De Nederlandsche Bank geeft Nederlandse financiële instellingen het groene licht voor het gebruik van de diensten van de Amerikaanse cloud-aanbieder Amazon Web Services. Dit betekent volgens Amazon dat banken en verzekeraars voor hun websites, mobiele applicaties, bankiersoftware, gegevensopslag, extra rekenkracht en kredietrisico-analyses gebruik kunnen maken van cloud computing.
De financiële instellingen zouden vanaf nu ook diensten mogen afnemen van leveranciers die gebruik maken van de Amazon-cloud, stelt Amazon in een persbericht.
Woordvoerder Remko Vellinga van DNB houdt enkele slagen om de arm: ‘Zonder inhoudelijk op het Amazon-persbericht in te gaan, klopt het dat er voor DNB de wettelijke eisen geen belemmering meer hoeven zijn voor financiële instellingen om gebruik te maken van Amazon Web Services. Deze financiële instellingen zullen uiteraard wel een goede risicoanalyse moeten maken, wanneer ze activiteiten willen uitbesteden in de cloud.’
In een bericht op zijn website wijst DNB wel op de plicht van financiële instellingen een exitclausule op te nemen in het contract met de cloudleverancier. Ook moet er voorafgaand een risico-analyse worden opgesteld en moet DNB vooraf op de hoogte worden gebracht van de plannen.
Elders in Europa
Volgens Amazon Web Services maken financiële instellingen elders in Europa al gebruik van zijn diensten. Onder de gebruikers bevinden zich onder andere het Spaanse Bankinter en Unicredit in Italië. Ook de Australische Commonwealth Bank of Australia doet zaken met Amazon.
De eerste Nederlandse klant van Amazon Web Services is banktechnologiebedrijf Ohpen. ‘Wij hebben AWS gekozen als platform om onze ‘bank-uit-de-doos’-oplossing als SaaS-dienst te draaien’, zegt ceo Chris Zadeh van Ohpen. Volgens hem maken al enkele grote Nederlandse banken gebruik van de technologie van Ohpen om hun retail-activiteiten naar de cloud te brengen. ‘Met de goedkeuring van DNB kunnen zij onze bankiersoftware dus ook op AWS draaien.’
Verzekeraars
Eerder bereikte DNB overeenstemming met Microsoft over de levering van clouddiensten aan verzekeraars. Struikelblok daarbij was dat cloudleveranciers een beperking stelden aan de frequentie van toezicht door de toezichthouder. Microsoft besloot daarom op dit punt de contracten met verzekeraars aan te passen. Vertegenwoordigers van DNB mogen sindsdien op elk willekeurig moment onderzoek doen op de plaats waar de verzekeringsgegevens zich fysiek bevinden. Dat maakte de weg vrij voor het gebruik van bijvoorbeeld Office 365 in de verzekeringsbranche.
Met andere cloudleveranciers voert DNB vergelijkbare gesprekken. Lees voor meer details de circulaire die DNB begin december 2011 rondstuurde.
De opmerkingen hierboven over patriot en prism zijn nogal onzinnig. Immers vrijwel alle Nederlands banken gebruiken IBM voor het managen van hun servers en die zijn al verplicht op verzoek van hun overheid de data aan te leveren. In een Cloud omgeving zijn over het algemeen betere en duidelijkere regels over wat er met je data kan gebeuren.
Kortom een verstandig besluit van DNB.
Eén en ander mag nu op voorwaarde dat DNB periodieke inzage krijgt wanneer Nederlandse financiële instellingen hun data onderbrengen bij derden in de vorm van een risicoanalyse van DNB. Een citaat dat ik van Webwereld heb betrokken:
“Deze risicoanalyse gaat met name over de bescherming van privacy en gevoelige gegevens. Wanneer data wordt ondergebracht bij derden eist DNB toegang daartoe en heeft vervolgens periodieke inzage”, legt DNB-woordvoerder Remko Vellenga uit. “Omdat DNB als toezichthouder met name over toereikende solvabiliteit gaat, wordt hierbij onder meer het CBP [College Bescherming Persoonsgegevens – red] betrokken.”
De situatie is dus nu zo dat er geen wettelijke belemmeringen meer zijn vanuit het perspectief van DNB. Vanuit het perspectief van CBP is er niets veranderd volgens mij. Dus alle ophef over PRISM en de vragen van de Tweede Kamer in 2011, 2012 en 2013 liggen daar nog steeds en de antwoorden zijn hetzelfde. Alleen gaat het hier om financiële gegevens door over het algemeen commerciële partijen, geen (lagere) overheden.
Zij hebben nog steeds plichten t.a.v. privacy.
Ik vraag me dus af wat er nu veranderd is. Ik denk dat dit gegeven nu nog meer gebruikt zal worden als een soort legitimatie om Amerikaanse providers in te zetten en daarbij wordt ten onrechte dan ook de privacy-wetgeving betrokken. Dat laatste klopt niet, maar zal de discussie de komende tijd behoorlijk vertroebelen helaas.
Cloud is mooi, cloud kan in bepaalde omstandigheden oplossingen bieden, maar is niet in alle gevallen de beste oplossing.
@Jan: met respect, maar dan heb je de discussie niet begrepen.
Omdat iets al langer aan de gang is, is het dus geen probleem?
Privacy is gebaat bij transparantie. Dat kan door als bevriende staten altijd open naar elkaar te zijn over wanneer en waarvoor informatie wordt opgevraagd. Die openheid is er nu niet. En dat is waar het in de privacy-discussie om gaat.
Dat DNB een club is die naar de pijpen van het groot kapitaal danst was al bekend en ook in deze situatie stellen ze niet ’teleur’.
De banken kunnen dan net zo goed hun kluizen afdanken. Zijn toch legacy en dus niet meer nodig. Die Brinks busjes zijn ook niet meer nodig, we doen het wel via de post. En een lening aanvragen doen wel even via Facebook.
Dames en Heren. Dit gaat hem niet worden. Met een beetje geluk is dat Belgische iniatief voor een eigen cooperatieve bank al klaar en kunnen we daar klant worden.
Ik kan de reacties hierboven wel goed plaatsen, maar ik vind het toch wel curieus dat de Amerikaanse inlichtingendienst CIA vorige week een contract met AWS heeft gesloten. Hoe moet ik dat nu weer plaatsen ?
Dan lijkt het mij nu tijd worden dat we gratis het Amerikaans staatsburger schap krijgen. 😉
@Jan: met respect. Leen geeft al aan dat u de dicussie hierboven niet hebt begrepen, maar als toevoeging kan ik u zeggen dat u van de Patriot Act werkelijk geen snars hebt begrepen. De banken maken gebruik van de diensten en producten van IBM, maar deze draaien geen van alle op servers gsitueerd in de U.S. En daar gaat de Patriot Act over.
Kortom: Dit is een heul gevaarlijke ontwikkeling, maar ja iedereen roept maar: “Als je toch niets te verbergen hebt…” . En zolang die mantra herhaalt wordt gaat het verder en verder en verder tot 1984 is.
@ alle voorstanders van de bank in de AWS cloud. U hebt allen heel goed de laatste alinea gelezen hoe het met de cloud leverancier voor verzekeraars is gegaan?
Microsoft wilde zich bemoeien met de toezichthoudende taken van de DNB. Als dit niet uw ogen opent weet ik het ook niet meer…..
Wat begrijpen toch weinig mensen de patriot act.
De patriot act geeft de Amerikaanse overheid servers te ’tappen’ ongeacht de locatie:
“Various provisions allowed for the disclosure of electronic communications to law enforcement agencies. Those who operate or own a “protected computer” can give permission for authorities to intercept communications carried out on the machine, thus bypassing the requirements of the Wiretap statute.[39] The definition of a “protected computer” is defined in 18 U.S.C. § 1030(e)(2) and broadly encompasses those computers used in interstate or foreign commerce or communication, including ones located outside the United States. ”
Het gaat dus om bedrijven die zaken doen met de US. Iedereen die zaken doet met de US en daarvoor een computer omgeving gebruikt valt dus potentieel onder de patriot act.
De meeste organisaties, zoals banken vallen hier dus al lang onder. Als de servers in de verenigde staten staan is het alleen wat makkelijker maar de locatie doet er niet toe, wil je zaken blijven doen met de US dan moet je wel gehoor geven aan dit soort bevelen.
Nederlandse ondernemingen hebben het echter nog moeilijker aangezien wij in Nederland redelijk klakkeloos mee werken aan rechtsbijstandsverzoeken uit de US. Het is voor Amerikaanse opsporingsinstanties makkelijker beslag te leggen in NL doordat wij niet inhoudelijk toetsen of dit verzoek rechtmatig is, we gaan er vanuit dat het zo is.
In Amerika vallen ze onder meer regels en kost het de FBI dus meer moeite dan in NL.
Oh en aftappen in de DC’s van providers doen wij in NL al meer dan 10 jaar.
Lees de case van mega-upload maar eens door.
Eindgebruikers, banken en wie dan ook moet gewoon zelf zorgen dat data die niet zo maar beschikbaar gesteld mag worden aan derden of voldoende encrypted is opgeslagen, of binnenshuis wordt gehouden.
Kwestie van gezond verstand gebruiken.
Wij gebruiken Amazon al langere tijd voor onze toepassingen in de gezondheidszorg, maar dan wel voor de Amerikaanse markt. Amazon was als eerste platform-as-a-service partij HIPAA gecertificeerd, wat betekent dat patientgegevens onder geen enkele voorwaarde op straat komen te liggen.
Bovenstaande geeft mij vertrouwen dat ook financieele gegevens daar veilig zijn. Patriot act gaat NIET om toegang tot bedrijfsdatabases, en als je wil kun je je databses uiteraard ook in Nederland laten.
Komen er voldoende Nederlandse klanten, dan zou het goed zijn om te eisen dat er ook een Amazon datacenter in Nederland wordt ingericht, net als dat nu in Ierland ook het geval is.