dinsdag 13 november 2012

Cloudcomputing bij de bank

Afgelopen week heel wat interessante berichten over cloud computing...

Weg is weg
Arnoud Engelfriet beschreef donderdag nog maar eens een keer dat het niet heel evident is om je data terug te krijgen als de servers van service provider in beslag zijn genomen:
De claim “het is mijn data en ik wil deze terug” gaat hem niet worden. Data “is” niets in de zin van de wet, en deze kan dus niet worden opgeëist.
[...]
“Ik heb betaald voor de hardware”. Ah kijk, nú komen we ergens. Als een server daar eigendom is van de klant, dan kan deze hem opeisen. Natuurlijk moet wel het strafrechtelijk onderzoek zijn afgerond, maar de klant is in dat geval een onschuldige derde-eigenaar en die heeft recht op zijn spullen terug. Maar bij de cloud koop je zelden de fysieke hardware (dedicated server).
“Ik húúr dat ding netjes”. Nee, als huurder heb je geen recht op toegang tot het gehuurde als de verhuurder in de problemen raakt. Je hebt recht op je eigendommen terug, maar dat zou hier dus die data zijn en die hadden we al gehad.
“Mijn contract bepaalt expliciet dat ik recht heb op mijn data in situaties als deze”. Dat is een hele mooie contractuele bepaling, en eigenlijk moet iedereen eisen die in het cloudcontract te krijgen. Alleen helpt het nu net heel weinig in deze situatie: de FBI heeft niets te maken met zo’n contract. Megaupload Inc wel, maar ja daar is weinig meer te halen.
Dus nee, ik zie hem niet. Het devies blijft net als bij mijn oude PC met 4.77 MHz 8088 processor: maak backups, je hebt nooit genoeg backups.
DNB neemt hobbel weg
Een paar dagen eerder publiceerde De Nederlandse Bank het bericht dat Nederlandse banken gebruik zouden kunnen gaan maken van Office 365 van Microsoft. Tot voor kort mochten de banken geen gebruik maken van cloud computing, omdat DNB geen mogelijkheid had om onderzoek te doen bij de service provider. In bank-termen heet dat het 'right to examine.' Volgens het persbericht heeft Microsoft nu ingestemd met dit onderzoeksrecht.

Toezicht op uitbesteding
Interessant is dan nog dat DNB eind vorig jaar een circulaire over cloud computing en toezicht (pdf) heeft opgesteld. Eigenlijk zou ik die hier integraal willen citeren en door Gedeputeerde Staten laten vaststellen, want hij past naadloos binnen het archiefwettelijk toezicht. Twee citaten:
Conform de wettelijke vereisten gaat DNB er vanuit dat onder toezicht staande ondernemingen een samenhangende risicoanalyse kunnen opleveren voordat zij besluiten over te gaan tot uitbesteding van (IT)diensten. Deze risicoanalyse omvat minimaal een beoordeling van compliance met bestaande wet- en regelgeving, de gemaakte afspraken met betrekking tot de aangeboden diensten (de overeenkomst), de stabiliteit en betrouwbaarheid van de service provider, de locatie waar de diensten worden aangeboden, en het belang en afhankelijkheid van de IT-diensten en/of IT-componenten. Voor cloud computing dient hierbij expliciete aandacht besteed te worden aan de risico’s die samenhangen met onder meer de integriteit, vertrouwelijkheid en beschikbaarheid van data. Tevens dient inzichtelijk te zijn op welke locatie de bedrijfsdata wordt bewerkt en opgeslagen. Indien de onderneming niet langer gebruik maakt van de service van de derde dient zij alle data veilig te stellen en zich ervan te vergewissen dat alle data is verwijderd van de systemen van de derde. 
Uitbesteding mag geen belemmering zijn voor het toezicht. Dat betekent dat een onder toezicht staande bank op zijn minst
  • een adequaat beleid voert, en beschikt over toereikende procedures en maatregelen, met betrekking tot het op structurele basis uitbesteden van werkzaamheden.
  • de overeenkomst met de derde, waaraan de werkzaamheden op structurele basis worden uitbesteed, schriftelijk vastlegt. In deze overeenkomst wordt in ieder geval het volgende geregeld:
    • de mogelijkheid voor de toezichthouders om onderzoek ter plaatse te doen, of te laten doen bij de derde
    • de onderlinge informatie-uitwisseling en dat desgewenst relevante informatie voor toezichthouders beschikbaar wordt gesteld;
    • de onder toezicht staande onderneming te allen tijde wijzigingen kan aanbrengen in de wijze van uitvoering van de uitbestede werkzaamheden;
    • voor de derde de verplichting geldt dat de onder toezicht staande onderneming in staat wordt gesteld blijvend te voldoen aan de wettelijke vereisten
    • de wijze waarop de overeenkomst wordt beëindigd, en de wijze waarop wordt gewaarborgd dat de onder toezichtstaande onderneming de werkzaamheden na beëindiging van de overeenkomst weer zelf of door een andere derde kan laten uitvoeren.
Zijn dat niet prachtige uitgangspunten?

Toezicht door DNB
In de financiële wereld is trouwens ook wat onrust ontstaan over het toezicht door De Nederlandse Bank. Het blijkt namelijk dat de kosten voor dit toezicht gedragen worden door de toezichtsgenieters. Of zoals de NRC gisteren schreef:
Om het toezicht uit te breiden voert DNB de kosten de komende jaren op. De rekening hiervoor komt vooral bij banken, verzekeraars en pensioenfondsen te liggen. Het frustreert veel bedrijven dat ze zelf door de crisis moeten snijden in de kosten en dat DNB ondertussen om steeds meer geld vraagt. Directieadviseur Theo Hoppenbrouwers van Zorgverzekeraars Nederland verklaart tegenover de krant:
“Alle sectoren zitten in zwaar weer. Maar het toezicht door DNB mag tegen alle stormen in groeien met dubbele cijfers, zonder dat ons duidelijk is wat er verbetert aan het toezicht.”
Gerelateerd
De IT van een bank
Aanvulling op archieven in het buitenland plaatsen

Plaatje: King Cloud van akakumo

Geen opmerkingen:

Een reactie plaatsen