dreamstime_s_89719394

Inside story

Afsløring: Datacentrals kontrakter underkendes. Kan ramme alle banker

Den ekstremt udbredte Office 365-pakke må ikke længere bruges i dele af banksektoren. Finanstilsynet har nemlig underkendt den centrale aktør JN Datas aftaler med Microsoft.. Datacentralerne ser ud til at have valgt en linje med en slags civil ulydighed over for myndighederne, viser intern mail. Problemet kan også ramme andre cloudløsninger

En magtkamp af dimensioner er i fuld gang mellem datacentralerne, bankerne og Finanstilsynet. Myndighederne har nemlig helt ekstraordinært valgt at håndhæve et regelsæt, der i praksis forbyder bankerne at benytte eksempelvis den ellers ekstremt udbredte Office 365-pakke, som mange virksomheder bruger til mailkorrespondance, inklusive Word, Excel og PowerPoint.

Problemet er, at Office-pakken er en såkaldt cloudløsning i lighed med Amazon Web Services og Sales Force for bare at nævne nogle af de systemer, som kan blive omfattet af regelsættet.

Konflikten er højaktuel, da bankernes fælles datacentral, JN Data, i begyndelsen af november har modtaget en højst overraskende vurdering fra Finanstilsynet. Den indebærer nemlig, at JN Datas kontrakter med Microsoft ikke længere er gode nok, viser en intern mailkorrespondance i datacentralregi, som InsideBusiness er kommet i besiddelse af. Og det kan få den alvorlige konsekvens, at bankerne, der får deres it-løsninger fra datacentralerne Bankdata, SDC og BEC, ikke længere må anvende de omtalte cloudløsninger, da de alle tre er kunder hos JN Data.

Sagen kort

Finanstilsynet sætter hårdt mod hårdt over for en række af landets banker, der risikerer at skulle droppe deres cloudløsninger, for eksempel Office 365, Sales Force og Amazon Web Services. Det handler om en bekendtgørelse om outsourcing, og at finansielle virksomheder skal godkende videreoutsourcing af eksempelvis følsomme data til en underleverandør. Det følger her, at her (bekendtgørelse om outsourcing §5, nr. 10), at outsourcingvirksomheder aktivt skal godkende leverandører eller underleverandørers eventuelle videreoutsourcing af outsourcede opgaver.

Datacentralernes fælles datacentral, JN Data, har tidligere indgået en kontrakt med Microsoft, men Finanstilsynet underkendte denne kontrakt i november, hvilket InsideBusiness i dag kan afsløre. Det betyder, at enten skal JN Data få it-giganten til at indgå en ny aftale, eller også falder cloudsystemet Office 365 til jorden. Branchekilder levner ikke store chancer for, at JN Data kan indgå en aftale, der gør det muligt for datacentralen at godkende Microsofts leverandører.

Sammenbruddet kan i princippet ramme alle landets banker, fordi datacentralerne SDC, Bankdata og BEC er kunder hos JN Data. Situationen kan i yderste konsekvens betyde, at deres ansatte ikke længere må bruge cloudløsninger.

”Kontrakten mellem JN Data og Microsoft indeholder en bestemmelse om, at Microsoft har ret til at anvende nye underleverandører, seks måneder efter at JN Data er blevet notificeret herom. I den periode skal JN Data enten acceptere den nye underleverandør eller ophøre med at anvende den konkrete service. Finanstilsynet har vurderet, at dette vilkår ikke er i overensstemmelse med kravet i outsourcingbekendtgørelsen, hvoraf det fremgår, at outsourcingvirksomheden udtrykkeligt (aktivt) skal godkende leverandørens eller underleverandørens eventuelle videreoutsourcing af de outsourcede opgaver, førend leverandøren er berettiget til at anvende underleverandøren,” fremgår det af mailen.

Ikke desto mindre har datacentralerne valgt ikke at sende påbuddet videre til bankerne, så de kan reagere på det. I stedet er meldingen, at de ikke skal foretage sig ydeligere.

Nu er den store udfordring for JN Data, at man skal forsøge at forhandle en ny aftale på plads med Microsoft, som man i sektoren ikke levner store chancer for succes. Den amerikanske it-gigant er nemlig ikke sådan at bide skeer med, og den danske datacentral har næppe en størrelse, der gør, at Microsoft vil acceptere, at JN Data aktivt skal godkende deres underleverandører globalt, Seattle og i Silicon Valley.

Civil ulydighed

JN Data har orienteret sine kunder i SDC, BEC og Bankdata, som er datacentraler for stort set alle danske banker undtagen Danske Bank og Nordea, om planen for det videre forløb. Dette indebærer, at man har en skarp frist til at få aftalerne med Microsoft på plads:

”JN Data har orienteret sine kunder om JN Datas plan for det videre forløb, herunder aktiviteter med henblik på at forhandle indgåelsen af et aftaletillæg, som opfylder Finanstilsynets krav. JN Data har fået frist til den 31. januar 2020 til at sikre, at kravet om aktiv godkendelse af underleverandører efterleves.”

Umiddelbart er der ikke tvivl om, at konsekvensen af orienteringen fra JN Data og de øvrige banker kunne være, at man omstrukturerer sine it-systemer og i yderste konsekvens stopper med at benytte sig af cloudløsninger inden tidsfristen eller som minimum forbereder sig på, at benyttelsen af for eksempel Microsoft Office skal stoppe ved fristens udløb.

Ikke desto mindre har man fra datacentralerne SDC, BEC og Bankdata valgt at lade de berørte pengeinstitutter køre videre som hidtil. Der fremgår nemlig følgende af mailkorrespondancen:

”Ovenstående er blot til orientering. Pengeinstitutterne skal ikke foretage sig noget, hverken i relation til Finanstilsynet, JN Data eller datacentral X (navnet er udeladt af hensyn til kildebeskyttelse, red.). Vi vil orientere igen, når der foreligger ny information fra JN Data.”

JN Data selv er ikke meget for at kommentere InsideBusiness’ oplysninger i sagen:

”JN Data har ingen kommentarer, ud over at JN Data er i løbende dialog med henholdsvis Finanstilsynet, Microsoft og JN Datas kunder om at finde en løsning på problemstillingen,” fremgår det af et skriftligt svar fra JN Datas presseansvarlige, Lars Lykke Christiansen.

Problemstillingen berører alle ansatte i bankerne

Heller ikke i Danske Bank, der ligesom Nordea kører med egen datacentral, det vil sige uden om JN Data, er man interesseret i at kommentere sagen:

”Vi følger retningslinjerne for outsourcing hos EBA og har derudover ingen kommentarer til sagen, da vi blandt andet ikke kommenterer vores dialog med tilsynet,” lyder det fra Danske Banks presseafdeling.

Men i brancheorganisationen Finans Danmark er kontorchef Mette Stürüp udmærket klar over det langstrakte slagsmål med både Finanstilsynet og Den Europæiske Bankmyndighed (EBA). Hun oplyser, at reglerne gælder alle danske bankansatte, der bruger alle slags cloudløsninger. Og det har hidtil været umuligt at nå frem til en løsning på den svære problemstilling:

”Der er tale om gældende ret. Bekendtgørelsen om outsourcing af væsentlige aktivitetsområder er fra 2010. Der har gennem flere år været dialoger mellem individuelle banker og Finanstilsynet om udfordringerne ved brugen af cloud, på grund af bestemmelserne om outsourcing. Derudover har der gennem en årrække været dialog om udfordringerne mellem Finans Danmark og Finanstilsynet. Der har også været en tilsvarende dialog på EU-niveau.”

Hun håber dog på, at problemerne kan blive løst i forbindelse med et nyt regelsæt, som er på vej næste år, hvilket gør det endnu mere bizart, hvis bankerne som følge af JN Data-sagen skal begynde at nedbryde deres it-løsninger nu:

Nye regler kan måske løse problemet

”De nuværende regler på området er ikke lette at administrere for bankerne i forhold til brugen af cloud løsninger. Der er imidlertid nye regler på vej.  Den Europæiske Bankmyndighed (EBA) har vedtaget nogle nye retningslinjer, og erhvervsministeren forventes at sende et lovforslag i høring inden længe, herunder kommer der også en ny bekendtgørelse. Det er vores forventning, at problemstillingen omkring godkendelse af underleverandører bliver nemmere at håndtere,” siger Mette Stürup, som henviser til, at Erhvervsministeriet har oplyst, at de nye regler for outsourcing forventes at træde i kraft i juli 2020.

Rundt om i banksektoren og i datacentralerne er man lige dele bekymret og resigneret over for de kolossale omkostninger, der kan være ved at bryde de eksisterende cloudløsninger ned for blot at sætte dem op igen om seks måneder.

Hos Bankdata håber direktør Esben Kolind Laustrup på, at der kan findes en løsning på problemet:

”Vi tilbyder i dag ikke cloudløsninger som Office 365 til vores kunder, men det ændrer ikke på, at det er en service, som er helt oplagt for datacentralerne at levere til bankerne. Derfor har vi brug for, at der findes en løsning på det her problem, der også omfatter Amazon Web Services og andre cloudløsninger. Vi skal have fjernet bremseklodserne, og der skal findes en løsning, der gør, at vi kan tage disse tjenester i brug. Der skal være lighed for loven, uanset om man er stor eller lille, og om man er en gammel eller helt ny aktør,” siger Bankdatas direktør til InsideBusiness.

Finanstilsynet: Ikke noget at gøre

I Finanstilsynet har underdirektør Anders Balling ikke tænkt sig at vige for datacentraler og bankers ønsker og forhåbninger om en mere lempelig behandling.

”Vi forholder os til, at outsourcingreglerne skal være vandtætte helt ud i det sidste led. Det nytter ikke noget, hvis man har styr på sin leverandør, og denne leverandør så vælger at outsource ydelsen videre. Det er ikke hensigten med reglerne, og det er et element i at have en forsvarlig styring af sin virksomhed, at man også har styr på de opgaver, man har outsourcet.”

Reglerne er en konsekvens af, at man kan frygte, at følsomme oplysninger, for eksempel en bankrådgivers korrespondancer med en kunde om lån- og personlig økonomi, kan havne i de forkerte hænder på eksempelvis en server uden for EU. Og Finanstilsynet fastholder, også selv om det kan vise sig umuligt for eksempelvis datacentraler at få Microsoft til at acceptere, at man skal godkende it-gigantens nye underleverandører:

”Det med aktiv godkendelse er et afgørende punkt, og har de ikke aftaler på plads med deres leverandører, så skal de tilpasse disse aftaler. Tit er sådan noget ikke nemt, men på den anden side er det også vigtigt. Der er ikke meget mere at sige, for reglerne er ret klare på området.”

Og bankerne skal ikke nødvendigvis sætte næsen op efter, at problemerne bliver løst med de nye regelsæt. Men han ønsker ikke at udtale sig om, hvorvidt reglerne vil være lempeligere eller strammere på området.

”Ja, der er kommet nye guidelines fra EBA om outsourcing, der påvirker de danske regler, og det arbejder vi med nu. Og det er ikke kun på cloud, men på tværs. Det er for tidligt at sige, hvad det nye regelsæt kommer til at betyde.”

Supplerende oplyser Anders Balling, at det er Finanstilsynets forventning, at virksomhederne følger påbud, og at det også gælder på dette område. Helt generelt kan manglende opfyldelse af gentagne påbud føre til politianmeldelse.

 

LÆS OGSÅ

Omstridt Bankdata-projekt runder milepæl, men slagsmålet fortsætter

Katastrofalt udviklingsprojekt rammer Jyske Bank og Sydbank

Sydbank ville fusionere med Spar Nord. Skulle Nykredit med?

Frøsig vandt magtkampen, men hvad nu, Sydbank?

Se alliancerne mellem bank, forsikring og pensionsselskaber. Hvor er åbningerne?

Finansalliancer i opbrud. Priskrig på forsikring tager form

Partnerskaber gennemsyrer bankportaler, der kalder sig objektive

Kommer den store oprydning i pensionsbranchen?

Ugens Insider: Drop banken – og start forfra

Unødvendig fyring: Var Jesper Nielsen for populær til Danske Bank?

Hvilke bankfolk bliver nu plettet af hvidvask-sagen?

Har han reddet Nordeas prestigeafdeling?

Stort dansk forsikringsselskab kæmper for livet

 

 

billedtekst: Microsofts populære Microsoft-pakke er centrum i et opsigtsvækkende opgør mellem Finanstilsynet og bankernes fælles datacentral, JN Data.

Foto: ID 89719394 © Feng Cheng | Dreamstime.com