestedende organisatie. De verantwoordelijkheid voor de dienst “schuift” als het ware tussen de aanbieder en afnemer van de dienst bij de verschillende varianten. Deze variatie maakt dat het afnemen van Cloud-diensten een bijzondere vorm van uitbesteding is. Daaruit volgt eveneens dat de maatregelen die financiële instellingen moeten nemen om de risico’s te beheersen voor iedere variant weer anders zijn.
In termen van uitbesteding is het niet alleen de financiële instelling die een dienst afneemt van een Cloud-aanbieder en daarmee een uitbesteding doet, maar kan de Cloud-aanbieder zelf ook weer werkzaamheden hebben uitbesteed. Hierdoor kan een complexe keten van verantwoordelijkheid ontstaan, in vakkringen “Cloud stacking” genoemd, waarvoor de onder toezicht staande organisatie uiteindelijk eindverantwoordelijk blijft en doorlopend, aantoonbaar “in-control” moet zijn.
Met het uitbrengen van de circulaire Cloud computing in 2011 heeft De Nederlandse Bank (DNB) nader aangegeven wat hij verwacht van onder toezicht staande organisaties op het gebied van uitbesteding naar Cloud-diensten en heeft inmiddels diverse richtlijnen en hulpmiddelen ter beschikking gesteld om een risicoanalyse uit te kunnen voeren. DNB hanteert daarbinnen echter open normen en laat de invulling c.q. uitwerking daarvan over aan de onder toezicht staande organisaties.
Deze open normen zorgen voor onzekerheid bij uitbesteding waardoor het risico bestaat dat onnodig zware eisen worden gesteld aan aanbieders om te voorkomen dat non-conformiteit optreedt. Hierdoor wordt wellicht een voor alle partijen onnodig belastend inkooptraject doorlopen en beperkt een onder toezicht staande onderneming zichzelf in de mogelijkheden die Cloud-diensten bieden.
Op basis van het voorgaande zal dit onderzoek antwoord geven op de volgende centrale vraag: “Welke eisen worden door DNB en AFM opgelegd aan onder toezicht staande organisaties bij het afnemen van Cloud-diensten en welke risicomitigerende maatregelen moeten worden genomen om te voldoen aan deze eisen in het algemeen en specifiek wanneer sprake is van onderaanneming bij de aanbieder van de Cloud-dienst?”
Organisatie | Zuyd Hogeschool |
Opleiding | Hogere Juridische Opleiding |
Afdeling | Faculteit Management en Recht |
Partner | APG |
Datum | 2016-06 |
Type | Bachelor |
Taal | Nederlands |