Cloud computing: risico’s en het toezicht daarop

Nieuwsbericht
Datum 31 mei 2012

Cloud computing is niet zonder risico. Lees wat uw bank kan doen om de risico’s in de hand te houden en wat DNB van u verwacht.

Cloud computing

Verschillende banken zijn zich aan het beraden over cloud computing voor bijvoorbeeld e-mail services of voor tijdelijke extra (opslag)capaciteit. DNB beschouwt cloud computing als een vorm van uitbesteding. De regels die voor uitbesteding gelden, zijn dan ook van toepassing op cloud computing.

Risico’s

Met de cloud technologie kunnen data en applicaties feitelijk overal ter wereld zijn opgeslagen. Dat brengt risico’s met zich mee. Het grootste risico ligt in de gegevensbeveiliging. Is die onvoldoende dan kunnen hackers en andere criminelen hun slag slaan en kunnen vertrouwelijke klant- of creditcardgegevens op straat komen te liggen. Ander risico is dat klanten door een storing inzage krijgen in de gegevens van derden. Ook kan e-mail verkeerd terecht komen, waardoor vertrouwelijke en bedrijfsgevoelige informatie bij buitenstaanders terechtkomt.

Eisen van DNB

Cloud computing ziet DNB als een vorm van uitbesteding. Voor deze dienstverlening gelden dan ook de gebruikelijke voorschriften van uitbesteding. Denk bijvoorbeeld aan de eis om een risicoanalyse te maken. Daarbij moet uw bank afspraken maken over wie toegang tot de data hebben en waar de data zich fysiek bevinden. Ook moet uw bank contractueel vastleggen dat er geen data achterblijven bij de provider zodra het contract afloopt/wordt beëindigd. 

Toegang DNB

DNB moet het zogenoemde ‘right to audit’ hebben. Uitbesteding, ook in de vorm van cloud computing, mag niet tot gevolg hebben dat het DNB belemmert in haar toezicht. Banken moeten dan ook de toezichthouder toegang verlenen bij een provider. Dat stelt de toezichthouder in staat om bepaalde processen en de gegevensverwerking te kunnen controleren en beoordelen.

Meer informatie?

Zie de brochure Cloud computing.