Blijf financieel scherp

Elke dag het belangrijkste financiële en zakelijke nieuws in je inbox. Zodat jij de dag begint met voorsprong.

Gelukt! Check je e-mail

Klik op de bevestigingslink in je inbox om je aanmelding te voltooien. Niet ontvangen binnen 3 minuten? Check je spamfolder.

Oké, bedankt
Persoon in serverruimte met blauwe LED-indicator racks, uitzicht op historisch Londense gebouw met koepeldak
Cloud-reuzen onder Brits bankentoezicht vanaf maandag

Banken draaien op Amazon, Google en Microsoft: Groot-Brittannië grijpt in

AWS, Google, Microsoft en Oracle vallen onder Brits bankentoezicht. Wat de 'critical third party'-status betekent en waarom.

Naomi de Vries profile image
door Naomi de Vries

In oktober 2025 lagen de online diensten van Lloyds Banking Group plat. Niet door een eigen systeemfout, maar door een storing bij Amazon's cloudinfrastructuur. Meer dan 2.000 bedrijven werden tegelijk getroffen. Voor miljoenen bankklanten was er op dat moment simpelweg geen digitaal bankieren. Vrijdag 10 juli 2026 trekt Groot-Brittannië de conclusie: dit mag nooit meer ongeregeld plaatsvinden.

HM Treasury heeft Amazon Web Services, Google Cloud, Microsoft en Oracle aangewezen als zogenoemde 'critical third parties'. Vanaf maandag krijgen de Bank of England, de Prudential Regulation Authority en de Financial Conduct Authority directe toezichtsbevoegdheden over deze vier bedrijven, voor zover het hun dienstverlening aan de Britse financiële sector betreft. De aanwijzing van Microsoft geldt specifiek voor Microsoft Ireland Operations Limited, de Europese entiteit waarmee Britse financiële instellingen contractueel verbonden zijn.

Wat de aanwijzing concreet betekent

Een 'critical third party'-status is geen symbolische erkenning. De aangewezen bedrijven zijn voortaan verplicht aan te tonen dat ze adequate stresstests uitvoeren en dat hun operaties bestand zijn tegen zwaar verstoorde scenario's: cyberaanvallen, langdurige stroomuitval, gevolgen van natuurrampen. Bovenop die stresstestplicht geldt een directe meldingsplicht: grote incidenten moeten worden gemeld aan de Bank of England en de FCA, niet pas achteraf wanneer de schade al geleden is.

"We are a world-leading financial centre and maintaining trust in our financial system is essential to its success," zei Rachel Blake, Economic Secretary to the Treasury en City Minister, bij de aankondiging. "These designations will help ensure the critical services financial firms rely on remain resilient, protecting consumers and businesses while supporting growth across the economy."

De vier bedrijven reageerden constructief. Michael Jefferson, hoofd financiële sector-beleid voor EMEA bij AWS, liet weten dat AWS de doelstellingen van de Britse autoriteiten steunt en alle toepasselijke regelgeving zal naleven. Google Cloud sprak in een verklaring van vertrouwen dat het nieuwe kader, mits effectief geïmplementeerd met betekenisvolle sectorinbreng, de veerkracht van het Britse financiële ecosysteem op de lange termijn kan vergroten. Freddy Dezeure, deputy chief information security officer voor Europa bij Microsoft, noemde de aanwijzing "een nieuw hoofdstuk" in de meer dan veertigjarige samenwerking met de Britse overheid.

Het concentratieprobleem achter de regulering

De Lloyds-storing van vorig jaar was geen uitzondering. Het was een illustratie van een structurele kwetsbaarheid die in het bankwezen de afgelopen tien jaar stap voor stap is opgebouwd.

Cloudtechnologie heeft de financiële sector ingrijpend efficiënter gemaakt. Dataverwerkingscapaciteit die vroeger op eigen serverparken draaide, is nu uitbesteed aan grote cloudproviders. Geautomatiseerde fraudedetectie, real-time betalingssystemen, digitaal bankieren voor consumenten: het draait allemaal op infrastructuur die in handen is van een handvol Amerikaanse techreuzen. Banken hoeven geen eigen serverparken te onderhouden, betalen alleen voor wat ze gebruiken en profiteren van de schaalvoordelen en beveiligingsinvesteringen van bedrijven als AWS en Microsoft Azure.

De keerzijde is even systematisch. Wanneer één cloudprovider een storing heeft, wordt die schade niet geïsoleerd door één bank opgevangen maar tegelijk verspreid over honderden of duizenden klanten die allen dezelfde infrastructuur delen. De afhankelijkheid is niet hypothetisch. Ze is meetbaar in wat er in oktober 2025 gebeurde.

HM Treasury erkent dit expliciet en wijst erop dat de verschuiving van fysieke bankfilialen en contant geld naar volledige digitale afhankelijkheid de operationele kwetsbaarheid van het financiële systeem fundamenteel heeft vergroot.

De Europese parallel: DORA

Groot-Brittannië loopt niet alleen met deze benadering. Op het Europese continent volgt de financiële sector een vergelijkbaar traject via de Digital Operational Resilience Act, kortweg DORA. Dit EU-kader, dat Europese financiële instellingen verplicht hun digitale weerbaarheid aantoonbaar op orde te hebben, kent eveneens een mechanisme voor toezicht op kritieke ICT-derdepartijen. De logica is identiek: niet de bank alleen is verantwoordelijk voor haar operationele continuïteit, maar ook de partijen waarvan zij existentieel afhankelijk is.

Voor Europese banken, waaronder Nederlandse instellingen, betekent dit dat de vraag "welke cloudleverancier gebruiken wij?" allang geen zuivere inkoopbeslissing meer is. Het is een governance- en compliance-vraagstuk dat op het hoogste bestuursniveau thuishoort.

Wat volgt

De regels gelden vanaf maandag 13 juli 2026. HM Treasury heeft aangegeven dat de huidige aanwijzing van vier partijen niet definitief hoeft te zijn: meer aanbieders kunnen in de toekomst worden aangewezen als de concentratierisico's dat rechtvaardigen. De Bank of England, de PRA en de FCA gaan de nieuwe toezichtsbevoegdheden invullen via operationele vereisten waaraan de aangewezen partijen moeten voldoen.

De fundamentele vraag die dit toezichtkader oproept, blijft vooralsnog onbeantwoord: hoe groot mag de afhankelijkheid van een handvol buitenlandse techbedrijven nog worden voordat financiële stabiliteit structureel in het geding komt? De aanwijzing van vrijdag is een eerste, concrete stap in het beantwoorden van die vraag. Meer stappen zullen volgen.


Bronnen: Bank of England, HM Treasury, Financial Conduct Authority

Dit artikel is uitsluitend bedoeld ter informatie en vormt geen financieel, beleggings- of fiscaal advies. Today in Finance is geen beleggingsonderneming en beschikt niet over een vergunning als bedoeld in de Wet op het financieel toezicht (Wft). Raadpleeg altijd een gekwalificeerd financieel adviseur voordat je financiële beslissingen neemt. Today in Finance is niet aansprakelijk voor beslissingen genomen op basis van deze informatie.

Naomi de Vries profile image
door Naomi de Vries

Blijf financieel scherp

Elke dag het belangrijkste financiële en zakelijke nieuws in je inbox. Zodat jij de dag begint met voorsprong.

Gelukt! Check je e-mail

To complete Subscribe, click the confirmation link in your inbox. If it doesn’t arrive within 3 minutes, check your spam folder.

Oké, bedankt

Lees meer