DORA en datasoevereiniteit: grip op data in de financiële sector

De financiële sector draait op vertrouwen. Niet alleen vertrouwen in geld, transacties en dienstverlening, maar ook in de digitale systemen daarachter. Een storing bij een bank, verzekeraar, pensioenfonds of vermogensbeheerder raakt direct klanten, toezichthouders en de reputatie van de organisatie.

Tegelijk digitaliseert de sector in hoog tempo. Cloudplatforms, data-analyse en AI worden ingezet om processen efficiënter te maken, fraude sneller te detecteren en klanten beter te bedienen. Die ontwikkeling biedt veel kansen, maar maakt financiële instellingen ook afhankelijker van digitale infrastructuur, externe technologiepartners en de beschikbaarheid van data.

Waarom cloud en AI aantrekkelijk zijn

Cloudtechnologie helpt financiële instellingen om flexibeler te werken. Systemen kunnen sneller opschalen bij piekbelasting, bijvoorbeeld bij druk betalingsverkeer, handelsactiviteiten of cyberincidenten. Ook maakt cloudinfrastructuur het eenvoudiger om nieuwe digitale diensten te ontwikkelen en geavanceerde analysetools te gebruiken.

AI voegt daar een nieuwe laag aan toe. Denk aan fraudedetectie, risicomodellen, klantinteractie, compliance-monitoring en het analyseren van grote hoeveelheden ongestructureerde data. Voor organisaties met veel data en hoge administratieve druk kan dat grote efficiëntiewinst opleveren.

Maar hoe groter de digitale afhankelijkheid wordt, hoe belangrijker de vraag wordt: wie heeft controle over de data, systemen en leveranciers waarop de organisatie draait?

DORA maakt digitale weerbaarheid verplicht

Sinds 17 januari 2025 is DORA van toepassing in de Europese Unie. Deze Digital Operational Resilience Act verplicht financiële instellingen om hun digitale weerbaarheid aantoonbaar op orde te hebben. Het gaat daarbij niet alleen om cybersecurity, maar ook om ICT-risicobeheer, incidentrapportage, operationele veerkracht, testen en het beheersen van risico’s bij externe ICT-leveranciers.

Daarmee verandert digitale continuïteit van een IT-thema in een bestuursvraagstuk. Financiële instellingen moeten kunnen aantonen dat zij bestand zijn tegen verstoringen, kunnen herstellen na incidenten en grip hebben op de technologiepartners waar zij van afhankelijk zijn.

Vooral dat laatste is belangrijk. Veel financiële instellingen maken gebruik van cloudproviders, softwareplatforms en gespecialiseerde dienstverleners. Onder DORA komt het risico van derde partijen nadrukkelijker in beeld. In 2025 hebben Europese toezichthouders 19 grote technologiebedrijven aangewezen als kritieke ICT-derdepartij voor de financiële sector, waaronder AWS, Google Cloud, Microsoft, IBM en Bloomberg. Deze partijen kunnen door Europese toezichthouders direct worden gecontroleerd vanwege hun rol in kritieke financiële processen.

Het dilemma van afhankelijkheid

Cloud en AI zijn dus aantrekkelijk, maar ze vergroten ook de afhankelijkheid van externe technologie. Dat hoeft geen probleem te zijn, zolang de risico’s beheersbaar zijn. De uitdaging ontstaat wanneer instellingen onvoldoende zicht hebben op waar data staat, wie toegang heeft, welke onderliggende infrastructuur wordt gebruikt en hoe snel herstel mogelijk is bij een incident.

Daarom is datasoevereiniteit in de financiële sector geen theoretisch onderwerp, maar gaat het juist om praktische vragen:

• Waar worden klantgegevens, transactiedata en back-ups opgeslagen?
• Wie kan erbij, ook vanuit support of beheer?
• Hoe wordt data beschermd tegen ransomware of ongewenste wijziging?
• Hoe snel kan een instelling herstellen na een storing of aanval?
• Hoe voorkom je dat één leverancier een te groot operationeel risico wordt?

DORA dwingt organisaties om deze vragen concreet te beantwoorden. Niet alleen op papier, maar ook technisch en operationeel.

AI voor efficiëntie, maar niet zonder governance

AI kan financiële instellingen helpen om sneller te werken en betere beslissingen te nemen. Grote taalmodellen kunnen documenten analyseren, signalen herkennen en processen ondersteunen. Maar AI brengt ook risico’s mee. De kwaliteit van de output hangt af van de kwaliteit van de data. Modellen kunnen fouten maken, vooroordelen versterken of onjuiste informatie als feit presenteren.

Voor financiële instellingen is dat extra gevoelig. Een fout in een risicomodel, klantadvies of fraudedetectiesysteem kan directe gevolgen hebben voor klanten, compliance en reputatie. Daarom moet AI worden ingezet binnen duidelijke kaders. Welke data wordt gebruikt? Waar wordt het model gehost? Hoe worden resultaten gecontroleerd? En hoe wordt vastgelegd welke data, prompts en beslissingen aan een uitkomst hebben bijgedragen?

Ook hier ligt de link met DORA. Digitale weerbaarheid gaat niet alleen over systemen in de lucht houden, maar ook over het beheersen van technologie die onderdeel wordt van kritieke processen.

De rol van Comex

Financiële instellingen willen innoveren, maar kunnen zich geen verlies van controle veroorloven. Comex helpt organisaties om hun data-infrastructuur veilig, controleerbaar en toekomstbestendig in te richten.

Met Europese en on-premise opslagoplossingen ondersteunen we organisaties bij het beschermen van kritieke data, het versterken van back-up en recovery en het beperken van afhankelijkheid van externe platforms. Daarbij sluiten onze oplossingen aan op thema’s die binnen DORA centraal staan: digitale weerbaarheid, herstelvermogen, ICT-risicobeheer en grip op derde partijen.

Ook bij de inzet van lokale AI kan Comex meedenken. Denk aan AI-toepassingen waarbij gevoelige financiële data binnen de eigen omgeving blijft en niet wordt verwerkt in publieke cloudmodellen. Zo kunnen financiële instellingen profiteren van innovatie en efficiëntie, zonder concessies te doen aan compliance, controle en continuïteit.