De Nederlandsche Bank geeft Nederlandse financiële instellingen het groene licht voor het gebruik van de diensten van de Amerikaanse cloud-aanbieder Amazon Web Services. Dit betekent volgens Amazon dat banken en verzekeraars voor hun websites, mobiele applicaties, bankiersoftware, gegevensopslag, extra rekenkracht en kredietrisico-analyses gebruik kunnen maken van cloud computing.
De financiële instellingen zouden vanaf nu ook diensten mogen afnemen van leveranciers die gebruik maken van de Amazon-cloud, stelt Amazon in een persbericht.
Woordvoerder Remko Vellinga van DNB houdt enkele slagen om de arm: ‘Zonder inhoudelijk op het Amazon-persbericht in te gaan, klopt het dat er voor DNB de wettelijke eisen geen belemmering meer hoeven zijn voor financiële instellingen om gebruik te maken van Amazon Web Services. Deze financiële instellingen zullen uiteraard wel een goede risicoanalyse moeten maken, wanneer ze activiteiten willen uitbesteden in de cloud.’
In een bericht op zijn website wijst DNB wel op de plicht van financiële instellingen een exitclausule op te nemen in het contract met de cloudleverancier. Ook moet er voorafgaand een risico-analyse worden opgesteld en moet DNB vooraf op de hoogte worden gebracht van de plannen.
Elders in Europa
Volgens Amazon Web Services maken financiële instellingen elders in Europa al gebruik van zijn diensten. Onder de gebruikers bevinden zich onder andere het Spaanse Bankinter en Unicredit in Italië. Ook de Australische Commonwealth Bank of Australia doet zaken met Amazon.
De eerste Nederlandse klant van Amazon Web Services is banktechnologiebedrijf Ohpen. ‘Wij hebben AWS gekozen als platform om onze ‘bank-uit-de-doos’-oplossing als SaaS-dienst te draaien’, zegt ceo Chris Zadeh van Ohpen. Volgens hem maken al enkele grote Nederlandse banken gebruik van de technologie van Ohpen om hun retail-activiteiten naar de cloud te brengen. ‘Met de goedkeuring van DNB kunnen zij onze bankiersoftware dus ook op AWS draaien.’
Verzekeraars
Eerder bereikte DNB overeenstemming met Microsoft over de levering van clouddiensten aan verzekeraars. Struikelblok daarbij was dat cloudleveranciers een beperking stelden aan de frequentie van toezicht door de toezichthouder. Microsoft besloot daarom op dit punt de contracten met verzekeraars aan te passen. Vertegenwoordigers van DNB mogen sindsdien op elk willekeurig moment onderzoek doen op de plaats waar de verzekeringsgegevens zich fysiek bevinden. Dat maakte de weg vrij voor het gebruik van bijvoorbeeld Office 365 in de verzekeringsbranche.
Met andere cloudleveranciers voert DNB vergelijkbare gesprekken. Lees voor meer details de circulaire die DNB begin december 2011 rondstuurde.
Weten we meteen waarom het cloud fenomeen zo gepushed wordt. Uitgevonden door de CIA-gesponsorde tech bedrijven. Een slim opgezet propaganda verhaal en het gros van de mensen die er blind in gelooft omdat men nou eenmaal alles blind geloofd wat er in de media wordt gecommuniceerd.
Cloud als een digitale graaibak voor alle gelieerde partijen of het nou overheid of het bedrijfsleven zelf is. Big data gaat het helemaal maken.
DNB vind het allemaal geweldig want ze mogen ook spieken in de data of alles wel netjes volgens de regels gebeurt. Als het tenminste zo uitkomt want ach ja de economie is zo zwak dus een uitzondering hier of daar moet wel kunnen.
Dat het gros van de Europese banken insolvent is of op het randje zit zullen we nog maar even vergeten. Een paar zetjes in de ‘goede’ richting en het ‘Malta template’ komt weer uit de kast. Of de mensen maar even kunnen bijlappen voor de aan gokken verslaafde Europese banken van producten verzonnen door financiële kwakzalvers.
Net zo lang in de schuld hulpverlening totdat de Europese Federale staat een feit is.
@Henri
Dat je het voor jezelf niet zo spannend vind mag wel zo zijn. Maar hoe groot acht jij de kans dat je kinderen of familie over een paar decennia met hun zeepje en handdoek achter dubbel prikdraad in een ‘opvoedingskamp’ terecht komen. We weten nu al dat er niet genoeg plek gaat zijn voor iedereen.
Dit is een mooie opsteker voor de Cloud industrie. Ik vind het alleen jammer dat een US speler als Amazon wordt genoemd. Ik zou liever zien dat DNB had aangegeven dat banken hun diensten vanuit de Cloud via een IaaS leverancier mogen laten lopen. Bij voorkeur een Europese. Zolang deze organisatie kan voldoen aan hetgeen de AFM oplegt qua toezicht en verantwoording, is het helemaal goed.
Ik hoop oprecht dat de banken die overwegen hun producten naar de cloud te brengen, serieus en primair naar Europese partijen kijken. Uiteindelijk willen we eerst de Europese markt ontwikkelen om hier de economie uit het slop te trekken en te zorgen dat Europa ook op Cloud gebied aan de weg blijft timmeren.
Vanuit Brussel zijn hiervoor al goede Europese regels voor in de maak die op brede steun vanuit de markt (EU én US bedrijven) kunnen rekenen.
@Henri:
Ik ga even niet in op de punten uit je reactie.
Ok. Ik stem toe, maar onder protest.
Als we vastleggen dat ze (banken) zelf moeten opdraaien voor de gevolgen van deze stap en ik als klant/belastingbetaler hier geen last van krijg dan vind ik het prima.
Hoe luek is het dat ik als belastingbetaler te horen krijg dat ik door nalatigheid van DNB en de hebberigheid van de bestuurders van SNS in 2014 meer belasting moet betalen. Als een bank winst maakt dan profiteren alleen de aandeelhouders en bestuurders hiervan en als dezelfde bank een zooi maakt dan moeten we als belastingbetalers hiervoor opdraaien.
Laat ze maar lekker naar cloud gaan en ook zelf opdraaien voor de eventuele ellende/verlies die ze hierdoor meemaken.
@Ruud:
Zo ben je altijd met iedereen bevriend, daar houd ik van 🙂
De DNB circulaire is van 2011!!!
Waar staat het persbericht van Amazon? Niet achter de link bij het artikel.
Volgens mij is er een fundamenteel probleem rond wetgeving en privacy. Ik hoef natuurlijk niet te herhalen wat recent publiekelijk bekend is geworden (Snowden).
Indien de banken juridisch (en controleerbaar) waterdichte afspraken kunnen maken met USA bedrijven moet het kunnen. Hoewel, ik twijfel sterk aan de mate waarin USA veiligheidsdiensten zich aan de maatschappelijke normen houden en ons dus “gewoon” voorliegen.
Beter is aan te sluiten bij Europese bedrijven. Geeft geen garantie, maar die kunnen we juridisch aanpakken.
Eigenlijk is een “ja/nee/onder protest” totaal niet relevant. Zoals eerder al aangegeven zullen bedrijven blijven zoeken naar mogelijkheden om hun kostprijs te verlagen. En dus ook de banken.
Zolang de perceptie leeft dat “iets uit de cloud” het passende antwoord gaat zijn zal de druk om dit te (mogen?) gebruiken alleen maar groter worden.
Dus sluit ik me Henri aan onder het motto “if you can’t beat them, join them”. Want de samenwerking opzoeken is uiteindelijk de enige manier om tenminste iets van invloed uit te kunnen oefenen!
My 5 cents…
Het onderwerp blijft complex. Enerzijds: na Microsoft met Office365 (SAAS) volgt nu een Amerikaanse IAAS aanbieder, die kennelijk door de toezichthouder is goedbevonden (lees: er is een inzagerecht overeengekomen). Anderzijds: bij de toestemming van de toezichthouder gaat het vooral om de algemene hoofdregel dat uitbesteding niet tot afbreuk op toezicht mag leiden. Dat zegt dus weinig over beveiliging, bedrijfsspionage, afhankelijkheid van derden bij (de uitbesteding) van vitale bedrijfsproccessen en andere aspecten van ICT in de financiële sector die onder deze regulering valt. In het licht van PRISM en andere overheidsprogramma’s van (vreemde) mogendheden is uitbesteding van financiële gegevensverwerking, waarbij de data te herleiden zijn tot identificeerbare natuurlijke personen (U en ik), in een ander daglicht komen te staan. De stof over deze controleprogramma’s is nog niet gaan liggen, terwijl er bovendien wordt gewerkt aan een geheel nieuw privacyraamwerk voor gegevensverwerking in de 28 lidstaten van Europa. Ondertussen wil de Nederlandse justitie verregaande bevoegdheden voor cyberspace hebben. Europese bedrijven doen er waarschijnlijk goed aan vooralsnog pas op te plaats te maken.
EuroCloud Nederland pleit er voor dat overheden, toezichthouders, cloudleveranciers en gebruikersorganisaties de handen ineenslaan om tot reële en werkbare gedragsregels voor de industrie te komen, zodat tenminste over het verkrijgen van een toegangsrecht door landen tot in de cloud verwerkte bedrijfsinformatie helderheid bestaat ten aanzien van de wijze waarop leveranciers hiermee maatschappelijk verantwoord omgaan, waarbij de belangen van de klant op de eerste plaats behoren te staan.
Theo,
wie versta jij onder de klant?
In het recente verleden heeft DNB als het om haar kerntaken gaat aangetoond dat zij niet in staat is om haar belangrijkste taak, toezichthouden, waar te maken. Sterker nog door weifelend beleid, gebrek aan eenduidig intern DNB beleid en een cultuur van mannetjes met eigen ego heeft DNB Nederland naar de rand van de afgrond geleid.
Nu geeft DNB toestemming om applicaties en data in de cloud toe te laten met de wetenschap dat deze data door derden kan worden opgevraagd onder de zogenaamde patriot-act, die ik persoonlijk niet onderschat.
Er zijn wat voorwaarden gesteld zoals het hebben van een risico analyse, verder worden er niet veel eisen gesteld, althans zo lijkt het.
Ik denk dat het echt tijd wordt een onafhankelijk orgaan dat als instituut gaat opereren op het gebied van digitale informatie verwerking, dus los van de DNB. De DNB zou eigenlijk al onder curatele gesteld moeten zijn onder de minister wegens wanprestaties. Hoe kan je nu vertrouwen hebben dat dit soort beslissingen op basis van inhoudelijke competenties plaatsvindt en hoe is de DNB gecertificeerd om dit soort beslissingen te nemen? Welke competenties buiten accountancy zijn er binnen DNB actief, notabene een organisatie die zelf werkt op basis van excel en enig volwassen IT systeem waarin de kerncompenties staan ontbeert.
Het wordt tijd dat hier kamervragen over worden gesteld.
Let wel ik heb niets tegen de cloud, integendeel, ik heb er wel moeite mee dat instanties zonder enige vorm van inhoudelijke aantoonbare competenties dit soort besluiten nemen en dit met een risico analyse toestaan. Iedereen die in de IT werkt weet dat risico analyses worden gemaakt op basis van bestaande en bekende scenario’s, in de praktijk zijn deze scenario’s wel afgedekt, het gaat juist om de niet afgedekte risico’s, bijvoorbeeld een bank die failliet gaat of omvalt…..Hallo DNB….