De financiële instellingen zouden vanaf nu ook diensten mogen afnemen van leveranciers die gebruik maken van de Amazon-cloud, stelt Amazon in een persbericht.
Woordvoerder Remko Vellinga van DNB houdt enkele slagen om de arm: ‘Zonder inhoudelijk op het Amazon-persbericht in te gaan, klopt het dat er voor DNB de wettelijke eisen geen belemmering meer hoeven zijn voor financiële instellingen om gebruik te maken van Amazon Web Services. Deze financiële instellingen zullen uiteraard wel een goede risicoanalyse moeten maken, wanneer ze activiteiten willen uitbesteden in de cloud.’
In een bericht op zijn website wijst DNB wel op de plicht van financiële instellingen een exitclausule op te nemen in het contract met de cloudleverancier. Ook moet er voorafgaand een risico-analyse worden opgesteld en moet DNB vooraf op de hoogte worden gebracht van de plannen.
Elders in Europa
Volgens Amazon Web Services maken financiële instellingen elders in Europa al gebruik van zijn diensten. Onder de gebruikers bevinden zich onder andere het Spaanse Bankinter en Unicredit in Italië. Ook de Australische Commonwealth Bank of Australia doet zaken met Amazon.
De eerste Nederlandse klant van Amazon Web Services is banktechnologiebedrijf Ohpen. ‘Wij hebben AWS gekozen als platform om onze ‘bank-uit-de-doos’-oplossing als SaaS-dienst te draaien’, zegt ceo Chris Zadeh van Ohpen. Volgens hem maken al enkele grote Nederlandse banken gebruik van de technologie van Ohpen om hun retail-activiteiten naar de cloud te brengen. ‘Met de goedkeuring van DNB kunnen zij onze bankiersoftware dus ook op AWS draaien.’
Verzekeraars
Eerder bereikte DNB overeenstemming met Microsoft over de levering van clouddiensten aan verzekeraars. Struikelblok daarbij was dat cloudleveranciers een beperking stelden aan de frequentie van toezicht door de toezichthouder. Microsoft besloot daarom op dit punt de contracten met verzekeraars aan te passen. Vertegenwoordigers van DNB mogen sindsdien op elk willekeurig moment onderzoek doen op de plaats waar de verzekeringsgegevens zich fysiek bevinden. Dat maakte de weg vrij voor het gebruik van bijvoorbeeld Office 365 in de verzekeringsbranche.
Met andere cloudleveranciers voert DNB vergelijkbare gesprekken. Lees voor meer details de circulaire die DNB begin december 2011 rondstuurde.
Reacties
Deze financiële instellingen zullen uiteraard wel een goede risicoanalyse moeten maken, wanneer ze activiteiten willen uitbesteden in de cloud.
Veel zal afhangen van deze risicoanalyse. Ik ben dan ook zeer benieuwd naar zo'n analyse!
Na Microsoft's Azure en Office365 nu dus ook de Amazon-cloud. Goed nieuws voor cloud adoptie in het algemeen.
Goed om te zien dat er realistischer wordt gekeken naar cloud oplossingen en we van een "Nee" naar een "Ja, maar" gaan. Ik vermoed dat het nog wel even gaat duren voordat primaire systemen naar de cloud verhuizen, maar er zijn genoeg mogelijkheden voor cloud, nu ook voor onze banken.
Ja ja, goed voor de Cloud adoptie in het algemeen. En als je niks te verbergen hebt niks aan de hand. Maar volgens mij is Amazon nog steeds een Amerikaanse organisatie die dientengevolge valt onder de P.A.T.R.I.O.T. A.C.T.
Wat daarvan de consequenties zijn lijkt me gezien de ontboezemingen bij monde van Edwin Snowden erg onvoorspelbaar.
Straks onze financiële huishouding in the Cloud (want het mag van de DNB)?
Wat is dan de rol van de DNB als toezichthouder op de financiële dienstverleners (in Nederland) dan nog waard.
Gaan we ons ophangen aan de USA.
Belangrijkste reden waarom de DNB waarschijnlijk toestemming geeft is dat ze afspraken hebben met Amazon over hoe de DNB toezicht mag houden. Waarschijnlijk staat er in deze afspraken dat de DNB "beslag" mag leggen (audit rechten) en dat Amazon meehelpt om alle gegevens aan te leveren.
De voordelen van cloud oplossingen zijn dermate groot, dat de groei in de afname van cloud diensten onvermijdelijk is. 'Men' schiet echter nog steeds in een kramp als het woord cloud valt, en dan draait het natuurlijk om de angst dat gevoelige gegevens in verkeerde handen terecht komen. Dit gevoel zal slijten, want de mens verkiest gemak boven privacy. Lopen er minder mensen door de winkelstraat nu er camera's hangen? Gebruik jij Google niet meer? Nee hoor, ons gedrag is niet veranderd. We weten dat onze gegevens op veel plekken wordt opgeslagen en gebruikt, en zo nu en dan winden we ons daar over op. De afgelopen jaren zijn er diverse incidenten geweest waarbij lange lijsten met gebruikersnamen, inlogcodes en bankrekeningnummers op straat lagen. Ook die incidenten leiden niet tot aangepast gedrag van de consument.
Er is met de opkomst van internet bijzonder veel aandacht voor beveiliging van gegevens. We zijn ons inmiddels goed bewust van de vraagstukken, hebben nog niet alle antwoorden, maar er wordt continu gewerkt aan verbetering van de wetgeving en de maatregelen om die wetgeving in te vullen. Met cloud computing is weer een nieuwe stap gemaakt op technologisch gebied. De wetgeving hobbelt daar achteraan, wat inherent is aan technologische vooruitgang. Je gaat immers geen wetgeving bedenken voor iets wat er nog niet is. Reactief kan in dit kader niet door pro-actief vervangen worden.
Kortom, mooi dat DNB en Amazon dit bericht naar buiten brengen, het is weer een stapje vooruit.
Mag ik als burger van Nederland een rekening in Zwitserland hebben graag? Ik ga echt niet bij een bank bankieren die op AWS draait, dank U wel.
Tja, ooit gaf DNB ook toestemming (onder druk) aan IceSave om geld op te halen. Het is dus nog maar de vraag of het ook wenselijk is want vertrouwen komt te voet en gaat te paard. Survey van CSA maakt duidelijk dat non-US bedrijven toch enige scepsis hebben nu omvang van PRISM bekend is geworden.
Volgens mij is dit de impliciete erkenning dat de VS eigenlijk alle data heeft, dus waarom het concurrentievoordeel dan niet pakken.
Amazone cloud is een mooie oplossing en meerdere hebben de voor en nadelen al aangestipt.
Zeer goed voor de Cloudadoptie en een goed signaal naar de markt qua vertrouwen in de techniek en de privacywetgeving die er achter zit.
Merk wel in de markt dat PRISM en de Patriot Act nog altijd zorgen voor een gezond wantrouwen in Amerikaanse cloudoplossingen. Hoewel een goed gesprek werkt, is het voor het vertouwen in Cloudoplossingen een goed signaal van de DNB.
Ben benieuwd naar het enthousiasme van de banken om ook daadwerkelijk diensten aan te bieden in de Cloud.
Eén en ander mag nu op voorwaarde dat DNB periodieke inzage krijgt wanneer Nederlandse financiële instellingen hun data onderbrengen bij derden in de vorm van een risicoanalyse van DNB. Een citaat dat ik van Webwereld heb betrokken:
“Deze risicoanalyse gaat met name over de bescherming van privacy en gevoelige gegevens. Wanneer data wordt ondergebracht bij derden eist DNB toegang daartoe en heeft vervolgens periodieke inzage”, legt DNB-woordvoerder Remko Vellenga uit. “Omdat DNB als toezichthouder met name over toereikende solvabiliteit gaat, wordt hierbij onder meer het CBP [College Bescherming Persoonsgegevens – red] betrokken.”
De situatie is dus nu zo dat er geen wettelijke belemmeringen meer zijn vanuit het perspectief van DNB. Vanuit het perspectief van CBP is er niets veranderd volgens mij. Dus alle ophef over PRISM en de vragen van de Tweede Kamer in 2011, 2012 en 2013 liggen daar nog steeds en de antwoorden zijn hetzelfde. Alleen gaat het hier om financiële gegevens door over het algemeen commerciële partijen, geen (lagere) overheden.
Zij hebben nog steeds plichten t.a.v. privacy.
Ik vraag me dus af wat er nu veranderd is. Ik denk dat dit gegeven nu nog meer gebruikt zal worden als een soort legitimatie om Amerikaanse providers in te zetten en daarbij wordt ten onrechte dan ook de privacy-wetgeving betrokken. Dat laatste klopt niet, maar zal de discussie de komende tijd behoorlijk vertroebelen helaas.
Cloud is mooi, cloud kan in bepaalde omstandigheden oplossingen bieden, maar is niet in alle gevallen de beste oplossing.
De opmerkingen hierboven over patriot en prism zijn nogal onzinnig. Immers vrijwel alle Nederlands banken gebruiken IBM voor het managen van hun servers en die zijn al verplicht op verzoek van hun overheid de data aan te leveren. In een Cloud omgeving zijn over het algemeen betere en duidelijkere regels over wat er met je data kan gebeuren.
Kortom een verstandig besluit van DNB.
Dat DNB een club is die naar de pijpen van het groot kapitaal danst was al bekend en ook in deze situatie stellen ze niet 'teleur'.
De banken kunnen dan net zo goed hun kluizen afdanken. Zijn toch legacy en dus niet meer nodig. Die Brinks busjes zijn ook niet meer nodig, we doen het wel via de post. En een lening aanvragen doen wel even via Facebook.
Dames en Heren. Dit gaat hem niet worden. Met een beetje geluk is dat Belgische iniatief voor een eigen cooperatieve bank al klaar en kunnen we daar klant worden.
@Jan: met respect, maar dan heb je de discussie niet begrepen.
Omdat iets al langer aan de gang is, is het dus geen probleem?
Privacy is gebaat bij transparantie. Dat kan door als bevriende staten altijd open naar elkaar te zijn over wanneer en waarvoor informatie wordt opgevraagd. Die openheid is er nu niet. En dat is waar het in de privacy-discussie om gaat.
Ik kan de reacties hierboven wel goed plaatsen, maar ik vind het toch wel curieus dat de Amerikaanse inlichtingendienst CIA vorige week een contract met AWS heeft gesloten. Hoe moet ik dat nu weer plaatsen ?
Dan lijkt het mij nu tijd worden dat we gratis het Amerikaans staatsburger schap krijgen. ;-)
@Jan: met respect. Leen geeft al aan dat u de dicussie hierboven niet hebt begrepen, maar als toevoeging kan ik u zeggen dat u van de Patriot Act werkelijk geen snars hebt begrepen. De banken maken gebruik van de diensten en producten van IBM, maar deze draaien geen van alle op servers gsitueerd in de U.S. En daar gaat de Patriot Act over.
Kortom: Dit is een heul gevaarlijke ontwikkeling, maar ja iedereen roept maar: "Als je toch niets te verbergen hebt..." . En zolang die mantra herhaalt wordt gaat het verder en verder en verder tot 1984 is.
@ alle voorstanders van de bank in de AWS cloud. U hebt allen heel goed de laatste alinea gelezen hoe het met de cloud leverancier voor verzekeraars is gegaan?
Microsoft wilde zich bemoeien met de toezichthoudende taken van de DNB. Als dit niet uw ogen opent weet ik het ook niet meer.....
Wat begrijpen toch weinig mensen de patriot act.
De patriot act geeft de Amerikaanse overheid servers te 'tappen' ongeacht de locatie:
"Various provisions allowed for the disclosure of electronic communications to law enforcement agencies. Those who operate or own a "protected computer" can give permission for authorities to intercept communications carried out on the machine, thus bypassing the requirements of the Wiretap statute.[39] The definition of a "protected computer" is defined in 18 U.S.C. § 1030(e)(2) and broadly encompasses those computers used in interstate or foreign commerce or communication, including ones located outside the United States. "
Het gaat dus om bedrijven die zaken doen met de US. Iedereen die zaken doet met de US en daarvoor een computer omgeving gebruikt valt dus potentieel onder de patriot act.
De meeste organisaties, zoals banken vallen hier dus al lang onder. Als de servers in de verenigde staten staan is het alleen wat makkelijker maar de locatie doet er niet toe, wil je zaken blijven doen met de US dan moet je wel gehoor geven aan dit soort bevelen.
Nederlandse ondernemingen hebben het echter nog moeilijker aangezien wij in Nederland redelijk klakkeloos mee werken aan rechtsbijstandsverzoeken uit de US. Het is voor Amerikaanse opsporingsinstanties makkelijker beslag te leggen in NL doordat wij niet inhoudelijk toetsen of dit verzoek rechtmatig is, we gaan er vanuit dat het zo is.
In Amerika vallen ze onder meer regels en kost het de FBI dus meer moeite dan in NL.
Oh en aftappen in de DC's van providers doen wij in NL al meer dan 10 jaar.
Lees de case van mega-upload maar eens door.
Eindgebruikers, banken en wie dan ook moet gewoon zelf zorgen dat data die niet zo maar beschikbaar gesteld mag worden aan derden of voldoende encrypted is opgeslagen, of binnenshuis wordt gehouden.
Kwestie van gezond verstand gebruiken.
Wij gebruiken Amazon al langere tijd voor onze toepassingen in de gezondheidszorg, maar dan wel voor de Amerikaanse markt. Amazon was als eerste platform-as-a-service partij HIPAA gecertificeerd, wat betekent dat patientgegevens onder geen enkele voorwaarde op straat komen te liggen.
Bovenstaande geeft mij vertrouwen dat ook financieele gegevens daar veilig zijn. Patriot act gaat NIET om toegang tot bedrijfsdatabases, en als je wil kun je je databses uiteraard ook in Nederland laten.
Komen er voldoende Nederlandse klanten, dan zou het goed zijn om te eisen dat er ook een Amazon datacenter in Nederland wordt ingericht, net als dat nu in Ierland ook het geval is.
Amazon loopt hier weg met een algemene brief die DNB in 2012 heeft gestuurd. Ik snap het bericht daarom niet zo goed, want werkelijk elke provider kan diensten aanbieden. Of dit nu HP is of Amazon. Zolang deze maar voldoet aan de gestelde regels van DNB.
Dit is eigenlijk geen nieuws. De DNB heeft geen verantwoordelijkheid over privacy. De DNB maakte zich vooral zorgen over hun 'right to audit'. Dit is het recht de infrastructuur van een bank, en die van haar leveranciers, aan een onderzoek te onderwerpen. De verantwoordelijkheid voor privacy ligt bij het College Bescherming Persoonsgegevens (het CBP). Deze organisatie zal een uitspraak over het plaatsen van Nederlandse financiële data bij Amerikaanse partijen moet gaan doen.
De benadering van DNB roept wel vraagtekens op. In de eerste plaat heeft de DNB zelf actief Amerikaanse cloud providers benaderd om hierover te spreken. Dit zijn gesprekken waarbij Nederlandse providers niet zijn uitgenodigd. Verder maakt DNB in haar communcatie niet goed duidelijk dat zij geen rekening houden met privacy aspecten. Hierdoor lijken ze het plaatsen van Nederlandse financiële data bij partijen die analyse door de Amerkaanse overheid faciliteren goed te keuren. Tot slot is het vreemd dat dit nieuws naar buiten komt terwijl de PRISM onthullingen nog gaande zijn. Het is erg jammer dat het er hierdoor op lijkt dat de DNB zich gemakkelijk voor het karretje van enkele grote Amerikaanse bedrijven laat spannen.
Is DNB betrouwbaar? Kijk naar DSB, SNS en veel andere zaken waar DNB niet gedaan heeft wat van de organisatie verwacht werd.
En nu haar advies over Cloud.
Wie betaalt de risico`s die een bank hierdoor neemt? Ik als belastingbetaler?
Helemaal mee eens Reza. Laten we Ice-save niet vergeten.....
Voor alle nee-zeggers die met allemaal bezwaren zitten waarom de Nederlandse banken Amazon niet zouden mogen gebruiken. Uw mening is niet relevant.
Het gebeurt gewoon en is slechts een stap van velen die de komende jaren genomen zullen worden. Adapt or die.
Dit klinkt wat cru, maar deal with it.
En mensen die zeggen dat ze van bank gaan verhuizen, statistisch gezien is dat bluf. Veel mensen zeggen van alles, maar actie? Ho maar. Bijna iedere "tegenstander" van cloud die ik spreek heeft een LinkedIn account, doet Facebook verstuurd mail met Outlook.com en zo verder. Leuk die principes, maar in de regel stellen die als het puntje bij het paaltje komt niet zo heel veel voor.
Dan heb je nog de categorie mensen die discussies aangaan dat cloud niet goedkoop is, dat cloud niets oplost, vendor-locking in en al dat soort dingen... Waarom is dan ogenschijnlijk de halve wereld ermee bezig? Zien die het allemaal niet goed?
Dat we overheid en machtshebbers niet kunnen vertrouwen is mij nu wel duidelijk, maar onderneem daar dan actie op! Het gaat niet om de Amerikanen, zij zijn welliswaar heer en meester in cloud computing, maar niet fundamenteel anders dan andere machtshebbers. Je kunt dus te vuur en te zwaard gaan tegen de Amerikanen om er aan het eind achter te komen dat zij niet anders zijn dan onze eigen Europese overheden.
Waar het op neer komt is dat we allemaal een mening hebben maar dat we gemak nu eenmaal graag verruilen voor vrijheid.
Als je zo graag strijd wilt voeren doe dat dan met vooruitgang en innovatie. Wees beter dan de huidige aanbieders, vind manieren om slimmer te zijn dan de "tappers". Daarmee valt dus de wereld te winnen. Maar dat tegen zijn is zo Nederlands.
Een paar jaar terug hoorde ik deze zin die alles duidelijk maakt. In een vergadering zei één van de stakeholders "Ok. Ik stem toe, maar onder protest".
Je kunt cloud niet tegenhouden, dus ga het nu niet bestrijden als de windmolens van Don Quichotte, maar verbeter het, maar het beter dan wat er is. Er liggen genoeg kansen voor het oprapen.
Cloud - vertrouwen - privacy - security...
Welke invalshoek je kiest je krijgt er de argumenten voor op een rijtje.
Los van 'cloud' blijft het balanceren tussen veiligheid en functionaliteit. Het is veilig om niet toe te staan dat er data op een USB stick wordt gezet. Een USB stick raak je immers makkelijk kwijt. Echter kun je de bestanden we emailen of op een andere wijze verzenden. ICT gebruikers zijn inventief en Google heeft op bijna alles een antwoord. Beperkingen opleggen is vaak minder effectief dan bewustwording bewerkstelligen. Welke rechten en mogelijkheden krijgt een externe systeembeheerder in zijn eerste week op een opdracht?
Het is altijd van belang dat nagedacht wordt op welke wijze bedrijfsdata beschikbaar en toegankelijk is. Het platform zelf en de fysieke locatie spelen een rol maar vaak niet de hoofdrol.
Henri,
Tussen de ene cloud en de andere zit een wereld van verschil, tussen de meeste banken is er echter nog maar weinig concurrentie. Ze hangen allemaal aan het infuus en zijn druk zoekende om de kosten te verlagen. Dat de cloud - niet enkel Amazon - hierbij kan helpen zal ik niet ontkennen maar....
1. Bij bankieren draait het om vertrouwen, dat is reeds behoorlijk geschaadt.
2. Bij uitbesteden draait het om vertrouwen, recentelijk ook geschaadt door Snowden.
Misschien dat 'stemmen met de voeten beperkt zal blijven maar handig is het niet. En hoewel al ruim gegevens uitgewisseld worden over betalingen is de publieke opinie een niet te onderschatten factor. Tenslotte was er maar een klein zetje nodig om een bankrun te starten bij DSB. En van dit sentiment kunnen dus buitenlandse banken best weleens gebruik maken. Maar ik had IceSave al in mijn eerste reactie genoemd welke door de aantrekkelijke rente - de nationale banken gaven allemaal veel minder -in korte tijd een kapitaal kon ophalen terwijl DNB wist dat er iets niet klopte.
Maar laten we niet voor de muziek uit gaan lopen omdat het nog allerminst onzeker is dat de cloud goedkoper is voor banken. Tenslotte hebben ze nog veel legacy, vaak gebouwd op IBM technologie wat niet snel in de Amazon omgeving inpasbaar is.
@ Henri,
Ik ben absoluut geen nee-zegger. Alleen ik heb weinig vertrouwens in de DNB.
That is all.
@ Henri
Leuk die principes, maar in de regel stellen die als het puntje bij het paaltje komt niet zo heel veel voor.
Ik denk dat je op korte termijn zeker gelijk hebt echter recentelijk stapelen zich de schandalen wel op en komt er meer attentie op privacy en security en meer een negatieve attitude op cloud. We zijn nu op hetzelfde niveau als eind jaren 80 dat mensen beweerden dat een virusscanner niet echt noodzakelijk was nu in vergelijk met bedrijf kritische informatie presenteren aan cloud services. Inmiddels weten we wel anders en ik denk dat het met informatie in de cloud net zo zit. De enige drijfveer is kosten. Doe ik het niet dan doet een ander het wel en verkrijgt een betere concurrentiepositie dan is het voor een gemiddelde manager niet moeilijk kiezen. Het is wachten op het eerste beste echte schandaal dat informatie word gelekt of gehackt. En inderdaad dit kan ook in je eigen infra gebeuren maar dan is in ieder geval wel duidelijk wie de verantwoordelijkheid heeft.
Een ander nadeel is de interne kennis die binnen bedrijven verdwijnt. Ze outsourcen veel IT zaken dadelijk naar cloud services waar de kennis wel aanwezig is. De cloud services zijn complexer en daardoor verdwijnt er binnen deze sector zo goed als al het werk op MBO en zelfs HBO niveau. Maw cloud services zijn eigenlijk funnest voor werkgelegenheid.
Natuurlijk niets dan lovends over de praktijken van de NSA
is de nederlandse bank achterlijk ????
Geen amerikaanse clouds gebruiken
Die data horen zij niet te beheren !!!!!
Gebruik een eigen cloud of europese cloud.
Weten we meteen waarom het cloud fenomeen zo gepushed wordt. Uitgevonden door de CIA-gesponsorde tech bedrijven. Een slim opgezet propaganda verhaal en het gros van de mensen die er blind in gelooft omdat men nou eenmaal alles blind geloofd wat er in de media wordt gecommuniceerd.
Cloud als een digitale graaibak voor alle gelieerde partijen of het nou overheid of het bedrijfsleven zelf is. Big data gaat het helemaal maken.
DNB vind het allemaal geweldig want ze mogen ook spieken in de data of alles wel netjes volgens de regels gebeurt. Als het tenminste zo uitkomt want ach ja de economie is zo zwak dus een uitzondering hier of daar moet wel kunnen.
Dat het gros van de Europese banken insolvent is of op het randje zit zullen we nog maar even vergeten. Een paar zetjes in de 'goede' richting en het 'Malta template' komt weer uit de kast. Of de mensen maar even kunnen bijlappen voor de aan gokken verslaafde Europese banken van producten verzonnen door financiële kwakzalvers.
Net zo lang in de schuld hulpverlening totdat de Europese Federale staat een feit is.
@Henri
Dat je het voor jezelf niet zo spannend vind mag wel zo zijn. Maar hoe groot acht jij de kans dat je kinderen of familie over een paar decennia met hun zeepje en handdoek achter dubbel prikdraad in een 'opvoedingskamp' terecht komen. We weten nu al dat er niet genoeg plek gaat zijn voor iedereen.
Dit is een mooie opsteker voor de Cloud industrie. Ik vind het alleen jammer dat een US speler als Amazon wordt genoemd. Ik zou liever zien dat DNB had aangegeven dat banken hun diensten vanuit de Cloud via een IaaS leverancier mogen laten lopen. Bij voorkeur een Europese. Zolang deze organisatie kan voldoen aan hetgeen de AFM oplegt qua toezicht en verantwoording, is het helemaal goed.
Ik hoop oprecht dat de banken die overwegen hun producten naar de cloud te brengen, serieus en primair naar Europese partijen kijken. Uiteindelijk willen we eerst de Europese markt ontwikkelen om hier de economie uit het slop te trekken en te zorgen dat Europa ook op Cloud gebied aan de weg blijft timmeren.
Vanuit Brussel zijn hiervoor al goede Europese regels voor in de maak die op brede steun vanuit de markt (EU én US bedrijven) kunnen rekenen.
@Henri:
Ik ga even niet in op de punten uit je reactie.
Ok. Ik stem toe, maar onder protest.
Als we vastleggen dat ze (banken) zelf moeten opdraaien voor de gevolgen van deze stap en ik als klant/belastingbetaler hier geen last van krijg dan vind ik het prima.
Hoe luek is het dat ik als belastingbetaler te horen krijg dat ik door nalatigheid van DNB en de hebberigheid van de bestuurders van SNS in 2014 meer belasting moet betalen. Als een bank winst maakt dan profiteren alleen de aandeelhouders en bestuurders hiervan en als dezelfde bank een zooi maakt dan moeten we als belastingbetalers hiervoor opdraaien.
Laat ze maar lekker naar cloud gaan en ook zelf opdraaien voor de eventuele ellende/verlies die ze hierdoor meemaken.
@Ruud:
Zo ben je altijd met iedereen bevriend, daar houd ik van :-)
De DNB circulaire is van 2011!!!
Waar staat het persbericht van Amazon? Niet achter de link bij het artikel.
Volgens mij is er een fundamenteel probleem rond wetgeving en privacy. Ik hoef natuurlijk niet te herhalen wat recent publiekelijk bekend is geworden (Snowden).
Indien de banken juridisch (en controleerbaar) waterdichte afspraken kunnen maken met USA bedrijven moet het kunnen. Hoewel, ik twijfel sterk aan de mate waarin USA veiligheidsdiensten zich aan de maatschappelijke normen houden en ons dus "gewoon" voorliegen.
Beter is aan te sluiten bij Europese bedrijven. Geeft geen garantie, maar die kunnen we juridisch aanpakken.
Eigenlijk is een "ja/nee/onder protest" totaal niet relevant. Zoals eerder al aangegeven zullen bedrijven blijven zoeken naar mogelijkheden om hun kostprijs te verlagen. En dus ook de banken.
Zolang de perceptie leeft dat "iets uit de cloud" het passende antwoord gaat zijn zal de druk om dit te (mogen?) gebruiken alleen maar groter worden.
Dus sluit ik me Henri aan onder het motto "if you can't beat them, join them". Want de samenwerking opzoeken is uiteindelijk de enige manier om tenminste iets van invloed uit te kunnen oefenen!
My 5 cents...
Het onderwerp blijft complex. Enerzijds: na Microsoft met Office365 (SAAS) volgt nu een Amerikaanse IAAS aanbieder, die kennelijk door de toezichthouder is goedbevonden (lees: er is een inzagerecht overeengekomen). Anderzijds: bij de toestemming van de toezichthouder gaat het vooral om de algemene hoofdregel dat uitbesteding niet tot afbreuk op toezicht mag leiden. Dat zegt dus weinig over beveiliging, bedrijfsspionage, afhankelijkheid van derden bij (de uitbesteding) van vitale bedrijfsproccessen en andere aspecten van ICT in de financiële sector die onder deze regulering valt. In het licht van PRISM en andere overheidsprogramma's van (vreemde) mogendheden is uitbesteding van financiële gegevensverwerking, waarbij de data te herleiden zijn tot identificeerbare natuurlijke personen (U en ik), in een ander daglicht komen te staan. De stof over deze controleprogramma's is nog niet gaan liggen, terwijl er bovendien wordt gewerkt aan een geheel nieuw privacyraamwerk voor gegevensverwerking in de 28 lidstaten van Europa. Ondertussen wil de Nederlandse justitie verregaande bevoegdheden voor cyberspace hebben. Europese bedrijven doen er waarschijnlijk goed aan vooralsnog pas op te plaats te maken.
EuroCloud Nederland pleit er voor dat overheden, toezichthouders, cloudleveranciers en gebruikersorganisaties de handen ineenslaan om tot reële en werkbare gedragsregels voor de industrie te komen, zodat tenminste over het verkrijgen van een toegangsrecht door landen tot in de cloud verwerkte bedrijfsinformatie helderheid bestaat ten aanzien van de wijze waarop leveranciers hiermee maatschappelijk verantwoord omgaan, waarbij de belangen van de klant op de eerste plaats behoren te staan.
Theo,
wie versta jij onder de klant?
In het recente verleden heeft DNB als het om haar kerntaken gaat aangetoond dat zij niet in staat is om haar belangrijkste taak, toezichthouden, waar te maken. Sterker nog door weifelend beleid, gebrek aan eenduidig intern DNB beleid en een cultuur van mannetjes met eigen ego heeft DNB Nederland naar de rand van de afgrond geleid.
Nu geeft DNB toestemming om applicaties en data in de cloud toe te laten met de wetenschap dat deze data door derden kan worden opgevraagd onder de zogenaamde patriot-act, die ik persoonlijk niet onderschat.
Er zijn wat voorwaarden gesteld zoals het hebben van een risico analyse, verder worden er niet veel eisen gesteld, althans zo lijkt het.
Ik denk dat het echt tijd wordt een onafhankelijk orgaan dat als instituut gaat opereren op het gebied van digitale informatie verwerking, dus los van de DNB. De DNB zou eigenlijk al onder curatele gesteld moeten zijn onder de minister wegens wanprestaties. Hoe kan je nu vertrouwen hebben dat dit soort beslissingen op basis van inhoudelijke competenties plaatsvindt en hoe is de DNB gecertificeerd om dit soort beslissingen te nemen? Welke competenties buiten accountancy zijn er binnen DNB actief, notabene een organisatie die zelf werkt op basis van excel en enig volwassen IT systeem waarin de kerncompenties staan ontbeert.
Het wordt tijd dat hier kamervragen over worden gesteld.
Let wel ik heb niets tegen de cloud, integendeel, ik heb er wel moeite mee dat instanties zonder enige vorm van inhoudelijke aantoonbare competenties dit soort besluiten nemen en dit met een risico analyse toestaan. Iedereen die in de IT werkt weet dat risico analyses worden gemaakt op basis van bestaande en bekende scenario's, in de praktijk zijn deze scenario's wel afgedekt, het gaat juist om de niet afgedekte risico's, bijvoorbeeld een bank die failliet gaat of omvalt.....Hallo DNB....
Allereest @Theo. AWS een Iaas provider noemen is hetzelfde als (hedendaagse) mainframes verouderd noemen, tijd om je kennis hierover een update te geven. Amazon is een extreem krachtige speler die de potentie heeft om het gehele IT speelveld te veranderen en daar al mee bezig is. Hierin zit een wijze les. Wat zijn doen is alle IT problemen identificeren en daar hun eigen oplossing aan te geven. Dit doen ze in een moordende versnelling waarbij het steeds moeilijker zal worden tegenwicht te bieden aan dit "cloud geweld uit de VS" (quote van Maurice van der Woude). Virtuele server te duur? Neem een reserved instance of "huur" er 1 op de marktplaats. Meer IOPS nodig? Geen probleem. Automatisch schalen? Done. Rechten geven aan individuele gebruikers en hiermee productie scheiden van ontwikkel omgeving? Is gedaan. Zij identificeren de problemen en geven er een oplossing van. En het is niet allemaal infrastructuur, je kunt er ook bulkmail mee versturen, enterprise service bussen mee bouwen (Paas) en doen zelfs SaaS als je de portal met interface zo mag noemen. Ook datawarehouses en NoSQL databases horen in het portfolio en ze zijn vrijwel platform onafhankelijk dus maakt het niet uit of je Python, Java of .NET ontwikkelaar bent. AWS is een heel breed platvorm. Als je het slecht vind dat Nederlandse banken AWS mogen gebruiken, bestudeer dan wat het is. In September komt er weer een gratis summit in Amsterdam met een Keynote van onze Nederlandse held en CTO van Amazon: Werner Vogels. Het is vrijwel onmogelijk om geen inspiratie op zo'n dag op te doen en is voor velen een eye-opener.
In mijn reactie schreef ik niet of cloud computing goed of slecht is, alleen dat het niet mogelijk is deze trend tegen te gaan. Ook schreef ik niet dat Amazon goed of slecht is of dat er geen ruimte is voor andere cloud providers. Ik sprak zelfs niet voor of tegen uit als het aankomt of ik deze ontwikkeling goed of slecht vind.
Willekeurige on-demand toegang tot data van anderen is slecht, ook als het gebruikt wordt om terrorisme te bestrijden. Deze macht zet namelijk tot subtiele terrorisme van overheid naar burgers aan in een weg waar geen terug in is. Ik ben er niet tegen dat overheid data in kan zien, maar wel als dit buiten de zorgvuldig opgebouwde rechtstaat om gaat, en dat is wat er nu lijkt te gebeuren. Een hooggeplaatste ex-CIA (http://www.theatlantic.com/politics/archive/2013/07/former-cia-chief-snowdens-leak-is-a-little-like-the-boston-bombers/278066/) maakte zeer duidelijk hoe evil dit is. Hij geeft aan dat transparantie net zo slecht is als Jihad. Met andere woorden: Wij bepalen wel wat goed voor je is en daar mag jij niets van weten, controle is transparantie en transparantie is net zo slecht als het plaatsen van bommen. Daar krijg ik nu rillingen van.
Dit is mijn bruggetje naar cloud computing. Ik zie cloud computing als een zeer nuttige technologie,business model, of wat dan ook. Maar dit staat los van de toepassing die in gevallen niet goed is. Je kunt wapens gebruiken om de vrede te bewaken, maar ook om oorlog te voeren. Je kunt tegen wapens zijn, maar als jij zet niet hebt zegt dat niet over anderen die ze wel hebben en tegen je zullen gebruiken.
On topic. Het is een logische keuze dat banken willen profiteren van nieuwe mogelijkheden en Amazon is een logische stap daarin. Of het goed is slecht is kan ik niet beoordelen, ik heb zelf niet het idee dat het beter of slechter wordt of dat je als klant van de bank nu echt zult profiteren. Banken geven graag een paraplu, maar als het gaat regenen willen ze hem terug. In mijn ogen heeft een bank sowieso weinig prikkels om zich dienstbaarder op te stellen aan de consument of MKB. Ook daarin heb ik geen idee wat we zouden kunnen doen om dat te veranderen...
@Willem,
Helemaal mee eens. Ik denk alleen dat je met de hoop om het te verbeteren door het in de kamer te behandelen je bedrogen uitkomt. Je stelling om de DNB onder curatele te stellen wegens wanprestaties zou dan uitgesproken worden door een minister die ook geen aantoonbare competenties heeft bewezen. De mensen met verstand zijn daar niet te vinden. Die zitten in het bedrijfsleven want daar is geld te verdienen en daar in de kamer niet. De huidige vorm van regeren en landsbesturing werkt veel te traag en de financiele kwakzalvers zijn wel zo slim om de bak met geld leeg te graaien alvorens zij in staat zijn het tij te keren. Keer op keer worden de bonussen nog steeds uitgekeerd en zijn ze juridisch niet aan te pakken.
Er is maar 1 remedie. Je financiele afhankelijkheid tot een minimum beperken bij de banken en laat ze maar stikken in hun negatieve imago waar ze de komende decennia niet meer vanaf komen.
Voor de banken blijft het wichelroede lopen. Je ontkomt er niet aan dat binnen de banken beperkingen worden gelegd op het dataverkeer. Daar staat tegenover dat iedereen binnen de bank die beschikking heeft over internet data in de cloud kan plaatsen. In mijn verleden is daar binnen de bank een circulaire over wat je wel kan plaatsen en wat je zeker niet mag plaatsen. Daarnaast moeten de banken een protocol uitbrengen voor bedrijfsgevoelige informatie.
Het is natuurlijk prima om applicaties als een cloudservice te laten hosten buiten de muren van de bank, zeker voor minder klantgevoelige applicaties.
De vraag blijft of het zin heeft om applicaties buiten de muren van de bank te laten plaatsvinden. De hoeveelheid informatie, de informatiestromen en de belangrijkheid van die informatie leent zich voornamelijk op korte lijnen, ICT is van levensbelang.
Zolang je in de cloud ook wordt afgerekend op datastromen en je duidelijke SLA's nodig hebt is de stap naar AWS nog geen logische stap. Er zou eerst lokaal eens kunnen worden gekeken hoe we alle rekenkracht van de banken zouden kunnen bundelen, want er is daarvan genoeg in Nederland en omstreken.
Vindt de "don't ask, don't blame, maar maakt een risico analyse" negatieve optie van DNB ongeloofwaardig en laf, of ongeloofwaardig laf :-) .
Als men secure cloud wil, is het beter dit in Europa, nog beter in Nederland uit te voeren, zowieso met Linux platforms. En als het zonodig transatlantisch moet, kiezen slimme bedrijven Canada als sourcing lokatie. Want hier zijn de verschillende US Acts niet van toepassing.
Doe hier uw voordeel mee!
Dat de DNB het gebruik van de amazon cloud goedkeurt lijkt mij zeer terecht. De Amazon cloud is uiteindelijk niets anders dan willekeurig welke hosting partij, als het gaat om leveren van diensten. Het verschil van een cloud dienst, ten opzichte van een traditionele hosting dienst, heeft voornamelijk te maken met het business model dat beide hanteren.
Het artikel rept niet over of, de DNB dit voor alle gegevens doet. Ik kan me zo voorstellen dat er bepaalde privacy gevoelige informatie is, die de DNB liever niet op een Amerikaanse Clouddienst wil hebben. Echter ook in dit laatste geval voorzie ik niet al te veel bezwaren.
Ik hoor veel mensen gelijk de discussie over de patriot act aanhalen als het over gevoelige data en buitenlandse locaties gaat. Men doet daarbij voorkomen, of de Amerikaanse overheid zomaar zonder kennisgeving uw data mag opvragen.
Dit is echter niet het geval. Mocht de US om deze gegevens middels de patriot act vragen, zijn zij te allen tijde verplicht deze informatie met toestemming van de Nederlandse regering op te vragen.
Mocht men niet genoeg vertrouwen in de Nederlandse overheid hebben, staat het de gebruiker van de amazon dienst vrij,om zelf nog eens diverse maatregelen te treffen om informatie te beveiligen. Als het om privacy gevoelige informatie gaat, schrijf de Nederlandse wet voor in de WBP, dat alle privacy gevoelige gegevens afdoende beschermt moeten worden , dit kan bijvoorbeeld door het versleutelen van de informatie en het bewaren van de sleutels op een andere beschermde locatie. Hiermee voorkom je discussie: “ Je mag maar 120 op de snelweg, maar je kunt wel harder.” Beter gezegd ; Het feit dat iets niet mag, wil nog niet zeggen dat het niet gebeurt.
Het gebruik van Cloud diensten waar dan ook ter wereld hoeft dus geen probleem te zijn als het gaat om gevoelige Data , al wordt dat vaak wel verondersteld. Integriteit en veiligheid van gegevens heeft lang niet altijd te maken met de locatie waar deze gegevens worden opgeslagen. Een groter probleem is hoe de data wordt opgeslagen en hoe bedrijven en mensen met gegevens omgaan. Er is voldoende innovatie, kennis en technologie aanwezig om gegevens te beschermen. Het opslag medium in dit geval de Amazon cloud is daarbij niet ter zake doende.
Prachtige reacties/discussie maar volgens mij zit er tussen opvragen en kunnen inzien een groot verschil. Bij eerste wordt je geinformeerd terwijl tweede ongevraagd gedaan kan worden. Zodra je informatie buiten eigen controle opslaat verlies je er de controle over, zelfs de NSA heeft dit tot hun schande ondervonden. Want grappige is namelijk dat sectie stiekum zelf niet eens wist wie, wat en waarom toegang hebben/hadden tot de data en dat was niet de eerste keer.
Maar er blijven nu eenmaal struisvogels die hun kop in het zand steken om tegen de mol te kunnen blijven zeggen dat het prachtig weer is.
Cloud adoptie- OK, in het algemeen is cloud een goed idee. Of dit private cloud moet zijn, Nederlandse cloud, of US cloud? Dat er toestemming gegeven kan worden om bankapplicaties te draaien in een cloud is goed. Om dan alles onder Amerikaanse wetgeving te brengen is iets heel anders.
Er zijn ook Nederlandse cloudproviders. Waarom creëren de gezamelijke banken geen cloud opmgeving? Kan ook door Equens of de DNB ter beschikking worden gesteld.
Dat de US via illigale praktijken veel gegevens toch al heeft doet verder niet ter zake.
Wordt het gebruik van clouds bekend gemaakt? Dan kan ik van bank wisselen!
Er wordt nu enorm ingezoomd op het risico van inmenging door de Amerikaanse overheid. Uiteraard moet je jezelf afvragen of er situaties denkbaar zijn waarin dit werkelijk schade zou kunnen toebrengen. Anderzijds, is dit niet iets nieuws. Het hierboven geciteerde Patriot Act gaat zelfs nog verder. De Amerikaanse overheid kan al dit soort verzoeken laten honoreren indien er een Amerikaans staatsburger bij de provider in kwestie werkt.
Maar is dit nu werkelijk het grote risico? Op het moment dat je de spullenboel op een externe (cloud) infrastructuur plaatst, zijn er derden die (delen van) het beheer voor je uitvoeren. Theoretisch kunnen ook zij inzage in de informatie verkrijgen. Zelfs wanneer je alles in eigen huis houdt, zijn er beheerders met bovengemiddeld veel rechten op de informatiesystemen.
Nee, geef mij dan maar de mogelijke inzage van een overheidsinstantie. Daar zijn dit soort zaken in ieder geval gereguleerd en gedocumenteerd. Met de juiste audit functionaliteit is in ieder geval zichtbaar te maken wie op welk moment welke informatie opgevraagd heeft. In geval van een IaaS oplossing kan encryptie nog een extra barrière opwerpen.
Leon,
Stellen dat de overheid zijn zaken goed voor elkaar heeft lijkt me in tegenspraak met de moeite die ze hebben om aan WOB verzoeken te voldoen. En de regulering lijkt meer op de put dempen nadat het Kalff verdronken is. Betreffende beheerders met teveel rechten had ik al in een andere reactie gerefereerd naar klokkenluiders als Bradley en Edward want vertrouwen is goed maar controle is nog altijd beter.
De vraag is in hoeverre je werkelijk controle hebt op je data als een derde partij (met een andere meester) de uitvoer hiervan doet. Vergelijk het met de wijze waarop het toezicht gedaan werd op Enron, Diginotar en een rijtje banken om een paar cases te noemen. Want een audit heeft alleen waarde als de auditor zelf te vertrouwen is.
Op zich is het mooi dat DNB toestemming geeft aan financiële instellingen om de cloud-diensten van Amazon te gaan gebruiken. Dat is nog altijd beter dan het te verbieden met wettelijke regels en banken te verplichten tot het gebruik van on-premise oplossingen of het in stand houden van legacy.
Toch zijn de kanttekeningen die de woordvoerder van DNB bij het bericht plaatst veelzeggend. Een gedegen risico-analyse en een exit-clausule in het contract zijn verplicht en DNB moet op de hoogte gesteld worden van de plannen. Dat schept nog zeer veel mogelijkheden om een uiteindelijke tocht naar de cloud tegen te houden, naast het feit dat de PRISM-onthullingen en de gevolgen voor landen buiten Amerika nog steeds gaande zijn.
Wat dat betreft denk ik dat dit bericht waarschijnlijk niet helemaal uit de lucht komt vallen. Laatst was nog te lezen dan Amerikaanse cloud-bedrijven flinke financiële klappen hebben gekregen door de PRISM-onthullingen. Uit onderzoek van de Cloud Security Alliance (CSA) blijkt dat 10% van de overzeese klanten hun contracten specifiek om deze reden hebben opgezegd. Het vertrouwen is weg, en voor bedrijven als Amazon speelt hierbij ongetwijfeld ook een commercieel belang. Voorzichtigheid is geboden en ik vermoed dat Nederlandse financiële instellingen die mening zullen delen. Voorlopig is een Nederlandse cloud-provider met een eigen datacenter, die onder de Nederlandse wetgeving valt, vermoedelijk een veiliger keuze.
Het is goed te zien dat de hedendaagse systemen steeds vaker aan alle eisen kunnen voldoen welke oa. door De Nederlandsche Bank inzake Nederlandse financiële instellingen bepaald is. Qua ontwikkeling van dergelijke "te vertrouwen" systemen zijn we dus op de goede weg.
Toch blijft het een feit dat ook deze financiële instellingen zich moeten afvragen of dat het een verstandige keuze is, war gaat men het voor gebruiken, is het alleen de backup van de backup locatie of wordt het als eerste uitwijk van primaire systemen gebruikt. Uiteraard is daartussen nog veel mogelijk maar men moet i.i.g. eerst zowel de verwachtingen van de systemen als ook de risico's van de oplossingen afwegen en dan een keuze maken wat wel en niet geschikt is voor Cloud.
Services buiten je eigen datacenter halen staat nog steeds in de kinderschoenen. Helaas veel te vaak berichten over wie, wat, wanneer kan meekijken, gewenst of ongewenst. Na vernieuwde afspraken lijkt dit in orde, todat er weer een bericht op doemt dat ergens iemand anders ook (ongewenst) kan meekijken.
We zijn nog steeds drukdoende de security in onze eigen datacenters op orde te krijgen (en de complexiteit op orde krijgen). Zomaar je data aan andere toevertrouwen is nog een stap te ver.
Het blijft afwegen wat je waar neerzet. De tijd zal echt wel komen dat het niet meer uitmaakt: public, private cloud. Maar voor nu blijft het goed kijken en afwegen.
DNB heeft een functie waarmee ze mogelijkheden creeren. Naar mijn mening is het de verantwoordelijkheid van de klanten/bedrijven die afhankelijk van de richtlijnen van DNB, om deze afwegingen te maken.
Persoonlijk vind ik dat voor niet kritische CPU loads Amazon een mogelijkheid is, omdat Europa nog geen alternatief heeft. Europa is bezig met een tegenhanger Helix Nebula, maar dat is er nog niet. Tot die tijd is Amazon een alternatief.
Voor kritische loads denk ik dat het niet verstandig is in de bank- en verzekeringssector om hier gebruik van maken. Hiervoor zijn legio mogelijkheden die veiliger zijn binnen Nederland of Europa. Met deze uitspraak legt DNB een verantwoordelijkheid neer bij de gebruikers.
Ik denk dat er een hoop voetnoten bij zouden moeten staan. Wellicht zijn deze er, maar ik heb ze nog niet gelezen.
Over toestemming door de DNB gesproken.
- De DNB vond het goed dat Dirk Scheringa jarenlang bij zijn DSB Bank zat te rommelen om zijn hobby’s zoals de voetbalclub AZ, de DSB schaatsploeg en het Scheringa museum te bekostigen. De DSB is met een grote schuld ter ziele gegaan.
- De DNB vond het ook goed dat Fortis, Banco Santander en de Royal Bank of Scotland, de ABN AMRO overnamen, terwijl ze het kapitaal daarvoor niet eens hadden. ABN en een Fortis Nederland moesten genationaliseerd worden. Fortis België is nog maar weinig waard ondanks de staatssteun daar. De Banco Santander heeft hun aankoop snel moeten doorverkopen. En de RBS moest door de Britse staat gered worden met een kapitaalinjectie van 5,5 miljard Euro.
- De DNB vond het goed dat de SNS REAAL Groep meer dan 1,5 miljard Euro spaargeld van REAAL in de reeds uiteenspattende Spaanse vastgoedmarkt over de balk gooide. De SNS moest genationaliseerd worden met een initiële kapitaalinjectie van 3/4 miljard.
- De DNB vond het goed dat ING Groep jarenlang te weinig kapitaal had om mindere tijden te overleven. (De buffereisen waren meer dan gehalveerd.) De ING had uiteindelijk van de belastingbetaler een kapitaalinjectie nodig van 10 miljard.
- De DNB vond het ook goed dat AEGON jarenlang te weinig kapitaal had om mindere tijden te overleven. De AEGON had van de belastingbetaler een kapitaalinjectie nodig van 3 miljard Euro.
Kortom, de DNB blijkt in de praktijk niet al te veel verstand te hebben van het bankieren. Dus waar halen ze de megapretentie vandaan dat ze wel genoeg van de Amazone Cloud snappen, om hierover een cruciaal standpunt in te kunnen nemen?
We hebben de Use Policy, Customer Agreement en Service Terms van Amazon Webservices nog even bekeken. Wanneer je kritieke ict-diensten zoals bankiersoftware, gegevensopslag en kredietrisico-analyses onder deze juridische voorwaarden uitbesteed zoals DNB goedgekeurd heeft, dan geeft dit weer opnieuw een aardig beeld van het inzicht van de DNB in dit soort issues.