Financials en de cloud: geen roze wolk

 
11 oktober 2013

Afgelopen voorjaar organiseerde de werkgroep cloud computing van Platform Outsourcing Nederland een discussiebijeenkomst over banken en cloud computing. Aan tafel: financiële instellingen en service providers. Terugkerende thema’s: risico’s en kwetsbaarheid. De cloud maakt outsourcing niet gemakkelijker, koudwatervrees blijft.

De financiële sector draait op vertrouwen. Niet alleen de bankencrisis maakt het vasthouden van dat vertrouwen tot een steeds grotere uitdaging. Ook de IT van financials zorgt voor de nodige vraagstukken. De DDoS-aanvallen uit 2013 laten zien dat banken onverminderd kwetsbaar blijven; grote IT-verstoringen tonen aan dat de legacy die zich achter de modieuze frontoffice apps bevindt, op zijn laatste benen loopt. En tot overmaat van ramp is aanhaken op nieuwe technologie niet eenvoudig: het eisenpakket van kritische consumenten lijkt bijna even zwaar te wegen als dat van de toezichthouders.

Toezicht

De beloften van cloud computing zijn geweldig. De publieke cloud maakt standaarddienstverlening, standaard SLA’s en transparante pay-per-use kostenmodellen mogelijk. En als je de aanbieders moet geloven, zit je met een paar stappen in de cloud, ongeacht of het gaat om platte kantoorautomatisering of om complete CRM-systemen. Financiële instellingen zijn echter gehouden aan complexe wet- en regelgeving, die ook betrekking heeft op de IT. Ongeacht de keuze waar en hoe je als financiële instelling de IT onderbrengt, De Nederlandsche Bank (DNB) houdt toezicht. In de Wet Financieel Toezicht (WFT) en de Pensioenwet is bijvoorbeeld vastgelegd dat DNB een right to audit heeft. Dat recht kan gebruikt worden wanneer DNB er niet of onvoldoende in slaagt om via normale procedures (opvragen van documenten, stellen van vragen) aan informatie te komen.

Cloud = uitbesteden

Wanneer banken overgaan tot het uitbesteden van IT, mag dat niet leiden tot belemmeringen in het toezicht, zo is één van de eerste voorschriften van DNB. Cloud computing verandert daar niets aan. Het audit-recht van toezichthouders blijft aan de orde en gaat bij IT-outsourcing bijvoorbeeld tot op het niveau van onderaannemers van IT-dienstverleners. Financials ervaren het dan ook als een hele toer om alle wet- en regelgeving vertaald te krijgen in juridische contracten en afspraken met hun service providers. Service providers op hun beurt vrezen dat opdrachtgevers of toezichthouders zo maar kunnen binnen vallen. Het realiseren van contractuele afspraken met service providers rondom het naleven van wet- en regelgeving is tijdrovend maatwerk. Het kan zelfs innovatieprojecten met vele maanden vertragen, zo is de ervaring van sommige financials aan tafel.

Internationale regels

Wanneer banken zaken doen met internationale dienstverleners, wordt de wet- en regelgeving alleen maar complexer. Niet-Europese dienstverleners moeten verklaren dat zij de Europese wet- en regelgeving respecteren. Hun datacenters moeten bijvoorbeeld binnen Europa gevestigd zijn, zodat voorkomen kan worden dat een vestigingsland (buiten Europa) via eigen wet- en regelgeving kan bepalen hoe er wordt omgegaan met data. De Safe Harbor-regeling tussen de EU en VS schrijft voor dat Amerikaanse bedrijven alleen privégegevens van Europese consumenten verwerken en opslaan als ze (Safe Harbor)-gecertificeerd zijn. Onderliggende regels hebben betrekking op zaken als toestemming, databeveiliging, handhaving en klachtafhandeling. Het Safe Harbor-keurmerk wordt gehandhaafd door het Amerikaanse ministerie van Handel.

IT-uitbesteders zijn zelf verantwoordelijk

Of het Safe Harbor-keurmerk garanties biedt, is de vraag. Niet alleen komt misbruik voor, maar ook speelt op de achtergrond de Patriot Act mee. Deze wet biedt de VS altijd de mogelijkheid om data te vorderen, zowel bij Amerikaanse als bij Europese dienstverleners. Dat staat haaks op de Europese wetgeving rondom de bescherming van data. Het College Bescherming Persoonsgegevens (CBP) stelt daarom dat Nederlandse bedrijven en organisaties die cloud diensten afnemen in de VS, zelf eindverantwoordelijk zijn voor de bescherming van persoonsgegevens. Tot voor kort stonden veel Amerikaanse partijen niet toe dat een Nederlandse toezichthouder het right to audit ook daadwerkelijk zou uitoefenen: toezichthouders kwamen er eenvoudigweg niet in.

Afspraken met providers

Zowel DNB als service providers proberen deze lastige omstandigheden voor financiële instellingen wat te vergemakkelijken. De service providers en de Nederlandse financiële sector zijn gebaat bij heldere afspraken over bijvoorbeeld het invulling van het toezicht. DNB heeft nu – als eerste met Microsoft en Salesforce.com, maar in de zomer van 2013 ook met Amazon – overeenstemming bereikt over de wijze waarop specifieke clausules van IT-contracten kunnen worden ingevuld. Het gaat dan om aspecten als hoe vaak het right to audit speelt, wie de kosten draagt en wat een audit precies inhoudt. De afspraken die DNB met Salesforce.com, Microsoft en Amazon heeft gemaakt, zijn echter niet openbaar. Ze zijn concurrentiegevoelig en hangen nauw samen met de aangeboden diensten van de betrokken partijen; mede een gevolg van principle-based toezicht door DNB (in plaats van rule-based toezicht). Het resultaat van die geslotenheid is dat er geen best practices kunnen worden gedeeld, iets wat door sommige financials aan tafel wordt gezien als een gemiste kans.

‘we zetten geen hek meer om het huis heen, maar zetten het hek om de data heen’

Worden providers transparanter?

Ook aan de leverancierszijde is enige beweging te zien. Hoewel de Patriot Act een pijnpunt blijft, begrijpt een partij als Microsoft dat ze moet inspelen op de lokale Europese situatie. Het bedrijf wordt dan ook steeds transparanter over de locatie van datacenters. Wanneer concurrentie er voor zorgt dat meer leveranciers versneld gaan inspelen op regelgeving, wordt dat aantrekkelijk voor klanten. Het vergroot tegelijkertijd de complexiteit: dienstverleners zullen namelijk sterker moeten inspelen op uiteenlopende omstandigheden van verschillende lokale markten. Of de verschillende nationale toezichthouders eenzelfde beweging zullen maken en zullen streven naar geharmoniseerde regelgeving, valt te betwijfelen. Daarvoor zijn de verschillen in nationale wet- en regelgeving op het vlak van levensverzekeringen en pensioenen nog veel te groot.

Banken, competitive edge en de CIO

Volgens het tiende jaarlijkse World Retail Banking Report 2013 dat door Capgemini en Efma is gepubliceerd, zal in de laatste zes maanden van 2013 tien procent van de wereldwijd ondervraagde klanten van retailbanken vrijwel zeker vertrekken. Nog eens 41 procent van de klanten twijfelt nog. De Nederlandse consumenten zijn iets minder pessimistisch. Zes procent van de klanten zegt de komende zes maanden van bank te wisselen en 26 procent overweegt het. De basis van het WRBR 2013 is de uitgebreide klantenenquête en de Customer Experience Index (CEI) die meet hoe 18.000 klanten in 35 markten denken over zaken die voor hen het belangrijkst zijn op het gebied van kanalen, transacties en producten. De Nederlandse banken kunnen het vertrek van klanten voorkomen door de service te verbeteren en de kwaliteit van internetbankieren te verhogen. Uit het onderzoek blijkt dat deze twee elementen het meest bijdragen aan een positieve customer experience. Ook beter inspelen op de klantbehoeften en meer focus op de klantrelatie draagt bijaan loyalere klanten.

Bron: World Retail Banking Report 2013, Capgemini en Efma: www.capgemini.com/wrbr13

Zijn cloud diensten innovatief?

Echte cloud computing komt neer op een standaarddienst, waarbij de middleware aanwezig is en je direct inzicht hebt in de kosten, ook als je op willekeurige momenten op- en afschaalt. Dat lijkt glashelder. Na de introductie van het cloud concept kwamen leveranciers al vrij snel met cloud varianten zoals de private cloud en de hybride cloud. Dient cloud om je eigen processen te versnellen of om in te spelen op onderscheidend vermogen? En heb je voor dat laatste niet juist maatwerk nodig? Leveranciers bieden inmiddels allerlei verschillende cloud diensten aan, bijvoorbeeld afgestemd op verticals of op specifieke vraagstukken rondom data of toepassingen. De uitbesteders ervaren gebrek aan transparantie bij aanbieders. Zo worden ze soms achteraf toch geconfronteerd met additionele kosten en vragen ze zich af wat het verschil is tussen een private cloud en gevirtualiseerde diensten.

Is cloud hetzelfde als outsourcing?

Kiezen voor de cloud gaat gemakkelijker wanneer je als organisatie erkent dat je voor bepaalde activiteiten gespecialiseerde partijen kunt inschakelen, zodat je qua aandacht en middelen beter kunt focussen op de core business. Het schaalvoordeel dat een cloud aanbieder kan leveren, heeft ook betrekking op security. Kiezen voor de cloud betekent dat je als uitbesteder in een multi-tennant-omgeving terecht komt, waarbij de aanbieder maximale energie in beveiliging zal steken. Maar wanneer financials met die reden allemaal voor dezelfde cloud provider kiezen, maakt dat die ene provider en daarmee de financiële sector als geheel weer extra kwetsbaar. De afspraken die DNB met sommige leveranciers maakt, zouden daarnaast als nadeel kunnen hebben dat uitbestedende financiële instellingen in de richting van deze partijen worden gedwongen.

De cloud als antwoord op IT-consumerization?

De discussie over beveiliging heeft niet alleen betrekking op techniek. Zowel uitbesteders als providers geven aan dat beveiliging ook een gedragskwestie is, die al lange tijd bestaat. Vroeger ging het om papier, daarna kwam de laptop, toen de usb-stick en nu gaat het om meerdere devices. Waar bedrijven nog aarzelen bij de cloud, hebben gewone mensen al massaal de overstap gemaakt – denk aan Gmail, Dropbox, Picasa of Facebook. Steeds vaker hebben IT-eindgebruikers data op hun zelf meegebrachte devices staan. Een goede cloud-strategie kan hier wel tegenwicht bieden: het gebruik van al die populaire, maar relatief moeilijk beheersbare en minder veilige IT-toepassingen zou misschien wel kunnen worden teruggedrongen. De cloud als alternatief voor BYOD?

Data security

Tijdens de discussie is men het er over eens dat security steeds meer op dataniveau zal moeten georganiseerd: “We zetten geen hek meer om het huis heen, maar zetten het hek om de data heen.” et betekent dat data geclassificeerd moeten worden in niveaus en lagen. Het bewustzijn rondom data zal ook moeten groeien – denk aan het ontwikkelen van mobile device management en het ontwikkelen van data classificatie. Het probleem van controle is niet in één keer opgelost; standaarden en best practices komen met andere woorden voort uit de praktijk. Ze lopen dus vaak een beetje achter en dat verklaart mede de aanhoudende koudwatervrees van financials.

Ontzorgen of kopzorgen?

wat gebeurt er als een startende cloud leverancier wordt overgenomen of failliet gaat?

Tijdens de discussie werden zorgen geuit op het vlak van continuïteit en vendor lock-in. De cloud markt is jong en er verschijnen regelmatig nieuwe toetreders. Wat gebeurt er als een startende cloud leverancier wordt overgenomen of failliet gaat? Afspraken over data-eigendom zijn gebruikelijk, maar wat doe je als je data gegijzeld worden? Wie heeft bijvoorbeeld ervaring opgedaan met een exit of de opgestelde exit-strategie getest? Verschillende cloud aanbieders hebben ook een on premise propositie, maar wat is het on premise alternatief voor Salesforce.com? Wat krijg je terug bij een exit: een werkende IT-omgeving of alleen een set data? Het zijn vragen die aan de discussietafel niet beantwoord kunnen worden. Lastige vragen zetten het idee van cloud als ‘gemakkelijke standaarddienst’ in een ander daglicht. Met een outsourcingpartij maak je gedetailleerde afspraken: er ontstaat een partnership met afspraken over audits, SLA’s en contracten. Bij het afnemen van cloud diensten gaat dat maatwerk in eerste instantie niet op: het gaat om een standaarddienst met een standaard SLA, die je wel of niet kunt accepteren. Uit de discussie, maar ook uit het voorbeeld van Robeco (zie kader hiernaast) komt naar voren dat deze zwartwitbenadering voor financiële instellingen niet werkt. Je moet zelf de regie behouden en daarvoor is het noodzakelijk voldoende kennis en kunde aan boord te houden. Ontzorgen is voorlopig niet aan de orde bij de cloud en dat geldt dubbel en dwars voor financials.

De discussie vond plaats op 23 april 2013 bij KPMG te Amstelveen en werd geleid door Marco Gianotten. De discussiebijeenkomst was een initiatief van de Werkgroep Cloud van Platform Outsourcing Nederland.

Naar de cloud – een voorbeeld

Robeco is de eerste Nederlandse financiële instelling, die – vallend onder DNB-toezicht – gekozen heeft voor een cloud gebaseerde oplossing: Office365 van Microsoft. Rondom Office365 heeft Robeco specifieke afspraken gemaakt met zowel DNB als Microsoft. Robeco benadrukt het belang van betrokkenheid van de board vanaf het allereerste begin. Ook heeft Robeco de nodige risicoanalyses gemaakt. Voldoet een dienst zoals Office365 aan de wettelijke regels en aan het eigen security beleid van de financiële instelling? Het is aan de uitbesteder zelf om diep in het securitybeleid van de aanbieder te duiken, een NDA helpt om daarbij extra informatie van de service provider te krijgen. Hoewel cloud impliceert dat het gaat om standaarddienstverlening’, ‘standaardtarieven’ en ‘standaardvoorwaarden’ ontstaat er op deze manier toch een vorm van maatwerk. Ook bij een public cloud kan je het als uitbesteder niet nalaten bovenop de standaarddienst aanvullende maatregelen te treffen, zoals encryptie of het onderscheiden van verschillende gebruikersgroepen. Het gaat niet alleen om aanvullende veiligheidsmaatregelen. Bij een overstap naar een cloud dienst moet ook gekeken worden naar bijvoorbeeld exit scenario’s en naar de governance op het gebied van onderaannemers en toeleveranciers. Denk aan ISAE-verklaringen die helpen bij het verkrijgen van zekerheid over de kwaliteit van de interne beheersing van de bedrijfsprocessen die zijn uitbesteed aan service organisaties. Het lijkt er alleszins op dat ‘standaard’ in de financiële cloud niet aan de orde is.