Cloud computing circulaire uit 2011 van DNB nog steeds van kracht

Het is al weer enige tijd geleden, maar op 6 december 2011 zond De Nederlandsche Bank (DNB) een circulaire uit over cloud computing. Deze circulaire (2011/643815) is nog steeds van kracht, aldus DNB. De tekst van deze circulaire vindt u hieronder.
De Nederlandsche Bank ( DNB) constateert dat een toenemend aantal financiële ondernemingen, bedrijfstakpensioenfondsen en pensioenfondsen die onder toezicht staan van DNB (hierna: onder toezicht staande ondernemingen) zich aan het oriënteren is op de vraag of cloud computing geschikt is om in te zetten in de onderneming. Met deze circulaire wil DNB uw aandacht vragen voor de geldende prudentiële wet- en regelgeving ten aanzien van cloud computing.
Standpunt DNB
DNB is van oordeel dat cloud computing waarbij gebruik wordt gemaakt van diensten van derden, bijvoorbeeld voor het opslaan en verwerken van data, feitelijk een vorm van uitbesteding is. Dit houdt in dat indien gebruik wordt gemaakt van cloud diensten van derden de onderneming gehouden is aan dezelfde wettelijke vereisten als gelden bij uitbesteding:
risico’s dienen aantoonbaar gekend en beheerst te worden en, – uitbesteding aan derden mag geen belemmering vormen voor toezicht. Alvorens een onder toezicht staande onderneming overgaat tot het gebruik van cloud computing verwacht DNB dat zij geïnformeerd wordt voordat de uitbesteding zal plaatsvinden. Als onderdeel van het risicogebaseerde toezicht zal DNB bij de onder toezichtstaande onderneming de risicoanalyse ten aanzien van cloud computing opvragen en beoordelen.
Achtergrond
Van cloud computing circuleren vele definities, maar voor deze circulaire definieert DNB cloud computing als een on-demand service model voor de levering van IT diensten, veelal gebaseerd op virtualisatie technieken en gedistribueerde computeromgevingen. Cloud technologie kan gebruikt worden om de eigen IT schaalbaar en meer elastisch te maken, maar de gehanteerde technologie maakt het ook mogelijk om IT diensten (bijvoorbeeld opslag, applicaties, e-mail) in gestandaardiseerd formaat en on-demand af te nemen van daartoe gespecialiseerde service providers waarbij gebruik wordt gemaakt van een gedeelde technische infrastructuur. Door de gebruikte internet technieken kunnen uw data en uw
applicaties feitelijk overal ter wereld zijn en vandaan komen. Deze circulaire is (vooral) gericht op deze laatste vorm van cloud computing aangezien hier een aantal additionele risico’s en uitdagingen optreden: Waar is uw data fysiek? Wie hebben toegang tot uw gegevens? Hoe controleert u dat? Hoe vergewist u zich er van dat uw cloud service provider uw gegevens conform uw vereisten verwerkt? Hoe krijgt u uw data terug bij beëindiging van de overeenkomst?
Uitbesteding
Op basis van de geldende prudentiële wet- en regelgeving geldt voor onder toezicht staande ondernemingen onder meer de eis dat bedrijfsprocessen en bedrijfsrisico’s worden beheerst. Deze eis geldt onverkort wanneer onder toezicht staande ondernemingen wezenlijke werkzaamheden uitbesteden aan een derde, bijvoorbeeld de uitbesteding van IT-diensten in de vorm van cloud computing. Indien sprake is van uitbesteding dient de onder toezicht staande onderneming er onder meer voor zorg te dragen dat ook bij de derde sprake is van een integere en beheerste bedrijfsvoering met betrekking tot de dienstverlening aan de onderneming.
Risicoanalyse en beheersing
Tevens dienen onder toezicht staande ondernemingen risico’s te analyseren en toereikend te beheersen. Dat geldt ook wanneer (delen van) bedrijfsprocessen worden uitbesteed aan een derde.  Conform de wettelijke vereisten gaat DNB er vanuit dat onder toezicht staande ondernemingen een samenhangende risicoanalyse kunnen opleveren voordat zij besluiten over te gaan tot uitbesteding van (IT)diensten. Deze risicoanalyse omvat minimaal een beoordeling van compliance met bestaande wet- en regelgeving, de gemaakte afspraken met betrekking tot de aangeboden diensten (de overeenkomst), de stabiliteit en betrouwbaarheid van de service provider, de locatie waar de diensten worden aangeboden, en het belang en afhankelijkheid van de IT-diensten en/of IT-componenten.
Voor cloud computing dient hierbij expliciete aandacht besteed te worden aan de risico’s die samenhangen met onder meer de integriteit, vertrouwelijkheid en beschikbaarheid van data. Tevens dient inzichtelijk te zijn op welke locatie de bedrijfsdata wordt bewerkt en opgeslagen. Indien de onderneming niet langer gebruik maakt van de service van de derde dient zij alle data veilig te stellen en zich ervan te vergewissen dat alle data is verwijderd van de systemen van de derde.
Uitbesteding aan derden mag geen belemmering vormen voor toezicht
De wet- en regelgeving inzake uitbesteding stelt als voorwaarde dat het uitbesteden van werkzaamheden aan derden geen belemmering mag vormen voor het toezicht van DNB. Verder geldt onder meer dat een onder toezicht staande onderneming ten minste:
–  een adequaat beleid voert, en beschikt over toereikende procedures en maatregelen, met betrekking tot het op structurele basis uitbesteden van werkzaamheden.
–  de overeenkomst met de derde, waaraan de werkzaamheden op structurele basis worden uitbesteed, schriftelijk vastlegt.
In deze overeenkomst wordt in ieder geval het volgende geregeld:
*  de mogelijkheid voor de toezichthouders om onderzoek ter plaatse te doen, of te laten doen bij de derde;
*  de onderlinge informatie-uitwisseling en dat desgewenst relevante informatie voor toezichthouders beschikbaar wordt gesteld;
*  de onder toezicht staande onderneming te allen tijde wijzigingen kan aanbrengen in de wijze van uitvoering van de uitbestede werkzaamheden;
*  voor de derde de verplichting geldt dat de onder toezicht staande onderneming in staat wordt gesteld blijvend te voldoen aan de wettelijke vereisten;
*  de wijze waarop de overeenkomst wordt beëindigd, en de wijze waarop wordt gewaarborgd dat de onder toezichtstaande onderneming de werkzaamheden na
beëindiging van de overeenkomst weer zelf of door een andere derde kan laten uitvoeren.
Voor eventuele vragen naar aanleiding van deze circulaire kunt u contact opnemen met toezichthouder mevrouw Miranda Chilvers (m.j.chilvers-van.der.kruk@dnb.nl)  van De Nederlandsche Bank.