In Richtsnoer 2 (paragraaf 19a) staat dat organisaties moeten beoordelen of de uitbestedingsovereenkomst betrekking heeft op een kritieke of belangrijke functie. Als dit het geval is, dan schrijven de richtsnoeren aanvullende eisen voor. Deze aanvullende eisen hebben een flinke impact op de organisatie en de contracten met de Cloud Service Provider (CSP). Helaas bieden de richtsnoeren weinig concrete richtlijnen voor wat verstaan wordt onder kritieke of belangrijke functies, anders dan de definities weergeven hieronder.
Kritieke of belangrijke functie: een functie die bij een gebrekkige of tekortschietende uitvoering ervan, wezenlijke nadelige gevolgen zou hebben voor:
- De naleving van de onderneming van haar verplichtingen uit hoofde van de toepasselijke wetgeving;
- De financiële prestaties van een onderneming;
- De soliditeit of continuïteit van de belangrijkste diensten en activiteiten van een onderneming.
Functie: alle processen, diensten of activiteiten
Gaat het om een functie? - Vrijwel altijd!
Als eerste is het belangrijk om te bepalen of het hier om een functie gaat. ESMA ziet een functie als een proces, dienst of activiteit. Hiermee hanteert de toezichthouder een zeer brede definitie. Op het moment van schrijven van dit artikel hebben wij nog geen voorbeeld van een cloud product kunnen vinden dat géén proces, dienst of activiteit is. Zo verleent Dropbox een opslag-dienst, worden Word, Excel en Powerpoint (Office 365) via de cloud software aangeboden, en geldt ditzelfde voor een ‘online’ boekhoudprogramma. Maar: dat wil niet automatisch zeggen dat het een kritisch of belangrijke functie is.
Wat is een gebrekkige of tekortschietende uitvoering en wezenlijke nadelige gevolgen?
Om vast te stellen of een functie kritiek of belangrijk is, moet volgens de richtsnoeren beoordeeld worden of een ‘gebrekkige of tekortschietende uitvoering’ ‘wezenlijke nadelige gevolgen’ zou hebben. Opnieuw twee vrij abstracte criteria dus. Om dit iets concreter te maken, valt echter een parallel te trekken met een Business Impact Assessment (BIA). Door het uitvoeren van een BIA, brengt u immers in kaart wat de kritische processen van uw bedrijfsvoering zijn en welke informatiesystemen/-applicaties daarbij betrokken zijn. Als u deze al eens hebt uitgevoerd, dan rest het u alleen nog te beoordelen of het gaat om uitbestedingen naar een Cloud Service Provider.
Lang niet elke organisatie heeft echter eerder een BIA opgesteld. Wat u waarschijnlijk wel heeft, is een(IT) risicoanalyse die bestaat uit een resultante van ‘kans x impact’. Bij het bepalen of nadelige gevolgen ‘wezenlijk’ zijn, zou u inspiratie kunnen opdoen uit de diverse niveaus van ‘impact’ uit uw risicoanalyse.
Heeft u niet eerder een BIA uitgevoerd, dan kan voor het bepalen van de impact een pragmatische benadering gehanteerd worden die, vastgelegd, een inzicht geeft in uw redenatie van ‘wezenlijke nadelige gevolgen’. Dit is vooral aan te raden bij organisaties met een beperkte omvang en complexiteit. Zo kan een pragmatische benadering zijn dat u rondom de betreffende functies scenario’s uitdenkt waarin de functies (tijdelijk) tekortschieten, en de impact van de manifestatie van deze scenario’s vervolgens beoordeelt qua financiële schade en reputatieschade. Hierdoor wordt het onderscheid tussen kritieke en niet-kritieke functies doorgaans al snel beter inzichtelijk.
Ter concreet voorbeeld van een scenario: Als een klant van een vermogensbeheerder een dag geen inzicht in zijn of haar portefeuille zou hebben via een cloud omgeving/portal, is dat dan een ‘wezenlijk’ probleem? Of is dat pas het geval als er een week lang geen inzicht is? Onbewust heeft u nu al een aanname gemaakt wat u onder ‘gebrekkig of tekortschietende uitvoering’ verstaat, namelijk het niet beschikbaar zijn van deze dienst.
Nadelige gevolgen waarvoor?
Als we nog een keer kijken naar de definitie in de ESMA-richtsnoeren van een kritieke of belangrijke functies, dan wordt in sub a, b en c het toepassingsgebied van de definitie weergegeven van de impact. Met andere woorden ‘Naar welke impact moet gekeken worden bij het beoordelen van de ‘wezenlijke nadelige gevolgen’? Ter verduidelijking hebben wij de elementen uit de definitie iets ander verwoord:
- Impact op het niet (meer) kunnen voldoen aan wet- en regelgeving, m.a.w. ‘non-compliant gedrag’);
- Impact op de opbrengsten/omzet van de onderneming;
- Impact op het primaire proces:
- Het niet meer kunnen leveren van diensten of producten naar de klant toe;
- Klanten ondervinden ernstige hinder of schade.
Onder sub c hebben wij een tweedeling gemaakt, omdat schade of impact vanuit het perspectief van de klant anders kan zijn dan vanuit het perspectief van de onderneming. Dit onderscheid vinden wij belangrijk om mee te nemen in de impactbepaling.
Hoe gaat het kwalificeren? – Gestructureerd en controleerbaar!
Paragraaf 15 van Richtsnoer 1 stelt dat (periodiek) beoordeeld moet worden of de uitbestedingsovereenkomsten voor clouddiensten een kritieke of belangrijke functie betreffen. Dit kan op vele manieren, maar dat de uitkomst vastgelegd moet worden, is evident volgens paragraaf 16. Daarin wordt ook gesteld dat een onderneming een register moet bijhouden met informatie over al haar uitbestedingsovereenkomsten voor clouddiensten. Inclusief dus het onderscheid naar de uitbestedingen van kritieke of belangrijke functies en de functies die dat niet zijn.
Wanneer is een cloud functie nu kritiek of belangrijk?
Helaas kunnen ook wij geen eenduidig antwoord geven op deze vraag. Wel willen wij u via onze interpretatie van de ESMA-richtsnoeren guidance verstrekken over hoe u deze vraag voor uw onderneming kan beantwoorden. Concreet zou u zich als organisatie bepaalde vragen kunnen stellen aan de hand van criteria die in dit artikel besproken zijn. Een vragenlijst zou er als volgt uit kunnen zien:
- Betreft het een proces/dienst of activiteit die in de cloud uitgevoerd is en uitbesteed is aan een derde partij?
- Als de cloud functie voor een langere tijd (kan per soort onderneming verschillen) niet beschikbaar is:
- Wordt er dan nog voldaan aan wettelijke vereisten?
- Is er sprake van een directe financiële impact (verliezen/misgelopen omzet?)
- Is er een grote impact op het primaire proces van de onderneming?
Om de aantoonbaarheid van deze risicobeoordeling verder te borgen, zou een verdere tip zijn om enkele velden aan het cloud uitbestedingsregister toe te voegen waarin argumentatie wordt vastgelegd. Zo maakt u inzichtelijk waarom bepaalde functies als kritiek of belangrijk gezien worden en anderen niet.
Ter illustratie in de tabel hieronder enkele voorbeelden uit de praktijk, die laten zien hoe deze vragen toegepast kunnen worden. Let op dat bij impact gevraagd wordt naar een ‘wezenlijke’ impact die vooraf door de organisatie gedefinieerd moet worden.
Wellicht verbaast u zich over enkele conclusies/redenaties uit bovenstaande tabel. Maar bedenk, wij hebben hier een inschatting gemaakt van de afhankelijkheid van de applicaties van een (fictieve) onderneming, zonder rekening te houden met mogelijke maatregelen die al getroffen zijn om bijvoorbeeld dataverlies te voorkomen. Onze tip bij het bepalen van het kritieke of belangrijke karakter van een cloud toepassing is kijken naar de mate van afhankelijkheid van de functie: om te voldoen aan de wettelijke verplichtingen, om voldoende geldstromen/omzet te blijven genereren en om de continuïteit van de primaire bedrijfsvoering te kunnen borgen.
Meer weten?
Heeft u hulp nodig bij het bepalen of een uitbesteding naar de cloud nu kritiek of belangrijk is voor uw onderneming? Of heeft u andere vragen over de implementatie van de ESMA-richtsnoeren? Neem dan geheel vrijblijvend contact met ons op.
Contact