Omgaan met DNB-reguleringen en self-assessments - KPMG Nederland
close
Share with your friends

Cloud in de financiële sector: hoe gaat u om met DNB-reguleringen en self-assessments?

Omgaan met DNB-reguleringen en self-assessments

Financiële instellingen willen de cloud graag omarmen, maar vinden dit nog lastig. Zij houden zich veelal bezig met privacygevoelige informatie en de cloud heeft hun vertrouwen nog niet op grote schaal kunnen winnen. Dat DNB in 2011 heeft gewezen op de risico's die de cloud met zich meebrengt, heeft daartoe bijgedragen.

Contact

Gerelateerde content

In 2018 heeft DNB echter aangepaste richtlijnen uitgebracht, waarmee de cloud-circulaire uit 2011 is komen te vervallen voor de bankensector. Na een periode van het voorzichtig uitvoeren van proofs of concept starten nu de eerste live implementaties. Maar wat kan en mag er precies?

Hoe gaat u om met DNB-reguleringen en self-assessments?

Self-assessment: risicoanalyse en meldplicht

Wanneer een financiële instelling een ‘materiële cloud-uitbesteding' gaat uitvoeren, moet zij dit melden bij DNB én een risicoanalyse maken. Maar welke risico's moet u nu beoordelen? KPMG heeft een gestandaardiseerde lijst opgesteld met risico's die zijn vastgesteld door DNB. Deze kunt u gebruiken om te bepalen in hoeverre ieder risico op u van toepassing is en welke acties u eventueel moet ondernemen om risico's te mitigeren.

Het invullen van zo'n risicoanalyse noemen we een self-assessment. DNB ontvangt uw antwoorden en kijkt hiernaar. Bij vragen kunt u worden benaderd voor een nadere toelichting. Of dit daadwerkelijk gebeurt, is niet te voorspellen. U hebt enkel een meldplicht.

Houvast: content van grote cloudproviders

Veel grote cloudproviders zijn op de hoogte van deze regels. Daarom hebben zij whitepapers en andere content gepubliceerd waarin belangrijke vragen uit een self-assessment en risico's aan bod komen. Dat is dan ook hét voordeel van een grote cloudprovider: deze heeft vaak veel content op de plank liggen die u houvast biedt.

Uiteraard krijgt u geen hapklare antwoorden; u moet elk punt in uw eigen context plaatsen en nauwkeurig bekijken in hoeverre bepaalde informatie op u van toepassing is. Daarnaast dient u goed te begrijpen welke certificeringen er bestaan, zodat u kunt beoordelen of deze passend zijn. Maar u kunt de bestaande content van een betrouwbare cloudprovider prima als startpunt nemen om de risico's binnen uw eigen invloedssfeer vast te stellen. KPMG kan u helpen bij het maken van deze risicoanalyse.

Vervolgstappen: mitigerende maatregelen en 'right to examine'

Wanneer u uw risico's helder hebt geformuleerd, moet u mitigerende maatregelen treffen. Deze zijn afhankelijk van de clouddienst die u afneemt. Mogelijke maatregelen zijn het goed opleiden van mensen, het opnemen van een ‘exit-clausule’ in het contract en het inrichten van continuïteit en architectuur.

Ten slotte bent u verplicht om in uw contract af te spreken dat u zelf een auditrecht hebt bij uw cloudprovider en dat DNB een onderzoeksrecht ('right to examine') heeft bij uw cloudprovider. DNB houdt geen lijst meer bij van providers waarmee zij dit recht heeft afgesproken. Daarom dient u zelf te zorgen voor passende clausules in uw contract met de cloudprovider.

Hebt u de hulp van experts nodig in dit complexe proces? Neem gerust contact op met Johan Noltes of Mark de Groot.

Neem contact met ons op

 

Wilt u een offerte van ons ontvangen?

 

Offerteaanvraag (RFP)