Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS
Home > Security and Compliance Blog > Ongecategoriseerd > Hoe Europese banken kunnen voldoen aan de EBA-uitbestedingsrichtlijnen met klantgestuurde encryptiesleutels
Hoe Europese banken kunnen voldoen aan de EBA-uitbestedingsrichtlijnen met klantgestuurde encryptiesleutels

Hoe Europese banken kunnen voldoen aan de EBA-uitbestedingsrichtlijnen met klantgestuurde encryptiesleutels

by Marc ten Eikelder updated februari 11, 2026 Wettelijke naleving
Reading Time: 10 minutes

De Richtlijnen voor uitbestedingsregelingen van de Europese Bankenautoriteit (EBA/GL/2019/02) vereisen dat financiële instellingen effectieve controle behouden over uitbestede functies, waaronder de mogelijkheid om prestaties te monitoren, beveiligingsnormen af te dwingen en regelingen te beëindigen wanneer gegevensbescherming in het geding is. Sinds januari 2025 heeft de Wet Digitale Operationele Weerbaarheid (DORA) afdwingbare vereisten toegevoegd voor ICT-risicobeheer, toezicht op derden en operationele weerbaarheid die rechtstreeks gelden in alle EU-lidstaten. Samen creëren deze kaders een regelgevend klimaat waarin Europese banken moeten aantonen dat zij daadwerkelijk controle hebben over klant- en operationele gegevens die door cloudserviceproviders worden verwerkt.

Voor Duitse banken onder toezicht van BaFin is dit regelgevingsbeeld nog gedetailleerder. De BaFin-toezichtmededeling van 2024 over clouduitbesteding vereist expliciet dat onder toezicht staande ondernemingen encryptie en sleutelbeheer als kernonderwerp binnen governance behandelen. Het BAIT-kader (Bankaufsichtliche Anforderungen an die IT), dat tot en met december 2026 van toepassing blijft voor instellingen die overstappen naar DORA, stelt duidelijke verwachtingen aan IT-beveiligingsmaatregelen. Ondertussen benadrukt de conceptgids van de ECB over uitbesteding van clouddiensten dat instellingen eigenaar moeten blijven van hun gegevens en moeten beperken waar cloudproviders deze opslaan.

De rode draad in al deze vereisten is controle. Niet contractuele toezeggingen van controle, maar architecturale, verifieerbare, technische controle over datasoevereiniteit. Deze gids legt uit hoe door de klant beheerde encryptiesleutels het kernrisico van uitbesteding aanpakken waar toezichthouders op mikken, en hoe Europese banken deze aanpak kunnen implementeren om tegelijkertijd aan de verwachtingen van EBA, DORA en nationale toezichthouders te voldoen.

Samenvatting

Belangrijkste idee: De EBA-richtlijnen voor uitbesteding en DORA vereisen dat Europese banken effectieve controle behouden over gegevens die door cloudproviders worden verwerkt, inclusief de mogelijkheid om deze te beschermen tegen ongeautoriseerde toegang. Door de klant beheerde encryptiesleutels, waarbij de bank cryptografische sleutels genereert, opslaat en exclusief beheert in een eigen hardwarebeveiligingsmodule, vormen de architecturale basis die aan deze vereisten voldoet, omdat de cloudprovider zelfs onder wettelijke dwang geen toegang heeft tot ontsleutelde gegevens.

Waarom dit belangrijk is: DORA-handhaving is gestart op 17 januari 2025, met boetes tot 10% van de jaarlijkse omzet bij ernstige overtredingen. BaFin verwacht dat Duitse banken nu al aantonen dat ze compliant zijn en heeft aangegeven dat de eerste bevindingen eind 2025 beschikbaar zijn. Als uw instelling vertrouwt op een in de VS gevestigde cloudprovider die toegang tot encryptiesleutels behoudt, bestaat er een meetbare kloof tussen uw uitbestedingsregeling en wat toezichthouders verwachten. Door de klant beheerde encryptie is de technische maatregel die deze kloof dicht.

5 Belangrijkste Inzichten

  1. EBA-richtlijnen vereisen effectieve controle, geen contractuele beloften. Paragraaf 98 van EBA/GL/2019/02 verplicht dat uitbestedingsovereenkomsten voor kritieke functies gegevenslocaties specificeren, vertrouwelijkheid, integriteit en beschikbaarheid waarborgen, en beëindigingsrechten bevatten bij beveiligingszwaktes.
  2. DORA verplicht encryptie van gegevens in rust, onderweg en waar nodig in gebruik. Financiële instellingen moeten onder DORA’s ICT-risicobeheer uitgebreide encryptiebeleid implementeren om informatie in alle stadia te beschermen tegen ongeautoriseerde toegang.
  3. BaFin benoemt encryptie en sleutelbeheer expliciet als governance-onderwerpen. De toezichtmededeling van 2024 vereist dat Duitse banken sleutelbeheer opnemen in hun cloudgovernancebeleid, en gaat verder dan algemene encryptie door gedocumenteerde controle over cryptografische sleutels te eisen.
  4. Door de provider beheerde sleutels creëren een onoplosbaar uitbestedingsrisico. Wanneer een in de VS gevestigde cloudprovider encryptiesleutels behoudt, betekent CLOUD Act- en FISA 702-blootstelling dat de bank geen gegevensvertrouwelijkheid kan garanderen, waarmee EBA- en DORA-vereisten tegelijk worden geschonden.
  5. Door de klant beheerde sleutels voldoen in één keer aan meerdere regelgevingseisen. Eén architecturale beslissing, namelijk het behouden van encryptiesleutels in de eigen HSM van de bank, dekt EBA-uitbestedingscontrole, DORA-encryptievereisten, GDPR-overdrachtsmaatregelen en BaFin-toezichtverwachtingen.

Waarom EBA-richtlijnen voor uitbesteding meer vereisen dan contractuele controles

De risicogebaseerde aanpak van de EBA voor clouduitbesteding

De EBA-richtlijnen voor uitbestedingsregelingen, van kracht sinds 30 september 2019, zijn van toepassing op kredietinstellingen, beleggingsondernemingen, betaaldienstverleners en instellingen voor elektronisch geld. De richtlijnen hanteren een risicogebaseerde aanpak die vereist dat financiële instellingen risico’s in alle uitbestedingsregelingen identificeren, beoordelen en beperken, met strengere vereisten voor kritieke of belangrijke functies.

Cloudgebaseerde bestandsoverdracht, e-mail, samenwerkingsplatforms en beheerde bestandsoverdrachtssystemen die worden gebruikt voor gevoelige gegevensuitwisseling kwalificeren doorgaans als kritieke of belangrijke functies. Deze platforms verwerken klantgegevens, interne communicatie, correspondentie met toezichthouders en transactiegegevens. Volgens EBA-paragraaf 75 moeten instellingen grondige risicobeoordelingen uitvoeren voordat zij uitbestedingsregelingen aangaan en de beveiligingsstatus van de provider continu monitoren.

Cruciaal is dat de EBA-richtlijnen stellen dat uitsluitend vertrouwen op certificeringen zoals ISO 27001 niet geschikt is voor risicobeoordeling of doorlopende monitoring. Banken moeten verder kijken dan de garanties van de provider en de feitelijke technische architectuur beoordelen die bepaalt wie toegang heeft tot hun gegevens.

Wat de richtlijnen vereisen voor gegevensbeveiliging

Voor kritieke of belangrijke uitbesteding vereist EBA/GL/2019/02 paragraaf 98 schriftelijke overeenkomsten die specificeren waar gegevens worden opgeslagen en verwerkt, met meldingsplicht als de provider locaties wil wijzigen. De overeenkomst moet de toegankelijkheid, beschikbaarheid, integriteit, privacy en veiligheid van gegevens waarborgen. Ook moet de instelling toegang tot haar gegevens kunnen behouden als de provider failliet gaat. Daarnaast moet het beëindigingsrechten bevatten bij zwaktes in gegevensbeveiliging.

Paragraaf 100 vereist dat instellingen de prestaties van hun provider routinematig monitoren, met bijzondere aandacht voor gegevensbeschikbaarheid, beveiliging en integriteit. De EBA-richtlijnen voor ICT- en beveiligingsrisicobeheer voegen toe dat contracten minimale cyberbeveiligingsvereisten moeten bevatten, specificaties voor de levenscyclus van gegevens, vereisten voor gegevensencryptie, netwerkbeveiliging en locatievereisten voor datacenters.

Dit zijn geen vrijblijvende richtlijnen. Ze creëren bindende toezichtverwachtingen die nationale toezichthouders zoals BaFin afdwingen via onderzoeken, herstelmaatregelen en, onder DORA, financiële sancties.

Welke Data Compliance Standards zijn relevant?

Lees nu

DORA verhoogt de inzet voor ICT-derdenrisico

Encryptievereisten onder DORA

DORA (Verordening EU 2022/2554) is afdwingbaar sinds 17 januari 2025 en stelt uniforme vereisten voor ICT-beveiliging voor ongeveer 22.000 financiële instellingen in de EU. Onder het ICT-risicobeheer van DORA moeten financiële instellingen een uitgebreid encryptiebeleid implementeren voor gegevens in rust, onderweg en waar nodig in gebruik. Waar encryptie technisch niet haalbaar is, moeten gegevens worden verwerkt in een aparte, beveiligde omgeving met gelijkwaardige maatregelen om vertrouwelijkheid en integriteit te waarborgen.

De pijler voor derdenrisicobeheer binnen DORA vereist dat alle ICT-dienstverleningsovereenkomsten service level agreements, auditrechten, beëindigingsrechten, exitstrategieën en procedures voor incidentmeldingen bevatten. De Europese toezichthoudende autoriteiten hebben in november 2025 negentien ICT-dienstverleners als kritisch aangewezen, waaronder AWS, Microsoft Azure en Google Cloud, waardoor zij onder direct EU-toezicht vallen. Dit betekent dat Europese banken hun relaties met deze providers niet langer als puur contractueel mogen beschouwen. Toezichthouders onderzoeken nu ook de providers zelf.

Specifieke verwachtingen van BaFin voor Duitse banken

De toezichtmededeling van BaFin van februari 2024 over clouduitbesteding gaat verder dan de EBA-basis. Zij vereist dat onder toezicht staande ondernemingen interne richtlijnen ontwikkelen voor cloudgebruik, waarbij encryptie en sleutelbeheer als kernonderwerp gelden, naast compliance, identity management en controle op onderaannemers. BaFin verwacht dat banken een strategische analyse uitvoeren of elke uitbestede functie voldoende kan worden gemonitord en indien nodig kan worden teruggehaald.

BaFin heeft aangegeven het toezicht op uitbesteding in 2025 te intensiveren en verwacht eind van het jaar de eerste DORA-compliancebevindingen. Duitse banken die vertrouwen op Amerikaanse hyperscale-providers zonder door de klant beheerde encryptie lopen direct toezicht risico, omdat hun huidige architectuur mogelijk niet voldoet aan BaFin’s interpretatie van adequate gegevensbeschermingsmaatregelen.

Het encryptiesleutelprobleem dat Europese banken moeten oplossen

Waarom door de provider beheerde sleutels niet voldoen aan de regelgeving

Wanneer een Europese bank een in de VS gevestigde cloudprovider gebruikt voor beveiligde bestandsoverdracht, e-mail of samenwerking, behoudt de provider doorgaans controle over de encryptiesleutels. Zelfs als de bank EU-datacenterregio’s selecteert, blijft de juridische entiteit die de dienst levert onderworpen aan de CLOUD Act, die Amerikaanse autoriteiten in staat stelt gegevens op te eisen ongeacht de opslaglocatie. FISA Sectie 702 staat inlichtingendiensten toe niet-Amerikaanse personen te surveilleren zonder individuele bevelen.

Dit creëert een architecturaal conflict met de EBA- en DORA-vereisten. De uitbestedingsovereenkomst van de bank kan contractueel gegevensvertrouwelijkheid vereisen, maar de provider kan wettelijk worden verplicht om gegevens te ontsleutelen en te overhandigen zonder de bank te informeren. De EBA-eis voor beëindigingsrechten bij beveiligingszwaktes wordt zinloos als de zwakte structureel is: de provider bezit de sleutels en is onderworpen aan buitenlandse overheidsregels voor gegevensinzage.

De EDPB-aanbevelingen 01/2020 bevestigen dat wanneer een provider encryptiesleutels bezit en opereert onder een juridisch regime dat overheidsinzage toestaat, er geen effectieve aanvullende maatregelen bestaan. Voor banken die Transfer Impact Assessments uitvoeren, vormen door de provider beheerde encryptiesleutels een niet te beperken risicofactor.

Hoe door de klant beheerde sleutels het conflict oplossen

Door de klant beheerde encryptiesleutels veranderen het risicoprofiel fundamenteel. In dit model genereert en bewaart de bank encryptiesleutels in een eigen hardwarebeveiligingsmodule, op locatie of in een door de bank beheerd Europees datacenter. Het cloudplatform verwerkt versleutelde gegevens, maar krijgt nooit de ontsleutelingssleutels in bezit. Als een buitenlandse overheid de provider dwingt gegevens te overhandigen, kan deze alleen ciphertext leveren die zonder de sleutels van de bank onleesbaar is.

Deze aanpak verschilt van “Bring Your Own Key” (BYOK)-oplossingen waarbij de bank een sleutel genereert maar deze uploadt naar de sleutelbeheerdienst van de provider. Bij BYOK behoudt de provider toegang tot het sleutelmateriaal en kan worden gedwongen dit te gebruiken. Door de klant beheerde encryptie betekent dat de sleutel nooit de infrastructuur van de bank verlaat.

Regelgevingseisen waaraan door de klant beheerde sleutels voldoen

Regelgevingseis Door provider beheerde sleutels Door klant beheerde sleutels
EBA: Waarborg gegevensvertrouwelijkheid (Par. 98) Kan niet worden gegarandeerd; provider onderworpen aan buitenlandse toegangswetten Gegarandeerd; provider kan gegevens niet ontsleutelen
EBA: Doorlopende monitoring gegevensbeveiliging (Par. 100) Beperkt inzicht; afhankelijk van provider-rapportages Volledige audittrail onder controle van de bank
DORA: Encryptie van gegevens in rust en onderweg Versleuteld, maar provider bezit sleutels Versleuteld met exclusieve sleutelcontrole door de bank
DORA: Derdenrisicobeheer ICT Restant risico door buitenlandse toegangswetten Risico geëlimineerd op architectuurniveau
BaFin: Governance encryptie en sleutelbeheer Sleutelbeheer uitbesteed aan provider Sleutelbeheer onder governance van de bank
GDPR: Artikel 32 technische maatregelen Door provider beheerde maatregelen; overdrachtsrisico blijft Door bank beheerde maatregelen; overdrachtsrisico beperkt
CLOUD Act / FISA 702-blootstelling Volledige blootstelling; provider kan voldoen aan eisen Geen blootstelling; provider kan geen leesbare gegevens overhandigen

Architecturale vereisten naast encryptiesleutels

Door de klant beheerde encryptie is noodzakelijk maar niet voldoende. Europese banken moeten cloudplatforms beoordelen op drie aanvullende vereisten die samen verifieerbare datasoevereiniteit creëren.

Single-tenant Europese inzet

Multi-tenant cloudomgevingen delen infrastructuur tussen klanten, waarbij providerpersoneel wereldwijd onderhoud uitvoert. Single-tenant inzet op toegewijde Europese infrastructuur zorgt ervoor dat de gegevens van de bank op geïsoleerde systemen staan, waarbij toegangscontrole wordt geregeld door Europese wetgeving. In combinatie met door de klant beheerde encryptie worden zowel logische als fysieke toegangsroutes voor onbevoegden uitgesloten.

Beleidsgestuurde dataresidentie

EBA-paragraaf 98 vereist overeenkomsten die gegevenslocaties specificeren met wijzigingsmelding. DORA versterkt dit via haar verwachtingen rondom dataresidentie. In plaats van te vertrouwen op contractuele toezeggingen, moeten banken platforms implementeren met technische geofencing die opslag beperkt tot Duitse of EU-datacenters, replicatie naar niet-EU-locaties voorkomt en alle toegangsverzoeken logt ten behoeve van de audittrail.

Uitgebreide audit- en monitoringmogelijkheden

Zowel EBA als DORA vereisen continue monitoring van uitbestede diensten. Banken hebben platforms nodig die volledige zichtbaarheid bieden op elk bestandstoegang, gebruikersactie, administratieve wijziging en gegevensbeweging. Deze data governance-capaciteit ondersteunt het uitbestedingsregister zoals vereist onder DORA Artikel 28(3) en stelt banken in staat compliance aan te tonen tijdens BaFin-onderzoeken en ECB-toezichtsbeoordelingen.

Implementatie: een risicogebaseerde aanpak voor Europese banken

Fase 1: Inventariseer huidige uitbestedingsregelingen

Breng alle cloudservices in kaart die klantgegevens, operationele gegevens en werknemersgegevens verwerken. Documenteer per dienst de rechtsbevoegdheid van de provider, het encryptiemodel, de architectuur voor sleutelbeheer en de risicoclassificatie van derden. Leg deze naast de DORA Register of Information-vereisten om lacunes te identificeren.

Fase 2: Beoordeel blootstelling encryptiesleutels

Pas voor elke cloudservice die als kritieke of belangrijke functie is geclassificeerd de sleuteltest toe: Kan de provider toegang krijgen tot ontsleutelde gegevens als een buitenlandse overheid dit eist? Leg de resultaten naast de EBA- en DORA-vereisten. Geef prioriteit aan diensten die de meest gevoelige gegevens verwerken: klantfinanciële gegevens, correspondentie met toezichthouders, interne auditmaterialen en grensoverschrijdende transactiegegevens.

Fase 3: Implementeer door de klant beheerde architectuur

Migreer kritieke gegevensuitwisselingsplatforms naar architecturen waarbij de bank exclusieve controle over encryptiesleutels behoudt. Dit omvat doorgaans het inzetten van een hardened virtual appliance of on-premises HSM voor sleutelopslag, het configureren van single-tenant Europese inzet en het instellen van geofencingbeleid. Valideer via onafhankelijke tests dat de provider onder geen enkel scenario toegang heeft tot ontsleutelde gegevens.

Fase 4: Richt doorlopende compliance monitoring in

Implementeer continue monitoring in lijn met EBA-paragraaf 100 en de operationele weerbaarheidsvereisten van DORA. Stel regelmatige reviewcycli in met gedocumenteerd bewijs voor toezichtsonderzoek. Zorg dat incident response-plannen scenario’s omvatten waarbij buitenlandse overheden gegevens opvragen en beveiligingszwaktes bij de provider optreden.

Door de klant beheerde encryptie is de basis van regelgevingsconforme uitbesteding

EBA-richtlijnen voor uitbesteding, DORA en BaFin-toezichtverwachtingen komen samen op één principe: Europese banken moeten effectieve, verifieerbare controle behouden over gegevens die door cloudproviders worden verwerkt. Wanneer een provider encryptiesleutels bezit en opereert onder buitenlandse toegangswetten, is die controle slechts schijn. Door de klant beheerde encryptiesleutels herstellen echte controle door te waarborgen dat geen enkele derde partij toegang heeft tot ontsleutelde gegevens zonder expliciete betrokkenheid van de bank.

Banken die door de klant beheerde sleutels combineren met single-tenant Europese inzet en beleidsgestuurde dataresidentie, zetten niet alleen vinkjes voor regelgeving. Zij bouwen de zero trust-infrastructuur die DORA voor ogen heeft voor een weerbaar Europees financieel systeem.

Kiteworks helpt Europese banken te voldoen aan EBA-richtlijnen voor uitbesteding met door de klant beheerde encryptie

Het Kiteworks Private Data Network biedt de architecturale controles die Europese banken nodig hebben om tegelijkertijd aan EBA-, DORA- en BaFin-vereisten te voldoen. Kiteworks werkt volgens een door de klant beheerd encryptiemodel waarbij de bank encryptiesleutels genereert en bewaart in een eigen HSM. Kiteworks heeft geen toegang tot ontsleutelde inhoud en kan niet voldoen aan buitenlandse overheidsverzoeken om leesbare gegevens te leveren, omdat het de sleutels niet bezit.

Kiteworks wordt ingezet als single-tenant op toegewijde Europese infrastructuur, waaronder on-premises, private cloud en hardened virtual appliance-opties. Ingebouwde geofencing handhaaft dataresidentie op platformniveau. Uitgebreide auditlogging legt elke bestandstoegang, gebruikersactie en administratieve wijziging vast, en levert het continue monitoringbewijs dat EBA-paragraaf 100 en DORA vereisen. Kiteworks ondersteunt DORA-compliance via een geïntegreerde aanpak van ICT-risicobeheer over alle gevoelige contentkanalen.

Het platform verenigt beveiligde bestandsoverdracht, e-mailbescherming, beheerde bestandsoverdracht en webformulieren onder één governancekader, waardoor banken uitbestedingsvereisten voor alle gegevensuitwisselingskanalen met één architectuur, één set controles en één pakket toezichtsbewijs kunnen adresseren.

Meer weten over het voldoen aan EBA-richtlijnen voor uitbesteding met door de klant beheerde encryptiesleutels? Plan vandaag nog een demo op maat.

Veelgestelde vragen

De EBA-richtlijnen zijn van toepassing op alle uitbestedingsregelingen, met strengere vereisten voor kritieke of belangrijke functies. Cloudservices die klantfinanciële gegevens verwerken, rapportages aan toezichthouders ondersteunen of kernbankprocessen mogelijk maken, kwalificeren doorgaans als kritisch. De richtlijnen vereisen risicobeheer voor leveranciers, inclusief risicobeoordeling, contractuele controles en doorlopende monitoring voor alle uitbestede diensten. Banken moeten elke cloudservice classificeren en proportionele controles toepassen, waarbij de strengste vereisten, zoals gespecificeerde gegevenslocaties en encryptiestandaarden, zijn gereserveerd voor kritieke functies. Zelfs niet-kritische clouduitbesteding vereist schriftelijke overeenkomsten met beveiligingsverplichtingen en beëindigingsbepalingen onder GDPR-nalevingsvereisten.

DORA creëert direct afdwingbare encryptieverplichtingen, ondersteund door boetes tot 10% van de jaarlijkse omzet. Waar eerdere EBA-richtlijnen encryptie als beveiligingsmaatregel aanbeveelden, verplicht DORA een uitgebreid encryptiebeleid voor gegevens in rust, onderweg en waar nodig in gebruik. DORA vereist ook dat financiële instellingen een Register of Information bijhouden waarin alle ICT-derdenregelingen, inclusief encryptieconfiguraties, worden vastgelegd. De ESAs hebben in november 2025 negentien grote cloudproviders als kritisch aangemerkt, waardoor zij onder direct toezicht vallen. Banken moeten niet alleen aantonen dat encryptie aanwezig is, maar ook dat hun data governance-framework waarborgt dat controle over encryptiesleutels bij de instelling blijft, vooral waar providers onderworpen zijn aan buitenlandse toegangswetten.

Bij BYOK genereert de bank een sleutel maar uploadt deze naar de infrastructuur van de provider; bij door de klant beheerde encryptie verlaat de sleutel nooit de eigen HSM van de bank. Dit onderscheid is cruciaal voor naleving van regelgeving. Met BYOK behoudt de cloudprovider toegang tot het sleutelmateriaal en kan worden gedwongen gegevens te ontsleutelen onder de CLOUD Act of FISA 702. Met door de klant beheerde encryptiesleutels verwerkt de provider uitsluitend ciphertext en kan geen leesbare gegevens leveren, ongeacht juridische eisen. De toezichtmededeling van BaFin benoemt sleutelbeheer als kernonderwerp binnen governance, en de DPIA voor clouduitbesteding moet duidelijk vastleggen welke partij de ontsleutelingsmogelijkheid beheert.

Banken moeten documentatie bijhouden over de encryptiearchitectuur, sleutelbeheerbeleid, Transfer Impact Assessments en bewijs van continue monitoring. BaFin verwacht dat Duitse banken interne richtlijnen hebben waarin encryptie en sleutelbeheer zijn opgenomen als onderdeel van hun cloudgovernance. Documentatie moet het proces van sleutelgeneratie, locatie van HSM-inzet, toegangscontrole tot sleutelmateriaal en bewijs dat de cloudprovider geen toegang heeft tot ontsleutelingssleutels omvatten. Het DORA Register of Information moet deze regelingen vastleggen. Banken moeten ook risicobeoordelingsrapporten bijhouden waarin wordt aangetoond hoe door de klant beheerde sleutels de specifieke risico’s beperken die zijn geïdentificeerd in hun Transfer Impact Assessments voor diensten van in de VS gevestigde providers.

Ja, mits de bank architecturale controles implementeert die de mogelijkheid van de provider om toegang te krijgen tot ontsleutelde gegevens uitsluiten. De EBA-richtlijnen verbieden uitbesteding aan aanbieders uit derde landen niet, maar vereisen een versterkte risicobeoordeling en aanvullende waarborgen. De kernvraag is of de provider kan worden gedwongen leesbare klantgegevens te leveren onder buitenlandse wetgeving. Als de bank exclusieve controle over encryptiesleutels behoudt via een eigen HSM, inzet op toegewijde Europese infrastructuur en dataresidentie afdwingt via technische maatregelen, kan de uitbestedingsregeling voldoen aan EBA-, DORA- en GDPR-vereisten omdat het buitenlandse toegangrisico op architectuurniveau wordt geneutraliseerd.

Aanvullende bronnen

  • Blog Post  
    Datasoevereiniteit: een best practice of wettelijke verplichting?
  • eBook  
    Datasoevereiniteit en GDPR
  • Blog Post  
    Voorkom deze valkuilen rond datasoevereiniteit
  • Blog Post  
    Datasoevereiniteit beste practices
  • Blog Post  
    Datasoevereiniteit en GDPR [Inzicht in gegevensbeveiliging]

    •  

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo

Table of Contents

Table of Content
Share
Tweet
Share
Explore Kiteworks