De cloud is niet meer de toekomst of een opkomende trend:het is het heden en een cruciaal hulpmiddel voor financiële instellingen als ze concurrerend willen blijven in de uitdagende zakelijke omgeving van vandaag. In ons recent gepubliceerde wereldwijde artikel “Getting Cloud Right – How can banks stay ahead of the curve ?” we hebben de belangrijkste componenten van een succesvolle 'cloudreis' uitgelegd en de belangrijkste stappen die moeten worden genomen.

In deze blog geven we diepere inzichten in de Zwitserse bankgerelateerde regelgeving op het gebied van bankgeheim en het toezicht op outsourcing .

Zwitsers bankgeheim

De zorgvuldigheid van Zwitserse banken met betrekking tot de privacy van klanten is een van de meest bekende kenmerken van de Zwitserse economie. Schending van het bankgeheim is een misdrijf in Zwitserland; daarom moeten Zwitserse banken zorgvuldig nadenken over mogelijke bedreigingen voor geheimhouding door het gebruik van cloudservices.

De meest relevante regelgeving waarin de taken van een bank op het gebied van het bankgeheim worden beschreven zijn:

1. 47 van de Bankwet, waarin in principe staat dat de openbaarmaking van een geheim door bestuurders, werknemers of andere toevertrouwde personen is een misdaad;
2. 398 lid 1 in verband met art. 321a lid 4 van de Code of Obligations, die vereist dat banken in een contractuele relatie met een klant geheimen als vertrouwelijk behandelen;
3. 7 van de Wet Bescherming Persoonsgegevens, waarin de normen voor de bescherming van persoonsgegevens worden vastgelegd;
4. Bijlage 3 bij FINMA-circulaire 2008/21 waarin de verwachtingen van FINMA worden uiteengezet met betrekking tot de bescherming van klantidentificatiegegevens door Zwitserse banken.

De essentie van deze regelgeving is dat het gebruik van clouddiensten door een bank kan voldoen aan het Zwitserse bankgeheim, op voorwaarde dat de bank het technische, organisatorische en contractuele kader zorgvuldig beoordeelt voordat u clouddiensten gebruikt voor de opslag en verwerking van klantgegevens. In het bijzonder, zoals in detail uitgelegd door de SBA Cloud Guidelines, is het niet nodig om de klant te vragen om ontheffing van de regels inzake het bankgeheim, aangezien deze zullen worden gehandhaafd – in sommige gevallen mogelijk zelfs meer dan voorheen – wanneer een bank een een passend beveiligingskader voor het gebruik van clouddiensten.

Toezicht op outsourcing

Volgens de FINMA Outsourcing Circular (met name toelichting 24 en 25) moet een bank de diensten van een outsourcingprovider voortdurend controleren en beoordelen , en moet voor dit doel contractuele voorwaarden vaststellen voor de noodzakelijke inspectie-, instructie- en controlerechten.

Gezien de omvang en complexiteit van een hyperscale cloudprovider, kan een typische Zwitserse bank deze toezichttaak niet uitvoeren zonder professionele ondersteuning van een vertrouwde derde partij die de wereldwijde aanwezigheid, deskundige vaardigheden en capaciteit heeft om een ​​dergelijke taak uit te voeren. Om een ​​economisch haalbaar assurance-kader op te zetten, zal een vertrouwde derde partij zelf grotendeels vertrouwen op assurance-werk dat is uitgevoerd door even gekwalificeerde onafhankelijke adviseurs van de uitbestedingsdienstverlener De SBA Cloud-richtlijnen ondersteunen deze benadering van 'pool-audits' of 'indirecte audits' en verwoorden de opvatting dat de noodzaak van on-site audits door de bank zelf beperkt is tot het inspecteren van fysieke beveiligingsmaatregelen.

Aanbieders van hyperscale cloudservices zijn volledig op de hoogte van de verwachtingen van klanten met een (Zwitserse) bankvergunning en zullen een potentiële klant proactieve ondersteuning bieden bij het opzetten van een dergelijk regelgevend kader. Hetzelfde geldt voor assurance providers met de nodige wereldwijde schaal en ervaring om banken betrouwbare diensten van derden aan te bieden.

De terechte zorgen van Zwitserse banken die voor de uitdaging staan ​​om passend toezicht in plaats bij het uitbesteden van hun bedrijfsprocessen aan wereldwijde hyperscale cloudproviders kan daarom worden beperkt door te vertrouwen op een gekwalificeerde, vertrouwde derde partij die de vaardigheden en capaciteit heeft om het noodzakelijke niveau van zekerheid te bieden.

Juridisch gezien is een overdracht van bankactiviteiten naar de cloud in het algemeen acceptabel. Om je ‘cloud journey’ te lanceren, is het echter raadzaam om na te denken over andere aspecten. In onze volgende blog zullen we inzicht geven in de twee wereldwijd gestuurde regelgevende aspecten van de AVG en de Amerikaanse Cloud Act.