In onze recent gepubliceerde wereldwijde paper “Getting Cloud Right – How can banks stay ahead van de curve ?” we hebben de belangrijkste componenten van een succesvolle cloudreis uitgelegd en de belangrijkste stappen die moeten worden genomen.
In deze blog geven we enkele inzichten over internationale regelgeving die van invloed kan zijn op het gebruik van cloudservices in Zwitserland - de VS CLOUD Act en de Algemene Verordening Gegevensbescherming (AVG) .

De US CLOUD Act

De VS hebben een wet bedacht genaamd de CLOUD (Clarifying Lawful Overseas Use of Data) Act dat vereist dat Amerikaanse cloudopslagproviders overheidsinstanties op verzoek toegang geven tot opgeslagen gegevens waar ter wereld het ook wordt opgeslagen, zelfs in Zwitserland. In theorie zou dit de Amerikaanse autoriteiten in staat stellen om gegevens op te vragen bij de Zwitserse dochteronderneming van een in de VS gevestigde groep, zelfs als de gegevens in Zwitserland zijn opgeslagen. Een dochteronderneming van een in de VS gevestigde groep die aan een dergelijk verzoek voldoet zonder rekening te houden met de lokale wetten die de overdracht van gegevens aan buitenlandse autoriteiten verbieden zonder toestemming van een bevoegde Zwitserse rechtbank of Zwitserse autoriteit, zal hoogstwaarschijnlijk de Zwitserse wet overtreden. De gegevens zijn van de bank , niet aan de cloudprovider, en een juridische entiteit die in Zwitserland is gevestigd, moet in de eerste plaats voldoen aan de lokale wetgeving en niet aan bevelen die zijn uitgevaardigd door autoriteiten die bevoegd zijn voor een buitenlandse moederentiteit.

Het spreekt voor zich dat een Zwitserse bank alleen kan vertrouwen op cloudserviceproviders die zich volledig houden aan de toepasselijke Zwitserse wetten (of de wetten van het rechtsgebied waar de gegevens worden opgeslagen, in overeenstemming met de contractuele bepalingen). De SBA Cloud-richtlijnen bevelen daarom aan om bij verzoeken van buitenlandse autoriteiten een gecoördineerde procedure in te voeren die is overeengekomen tussen de cloudprovider en de bank.

Om de grondgedachte achter de CLOUD Act te verduidelijken, heeft het Amerikaanse ministerie van Justitie (DoJ) in april 2019 een witboek gepubliceerd "Het bevorderen van openbare veiligheid, privacy en de rechtsstaat over de hele wereld:het doel en de impact van de CLOUD-wet". In het witboek wordt uitgelegd dat de CLOUD-wet is aangenomen om het wetsconflict op te lossen die de verdragen voor wederzijdse rechtshulp aantasten en de effectieve toegang tot bewijsmateriaal in de cloud belemmeren in gevallen van ernstige criminaliteit, maar waarbij de nationale soevereiniteit en de privacy van persoonsgegevens worden gerespecteerd .

Om dit doel te bereiken, machtigt de CLOUD Act de regering van de Verenigde Staten om zogenaamde "CLOUD Act Executive Agreements aan te gaan". ” met buitenlandse jurisdicties, waaronder elk land belemmeringen wegneemt die voortvloeien uit een wetsconflict dat een belemmering zou vormen voor de naleving van in het buitenland uitgevaardigde gerechtelijke bevelen om bewijs te verkrijgen van gegevens die in de cloud worden gehost. Van bijzonder belang voor Zwitserse en Europese bedrijven is de uitleg in het witboek over de Amerikaanse jurisdictie over buitenlandse bedrijven. In het witboek staat dat de Amerikaanse jurisdictie over buitenlandse bedrijven niet is uitgebreid door de CLOUD Act. "Of een buitenlands bedrijf dat buiten de Verenigde Staten is gevestigd maar diensten verleent in de Verenigde Staten voldoende contacten heeft met de Verenigde Staten om onder de Amerikaanse jurisdictie te vallen, is een feitenspecifiek onderzoek dat de aard, kwantiteit en kwaliteit van de de contacten van het bedrijf met de Verenigde Staten.”

Het feit dat het DoJ een aanzienlijke inspanning heeft geleverd om de redenering achter de CLOUD Act uit te leggen, en te benadrukken dat de Amerikaanse jurisdictie er geenszins door wordt uitgebreid, is een belangrijk signaal. Het laat zien dat de vaak geuite mening dat de CLOUD Wet maakt het voor banken onmogelijk om gebruik te maken van de diensten van de in de VS gevestigde cloudprovider, klopt niet. Hoewel internationale rechtsbijstand in strafzaken zeker zal worden vergemakkelijkt door de CLOUD Act, is er nog steeds de vereiste van een verdenking van een ernstig misdrijf en een rechterlijke beslissing voordat de Amerikaanse autoriteiten gegevens kunnen opvragen op grond van de CLOUD Act. Dit betekent dat het gebied voor legitieme bezorgdheid over de CLOUD Act nogal smal is en moet worden beschouwd als elk ander aspect bij een goede grensoverschrijdende risicobeoordeling.

In ieder geval is een bank in het algemeen in staat om ongeautoriseerde toegang tot klantgegevens te voorkomen door middel van technische maatregelen zoals anonimisering, pseudonimisering of versleuteling van gegevens . Deze maatregelen, samen met het wettelijke en contractuele kader, betekenen dat het risico van gegevensverzoeken van buitenlandse autoriteiten, b.v. op basis van de US CLOUD Act, kan worden beperkt. Verder is in ieder geval een officieel verzoek om administratieve bijstand van de betrokken autoriteiten verplicht.

Algemene verordening gegevensbescherming (AVG)

Richtlijn 3/2018 van de Europese Raad voor gegevensbescherming verduidelijkt de reikwijdte van artikel 3 van de AVG door te stellen dat als een gegevensbeheerder buiten het territoriale toepassingsgebied van de AVG een gegevensverwerker in de EU gebruikt, de gegevensbeheerder niet binnen de reikwijdte van de AVG. De AVG is echter van toepassing op de gegevensverwerker voor zover deze persoonsgegevens verwerkt als onderdeel van zijn diensten.

Dit betekent dat de vereiste om implementatie van de AVG niet van toepassing is op een Zwitserse bank (of een andere niet-in de EU gevestigde bank), simpelweg omdat deze een in de EU gevestigde cloudserviceprovider gebruikt . Aan de andere kant, veel Zwitserse banken vallen nog steeds onder de AVG, omdat ze klanten bedienen die in de EU wonen.

In dit verband is het vermeldenswaard dat de Europese Bankautoriteit (EBA) op 25 februari 2019 haar Revised Guidelines on Outsourcing Arrangements heeft gepubliceerd, met als doel het uitbestedingskader voor alle financiële instellingen binnen de reikwijdte van het mandaat van de EBA te harmoniseren. Betrokken banken zullen alle uitbestedingsregelingen tegen 31 december 2021 moeten voltooien in overeenstemming met deze herziene richtlijnen.

De EBA-richtlijnen stellen dat uitbestedingsovereenkomsten met aanbieders van clouddiensten ervoor moeten zorgen dat:

Persoonlijke gegevens worden adequaat beschermd en vertrouwelijk worden gehouden, en dat uitbestede cloudinfrastructuren en -services voldoen aan internationaal aanvaarde beveiligings- en gegevensbeschermingsnormen;

Bedrijfscontinuïteit en noodplannen zijn bedacht. Als gevolg hiervan kunnen sommige cloudserviceproviders zelfs als kritiek of belangrijk worden beschouwd in overeenstemming met PSD2 of MiFID II;

Er zijn geschikte traceerbaarheidsmechanismen aanwezig , gericht op het vastleggen van technische en bedrijfsvoering. Aangezien de prestaties en kwaliteit van de uitbestede clouddiensten, evenals het risiconiveau, grotendeels afhangen van het vermogen van aanbieders van clouddiensten om de vertrouwelijkheid, integriteit en beschikbaarheid van gegevens te beschermen, en van hun systemen om dergelijke gegevens te verwerken, over te dragen en op te slaan data, traceringsoperaties zijn ook belangrijk voor het opsporen en voorkomen van cyberaanvallen; en

EU-richtlijnen, nationale wetten en contractuele verplichtingen worden nageleefd. Ondanks de herziene richtlijnen moeten instellingen de lokale regelgeving blijven respecteren waarin de uitbestede cloudinfrastructuur of -dienst een footprint heeft, evenals de toepasselijke wetgeving in het land van herkomst van de cloudserviceprovider.

Bovendien moeten cloudserviceproviders outsourcinginstellingen op de hoogte stellen wanneer ze kritieke of belangrijke functies uitbesteden aan externe providers. Bovendien, als het om persoonsgegevens gaat, moet toestemming worden verkregen voordat wordt overgegaan tot sub-outsourcing, in overeenstemming met de AVG-regels.

Governance is een belangrijk punt dat in de herziene richtlijnen aan de orde komt. Dit moet zo worden gestructureerd dat banken een holistisch, instellingsbreed kader hebben dat hen in staat stelt om gedegen managementbeslissingen te nemen met betrekking tot risicobeheer, inclusief maatregelen met betrekking tot cyberrisico's. Een dergelijk kader voor risicobeheer moet het volgende omvatten:

1. Verantwoordelijkheid en aansprakelijkheid van het management;
2. Goedgekeurd uitbestedingsbeleid in overeenstemming met de EBA-richtlijnen voor intern bestuur;
3. Beoordeling, identificatie en beheer van belangenconflicten;
4. Opstellen en aannemen van bedrijfscontinuïteitsplannen;
5. Interne audit van uitbestede functies; en
6. Een bijgewerkt register met informatie over alle uitbestedingsregelingen, die in het geval van cloudregelingen het type cloudservice en implementatiemodellen (bijv. openbaar, particulier, hybride, gemeenschap) moeten weerspiegelen, evenals de specifieke aard en locatie van de gegevens die worden verwerkt en opgeslagen.

Met de EBA's herziene richtlijnen voor uitbestedingsregelingen , heeft de Europese Bankautoriteit een belangrijke stap gezet om het voor financiële instellingen gemakkelijker te maken om zaken te doen in de Europese Unie . Zelfs als een Zwitserse bank tot de conclusie komt dat deze richtlijnen voorlopig niet van toepassing zijn, kunnen ze aanvullende, nuttige richtlijnen en inzichten bieden voor wat al beschikbaar is in het Zwitserse regelgevende kader.

Concluderend betekent naleving van de hier geschetste regelgeving dat in het algemeen een verschuiving van bankdiensten naar de cloud is toegestaan ​​en zelfs ondersteund door de controlerende autoriteiten .

In de volgende blog zullen we een raamwerk van beslissingscriteria bieden als het gaat om het selecteren van de juiste cloudserviceprovider in Zwitserland.