Risico's cloud computing onderschat

Nieuwsbericht
Datum 11 april 2012

Verzekeraars maken steeds vaker gebruik van cloud computing voor e-mailverkeer of als extra reken- en opslagcapaciteit. Uit onderzoek van DNB blijkt dat bestuurders van met name kleinere verzekeraars de beveiligingsrisico’s onvoldoende onderkennen. Wat moeten verzekeraars doen om de risico’s in de hand te houden?

Cloud-Computing

rong>Wat is cloud computing?

Ben je een particulier met een gmail-account, dan maak je automatisch gebruik van cloud computing. Je weet in dat geval niet op welke fysieke plaats je e-mailgegevens staan. Ook verzekeraars kunnen een deel van hun digitale gegevens onderbrengen bij een derde partij, zoals Google. Een belangrijk verschil met andere, meer traditionele IT-aanbieders is dat de data van de klant niet op een bepaalde server bij de provider staan, maar ergens in een van de rekencentra van de aanbieder van cloud-diensten. Dat maakt de beveiling ingewikkelder.

Wat zijn de risico's?

Het grootste risico is dat de gegevens onvoldoende beveiligd zijn. Ze kunnen worden gehackt of in handen vallen van derden. Denk aan klant- of creditcardgegevens die op straat komen te liggen. Een ander risico is dat klanten door een storing gegevens van een andere klant kunnen inzien. Ook het versturen van vertrouwelijke informatie per e-mail is risicovol. Als de beveiling onvoldoende is, kan de informatie bij buitenstaanders terechtkomen. Hierdoor kunnen bijvoorbeeld strategische plannen uitlekken.

Waar moet een verzekeraar op letten bij cloud computing?

Cloud computing wordt gezien als een vorm van uitbesteding. Daarom gelden voor deze dienstverlening dezelfde voorschriften als bij uitbesteding, zoals het moeten maken van een risicoanalyse. Daarbij moet de verzekeraar afspraken maken over wie toegang tot de data hebben en waar de data zich fysiek bevinden. Ook moet de verzekeraar in het contract met de provider opnemen dat bij beëindiging van de overeenkomst geen data achterblijven bij de provider.

Wil DNB toegang tot de data hebben?

Ja, DNB heeft het zogeheten 'right to audit'. Een verzekeraar mag de toezichtstaak van DNB niet belemmeren en moet de toezichthouder dus ook bij een provider toegang geven tot bepaalde gegevens. Dit right to audit geldt ook voor in- en externe accountants.
 
Meer informatie
Circulaire cloud computing