EIOPA Richtsnoeren voor uitbesteding aan aanbieders van clouddiensten

1. Inleiding

De in februari 2020 geïntroduceerde EIOPA Richtsnoeren voor uitbesteding aan aanbieders van clouddiensten (EIOPA RS 2020) geven een nadere invulling van de regels voor uitbesteding zoals deze sinds 1 januari 2016 gelden op grond van artikel 49 Solvency II (Richtlijn 2009/138/EG), artikelen 258 en 274 Solvency II Verordening (Gedelegeerde Verordening van de Europese Commissie 2015/35/EU) en de EIOPA Richtsnoeren voor het Governancesysteem voor Solvency II verzekeraars. Richtsnoeren van de Europese Toezichthoudende Autoriteiten (zoals EIOPA) richten zich in beginsel tot de nationale bevoegde toezichthouders, maar kennen desondanks een informele reflexwerking voor de onder toezicht staande instellingen.

Zoals bekend, vergen deze regels dat verzekeraars voorgenomen uitbestedingen notificeren aan DNB. In deze notificatie moet rekening en verantwoording worden afgelegd over tal van aspecten betreffende belangrijke of kritieke uitbestedingen. Na de invoering van de EIOPA RS 2020 heeft DNB op 13 februari 2020 haar verwachtingen bekendgemaakt omtrent naleving door verzekeraars van deze richtsnoeren. Vanaf 1 januari 2021 dienen verzekeraars deze op te volgen door middel van herziening van beleid en interne processen, en bestaande uitbestedingsovereenkomsten dienen voor 31 december 2022 te worden aangepast zodat deze conformeren aan de uitgangspunten van de richtsnoeren. Zie ook de op 29 januari 2021 op vast-online.nl gepubliceerde blog van Ingrid Talsma (VAST 2021 / B-005).

DNB is, als men dit vergelijkt met de andere Europese toezichthouders, reeds lang actief op het vlak van de materie van Cloud computing. De DNB Circulaire van 10 januari 2012 (Kenmerk 2012/24143) geeft reeds verregaande beleidsregels over het fenomeen, en in 2019 publiceerde DNB de Good Practice Uitbesteding Verzekeraars (DNB Good Practice 2019) waar veel aandacht is gegeven aan Cloud computing. DNB is op dit vlak een vooruitstrevende toezichthouder gebleken. Als een van de eerste toezichthouders ter wereld werden reeds meer dan tien jaar geleden door DNB rechtstreekse overeenkomsten gesloten met grote ICT-leveranciers in de wereld, waarin onder meer afspraken werden gemaakt over rechtstreekse toegang door DNB op de methoden van kwaliteitsborging van die ICT-partijen. Met andere woorden er werd, buiten de onder toezicht staande ondernemingen om, een rechtstreeks recht van audit voor DNB gecreëerd.

Het is ook mede dankzij de inspanningen van DNB, en de Zwitserse en Engelse toezichthouders, dat enkele van de grote ICT-leveranciers in hun documentatie specifieke Annexes creëerden die bijzondere contractuele regels gaven voor de automatiseringsoplossingen die werden afgenomen door financiële ondernemingen. Naast de erkenning van het rechtstreekse recht tot het uitvoeren van audits door externe toezichthouders, regelen deze Financial Sector Annexes het toepassen van bijzondere bescherming van bepaalde data die worden verwerkt of worden bewaard door de ICT-partijen (bijzondere regels voor encryptie-niveaus en buiten het domein van de ICT-partij bij de financiële onderneming zelf onder te brengen encryptie-keys) en de Business Continuity regels in het geval de financiële onderneming besluit de relatie met de ICT-leverancier te verbreken. In één geval zal in het geval van het verbreken van de relatie, de ICT-leverancier voor zeer lange tijd de desbetreffende dienstverlening (in feite kosteloos) voortzetten, met name vanwege de langdurige periode die benodigd is om de migratie naar een alternatieve aanbieder van de ICT-diensten te faciliteren. Op deze wijze wordt het ‘vendor lock in’ probleem op een adequate wijze opgelost.

Men kan zich voorstellen dat de vraag is wat de relatie is van al deze Nederlandse regels en initiatieven van eerdere datum met de EIOPA RS 2000? Zijn de EIOPA RS 2020 nu wezenlijk anders? Regelen zij meer of scherpere voorschriften in vergelijking met wat er reeds in Nederland aan regels bestond? En vooral, in hoeverre moeten bestaande uitbestedingsovereenkomsten inderdaad worden herzien voor 31 december 2022 om deze te laten conformeren aan de EIOPA RS 2000? Deze vragen beoog ik te beantwoorden in deze bijdrage.

2. Wat houdt cloud computing in?

EIOPA definieert in EIOPA RS 2000 ‘clouddiensten’ als volgt:

‘diensten geleverd met behulp van cloudcomputing, dat wil zeggen een model om via het netwerk overal eenvoudig op verzoek toegang te verlenen tot een gedeelde pool van configureerbare IT-middelen (bijvoorbeeld netwerken, servers, opslagmedia, applicaties en diensten) die met een minimale beheerinspanning of tussenkomst van dienstverleners snel kunnen worden op- en afgeschaald’.

Daarmee leunt EIOPA sterk op de in 2011 door het National Institute of Standards and Technology (‘NIST’) van de Amerikaanse overheid ontwikkelde kerndefinitie. De definitie is abstract en vergt wellicht een wat verdere duiding. Op dit vlak is het NIST-document (‘The NIST Definition of Cloud Computing; Recommendations of the National Institute of Standards and Technology’, Special Publication 800-145 te raadplegen via: https://nvlpubs.nist.gov/nistpubs) ook verhelderend, waarbij concrete toepassingen van cloud computing nader wordt uitgewerkt. Deels gebaseerd op enige uitleg op Wikipedia en de teksten van de NIST-leidraad kom ik tot de volgende beschouwingen.

De cloud staat voor een netwerk dat met alle computers die erop aangesloten zijn een soort ‘wolk van computers’ vormt, waarbij de eindgebruiker niet weet op hoeveel of welke computer(s) de software draait of waar die computers precies staan. De gebruiker hoeft op deze manier geen eigenaar meer te zijn van de gebruikte hard- en software en is dus ook niet verantwoordelijk voor het onderhoud. De details van de informatietechnologische infrastructuur worden aan het oog onttrokken en de gebruiker beschikt over een ‘eigen’, in omvang en mogelijkheden schaalbare, virtuele infrastructuur. Cloud computing kent verschillende varianten.

Bij software as a service (SaaS) biedt de dienstaanbieder eindapplicaties aan ‘via de cloud’. Deze applicaties kunnen van allerlei soort zijn, bijvoorbeeld e-mail, kantoorapplicaties (tekstverwerking, rekenprogramma’s, presentatieprogramma’s, …) applicaties voor HRM-functies, applicaties voor klantenbeheer (CRM), enzovoort. De dienstaanbieder (de hardware- en softwareleverancier) heeft de volledige controle over de applicaties, maar de klant of een derde partij die het beheer uitvoert voor de klant, kan in veel gevallen wel de applicatie configureren en functioneel beheren. In veel gevallen zijn de SaaS-applicaties te gebruiken via een webbrowser op een computer.

De klant van Platform as a Service (PaaS)-diensten is een professionele, technische partij die voor het uitoefenen van zijn rol dan ook de nodige vrijheden moet hebben. Bij PaaS worden het framework en de infrastructuur beheerd door de externe dienstverlener en zal de gebruiker zelf verder instaan voor de applicaties die op die infrastructuur draaien. PaaS is in feite het aanbieden van rekenkracht voor door de gebruiker van PaaS zelf te ontwikkelen computerapplicaties. Bij Infrastructure as a Service (IaaS) wordt de infrastructuur aangeboden via een virtualisatie of hardware-integratie. In deze laag vindt men de computers, netwerken, opslagcapaciteit en andere infrastructuur. Dit laat de gebruiker volledige vrijheid toe over het beheer van de hardware. De cloudserver kan dan ook worden bediend vanaf een externe locatie door meerdere personen.

Ondernemingen kunnen verschillende motieven hebben om clouddiensten af te nemen. Kostenbesparingen zullen een belangrijk motief kunnen zijn, cloud computing leidt ertoe dat de gebruiker van die diensten niet zelfstandig tot aanschaf van hardware, licenties op eigen software en infrastructuur hoeft over te gaan. Verbreding van de ontwikkelingsmogelijkheden kan een ander motief zijn. Met name bij de PaaS-diensten, zal een onderneming kunnen beschikken over beter schaalbare en uitgebreidere rekenkracht voor de ontwikkeling van eigen applicaties, dan wanneer de onderneming zelfstandig die rekenkracht zou moeten aanschaffen.

Cloud computing kan ook een inherente ‘veiliger’ geautomatiseerde omgeving opleveren, met name voor kleinere ondernemingen. Deze hoeven niet te investeren in eigen op hun kantoorlocatie te installeren hardware, en eigen ICT-medewerkers en het regelen van back-ups in eigen beheer. Hierdoor wordt bijvoorbeeld een betere bescherming geboden tegen incidenten, zoals inbraak, diefstal van apparatuur, brand of andere schade. Maar ook de factor ‘menselijke fouten en gebreken’ kan op deze wijze worden geadresseerd. Bijvoorbeeld de fout dat een IT-medewerker vergeet de back-ups te ‘draaien’ op de afgesproken tijdstippen, of doordat door ziekteverzuim en onderbezetting van de IT-afdeling aan dit belangrijke onderhoudsproces niet wordt toegekomen. Verbetering van de inherente veiligheid van de gebruikte geautomatiseerde oplossingen voor de ondernemingen kan bijvoorbeeld aanleiding zijn om een IaaS cloud computing oplossing aan te schaffen.

3. Wanneer is cloud computing gereguleerd?

De vraag is wanneer cloud computing onderworpen is aan regulering? In dit artikel sta ik stil bij de regels voor het toezicht op verzekeraars, maar veel wat in dit artikel wordt behandeld zal ook relevantie hebben voor andere typen financiële ondernemingen. Niet alle cloud computing dienstverlening is aan de regels van het toezicht, en meer in het bijzonder aan de regels voor uitbesteding onderworpen. Mijn visie is dat de uitbestedingregels van Solvency II en de rechtsreeks bindende en toepasselijke regels van artikel 274 Verordening (EU) 2015/35 (Solvency II Verordening) uitsluitend aan de orde zijn indien werkzaamheden worden uitbesteed die als belangrijk of kritiek voor de verzekeringsonderneming kunnen worden aangemerkt. Die conclusie is overigens niet controversieel. Enerzijds wordt door EIOPA verondersteld dat iedere cloud computing dienst is aan te merken als uitbesteding (zie: Richtsnoer 1 in EIOPA RS 2020, Clouddiensten en uitbesteding). Cloud computing voldoet aan hetgeen als ‘uitbesteding’ is gedefinieerd in artikel 13(28) Solvency II, waarin is bepaald dat uitbesteding is:

‘een overeenkomst van om het even welke vorm tussen een verzekeraar en een al dan niet onder toezicht staande dienstverlener op grond waarvan deze dienstverlener hetzij rechtstreeks hetzij door middel van onderuitbesteding een proces, een dienst of een activiteit uitvoert die anders door de verzekeraar zelf zou worden uitgevoerd’.

Ook kan eenvoudig worden geconstateerd dat cloud computing zal passen in de definitie ‘uitbesteding’ zoals deze is gegeven in artikel 1:1 Wet op het financieel toezicht (Wft). Echter, wat betreft de Wft-definitie wordt reeds een nadere kwalificatie gegeven door daarin te spreken van:

‘die deel uitmaken van de wezenlijke bedrijfsprocessen ter ondersteuning daarvan’.

Aldus is uitbesteding voor het toezicht alleen relevant, indien de uitbestede werkzaamheden onderdeel uitmaken van de wezenlijke bedrijfsprocessen. Die Wft-begrippen kunnen naar mijn mening zonder meer worden ingekleurd door het Solvency II jargon dat sprake moet zijn van belangrijke of kritieke bedrijfsprocessen of bedrijfsactiviteiten vooraleer de uitbestedingsregels van Solvency II van toepassing zijn. Ook EIOPA bakent in de EIOPA RS 2020 de relevantie voor het toezicht af, door in te gaan op de regels die gelden indien er sprake is van uitbesteding van ‘kritieke of belangrijke operationele processen’ (zie bijvoorbeeld Richtsnoer 2 in EIOPA RS 2020, Algemene beginselen van governance inzake uitbesteding van clouddiensten). EIOPA heeft ook in de terugkoppeling op de consultatie van de concept richtsnoeren (Final Report on public consultation No. 19/270 on Guidelines on outsourcing to cloud service providers, EIOPA-BoS-20-002 van 31 januari 2020, p. 7), verduidelijkt dat zij niet iedere cloud computing dienst als uitbesteding ziet. Overigens is dit naar mijn mening in de uiteindelijke tekst van EIOPA RS 2020 niet heel duidelijk verwerkt.

Hierdoor is in de loop der tijd een duidelijk kader ontwikkeld wat betreft de regulering van clouddienstverlening en de toepasselijkheid van de uitbestedingsregels op die dienstverlening. Aanvankelijk kon over dit punt nog enigszins worden gediscussieerd, bijvoorbeeld als men de Circulaire van DNB van 2012 ter hand nam, waarin de suggestie is besloten dat iedere clouddienstverlening ook relevantie had voor het toezicht. Maar van een dergelijke brede toepassing van de uitbestedingsregels op clouddienstverlening is momenteel geen sprake meer. Clouddienstverlening is uitbesteding, maar slechts aan de regels van het verzekeringstoezicht onderworpen voor zover het gaat om belangrijke of kritieke bedrijfsprocessen.

De lezer zal mij willen tegenwerpen dat over de adjectieven ‘belangrijk’ of ‘kritiek’ ook discussie mogelijk is. Ik geef toe dat een en ander van geval tot geval een nadere afweging vereist, en een duidelijke onderbouwing om welke redenen aan het belangrijkheidscriterium of het kritische criterium wordt voldaan. Het vergt een duidelijke inkadering in een separaat door de verzekeraar te ontwikkelen toetsingskader, waarvoor de regelgeving, DNB Good Practice 2019 of de EIOPA RS 2020 nauwelijks aanknopingspunten zullen aanreiken, zeker niet wat betreft het fenomeen clouddienstverlening. Wat dat betreft zal de verzekeraar moeten terugvallen op de EIOPA Richtsnoeren voor het governancesysteem van 2014 (EIOPA-BoS-14/253, hierna ‘EIOPA Richtsnoeren 2014’), zoals ook door DNB in de Good Practice 2019 in algemene zin is bepaald (zie p. 6 van de Good Practice). EIOPA Richtsnoer 2014, paragraaf 60 bepaalt hieromtrent:

‘De onderneming moet vaststellen of, en documenteren dat, een uitbestede functie of activiteit een kritieke of belangrijke functie of activiteit is. Dit dient te geschieden aan de hand van de vraag of de betreffende functie of activiteit van essentieel belang is voor de bedrijfsvoering van de onderneming in de zin dat de onderneming zonder deze functie of activiteit niet in staat zou zijn om haar diensten aan de verzekeringnemers te verlenen.’

En daarmee is de cirkel rond, en wellicht is er sprake van een vicieuze cirkel? Zowel in de Europese regelgeving als de Nederlandse, is het inschatten van de ‘wezenlijkheid’ of het ‘essentiële belang’ (voor mij zijn dat synoniemen) een belangrijke eerste stap om te bepalen of uitbestede werkzaamheden of de door derden op dit vlak aangeboden dienstverlening voor het toezicht relevant zijn. Zoniet, zijn de regels voor uitbesteding van werkzaamheden niet van toepassing. Maar komt men tot de conclusie dat dit wel het geval is, dan zal dit de reikwijdte van de uitbestedingsregels bepalen. Men kan ook vaststellen dat van een evenredige toepassing van dit vereiste geen sprake kan zijn, een werkzaamheid is wezenlijk of van essentieel belang of hij is dit niet, een tussenweg bestaat niet. Hier kan ik EIOPA niet goed volgen in de veronderstelling dat er een evenredigheidstoets plaats kan vinden wat betreft de beoordeling of werkzaamheden kritiek of belangrijk zijn, (zie EIOPA RS 2020, punt 6).

Wat betreft cloud computing zal er dus al snel sprake zijn van een afhankelijkheid van het bestuur van de verzekeringsonderneming van de technische expertise die noodzakelijk is om te kunnen komen tot verstandige beslissingen omtrent het ‘wezenlijkheid’ of ‘essentieel belang’ criterium. Dit ‘technocratische’ gehalte van de besluitvorming op dit vlak zal oplettendheid van het bestuur vergen, en een goede methode om op dit vlak de experts kritisch te bevragen. In sommige gevallen zal die afweging eenvoudig te maken zijn. Wanneer men dit projecteert op de verzekeringsonderneming, ligt het voor de hand indien bijvoorbeeld de dataopslag van de polis-administratie zal worden ondergebracht bij een derde leverancier van op cloud computing gebaseerde opslagfaciliteiten, de conclusie eenvoudig kan worden getrokken dat er sprake zal zijn van een wezenlijke werkzaamheid. In andere gevallen is dat wellicht minder voor de hand liggend. Bijvoorbeeld indien besloten dient te worden over een migratie van kantoorapplicaties (tekstverwerking, rekenprogramma’s, e-mail engine, …) naar een veelgebruikt op cloud computing gebaseerde SaaS applicatie-suite, zal er een afweging moeten worden gemaakt in hoeverre communicatie met polishouders afhankelijk is van die kantoor-applicaties. Mogelijkerwijs geldt dat slechts voor een subonderdeel van de applicatie-suite (de e-mail-engine bijvoorbeeld), maar niet voor andere onderdelen. En wat nu, indien communicatie met de polishouders of verzekeringsnemers geschiedt via andere kanalen en de e-mail-engine alleen voor intern gebruik wordt toegepast?

Ingewikkelder wordt het bij toepassingen in de sfeer van PaaS, bijvoorbeeld gevallen waarin de verzekeringsonderneming rekenkracht wenst in te kopen voor het ‘draaien’ van de interne modellen, de actuariële berekeningen en daarbij horende externe statistische databases, vooral ook omdat zich hier ook vaak het fenomeen van onderuitbesteding zal voordoen. De rekenkracht wordt daarbij geleverd door de ene leverancier, terwijl de software applicaties voor de toepassing van de berekeningen zijn geleverd door een andere gespecialiseerde leverancier. De gecombineerde toepassing van applicaties en rekenkracht door een ‘syndicaat’ van leveranciers, vergt het uiteenrafelen van de proposities om te komen tot zelfstandige afwegingen omtrent het wezenlijke karakter van de totaalpropositie en onderdelen daarvan.

In dergelijke gevallen zal een afweging van het belang van de toezichtregels op die specifieke uitbesteding ook het beginsel in acht moeten nemen, dat uitbesteding nimmer mag leiden tot het hinderen van het door de externe toezichthouder uitgeoefende toezicht. Men zou kunnen zeggen dat in bovengenoemd voorbeeld van een PaaS-toepassing voor het beheren van interne modellen of het maken van actuariële berekeningen slechts in indirecte mate invloed zal hebben op de belangen van de polishouders, maar een en ander heeft directe en ingrijpende invloed op de mate waarin de verzekeringsonderneming in staat is om (rapportage-)verplichtingen jegens de externe toezichthouder na te komen en, in algemene zin, te voldoen aan de generieke (governance-)regels voor effectief risicobeheer. Haperingen in de PaaS-dienstverlening door de externe cloud computing leverancier, heeft onmiddellijke effecten op de betrouwbaarheid en de tijdigheid van de prudentiële rapportages, de monitoring van risico’s en uiteindelijk ook de verslaglegging. Weliswaar zal de dienstverlening aan de polishouders hier niet onmiddellijk onder druk komen te staan bij dergelijke haperingen, maar in indirecte zin ondervinden polishouders hier mogelijk ook de consequenties van, bijvoorbeeld doordat in het Solvency and Financial Condition report (SFCR) een onbetrouwbaar beeld wordt gegeven van de solvabiliteit van de verzekeraar.

4. Specifieke uitbesteding risico’s cloud computing

EIOPA heeft aanleiding gezien om te komen met een verbijzondering van de richtsnoeren voor uitbesteding zoals vervat in de EIOPA Richtsnoeren 2014 (Afdeling 11 – Uitbesteding), met de aanvullende regels voor uitbesteding van clouddiensten. Een en ander vloeit uiteraard voort uit het sterk toegenomen belang van clouddienstverlening in de verzekeringssector. De desbetreffende richtsnoeren zijn ook een zeer significante uitbreiding van de uitbestedingsregels voor verzekeraars.

Voor zover cloud computing diensten kwalificeren als relevante uitbesteding voor het verzekeringstoezicht, dient ingevolge de EIOPA RS 2020 te worden voldaan aan verschillende vereisten wat betreft beleid en procedures, en de vormgeving van de ingevolge artikel 274 Verordening Solvency II te sluiten overeenkomst met de derde dienstverlener.

In de consultatieversie van de EIOPA RS 2020 werd nog een poging gedaan om te komen tot een definitie van ‘materiële uitbesteding’ op het vlak van cloud services. Na verkregen feedback in de consultatie is die definitie in de finale tekst verwijderd. Om de door EIOPA geadresseerde specifieke risico’s van clouddiensten te kunnen onderkennen, moeten de afzonderlijke richtsnoeren nader tegen het licht worden gehouden. Wat bij lezing van de EIOPA RS 2020 in het bijzonder opvalt, is de grote mate van detail van de richtsnoeren wat betreft de verschillende stadia van uitbestedingsprocessen, waarbij ingegaan wordt op (i) het selectieproces, (ii) de risicoanalyse wat betreft de uitbesteding van belangrijke en kritieke processen, (iii) de besluitvorming rondom het aangaan van de uitbestedingsrelatie, (iv) de monitoring van de prestaties van de onderneming die de uitbestede processen uitvoert, (v) de aandacht aan de continuïteit van de dienstverlening, (vi) de mogelijkheden voor de externe toezichthouder om zich bij de onderneming die de uitbestede werkzaamheden verzorgt onderzoek in te stellen, (vi) de vastlegging in de uitbestedingsovereenkomst en (vi) het bepalen van de exit-strategieën bij de beëindiging van de uitbestedingsrelatie.

Mijn lezing van deze EIOPA RS 2020 is dat deze, wanneer men de uitgebreide Nederlandse uitbestedingsregels in acht neemt en alle leidraden en beleidsregels die op dat vlak in het verleden door DNB zijn ontwikkeld, weliswaar een uitgebreidere beschrijving geven van beleidsregels op het vlak van uitbesteding, maar in grote mate een vastlegging zijn van hetgeen in Nederland reeds vele jaren van kracht is en in de praktijk wordt toegepast. Ik interpreteer de EIOPA RS 2020 dan ook vooral als een bevestiging van het geheel van regels die in Nederland gelden, en een Europese harmonisatie van de uitgangspunten voor het toezicht op de verzekeringssector op het vlak van uitbesteding, met een oriëntatie op clouddiensten. Voor Nederlandse verzekeraars zullen, met andere woorden, de EIOPA RS 2020 niet een totaal nieuw toetsingskader opleveren voor de beoordeling van uitbestedingsrelaties, ook niet wanneer er sprake is van clouddiensten. Heeft de Nederlandse verzekeraar zich in het verleden gehouden aan de in de Wft en het Besluit prudentiële regels Wft en de door DNB gegeven uitvoerige beleidsregels en ‘guidance’ bij het inrichten van beleid en procedures van uitbestedingsrelaties (met inbegrip van clouddiensten die als wezenlijke uitbesteding hebben te gelden), dan betekenen de EIOPA RS 2020 niet dat er een radicale draai zou moeten worden gegeven aan dat beleid en die procedures. Ik ga daarbij nog een stap verder, het zou naar mijn mening ook in mindere mate gevolgen moeten hebben voor de documentatie van de uitbestedingsovereenkomsten die in het verleden zijn gesloten.

Nu zou ik EIOPA tekort doen door niet te onderkennen dat in de EIOPA RS 2020 niet tevens sprake is van een aantal vernieuwingen op het vlak van de uitbestedingsregels, vooral wanneer deze tegen het licht worden gehouden van de clouddienstverlening. In zoverre geven de EIOPA RS 2020 wel blijk van een analyse van de actuele problematiek die speelt op dit vlak. In zoverre zijn de EIOPA RS 2020 wel een aanvulling van de Nederlandse toezichtregels op het vlak van uitbestedingen. Men zou kunnen zeggen dat de richtsnoeren op bepaalde vlakken een modernisering opleveren van de bestaande regels, waarbij in de praktijk gebleken knelpunten en risico’s met clouddienstverlening zijn omgezet in bepaalde specifieke richtsnoeren.

Ik vat de desbetreffende bijzondere risico’s in verband met clouddiensten samen in de navolgende thema’s:

– Het knelpunt en risico van ‘vendor lock-in’. Een en ander wordt in Richtsnoer 8, punt 31(b)(vi) als volgt ingekaderd:

‘het algehele risico voor de onderneming van concentratie bij één aanbieder van clouddiensten, met inbegrip van uitbesteding aan een niet gemakkelijk vervangbare aanbieder van clouddiensten of meerdere uitbestedingsovereenkomsten met dezelfde aanbieder van clouddiensten. Bij het beoordelen van het concentratierisico moet de onderneming (en/of de groep, indien van toepassing) rekening houden met al haar uitbestedingsovereenkomsten betreffende clouddiensten met de betreffende aanbieder.’

– Het knelpunt en risico van de bescherming van ‘privacygevoelige gegevens’. Een en ander wordt in Richtsnoer 12 nader ingekaderd, door onder meer te wijzen op de noodzaak dat de aanbieder van de clouddiensten de Europese wet- en regelgeving op het vlak van de bescherming van persoonsgegevens dient na te leven.

– Het knelpunt en risico van de lokalisatie van clouddiensten, met name als het gaat om de eigen interne audits die de verzekeraar dient te organiseren op de opzet en werking van de uitbestede werkzaamheden, de naleving van de overeengekomen service levels, de naleving van de toepasselijke governance, compliance en data protectie afspraken (bijvoorbeeld betreffende de bescherming van persoonsgegevens) en in het verlengde daarvan de mogelijkheden tot het organiseren van de audits door de externe toezichthouder.

Het lijkt een beperkt rijtje van ‘aanvullende’ beleidsregels dat ik afleid uit de EIOPA RS 2020, maar mijn lezing van de EIOPA-richtsnoeren is zoals ik het hiervoor aangaf, veel van de richtsnoeren zullen door Nederlandse verzekeraars worden herkend als reeds (lange tijd) van toepassing zijnde regels en toetsingskaders voor uitbestedingen, ook al zijn die regels en toetsingskaders geschreven voor de generieke uitbestedingsrelaties en niet toegespitst op clouddiensten. Ter bevestiging van dit punt verwijs ik naar de DNB Good Practice 2019, waarin veel van de EIOPA RS 2000 richtsnoeren in generieke zin zijn terug te vinden, en er een afzonderlijk hoofdstuk is ingeruimd voor clouddiensten. Als ik de hiervoor genoemde drie ‘aanvullende’ richtsnoeren spiegel aan dat hoofdstuk uit de DNB Good Practice 2019, dan observeer ik dat DNB hierover de volgende beleidsregel formuleert:

‘Een verzekeraar die kiest voor een cloudprovider, kent de specifieke risico’s van het gebruik van cloudservices en heeft voldoende kennis om met de serviceprovider afspraken en indicatoren vast te leggen gericht op het voldoende beheersen van deze risico’s. Te denken valt hierbij aan ondermeer: vendor lock-in, gegevenslocatie, gegevenstoegang, concentratie. Deze onderwerpen zijn onderdeel van de 10 onderwerpen die DNB heeft geselecteerd die de verzekeraar minimaal opneemt in de risicoanalyse bij een melding uitbesteding. De instelling vult de risicoanalyse aan met die risico’s die van belang zijn voor de financiële instelling.’

Ik lees, met andere woorden, in die DNB Good practice een bevestiging van de specifieke risico’s en knelpunten die hiervoor zijn toegelicht als blijkend uit de EIOPA RS 2020. Ik geef nog een enkele toelichting op deze specifieke onderwerpen.

Vendor lock in problematiek zal zich voordoen zowel in de precontractuele selectiefase van de desbetreffende clouddienst als in de fase waarin besloten zal worden tot het verbreken van de relatie en het migreren van de uitbestede werkzaamheden naar hetzij een alternatieve aanbieder hetzij naar de eigen interne organisatie (de uitbesteding wordt dan ‘ongedaan gemaakt’). Het is geen publiek geheim dat op het vlak van bepaalde clouddienstverlening sprake is van een wereldwijde dominante positie van één of enkele aanbieders van dergelijke diensten. Deze monopolie posities kunnen in hun aard knelpunten opleveren wat betreft de ‘keuzemogelijkheden’ die de verzekeraar zal hebben om de desbetreffende clouddiensten in te kopen. Maar zij kunnen mogelijk nog knellender problemen opleveren, indien de verzekeraar zou besluiten tot het ontvlechten van de uitbesteding en het vervangen van de dienstverlening door een arrangement met een alternatieve aanbieder van deze of daarmee vergelijkbare diensten. Bovendien speelt hier ook, en dit is in feite eerder een probleem voor de toezichthouder dan voor de individuele ondernemingen zelf, dat dergelijke monopolieposities kunnen leiden tot een sterke concentratie van dergelijke uitbestedingen bij één of een beperkt aantal leveranciers. Een dergelijke concentratie vertegenwoordigt een inherent systeemrisico. Komt de desbetreffende aanbieder van deze clouddiensten namelijk zelf in de problemen, dan zullen de gevolgen welhaast op sector breed niveau worden ondervonden.

Sommige aanbieders van dergelijke clouddiensten zijn zich bewust van dit concentratierisico, en bieden ook oplossingen aan om de mogelijke risico’s op dit vlak beheersbaar te maken. Bijvoorbeeld gelden er in dergelijke gevallen contractuele bedingen die de aanbieder van de clouddienst verplicht om de dienstverlening, ook na beëindiging van de dienstverleningsovereenkomst, gedurende lange tijd (kosteloos) voort te zetten. Een en ander moet de onderneming die de clouddienst heeft afgenomen, geruime tijd geven om zorg te dragen voor het zoeken naar een alternatief. Ook vormen afspraken rondom de organisatie van de beveiliging onderdeel van dergelijke voorzieningen. Anders dan in veel ‘standaardoplossingen’ die door dergelijke ondernemingen worden aangeboden, kunnen afspraken worden gemaakt over het zelfstandige beheer door de afnemer van de clouddienst van beveiligingsmaatregelen, bijvoorbeeld door de encryptie key buiten de onderneming van de cloudienstverlener te plaatsen en te laten beheren door de afnemer van de clouddienst. Dergelijke verregaande maatregelen en afspraken worden veelal gemaakt, indien het gaat om relaties tussen de aanbieder van de clouddienst en ondernemingen die actief zijn in de financiële sector. Met een specifiek ‘Financial Services Addendum’, zal de contractuele grondslag voor dergelijke (en andere specifiek op de financiële sector gerichte regelingen) zijn gegeven.

Wat betreft de kwestie van bescherming van data en persoonsgegevens, is het in de praktijk gebruikelijk dat de aanbieders van de desbetreffende clouddiensten afspraken maken omtrent de lokalisatie van de hardware waarop de clouddienst wordt gefaciliteerd. Anders dan bij meer generieke clouddiensten (diensten die voor consumenten of niet gereguleerde ondernemingen worden aangeboden), wordt in die gevallen in concreto contractueel bedongen dat de hardware is gelokaliseerd in Nederland en dat de ‘redundant’ omgeving (dat wil zeggen de terugval-mechanismen voor het geval de ‘hoofd-faciliteiten’ niet of tijdelijk niet functioneren) eveneens in Europa zijn gelokaliseerd. Zouden die redundant faciliteiten in het Verenigd Koninkrijk zijn gelokaliseerd, dan dient daaromtrent als gevolg van Brexit uiteraard een risicoanalyse te worden gemaakt. De grootste aanbieder van SaaS clouddiensten heeft die faciliteiten overigens in de (Republiek) Ierland staan. Daarmee wordt voorkomen dat privacygevoelige informatie buiten de Europese Unie wordt gebracht, en in het verlengde van die praktische regelingen zullen de desbetreffende aanbieders van de clouddiensten zich ook contractueel verbinden om zich te onderwerpen aan de Europese regels wat betreft de bescherming van data en persoonsgegevens.

Tenslotte wat betreft de lokalisatie in verband met de interne en externe auditwerkzaamheden. Op vergelijkbare wijze als voor de regelingen ter bescherming van de persoonsgegevens, zal het maken van afspraken over de lokalisatie in Europa van de desbetreffende hardwarecomponenten en de medewerkers van de clouddienstverlener in Europese teams, ook bijdragen aan de toegankelijkheid en beschikbaarheid voor het verrichten van dergelijk onderzoek. Wat de Nederlandse situatie betreft, moet er nog worden verwezen naar de hiervoor aangehaalde bijzondere afspraken die DNB heeft gemaakt met enkele van de grote wereldwijd opererende ICT-aanbieders wat betreft het ‘recht van audit’.

Is het dan gerechtvaardigd om te concluderen, dat het wat betreft de implementatie van de EIOPA RS 2020 wel meevalt, en dat Nederlandse verzekeraars zich geen zorgen hoeven te maken? Dat zou een te snelle en niet goed onderbouwde conclusie zijn. Hier speelt de paradox van de ‘inkoopkracht’ of op zijn Engels ‘bargaining power’. Mijn overtuiging is, dat voor de grote Nederlandse verzekeraars de EIOPA RS 2020 niet veel nieuws onder de zon zijn. Hun ervaringen de afgelopen tien jaar met het inregelen van clouddiensten, en de hiervoor reeds lange tijd geldende Nederlandse regels, zullen waarschijnlijk ertoe leiden dat zij reeds in verregaande mate (kunnen) voldoen aan de desbetreffende richtsnoeren. En tevens, dat vanwege hun onderhandelingskracht de bestaande uitbestedingsovereenkomsten met de aanbieders van de clouddiensten reeds in verregaande mate voorzien in de verplichte bedingen zoals voorgeschreven door de EIOPA RS 2020.

Maar vanuit het perspectief van de kleinere verzekeraars moet een en ander wellicht worden genuanceerd. In veel gevallen zullen deze kleinere ondernemingen niet in staat zijn om rechtstreekse overeenkomsten te sluiten met de grote spelers op het vlak van clouddiensten en beschikken zij niet over de interne technische expertise om op dit vlak een sluitende risicoanalyse te maken. Er zal dan vaak sprake zijn van een ‘keten’ van uitbestedingen, waarbij de verzekeraar zaken doet met gespecialiseerde re-sellers van de desbetreffende producten. Mijn ervaring is dat dergelijke re-sellers vaak zelf slecht op de hoogte zijn van de specifieke regelingen die kunnen worden getroffen met de ‘hoofdaannemer’ van de clouddiensten, bijvoorbeeld door een Financial Services Annex aan te gaan. Dergelijke uitbestedingsketens zijn naar mijn mening dan ook kwetsbaarder voor de door EIOPA in de richtsnoeren geïdentificeerde risico’s.

5. Tot besluit

In deze bijdrage ging ik in op de specifieke richtsnoeren van EIOPA over cloud computing. Ik ging na in hoeverre deze richtsnoeren nu een verstrekkende wijziging opleveren van de bestaande Nederlandse kaders en regels op het vlak van uitbesteding. Ik kwam daarbij tot de conclusie dat van een dergelijke verstrekkende wijziging geen sprake is. Dat wil niet zeggen dat ik ervoor pleit dat verzekeraars rustig kunnen stilzitten en de EIOPA-richtsnoeren naast zich neer kunnen leggen. Wel degelijk bevatten zij een aantal nieuwe regels en aandachtspunten in aanvulling op de bestaande Nederlandse kaders. Op dit vlak zal er derhalve mogelijkerwijs een herziening van beleid en procedures noodzakelijk zijn. Voorts zal een en ander mogelijkerwijs moeten leiden tot aanpassing van de bestaande uitbestedingsovereenkomsten.

Anderzijds meen ik dat de reeds bijna tien jaar geleden door DNB ingezette beleidsvorming als het gaat om cloud computing er wel al toe heeft geleid dat de Nederlandse verzekeringssector beter is voorbereid en mogelijkerwijs reeds in verregaande mate voldoet aan de EIOPA-richtsnoeren, ook waar het gaat om cloud computing. Daarbij moet ook niet uit het oog worden verloren dat de door EIOPA (en DNB) gesignaleerde knelpunten ten aanzien van cloud computing (vendor lock in, bescherming persoonsgegevens, lokalisatievraagstukken) in veel gevallen al zijn beantwoord door de grote aanbieders van die clouddiensten, op een wijze die naar mijn mening tegemoetkomt aan de door de toezichthouders gesignaleerde knelpunten. Bij de evaluatie die de sector dient uit te voeren op grond van de EIOPA-richtsnoeren en de door DNB op 13 februari 2020 op dit vlak tot uitdrukking gebrachte verwachting, zou naar mijn mening terdege rekening moeten worden gehouden met deze bestaande (contractuele) arrangementen. Dit kan, in sommige gevallen, mogelijkerwijs voorkomen dat bestaande overeenkomsten moeten worden opengebroken, hetgeen bevorderlijk is voor de continuïteit van de dienstverlening aan de uitbestedende verzekeraar.

Bronnen en literatuur

– Richtlijn 2009/138/EG van 25 november 2009 betreffende de toegang tot en uitoefening van het verzekerings- en het herverzekeringsbedrijf (Solvabiliteit II), PbEU, L. 335.

– Commissie Gedelegeerde Verordening (EU) 2015/35 van 10 oktober 2014 ter aanvulling van Richtlijn 2009/138/EU betreffende de toegang tot en uitoefening van het verzekerings- en het herverzekeringsbedrijf (Solvabiliteit II), PbEU, L. 12.

– European Insurance and Occupational Pensions Authority (EIOPA), Richtsnoeren voor het governancesysteem, EIOPA-BoS-14/253, 2014 meer in het bijzonder Afdeling 11: Uitbesteding.

– European Insurance and Occupational Pensions Authority (EIOPA), ‘Final Report on public consultation No. 19/270 on Guidelines on outsourcing to cloud service providers’, EIOPA-BoS-20-002 van 31 januari 2020.

– European Insurance and Occupational Pensions Authority (EIOPA), ‘Richtsnoeren voor uitbesteding aan aanbieders van clouddiensten’, EIOPA-BoS-20-002, februari 2020.

– De Nederlandsche Bank, Circulaire ‘Cloud Computing’, Kenmerk: 2012/24143, 10 januari 2012.

– De Nederlandsche Bank, ‘Good Practice Uitbesteding Verzekeraars’, mei 2019.

– De Nederlandsche Bank, ‘Uitbesteding Verzekeraars; Good Practice Uitbesteding en EIOPA Guideline voor uitbesteding naar de cloud’, 18 februari 2020, https://www.dnb.nl/voor-de-sector/open-boek-toezicht-sectoren, laatst geraadpleegd 15 februari 2021.

– The NIST Definition of Cloud Computing, Recommendations of the National Institute of Standards and Technology, U.S. Department of Commerce, september 2011.

– Accenture, ‘How Cloud Computing will Transform Insurance; Using Cloud to help drive future high performance in the insurance industry’, 2010, https://insuranceblog.accenture.com/, laatst geraadpleegd 15 februari 2021.

– Wikipedia, Hoofdstuk ‘Cloud Computing’ https://nl.wikipedia.org/wiki/Cloud_computing, geraadpleegd 15 februari 2021.

– P. Kerckhaert en L. van Zalinge, ‘Uitbesteden en Solvency II’, Tijdschrift voor Financieel Recht, 2012/7-8, p. 264 e.v.

– Bart P.M. Joosen ‘Uitbestedingregels in Solvency II (1) en (2)’, Tijdschrift Aansprakelijkheids- en Verzekeringsrecht in de Praktijk nummer 2, maart 2018 p. 26-31 en nummer 3, april 2018, p. 15-19, Sdu Uitgevers.