Werken in de cloud. Bent u wel bekend met alle risico's en richtlijnen?

In de afgelopen tijd zien we dat steeds meer financieel dienstverleners gebruik gaan maken van cloud diensten. Op zich is dat geen verrassing gezien de vele voordelen. Maar naast de voordelen zijn er ook een aantal nadelen die vaak minder bekend zijn. Ook heeft u vanuit de Wet financieel toezicht en Wet Bescherming Persoonsgegevens te maken met een aantal aandachtspunten. Wij hebben deze aspecten overzichtelijk voor u in beeld gebracht.

Voordelen van cloud diensten

  • Plaats- en tijdonafhankelijk werken. U en uw medewerkers kunnen werken waar en wanneer ze maar willen. Of dat nu op kantoor is, op een flexplek of vanuit huis. Via een internetverbinding kan men altijd en overal bij documenten en bestanden.
  • Lagere investeringen. In plaats van te investeren in eigen servers met onderhoudscontract, personeel en updates, kunt u bij een provider cloud diensten afnemen. Omdat deze provider een schaalvoordeel heeft, zijn de kosten veelal lager dan wanneer u alles zelf zou doen. 
  • Minder technische kennis nodig. Als kantoor heeft u niet altijd alle technische kennis in huis voor updates of bij calamiteiten. Dit koopt u in bij een specialist zoals een systeembeheerder. Door het gebruik van cloud diensten hoeft de beheerder minder aandacht te besteden aan de techniek en kan zich meer bezighouden met het leveren van toegevoegde waarde van de dienst voor uw kantoor.
  • Flexibiliteit. Als uw kantoor groeit kan een cloud dienst met u meegroeien. Extra abonnementen zijn direct aan te schaffen en te gebruiken door nieuwe medewerkers. Zowel bij een plotse groei als daling in vraag kunt u met cloud diensten beter werken dan met het traditionele server- en licentiemodel.

Nadelen van cloud diensten

  • Veiligheid. De data opslag ligt buiten uw kantoor. Dit is niet altijd wenselijk óf het zorgt voor een nieuwe discussie binnen uw kantoor wat wel en niet in de cloud mag worden opgeslagen.
  • Juridische impact. Veel cloud diensten zijn in Amerikaanse handen. Dat betekent dat uw data op Amerikaans grondgebied staat en daardoor onder de wetgeving van de USA valt. Deze zit anders in elkaar dan de Nederlandse en Europese wetgeving. Daarnaast moet de cloudprovider een aparte vergunning bij de minister van Justitie en Veiligheid aanvragen als persoonsgegevens tijdelijk of permanent worden opgeslagen op servers die buiten de Europese gemeenschap staan. Juist bij het gebruik van cloud diensten is de kans erg groot dat gegevens buiten de gemeenschap worden opgeslagen.
  • Online werken. Bij gebruik van cloud diensten bent u meer afhankelijk van goede internetverbindingen. Dit is een extra aandachtspunt en mogelijke investering voor uw kantoor en medewerkers. Denk aan gebruik van tablets en smartphones om de data onderweg te benaderen.
  • Faillissement. U kunt zelf failliet gaan of uw provider van cloud diensten houdt er mee op. Wat betekent dit voor de toegang tot uw data? Bijvoorbeeld bij geschillen over betalingen of plotselinge afsluiting? Wederom een vraagstuk om over na te denken bij de keuze van een provider van cloud diensten.

Verplichtingen vanuit Wet financieel toezicht
In 2011 heeft De Nederlandsche Bank vanuit de Wft bepaald dat het gebruik van cloud diensten moet worden gezien als een vorm van uitbesteding werkzaamheden. Dit betekent dat:

  • De risico’s van het gebruik van cloud diensten aantoonbaar gekend en beheerst moeten worden.
  • Uitbesteding aan derden geen belemmering mag vormen voor het toezicht door DNB en/of AFM. Dit houdt onder meer in dat:
    - De toezichthouders bij de provider van cloud diensten onderzoek moeten kunnen doen.
    - U als financieel dienstverlener op elk moment wijzigingen moet kunnen aanbrengen in de wijze waarop de uitbestede werkzaamheden worden uitgevoerd.

Wet Bescherming Persoonsgegevens
Ook is op cloud diensten de Wet Bescherming Persoonsgegevens van toepassing. Het College bescherming Persoonsgegevens (CBP) heeft in 2013 hun visie gegeven op cloud diensten en de richtlijnen waaraan u als financieel dienstverlener moet voldoen. Deze richtlijnen gelden niet alleen voor u maar voor alle ondernemingen die gebruik maken van cloud diensten en persoonsgegevens registreren.
De visie van het CBP is:

  • U bent degene die de zeggenschap heeft over hoe er met de klantgegevens wordt omgegaan, en blijft daarmee verantwoordelijk voor het feit dat dit correct gebeurt. Dit geldt dus ook indien u gebruik maakt van cloud diensten.
  • Het CBP stelt als eis dat indien u een samenwerking wilt aangaan met een provider van cloud diensten, u eerst een risicoanalyse moet maken. Deze risicoanalyse moet minimaal antwoord geven op de volgende vragen:
    - Welke gegevens worden precies in de cloud gehangen?
    - Waar staan de gegevens fysiek?
    - Worden de gegeven ook opgeslagen buiten de Europese Gemeenschap?
    - Werkt de leverancier van cloud diensten met andere partijen samen?
    - Hoe ziet de beveiliging er uit?
    - Is deze beveiliging adequaat?
    - Welke controle vindt plaats om vast te stellen dat de beveiligingsmaatregelen daadwerkelijk worden toegepast? 
    - Worden lekken of verlies van data gemeld aan de gebruiker?

Deze risicoanalyse moet vervolgens leiden tot een op maat gesneden ‘bewerkingsovereenkomst’ tussen u als financieel dienstverlener en de provider van cloud diensten.

Conclusie
Met de enorme groei aan cloud diensten en door steeds meer technische mogelijkheden via webbrowsers, stijgt het aantal diensten die in de cloud beschikbaar zijn in rap tempo. Dit betekent echter wel dat u iedere keer in uw besluitvorming moet afwegen of werken ‘in de cloud’ verstandig en/of noodzakelijk is, of dat werken op een eigen server toch een betere oplossing is. Kortom; kunt u met name voldoen aan alle gestelde eisen vanuit Wft en WBP om tot een volledige borging van de privacy van uw klantgegevens te komen?

Heeft u vragen hieromtrent wat dit betekent voor uw onderneming en welke acties u moet ondernemen, neem dan contact op met ons kantoor op telefoonnummer 0492-344988.

Nieuwsoverzicht

Deel dit bericht

Contactgegevens 

| Ophrys | Brugstraat 81 | 5731 HG Mierlo | 0492 344 988 | info@ophrys.nl