Referaat. Cloud computing en de financiële onderneming. School of Accounting & Assurance (ESAA) Postinitiële opleiding IT-Auditing & Advisory (ITAA)

Transcriptie

1 Referaat Cloud computing en de financiële onderneming School of Accounting & Assurance (ESAA) Postinitiële opleiding IT-Auditing & Advisory (ITAA) Naam : Kai Hoo Tang Studentnummer : kaihootang@gmail.com Begeleider ESAA : dhr. J. Pasmooij RA RE RO Versie : 1.0 Datum : 10 januari 2014 Plaats : Capelle aan den IJssel Gebruik met bronvermelding toegestaan 1

2 Voorwoord Dit referaat met het onderwerp Cloud computing en de financiële instelling is het afsluitend onderdeel binnen het curriculum van de postmaster opleiding IT-Auditing & Advisory. Ik heb voor dit onderwerp gekozen omdat ik werkzaam ben als auditor bij een financiële instelling en cloud computing heden ten dage gezien wordt als de oplossing voor kostenbesparing en een beter beheerste IT omgeving. Daarnaast hebben berichten als DNB keurt Office 365 goed voor banken en verzekeraars (rapidcircle.com, 7 november 2012) en DNB: Banken mogen in de Amazon-cloud (computable.nl, 29 juli 2013) mijn nieuwsgierigheid gewerkt om te onderzoeken of het voor financiële instellingen echt mogelijk is om diensten uit te besteden naar de cloud. Het doel van dit referaat is inzicht in de problematiek van cloud computing te verschaffen aan financiële instellingen. Financiële instellingen verkeren in een spanningsveld tussen enerzijds het implementeren van een kostenefficiënte ICT omgeving door middel van cloud computing en anderzijds de risico s van uitbesteding naar de cloud en compliance met bestaande wet- en regelgeving. Middels dit referaat worden de restrisico s van cloud computing voor financiële instellingen in kaart gebracht zodat deze een overwogen beslissing kunnen nemen over het al dan niet diensten af te nemen in de cloud. Middels dit voorwoord wil ik graag mijn werkgever bedanken voor de ruimte die mij is geboden om deze opleiding te doen en de mogelijk om de deel te nemen aan de 2-daagse Masterclass Cloud Risk en de financiële instelling. Daarnaast wil ik graag de ondervraagde deskundigen bedanken voor hun bijdrage aan dit referaat door het geven van hun vakkundige meningen. Ook wil ik mijn begeleider dhr. Jan Pasmooij bedanken voor zijn begeleiding. Tenslotte wil ik mijn vrouw Moon bedanken voor haar support. Met de geboorte van ons eerste kindje, Justin, waren de afgelopen maanden erg zwaar voor haar. Kai Hoo Tang Capelle aan den IJssel, 10 januari

3 Samenvatting Vanuit de invalshoek voor bezuinigingen en een beter beheerste IT omgeving kijken veel organisaties naar de mogelijkheden van cloud computing. Dit geldt ook voor financiële instellingen. Cloud computing is een relatief actueel onderwerp. De implementatie hiervan is voor veel financiële instellingen dan ook een onbekend gebied. Binnen de branche is er vooralsnog weinig kennis en vooral weinig ervaring met de implementatie van cloud computing. Gezien de risico s van cloud computing, worden door de wet- en regelgeving en toezichthouder eisen gesteld aan de implementatie van cloud computing. Financiële instellingen hebben te maken met een spanningsveld tussen enerzijds het implementeren van een kostenefficiënte ICT omgeving door middel van cloud computing en anderzijds de risico s van uitbesteding en compliance met bestaande wet- en regelgeving. Met dit referaat is gekeken naar de definitie en karakteristieken van cloud computing, de voor- en nadelen van cloud computing, de verschillende vormen van cloud computing, Daarnaast zijn de verschillen tussen cloud computing en de traditionele IT uitbesteding uiteengezet. Ook zijn de activiteiten welke bij de implementatie van cloud computing uitbesteed worden aan de cloudprovider in kaart gebracht. Middels een risicoanalyse, waarbij de mogelijke beheersingsmaatregelen in acht zijn genomen, zijn de resterende risico s in kaart gebracht en gevalideerd door verschillende onafhankelijke deskundigen, welke werkzaam zijn voor financiële instellingen. Op basis hiervan wordt geconcludeerd dat of het voor de financiële instelling mogelijk is om op een verantwoorde wijze diensten af te nemen in de cloud, afhankelijk is van de vorm van cloud computing, het proces of de dienst dat uitbesteed wordt, de restrisico s en de zekerheid (assurance) die geboden kan worden. 3

4 Inhoudsopgave Inleiding... 7 Probleembeschrijving... 7 Doelstelling... 7 Centrale vraag... 7 Deelvragen... 7 Onderzoekmodel... 8 Hoofdstuk 1 Wat is cloud computing? Inleiding Definitie van cloud computing De voor- en nadelen van cloud computing Samenvatting Hoofdstuk 2 Vormen van cloud computing Inleiding Vormen van clouddienst Verschillende leveringsvormen van cloud Samenvatting Hoofdstuk 3 Cloud computing en de traditionele IT uitbesteding Inleiding Definities Verschillen cloud computing en de traditionele IT uitbesteding Samenvatting Hoofdstuk 4 Cloud en de financiële instelling Inleiding IT beheeractiviteiten Technisch beheer Applicatiebeheer Functioneel beheer Cloud en IT beheeractiviteiten Technisch beheer bij cloud computing

5 4.3.2 Applicatie beheer bij cloud computing Functioneel beheer bij cloud computing Samenvatting Hoofdstuk 5 Wettelijke vereisten voor cloud computing Inleiding Wettelijk kader Laag 1 (de wet) Laag 2 (Besluiten) Laag 3 (Nadere regels van de toezichthouder) Samenvatting Hoofdstuk 6 Risico s van cloud computing Inleiding Risico categorieën Strategische risico s Operationele risico s Compliance risico s Technische risico s Samenvatting Hoofdstuk 7 Beheersing van de risico s Inleiding Assurance Data classificatie voor de financiële instelling Beheersingsmaatregelen Organisatorisch maatregelen Technische maatregelen Waarborging naleving contractuele afspraken Beheersingskaders en Assurance rapporten Samenvatting Hoofdstuk 8 Problematiek van cloud computing voor de financiële instelling

6 8.1 Inleiding Resterende risico s Strategische restrisico s Operationele restrisico s Compliance restrisico s Technische restrisico s Samenvatting Hoofdstuk 9 Toetsing resultaten aan de praktijk Inleiding Validatie methodiek Deelnemende deskundigen Bevindingen van deskundigen Samenvatting Hoofdstuk 10 Conclusie, beperkingen en aanbevelingen voor verder onderzoek Inleiding Beantwoording van de deelvragen Conclusie / Beantwoording van de centrale vraag Beperkingen Aanbevelingen voor verder onderzoek Referenties Bijlage 1 Resultaat van de toetsing Bijlage 2 Opmerkingen van de deskundigen

7 Inleiding Met het huidige economische klimaat is de druk om te bezuinigen voor organisaties groot. Dit geldt ook voor de ICT kosten. Veel organisaties kijken daarom vanuit die invalshoek naar de mogelijkheden van cloud computing. Het grootste voordeel van cloud computing is dat de organisatie zelf geen datacentra, inclusief noodgedwongen redundantie op een alternatieve locatie, hoeft te onderhouden. De DNB heeft geconstateerd dat een toenemend aantal financiële instellingen die onder toezicht staan van DNB zich aan het oriënteren is op de vraag of cloud computing geschikt is om in te zetten in de onderneming. Financiële instellingen hebben te maken met een spanningsveld tussen enerzijds het implementeren van een kostenefficiënte ICT omgeving door middel van cloud computing en anderzijds de risico s van uitbesteding en compliance met bestaande wet- en regelgeving. Probleembeschrijving Cloud computing is een relatief actueel onderwerp. De implementatie hiervan is voor veel financiële instellingen dan ook een onbekend gebied. Binnen de branche is er vooralsnog weinig kennis en vooral weinig ervaring met de implementatie van cloud computing. Gezien de risico s (op het gebied van bedrijfsvoering, beveiliging, privacy, etc.) van cloud computing, worden door de wet- en regelgeving en toezichthouder eisen gesteld aan de implementatie van cloud computing. Doelstelling De doelstelling van dit referaat is te onderzoeken wat de risico s zijn van cloud computing voor de financiële instelling en aan welke eisen de financiële instelling moet voldoen. Daarnaast zal gekeken worden of de financiële instelling in staat is om de geïdentificeerde risico s en eisen te adresseren. Centrale vraag Is het voor financiële instellingen, gezien de risico s, de wet- en regelgeving en de eisen van de toezichthouder, mogelijk om diensten af te nemen in de cloud? Deelvragen 1. Wat is cloud computing? 2. Welke vormen van cloud computing worden er in de praktijk aangeboden? 3. Moet cloud computing anders beschouwd worden als de traditionele IT uitbesteding? Wat zijn de verschillen? 4. Voor welke activiteiten / diensten zou de financiële instelling cloud computing kunnen inzetten? 5. Wat zijn de wettelijke eisen en de eisen van de toezichthouder (DNB) met betrekking tot cloud computing voor de financiële instelling? 6. Wat is de problematiek van cloud computing voor de financiële instelling? 7

8 Onderzoekmodel Het onderzoekmodel is in figuur 1 schematisch weergeven. Het onderzoekmodel bestaat uit een literatuuronderzoek naar de verschillende vormen van cloud computing, de risico s die gerelateerd zijn aan deze vormen van cloud computing en naar de relevante wet- en regelgeving en de eisen die gesteld worden aan de financiële instellingen door de toezichthouder. De relevante risico s voor financiële instellingen worden geanalyseerd aan de hand van de verschillende beheersingsmaatregelen, die geïmplementeerd kunnen worden door of de cloudprovider of de financiële instelling, om zodoende in kaart te brengen welke risico s beheerst kunnen worden en welke risico s niet of niet volledig beheerst kunnen worden. Het resultaat van de analyse betreft de resterende risico s (inherent) van cloud computing voor financiële instellingen. Ter verificatie wordt het resultaat voorgelegd aan en gevalideerd door verschillende onafhankelijke deskundigen werkzaam voor financiële instellingen. Figuur 1 Onderzoekmodel 8

9 Opbouw van het referaat In hoofdstuk 1 is ingegaan op definitie van cloud computing, de karakteristieken van het cloudmodel en wordt stilgestaan bij de voor- en nadelen van het cloudconcept voor financiële instellingen. In hoofdstuk 2 zijn de diverse varianten van het cloudconcept uiteengezet. Zo zijn er verschillende vormen van clouddiensten en verschillende leveringsvormen. Voor elk variant zijn kort de aandachtspunten aangehaald. In hoofdstuk 3 is er stilgestaan bij de verschillen tussen cloud computing en de traditionele uitbesteding. In hoofdstuk 4 zijn de IT beheerprocessen in kaart gebracht, welke uitbesteed worden aan een cloudprovider bij het afnemen van een clouddienst. In hoofdstuk 5 is de wet- en regelgeving, met betrekking tot cloud computing, waaraan een financiële instelling moet voldoen in kaart gebracht. Ook de eisen die DNB stelt aan cloud computing voor financiële instellingen zijn uiteengezet In hoofdstuk 6 zijn de risico s rondom cloud computing in kaart gebracht. Daarbij is als basis genomen de risicoanalyse sjabloon, die DNB ter beschikking heeft gesteld. In hoofdstuk 7 zijn de beheersingsmaatregelen, die de financiële instelling of cloudprovider zou kunnen implementeren om de geïdentificeerde risico s te kunnen beheersen, in kaart gebracht. De in hoofdstuk 6 geïdentificeerde risico s zijn geanalyseerd aan de hand van de in hoofdstuk 7 in kaart gebrachte beheersingsmaatregelen. Het resultaat van deze risicoanalyse betreft de restrisico s waarmee financiële instellingen te maken hebben indien deze diensten in de cloud afneemt. In hoofdstuk 8 is het resultaat van de risicoanalyse weergegeven. Het resultaat van de risicoanalyse is voorgelegd en getoetst aan onafhankelijke deskundigen welke werkzaam zijn voor financiële instellingen. Op basis van deze toetsing aan de praktijk, is de toepasbaarheid van cloud computing voor financiële instellingen onderzocht. In hoofdstuk 9 is het resultaat van de toetsing in kaart gebracht. Ten slotte is in hoofdstuk 10, op basis van beantwoording van de geformuleerde deelvragen en de centrale vraag, de conclusie van dit referaat beschreven. 9

10 Hoofdstuk 1 Wat is cloud computing? 1.1 Inleiding In dit hoofdstuk wordt een uitleg gegeven van wat cloud computing is, wat de karakteristieken zijn van cloud computing en wat de voor- en nadelen zijn van cloud computing voor de financiële instelling. 1.2 Definitie van cloud computing Cloud computing is simpelweg, in plaats van computeren op een lokale computer, het via een extern netwerk (internet) computeren. Verdonck, Kloosters & Associates B.V. (2012) hebben de volgende definitie: Cloud Computing is een model voor het snel beschikbaar stellen van on-demand netwerktoegang tot een gedeelde pool van configureerbare IT-middelen (zoals netwerken, servers, opslag, applicaties en diensten), met een minimum aan managementinspanning of interactie met de aanbieder. De rijksoverheid ziet cloud computing als een manier om computerdiensten (zoals software, hardware en gegevens) te gebruiken op elk willekeurig apparaat en plek. Gebruikers vragen de informatie of technologie op via een netwerk. Cloud computing is volgens NIST 1 (National Institute of Standards and Technology, USA) een model om op afroep op een gemakkelijke manier via een netwerk toegang te krijgen tot een gedeelde verzameling van configureerbare computer resources (bijvoorbeeld netwerken, servers, opslag, applicaties en diensten) die snel kunnen worden geleverd en vrijgegeven met minimale inspanning of interactie met leveranciers. Het cloud model bevat de volgende 5 karakteristieken: 1. On-demand selfservice: De afnemer kan, zonder tussenkomst van de cloudprovider, zelf gebruik maken van de afgenomen servercapaciteit of opslag. 2. Brede toegang tot het netwerk: Cloud is beschikbaar via het netwerk en is toegankelijk via zowel werkstations als laptops, mobiele telefoons en tablets. 3. Resource pooling: Resources van de provider worden gebruikt om meerdere afnemers diensten te verlenen. De afnemer heeft over het algemeen geen kennis over de exacte locatie van de verstrekte resources. 4. Hoge elasticiteit: Als er op momenten veel bandbreedte, processorkracht of opslag wordt vereist, kan een cloudprovider dit (tijdelijk) opschalen en daarna weer afbouwen. 5. Measured service: Bij een cloud service kan het verbruik van de resource worden gemeten en daardoor kan het verbruik worden geoptimaliseerd. Deze definitie van NIST is een geaccepteerde definitie welke ook door de ISACA wordt gehanteerd. Ook DNB hanteert deze definitie voor cloud computing. 1 Mell, P., Grance, T., 2011, The Nist Definition of Cloud Computing, National Institute of Standards and Technology, Special Publication

11 1.3 De voor- en nadelen van cloud computing De voordelen van cloud computing zijn reeds uitgebreid uiteengezet in verschillende artikelen, online bronnen, etc. Het SURFnet/Kennisnet biedt een stappenplan dat onderwijsinstellingen helpt bij de implementatie beslissing, het op een projectmatige wijze invoeren en in gebruik nemen van een clouddienst. In deze paragraaf zijn de voor de financiële instellingen relevante voor- en nadelen opgesomd op basis van het stappenplan van Surfnet/Kennisnet. 2 Voordelen bedrijfsvoering Schaalbaarheid en flexibiliteit De organisatie heeft geen zorgen meer over computercapaciteit. Indien (tijdelijk) meer capaciteit benodigd is, door toename klanten en/of medewerkers, dan kan de verwerkingscapaciteit door de cloudprovider worden opgeschaald. Verschuiving van vaste naar variabele kosten De cloudprovider zorgt voor de technische infrastructuur. Het voordeel hiervan is dat de organisatie geen investeringen meer hoeft te doen. De organisatie betaalt naar gebruik. De kosten zijn hierdoor voorspelbaar. Lagere kosten door standaardisering Clouddiensten zijn veelal gestandaardiseerde diensten, welke gedeeld worden met meerdere afnemers. Dit leidt tot schaalvoordelen en lagere kosten. Lagere kosten door optimaal gebruik van apparatuur Bij investering in eigen serverapparatuur is er altijd sprake van overcapaciteit. Deze moet betaald worden, ook al wordt deze niet gebruikt. Bij het afnemen van clouddiensten moet alleen betaald voor de verbruikte capaciteit. Lagere kosten voor gegevensopslag Clouddiensten bieden afnemers ook opslagcapaciteit tegen lagere kosten. Het is voor een organisatie kostbaar om zelf een betrouwbare voorziening voor dataopslag, inclusief noodgedwongen redundantie op een alternatieve locatie, te realiseren. Lagere kosten voor werkplekken Clouddiensten kunnen veelal benaderd worden met behulp van webbrowsers. Hierdoor hoeven organisaties de werkplekken niet meer te voorzien van dure apparatuur bij werkplekken, welke periodiek moeten worden voorzien van software updates. 2 Surfnetkennisnet.nl, Aan de slag met cloud computing, een stappenplan, 11

12 Lagere kosten voor technisch beheer Bij het gebruik van clouddiensten blijven er minder ICT-voorzieningen achter in de organisatie, waardoor technisch beheer zal afnemen. Voordelen techniek en beheer Versiebeheer Bij het uitbrengen van nieuwe functionaliteiten is de cloudprovider verantwoordelijk voor de installatie hiervan. De organisatie hoeft geen installatie of gegevensconversie te doen. Wel is een acceptatietest vereist. Beveiliging op een hoger niveau De cloudprovider is verantwoordelijk voor de beveiliging van de clouddiensten. De cloudprovider is in staat de beveiliging professioneler in te richten en uit te voeren dan een organisatie. Hogere beschikbaarheid van de ICT voorziening De cloudprovider beschikt vaak over een professioneler ICT voorziening. De cloudprovider kan beheer op de ICT voorziening veel professioneler inrichten en uitvoeren met meer mogelijkheden om back-up en redundantie te realiseren. Dit leidt tot een hogere beschikbaarheid van de dienstverlening. Multi platform en multi device functionaliteit Clouddiensten werken via een webbrowser. Hierdoor is het eenvoudiger om een verscheidenheid aan platformen en devices te ondersteunen. Nadelen bedrijfsvoering Verschuiving van technisch naar contractbeheer Bij het afnemen van een clouddienst is er voor de organisatie minder aandacht nodig voor technisch beheer, maar is er meer aandacht nodig voor contractbeheer. Deze beheertaken vergen andere kennis en vaardigheden, en kunnen dus niet zonder meer door de huidige technische beheerders worden vervuld. Toenemend belang van gebruikersbeheer / Identity & Access Management De organisatie moet zelf zorgdragen voor administratie en beheer van gebruikersaccounts en rechten. Het belang van beheer hierop neemt toe. Privacy verplichtingen en -verantwoordelijkheden Bij het afnemen van clouddiensten kan het zijn dat de organisatie een grote hoeveelheid persoonsgegevens in handen geeft van de cloudprovider. De organisatie moet nagaan wat haar verplichtingen en verantwoordelijkheden zijn met betrekking tot deze gegevens, en hoe deze zijn geborgd in de afspraken met de cloudprovider. Daarnaast is het ook nodig te weten wat de geldende wet- en regelgeving is. 12

13 Nadelen techniek en beheer Niet alle applicaties kunnen in de cloud Bepaalde applicaties, zoals legacy systemen en wellicht sommige zelf ontwikkelde applicaties, kunnen niet eenvoudig in de cloud worden ondergebracht. Daarvoor blijft dus technisch beheer nodig. Gegevensuitwisseling tussen cloud diensten en bestaande systemen Grotere organisaties zullen wellicht cloud computing, in combinatie met systemen in de organisatie zelf, moeten gebruiken. Het kan nodig zijn gegevens tussen deze systemen uit te wisselen. De mogelijkheden van gegevenskoppeling van en naar de clouddienst zijn daarmee punt van aandacht. Standaardisatie van gegevensformaten en -koppelingen is in dit geval van groot belang. Afhankelijkheid van de leverancier / Vendor lock-in De organisatie kan afhankelijk worden van de clouddienst, en daarmee van de cloudprovider (vendor lock-in). Onderzocht dient te worden in hoeverre een vendor lock-in is te voorkomen. Dit heeft zowel juridische aspecten (contract) als technische aspecten (eigen gegevens terug kunnen halen bij een exit). Afhankelijkheid van de infrastructuur Een toenemend gebruik van clouddiensten stelt ook meer eisen aan de lokale netwerkinfrastructuur en de internetverbinding. Om beschikbaarheid te kunnen waarborgen, kan het nodig zijn een tweede internetverbinding te realiseren (bij een andere leverancier). 1.4 Samenvatting Cloud computing is een model om op afroep op een gemakkelijke manier via een netwerk toegang te krijgen tot een gedeelde verzameling van configureerbare computer resources die snel kunnen worden geleverd en vrijgegeven met minimale inspanning of interactie met leveranciers 3 Schaalbaarheid en flexibiliteit zijn de voornaamste voordelen van cloud computing. De organisatie heeft geen zorgen meer over computercapaciteit. Indien (tijdelijk) meer capaciteit benodigd, dan kan de verwerkingscapaciteit eenvoudig worden opgeschaald. Daarnaast brengt cloud computing lagere kosten met zich mee. De organisatie hoeft geen hardware en software meer aan te schaffen. Door het schaalvoordeel van een standaard dienst zijn de totale kosten veelal lager. Er dient alleen betaald te worden voor het werkelijke gebruik. Bovendien is de cloudprovider in staat de beveiliging op een hoger niveau uit te voeren en een hogere beschikbaarheid van de ICT voorziening te waarborgen. Cloud computing heeft als nadeel dat vaak niet alle applicaties (legacy systemen, zelf ontwikkelde applicaties) in de cloud kunnen, waarvoor technisch beheer on premises nog nodig is. Ook dient aandacht gegeven te worden aan gegevensuitwisseling tussen clouddiensten en bestaande systemen. Ook kan een organisatie afhankelijk worden van de clouddienst, en daarmee van de cloudprovider. 3 Mell, P., Grance, T., 2011, The Nist Definition of Cloud Computing, National Institute of Standards and Technology, Special Publication

14 Hoofdstuk 2 Vormen van cloud computing 2.1 Inleiding Op het moment worden er door cloudproviders verschillende soorten clouddiensten (Software as a Service, Platform as a Service, Infrastructure as a Service) aangeboden. Daarnaast wordt de clouddienst ook in verschillende leveringsvormen (Private cloud, Community cloud, Public cloud, Hybrid cloud) geleverd. De verschillende clouddiensten en de leveringsvormen zijn reeds uitgebreid besproken in verschillende artikelen en online bronnen. Op basis van de definities van NIST 4, ISACA 5 en het artikel van Joosten, R en Busschback 6 volgen in de volgende paragrafen uitleg, aandachtspunten en voorbeelden van de verschillende vormen van cloud computing uit de praktijk. 2.2 Vormen van clouddienst In deze paragraaf worden de verschillende clouddiensten uiteengezet zodat men in staat is deze diensten en hun voordelen en nadelen te onderscheiden en in staat is een relatie te leggen met de mogelijke bedrijfsrisico s die zijn verbonden aan deze diensten. Infrastructure as a Service (IaaS): Bij IaaS wordt de infrastructuur zoals servers, netwerken, verwerkingscapaciteit en dataopslag aangeboden in de cloud. Organisaties hebben de mogelijk om zelf het besturingssysteem te kiezen en om eigen applicaties en diensten te ontwikkelen en te implementeren. Bij IaaS is de organisatie zelf verantwoordelijk voor de functionaliteit, de verwerking en de opslag van data. De cloudprovider is bij IaaS slechts verantwoordelijk voor de onderliggende infrastructuur. Het belangrijkste aandachtspunt bij IaaS is dat de cloudprovider vaak samenwerkt met derde partijen. Hierdoor is de transparantie met betrekking tot de werking van de door de cloudprovider of de onderaannemers geïmplementeerde technische en organisatorische maatregelen beperkt. Voorbeelden van IaaS aanbieders zijn: Amazon EC2 and S3, Terremark Enterprise Cloud, Windows Live Skydrive and Rackspace, Softlayer, etc. Platform as a Service (PaaS) Bij PaaS wordt een platform in de cloud afgenomen. Technisch applicatiebeheer van het platform, zoals de installatie, het onderhoud en beheer, de beveiliging en de beschikbaarheid, en de onderliggende infrastructuur is de verantwoordelijkheid van de cloudprovider. Configuratie en gebruikersbeheer worden uitgevoerd door de organisatie. De organisatie is zelf verantwoordelijk voor de installatie, het onderhoud en beheer, de beveiliging en de beschikbaarheid van de applicaties. Het belangrijkste aandachtspunt bij PaaS is de koppeling met andere systemen. Een organisatie zal veelal niet al zijn (bestaande) applicaties in de cloud kunnen afnemen (vanwege compatibiliteit). Veel 4 Mell, P., Grance, T., The Nist Definition of Cloud Computing, National Institute of Standards and Technology, 2011, Special Publication ISACA, Security Considerations Cloud Computing, USA, Joosten, R. en Busschbach, van S., De risico s van cloud computing, de IT-auditor, 2011 nummer 3 14

15 applicaties zullen zich on premises of bij een andere leveranciers bevinden. Een koppeling tussen applicaties moet mogelijk zijn. Voorbeelden van PaaS toepassingen zijn: Microsoft Windows Azure en de Google Apps engine, Amazon Web Services LLC, etc. Software as a Service (SaaS) Bij SaaS wordt de applicatie (inclusief hardware) geleverd door de cloudprovider. Bij SaaS, levert de cloudprovider een standaard configuratie. De cloudprovider verantwoordelijk voor de installatie, het onderhoud en beheer, de beveiliging en de beschikbaarheid van de applicatie. De afnemer is alleen nog verantwoordelijk voor het gebruikersbeheer. Daarnaast is hierbij het voordeel dat cloudproviders meer controle hebben over hun applicaties op het gebied van licentie- en versiebeheer. Een belangrijk aandachtspunt bij SaaS is de beperkte flexibiliteit. De cloudprovider regelt de configuratie van de applicatie. Hierdoor zijn specifieke wensen met betrekking tot de configuratie van de applicatie en integratie met andere systemen vaak moeilijk te realiseren. Voorbeelden van SaaS applicaties zijn: Office 365, Salesforce, Computer Services Inc., en Google Apps, etc. 2.3 Verschillende leveringsvormen van cloud In deze paragraaf worden de verschillende leveringsvormen waarin clouddiensten geleverd kunnen worden uiteengezet zodat men in staat is deze leveringsvormen en hun voordelen en nadelen te onderscheiden en in staat is een relatie te leggen met de mogelijke bedrijfsrisico s die zijn verbonden aan deze leveringsvormen. Public Cloud In een public cloud worden de IT resources gedeeld met meerdere afnemers en worden veelal generieke diensten aangeboden voor algemeen gebruik. Een belangrijk aandachtspunt bij public cloud is dat resources worden gedeeld met meerdere afnemers. In een public cloud worden de diensten volledig geleverd onder de voorwaarden van de cloudprovider. De afnemer heeft geen invloed op of controle over de wijze waarop de dienst wordt geleverd. Bij een public cloud worden de resources gedeeld door meerdere afnemers om er optimaal gebruik van te maken. Voorbeelden van public clouddiensten: Google Apps, Amazon EC2 Community cloud Bij een community cloud wordt de infrastructuur gedeeld tussen verschillende organisaties uit een bepaalde community met gemeenschappelijke belangen. De infrastructuur voor de diensten kan door de community zelf worden beheerd of worden uitbesteed aan een derde partij. Deze community kan eisen stellen aan de dienstverlening. De infrastructuur en de kosten ervan worden gedeeld door de community. Een belangrijk aandachtspunt bij community cloud is de uiteenlopende beveiligingseisen van de verschillende organisaties. Verschillende organisaties hebben verschillende beveiligingseisen. Ook 15

16 behoren ze dezelfde community. Hierdoor kan het voorkomen dat de beveiliging in de communicatie cloud niet voldoende is voor individuele organisaties. Private Cloud Bij een private cloud wordt een private ICT-infrastructuur aangeboden door de cloudprovider. De afnemer heeft volledige controle over data, beveiliging en kwaliteit van de dienst. Het kan ook zijn dat gehele infrastructuur van een afnemer wordt ingericht als een cloudomgeving. De fysieke hardware wordt niet gedeeld met andere afnemers. Hierdoor voldoet een private cloud meestal niet aan de definitie van cloud computing. Een belangrijk aandachtspunt bij private cloud is het gebrek aan elasticiteit en de hogere kosten. Bij de private cloud is geen sprake zijn van elasticiteit of van betalen naar gebruik, omdat de omgeving niet met andere organisaties wordt gedeeld. Hierdoor zullen de kosten van gebruik hoger zijn dan de public cloud. Hybrid cloud Hybride cloud is een samenstelling van twee of meer clouds (private, community of public) die unieke eenheden blijven, maar zijn met elkaar verbonden. Een dergelijke samenstelling biedt een uitbreiding van de implementatiemogelijkheden voor clouddiensten. Er kunnen bijvoorbeeld organisaties zijn die kritieke functies afnemen in een private cloud, en functies waar veiligheidsaspecten een kleinere rol bij spelen in een publieke cloud. Ook kunnen IT-organisaties naast de private clouddienst ook gebruik public clouddiensten om aan tijdelijke hoge belasting het hoofd te kunnen bieden. 2.4 Samenvatting In dit hoofdstuk zijn de verschillende soorten clouddiensten en leveringsvormen van cloud computing beschreven en zijn hun karakteristieken uiteengezet. Tussen de verschillende soorten clouddiensten en de verschillende leveringsvormen zijn grote verschillen en uiteenlopende aandachtspunten. De voornaamste aandachtspunten zijn per vorm van clouddienst geïdentificeerd. Zo is het aandachtspunt bij IaaS dat de cloudprovider vaak samenwerkt met derde partijen voor de gegevensverwerking en / of opslag. Bij PaaS is het een aandachtspunt dat niet alle bestaande applicaties in de cloud zal kunnen afnemen. De cloudprovider moet koppeling tussen applicaties mogelijk maken. Bij SaaS regelt de cloudprovider vaak de configuratie van de applicatie. Hierdoor zijn specifieke wensen met betrekking tot de configuratie van de applicatie en integratie met andere systemen vaak moeilijk te realiseren. In een public cloud worden de diensten volledig geleverd onder de voorwaarden van de cloudprovider. De afnemer heeft geen invloed op of controle over de wijze waarop de dienst wordt geleverd. Bij een public cloud worden de resources gedeeld door meerdere afnemers om er optimaal gebruik van te maken. Bij de private cloud is geen sprake zijn van elasticiteit of van betalen naar gebruik, omdat de omgeving niet met andere organisaties wordt gedeeld. Hierdoor zullen de kosten van gebruik hoger zijn dan de public cloud. De hybrid cloud en de community cloud betreffen tussenvormen van de public cloud en de private cloud. Om deze reden zullen deze 2 tussenvormen verder buiten beschouwing worden gehouden in dit referaat. 16

17 Hoofdstuk 3 Cloud computing en de traditionele IT uitbesteding 3.1 Inleiding In dit hoofdstuk worden de verschillen tussen cloud computing en de traditionele uitbesteding uiteengezet. Ten slotte wordt antwoord gegeven op de vraag of cloud computing anders beschouwd moet worden als uitbesteding. 3.2 Definities Gartner hanteert de volgende definities 7 voor IT outsourcing en cloud computing: IT outsourcing is the use of external service providers to effectively deliver IT-enabled business process, application service and infrastructure solutions for business outcomes. Cloud computing is a style of computing in which scalable and elastic IT-enabled capabilities are delivered as a service using Internet technologies. Beide definities omvatten het leveren van IT mogelijkheden als een dienst door een externe dienstverlener. Cloud computing is vergelijkbaar met het uitbesteden van diensten zoals in een traditionele IT uitbesteding. Beide hebben onder andere als voordeel dat het organisaties de ruimte biedt om zich te concentreren op kernactiviteiten. 3.3 Verschillen cloud computing en de traditionele IT uitbesteding DNB geeft aan dat met betrekking tot wet- en regelgeving voor cloud computing dezelfde uitgangspunten geldt als uitbesteding. 8 Echter verschilt uitbesteding middels cloud computing in de praktijk van de traditionele IT uitbesteding. In het artikel Cloud Computing vs Traditional Outsourcing Key Differences benoemen Kuan Hon and Christopher Millard (2012) aantal verschillen tussen traditionele IT uitbesteding en cloud computing. De relevante verschillen zijn hieronder uiteengezet. Verschil in gegevensverwerking Bij de traditionele IT uitbesteding wordt gegevensverwerking in zijn geheel uitbesteed aan een externe leverancier welke hiervoor gebruik maakt van zijn eigen IT resources. Bij clouddiensten huren afnemers IT resources van providers. Gegevensverwerking wordt uitgevoerd door de afnemer zelf aan de hand van de gehuurde IT resources. Verschil in dienstverlening Bij de traditionele IT uitbesteding worden resources niet gedeeld. De resources zijn of in eigendom van de uitbestedende partij of worden de resources door de dienstverlener uitsluitend aan de uitbestedende partij aangeboden, waardoor maatwerk mogelijk is. Bij de traditionele IT uitbesteding wordt de dienst veelal op maat aan de uitbestedende partij geleverd. Bij (public) cloud computing wordt gebruik gemaakt van gestandaardiseerde diensten, waarbij een one size fits all configuratie 7 8,DNB,aanwezig bij de Masterclass Cloudrisk en de financiële instelling, georganiseerd door IIR 17

18 wordt gehanteerd. In bepaalde gevallen is aanpassing van de service soms mogelijk, maar kost extra tijd / geld en is meestal beperkt. Verschil in gebruik van infrastructuur Gedeelde infrastructuur brengt zonder meer risico's voor de afnemers mee als de scheiding tussen de verschillende afnemers niet goed is geïmplementeerd. Bij public cloud wordt immers gebruik gemaakt van een scheiding op basis van software (logische scheiding) in plaats van een fysieke scheiding zoals bij de traditionele IT uitbesteding. Bij de private cloud, waarbij de infrastructuur niet gedeeld is, is enige maatwerk vaak mogelijk en komt het concept van de private cloud dichtst bij de traditionele IT uitbesteding. Verschil in beheer van resources In hoofdstuk 2 is reeds duidelijk gemaakt wat de verantwoordelijkheden zijn van zowel de afnemer als de cloudprovider, Afhankelijk van het type clouddienst is of de cloudprovider of de organisatie zelf verantwoordelijk voor de gegevensverwerking, de functionaliteit, en de opslag van data, voor de installatie, het onderhoud en beheer en/of de beveiliging en de beschikbaarheid van de software. Bij de traditionele uitbesteding is de dienstverlener verantwoordelijk voor de uitbestede werkzaamheden in zijn geheel. Aanvullend op de bovenstaande verschillen die Hon en Millard (2012) in kaart hebben gebracht, is de locatie van de data ook een belangrijk verschil tussen cloud computing en de traditionele IT uitbesteding. Locatie van de data Computing heeft als karakteristiek dat de afnemer over het algemeen geen kennis heeft over de exacte locatie van de verstrekte resources. Derhalve kan bij clouddiensten de data zich overal op het internet bevinden al dan niet versnipperd. Bij de traditionele IT uitbesteding is men op de hoogte van de locatie waar gegevensverwerking en / of -opslag plaatsvindt. 3.4 Samenvatting Cloud computing en de traditionele IT uitbesteding vertonen overeenkomsten. Zowel de traditionele IT uitbesteding als uitbesteding middels cloud computing omvat het leveren van IT mogelijkheden als een dienst door een externe dienstverlener. Beide hebben onder andere als voordelen dat het organisaties de ruimte biedt om zich te concentreren op kernactiviteiten en kostenbesparing. Echter verschillen de traditionele IT uitbesteding en cloud computing in de praktijk op verschillende gebieden van elkaar. In tegenstelling tot de traditionele IT uitbesteding, worden bij cloud computing resources gehuurd van de aanbieder en vindt dataverwerking plaats door de afnemer zelf. Bovendien worden resources bij de public cloud gedeeld met meerdere afnemers. Daarnaast gaat het bij cloud computing veelal om gestandaardiseerde diensten, waarbij een one size fits all configuratie wordt gehanteerd en is, in tegenstelling tot de traditionele IT uitbesteding, maatwerk vaak niet mogelijk. Bij de traditionele IT uitbesteding is de dienstverlener verantwoordelijk voor de uitbestede werkzaamheden in zijn geheel. Bij cloud computing is dit afhankelijk van het type clouddienst. Bij de traditionele IT uitbesteding is men op de hoogte van de locatie waar gegevensverwerking en / of - 18

19 opslag plaatsvindt. Bij clouddiensten kan de data zich overal op het internet bevinden al dan niet versnipperd. 19

20 Hoofdstuk 4 Cloud en de financiële instelling 4.1 Inleiding Een financiële instelling wordt zoals andere organisaties ondersteund door IT systemen en heeft daardoor op het gebied ICT te maken met IT gerelateerde beheertaken. Om inzichtelijk te maken welke activiteiten uitbesteed kunnen worden aan een cloudprovider en welke activiteiten in eigen beheer moeten worden uitgevoerd bij het afnemen van een clouddienst, wordt in dit hoofdstuk nader ingegaan op de IT beheerprocessen die bij een IT organisatie van een financiële instelling aanwezig zijn. 4.2 IT beheeractiviteiten IT beheeractiviteiten zijn gericht op het besturen en organiseren van de dagelijkse IT werkzaamheden, in de vorm van een aantal werkwijzen en procedures. Middels het drievoudig beheermodel van Looijen worden de volgende beheerprocessen onderscheiden: functioneel beheer, applicatie beheer en technisch beheer. Dit beheermodel heeft tot doel een efficiënt en effectief managementsysteem te bieden voor het beheer van informatiesystemen. 9 Figuur 2 Drievoudig beheermodel van Looijen Technisch beheer Technisch beheer richt zich op het technische platform, welke bestaat uit apparatuur, de bijbehorende programmatuur en de hierop gebouwde informatiesystemen. Onder technisch beheer wordt verstaan de installatie, de acceptatie, de operationalisering en de instandhouding van informatiesystemen en technische infrastructuren. 9 Beheermodel Looijen (vereenvoudigde versie),

21 4.2.2 Applicatiebeheer Applicatiebeheer richt zich op het in stand houden van de bedrijfsapplicaties, systemen en gegevensverzamelingen van de organisatie. Belangrijk onderdeel daarvan is het verder ontwikkelen en aanpassen van applicaties, bijvoorbeeld vanwege geconstateerde fouten of omdat er nieuwe functionele eisen aan de applicatie worden gesteld. Daarnaast is het voor applicatiebeheer van belang dat voor een ontwikkeld informatiesysteem ook het instrumentarium (bv. documentatie) wordt opgeleverd om het wijzigingsproces gemakkelijk te ondersteunen. Het is daarom belangrijk om voorwaarden te hanteren waaraan een applicatie moet voldoen Functioneel beheer Applicaties worden gebruikt door de gebruikersorganisatie. Functioneel beheer richt zich op de instandhouding van het correct functioneren van applicaties. De organisatie zal aan moeten geven aan welke eisen die applicatie moet voldoen en controleren of na een eventuele aanpassing deze applicatie inderdaad voldoet. Het BiSL framework onderscheidt 3 procesclusters voor functioneel beheer, te weten Gebruiksbeheer, Functionaliteiten beheer en Verbindende processen op uitvoerend niveau. Gebruiksbeheer biedt gebruikersondersteuning, beheer van bedrijfsinformatie en operationele ICT-aansturing. Functionaliteiten beheer richt zich op het specificeren van gewenste veranderingen in functionaliteiten, het toetsen en testen van ontwikkelde wijzigingen en de voorbereiding om geaccepteerde wijzigingen naar productieomgeving over te zetten. De verbindende processen bestaan uit het beheer van wijzigingen en het transitieproces, waarbij functioneel beheer de regie op zich neemt bij het in gebruik nemen van de aangebrachte wijzigingen Cloud en IT beheeractiviteiten Door de invoering van clouddiensten veranderen binnen de organisatie de werkzaamheden van ICT beheerders. De werkzaamheden met betrekking tot technisch beheer en applicatiebeheer zullen afnemen. Er zal meer aandacht besteedt moeten worden aan werkzaamheden met betrekking tot het functioneel beheer van de clouddiensten, gebruikersbeheer en het contractmanagement. De implementatie van cloud computing heeft als gevolg een verandering in de uitvoering van deze vormen van beheer. In deze paragraaf worden deze veranderingen weergegeven Technisch beheer bij cloud computing De cloudprovider wordt verantwoordelijk voor de onderliggende software en de hardware waar de clouddienst op draait. Hierdoor hoeft de afnemer veel minder tijd en aandacht te besteden aan technisch beheer. Technisch beheer zal bij implementatie van cloud niet volledig verdwijnen. De afnemer zal nog een eigen infrastructuur behouden welke (technisch) beheerd zal moeten worden info.nl/ 21

22 Beheer van de IT infrastructuur Bij het afnemen van clouddiensten wordt de infrastructuur door de cloudprovider ter beschikking gesteld en beheerd. Hieronder wordt verstaan de servers, de opslag, het netwerk, etc. Een gebrek aan fysieke resources is niet langer een kwestie. Vanwege de schaalbare aard van cloud computing, kan de cloudprovider on-demand capaciteit leveren om onverwachte piekbelastingen te kunnen ondersteunen. Beveiliging van de IT infrastructuur De IT infrastructuur wordt beheerd door de cloudprovider. Hierdoor is deze ook verantwoordelijk voor de beveiliging van de IT infrastructuur (servers, opslag, netwerk, etc.). De cloudprovider zorgt voor de implementatie en uitvoering van beveiligingsmaatregelen zoals firewalls, antivirus, intrusion prevention systems (IPS), intrusion detection systems (IDS), security incident and event management (SIEM), etc. en het toetsen of deze beveiligingsmaatregelen adequaat werken door bijvoorbeeld penetratietesten. De cloudprovider is in staat de beveiliging professioneler in te richten en uit te voeren dan een individuele organisatie. Disaster Recovery / Business continuity Cloudproviders beschikken over uitwijkmogelijkheden en data centra waar de data wordt gerepliceerd. Vaak is er dan ook sprake van redundante verbindingen en back-up procedures. Back-up procedure Cloudproviders verzorgen vaak een back-up service. Daarbij worden back-ups gemaakt van data op de productie server en configuraties van de applicaties. Dit kan in de vorm van incrementele back-ups en volledige back-ups. back-ups worden veilig opgeslagen op een alternatieve locatie Applicatie beheer bij cloud computing Bij SaaS en PaaS valt het ontwikkelen en het wijzigen van de applicatie respectievelijk de onderliggende software (het platform) onder de verantwoordelijkheid van de cloudprovider. Hierdoor hoeft de afnemer geen tijd en aandacht te besteden aan applicatiebeheer. Software ontwikkeling en onderhoud Bij PaaS en SaaS worden het platform respectievelijk de software door de cloudprovider ter beschikking gesteld. Hierdoor valt de ontwikkelingen en de aanpassingen hiervan onder de verantwoordelijkheid van de cloudprovider. Patch management & Release management proces: Releases, updates en onderhoud aan het platform (PaaS) en de software (SaaS) wordt door de cloudprovider getest en doorgevoerd. Incident management Middels het incident management proces wordt gestreefd naar het te allen tijde operationeel houden van de dienstverlening. Verstoringen in de dienstverlening / applicatie worden als incident gemeld bij 22

23 de Servicedesk van de cloudprovider. Incidenten worden door de cloudprovider opgelost conform een overeengekomen incident management proces. Logging De cloudprovider onderhoudt de operationele logs. Registratie vindt plaats van alle toegang, autorisaties, wijzigingen en transacties, die een gevaar kunnen vormen voor de beschikbaarheid, integriteit en vertrouwelijkheid van de gegevens. De cloudprovider monitort de logs en detecteert en rapporteert afwijkingen aan de afnemer Functioneel beheer bij cloud computing Bij het afnemen van de software / applicaties in de cloud (SaaS) wordt functioneel beheer door de cloudprovider uitgevoerd in opdracht van de afnemer. De cloudprovider wordt verantwoordelijk voor de instandhouding van het correct functioneren van applicaties. De afnemer zal aan moeten geven aan welke eisen de software / applicatie moet voldoen. Dit betekent dat contract management belangrijker wordt. Identity and Access Management (IAM) Gebruikers kunnen een bedreiging vormen voor de data van de organisatie. Opzettelijke en onopzettelijke acties, zoals diefstal of verlies, door gebruikers kan de organisatie in gevaar brengen. Middels een Identity and Access Management (IAM) systeem wordt toegang tot data beheerd. Dit systeem wordt onderhouden en beheerd door de cloudprovider. De afnemer is zelf verantwoordelijk voor de uitvoering van IAM. Met andere woorden, blijft regie over gebruikerstoegang en - bevoegdheid bij de organisatie zelf liggen. Management van functionaliteiten De afnemer dient gewenste toevoegingen of veranderingen in functionaliteiten te specificeren. De cloudprovider wordt verantwoordelijk voor de instandhouding van het correct functioneren van applicaties en het doorvoeren van aanpassingen. De afnemer test de ontwikkelde functionaliteiten voordat deze door de cloudprovider wordt overgezet naar de productieomgeving. Contract management Contractmanagement betreft het bewaken van de contractuele en service level afspraken met de leverancier. Ook bij clouddiensten is het van belang dat de afnemer de kwaliteit van de dienstverlening bewaakt. 4.4 Samenvatting Bij het afnemen van clouddiensten, wordt de cloudprovider verantwoordelijk voor de applicaties, het platform en / of de infrastructuur. Het grootste voordeel van cloud computing is dat de organisatie zelf geen data centra, inclusief noodgedwongen redundantie op een alternatieve locatie, hoeft te onderhouden. Hierdoor hoeft de afnemer veel minder tijd en aandacht te besteden aan technisch beheer. Echter zal technisch beheer bij 23

24 implementatie van cloud niet volledig verdwijnen. De afnemer zal nog een eigen infrastructuur behouden welke (technisch) beheerd zal moeten worden. Bij SaaS en PaaS valt het wijzigen van de applicatie respectievelijk het platform onder de verantwoordelijkheid van de cloudprovider. Hierdoor hoeft de afnemer geen tijd en aandacht te besteden aan applicatiebeheer. De organisatie hoeft bijvoorbeeld geen software updates of patches meer te installeren. Daar zorgt de cloudprovider voor. Bij het afnemen van software applicaties in de cloud (SaaS) wordt functioneel beheer door de cloudprovider uitgevoerd. Echter wel in opdracht van de afnemer. Dit betekent wel dat contract management belangrijker wordt. 24

25 Hoofdstuk 5 Wettelijke vereisten voor cloud computing 5.1 Inleiding Een financiële instelling is gebonden aan het voldoen aan verschillende wet- en regelgevingen. Dit geldt ook specifiek bij het gebruik van cloud computing. In dit hoofdstuk worden de wettelijke verplichtingen met betrekking tot cloud computing voor de financiële instelling uiteengezet. 5.2 Wettelijk kader In onderstaand tabel is weergegeven het wettelijk kader welke financiële instellingen in acht moeten nemen wanneer deze besluiten diensten af te nemen in de cloud. Het wettelijk kader bestaat uit 3 lagen. Tabel 1 Wettelijk kader Wettelijk kader Laag 1: de wet Laag 2: besluiten Laag 3: nadere regels van de toezichthouder Wet op het financieel toezicht (Wft) Wet bescherming persoonsgegevens (Wbp) Besluit prudentiële regels Wft Besluit gedragstoezicht financiële ondernemingen Wft Besluit uitvoering pensioenwet Regelingen van de toezichthouders DNB en AFM over specifieke onderwerpen Laag 1 (de wet) Definitie uitbesteding (art. 1:1 Wft) Het door een financiële onderneming verlenen van een opdracht aan een derde tot het ten behoeve van die financiële onderneming verrichten van werkzaamheden: a. die deel uitmaken van of voortvloeien uit het uitoefenen van haar bedrijf of het verlenen van financiële diensten; of b. die deel uitmaken van de wezenlijke bedrijfsprocessen ter ondersteuning daarvan; Van uitbesteden is dus sprake als werk dat normaal door de financiële onderneming wordt gedaan, wordt verricht door derden. 25

26 Geen afbreuk op toezicht (art 3:18 Wft) Indien een financiële onderneming met zetel in Nederland werkzaamheden uitbesteedt aan een derde, draagt de financiële onderneming er zorg voor dat deze derde de ingevolge dit deel met betrekking tot die werkzaamheden op de uitbestedende financiële onderneming van toepassing zijnde regels naleeft. Wet bescherming persoonsgegevens (Wbp) De nadere invulling van de bescherming van ieders persoonlijke levenssfeer wordt in Nederland geregeld in een aantal Europese richtlijnen en Nederlandse wetten en regels. De belangrijkste wetgeving voor Nederland is sinds 2001 de Wet bescherming persoonsgegevens (hierna: Wbp). De Wbp valt onder toezicht van de College bescherming persoonsgegevens en valt dus niet onder toezicht van DNB. Echter dient deze wet zonder meer nageleefd te worden. Uitgangspunten Wbp De indeling van de Wbp is gebaseerd op de uitgangspunten voor gegevensbescherming: 1. Doel en kwaliteit: slechts op basis van een in de wet genoemde grond mogen persoonsgegevens worden verwerkt; 2. Transparantie: het moet duidelijk zijn voor de betrokkene(n) welke gegevens worden verwerkt, voor welk doel; 3. Rolverdeling: de wet regelt wie verantwoordelijk is, wie in opdracht van die verantwoordelijke de gegevens bewerkt en wie toezicht houdt op nakoming van de regels. Het College Bescherming Persoonsgegevens (hierna: CBP) is de toezichthouder. Het CBP ziet er op toe dat persoonsgegevens zorgvuldig worden gebruikt en beveiligd en dat de privacy gewaarborgd blijft. 4. Rechten betrokkene: de betrokkene(n) hebben altijd het in de wet genoemde recht op inzage, correctie en verwijdering Laag 2 (Besluiten) DNB geeft aan dat voor cloud computing dezelfde uitgangspunten geldt als uitbesteding. Deze uitgangspunten zijn terug te vinden in art BPR en art Bup. Wel dienen deze wetten vertaald worden naar cloud computing. Art (hoofdstuk 5) van BPR Wft Uitbesteding is niet toegestaan indien dat adequaat prudentieel toezicht belemmerd (art. 27) Uitbesteding is niet toegestaan als het afbreuk doet aan de kwaliteit van onafhankelijke interne toetsing (art. 28) De financiële onderneming voert een adequaat beleid en beschikt over procedures en maatregelen om uitbesteding te beheersen (art. 29) De financiële onderneming beschikt over toereikende procedures, maatregelen, deskundigheid en informatie om de uitvoering van de uitbestede werkzaamheden te kunnen beoordelen (art. 30) Een schriftelijke overeenkomst met de derde aan wie de werkzaamheden worden uitbesteed is verplicht (art. 31) Bovengenoemde artikelen zijn niet van toepassing op het uitbesteden van werkzaamheden aan ondernemingen met zetel in een lidstaat die deel uitmaken van de groep waartoe de financiële onderneming behoort (art 32) 26