PART 2-B Wijzigingen regelgeving vanuit de toezichtwetten In dit artikel wordt ingegaan op de recente wijzigingen in regels die bestaan ten aanzien van de informatiebeveiliging bij financiële instellingen. Onder de in dit artikel bedoelde financiële instellingen zijn alleen begrepen de instellingen die onder toezicht staan van een of meerdere van de navolgende instanties: de Nederlandsche Bank (DNB), de Stichting Toezicht Effectenverkeer (STE), de Pensioen- & Verzekeringskamer (P&Vk). Verder is in dit artikel alleen aandacht besteed aan de op deze instellingen specifiek toegesneden weten regelgeving ten aanzien van informatiebeveiliging. Dergelijke bepalingen in algemene zin, zoals opgenomen in onder meer de Wet Bescherming Persoonsgegevens en de Wet Computer Criminaliteit, blijven buiten beschouwing.
Wijziging wet- en regelgeving bij financiële instellingen Door Paul Osse RE RA
Vanwege het belang van de financiële instellingen op de financiële stabiliteit van een land heeft de wetgever gemeend te moeten voorzien in mogelijkheden om tot voor deze sector toegesneden wet- en regelgeving te komen. Gegeven het toenemend belang van de informatietechnologie binnen de bedrijfsvoering van deze instellingen is in deze wet- en regelgeving ook aandacht besteed aan de informatiebeveiliging. De ontwikkelingen die zich de afgelopen jaren onder meer op het gebied van corporate governance, compliance, integriteit en informatietechnologie (IT) hebben voorgedaan heeft bij de toezichthouders op de financiële instellingen het besef doen ontstaan hun regelgeving hierop aan te passen. Een belangrijke wijziging is dat voor IT wordt verwezen naar algemeen geaccepteerde normen en standaarden, die in de afgelopen jaren op dit gebied zijn ontstaan. Zo worden in de nieuwe Regeling Organisatie en Beheersing (ROB) van DNB de hiervoor bedoelde normen en standaarden aangeduid als ‘sound practices’. Ook de STE refereert in haar wijzigingen van de Nadere Regeling aan dergelijke normen en standaarden. Uit ervaringen is gebleken dat deze ‘sound practices’ periodiek worden bijgesteld naar de ontwikkelingen in de tijd. De keuze om in de gewijzigde regelgeving te verwijzen naar deze ‘sound practices’ biedt de toezichthouders onder meer als voordeel dat de regelgeving minder onderhoudsgevoelig wordt voor toekomstige technologische ontwikkelingen, zoals bijvoorbeeld ontwikkelingen in de datacommunicatievoorzieningen. Wettelijke basis De in de verschillende toezichtwetten opgenomen toezichttaak is belegd bij de Minister van Financiën. Deze heeft deze taak gedelegeerd aan een aantal toezichthoudende instanties (onder meer DNB, STE en P&Vk). Zo is het toezicht op kredietinstellingen (lees: banken) ingesteld ter bescherming van de belangen van de crediteur en vanuit het belang dat deze instellingen vervullen in het maatschappelijk verkeer. Doelstellingen van dit toezicht zijn een solvabel bankwezen met het oog op de crediteurenbescherming, alsmede de handhaving van het vertrouwen in het bankwezen als geheel en in de afzonderlijke kredietinstellingen. Kapstokbegrippen zijn in dit verband: solvabiliteit, liquiditeit en administratieve
De EDP-Auditor, nummer 3 2001
organisatie. In artikel 22 van de herziene Wtk van 1992 is bepaald dat de DNB de kredietinstellingen aanbevelingen en algemene richtlijnen ten aanzien van de administratieve organisatie kan geven. Binnen deze richtlijnen past ook het kunnen geven van richtlijnen ten aanzien van de informatiebeveiliging. Onder meer door de conglomeraatvorming kunnen meerdere toezichthoudende instanties zijn betrokken bij het wettelijk toezicht op één financiële instelling. Om coördinatie en afstemming van niet-sector specifieke regelgeving en beleid, te intensiveren is in augustus 1999 de Raad van Financiële Toezichthouders (RFT) operationeel geworden. Hierin zijn DNB, STE en de P&Vk vertegenwoordigd. Voorbeelden van onderwerpen die object kunnen zijn van niet-sector specifieke regelgeving en beleid zijn consumentenzaken, integriteitstoezicht en groepstoezicht. Momenteel bestaan voornemens om de gezamenlijk in te vullen verantwoordelijkheid van deze toezichthouders voor het tot stand brengen van gelijkgerichte regelgeving, beleid en eventueel uitvoering ter zake van de bedoelde niet-sector specifieke onderwerpen, in de verschillende toezichtwetten vast te leggen. Wijziging richtlijnen vanuit de Wet Toezicht Kredietwezen (Wtk) De DNB heeft haar regelingen niet gewijzigd maar heeft een belangrijk deel van de bestaande regelingen vervangen door één nieuwe regeling te weten: de ROB. In deze regeling is als uitgangspunt gekozen de beheersing van risico’s die instellingen lopen. Hierbij gaat het om materiële risico’s. Dat wil zeggen risico’s die de financiële prestaties, financiële positie, continuïteit of reputatie van de instelling in belangrijke mate kunnen aantasten. Uitgangspunt bij dit alles is dat de verantwoordelijkheid voor het gehele proces (onderkennen en mitigeren van risico’s) bij de instelling zelf ligt. Het bestuur van de instelling dient er op toe te zien dat dit in de praktijk wordt gerealiseerd. De regeling is modulair van opbouw. Naast algemene richtlijnen en aanbevelingen zijn aanvullingen opgenomen voor een aantal specifieke risicogebieden. Een van deze specifieke risicogebieden is de IT. Algemene richtlijnen dienen gevolgd te worden. Als aanbevelingen niet worden gevolgd wordt een argumentatie van deze afwijking verwacht. Daarnaast zijn in de regeling toelichtingen opgenomen. Deze geven aan langs welke lijnen de DNB voornemens is de betreffende richtlijn te lezen en te interpreteren. Hierdoor zijn deze toelichtingen impliciet te zien als normen en standaarden, waarvan wordt verwacht dat deze door de instellingen worden gevolgd. De regeling is in werking getreden per 1 april 2001. In de ROB is aangegeven dat een overgangsperiode van één jaar zal worden gehanteerd. De algemene richtlijnen en aanbevelingen van de ROB hebben voor een deel ook betrekking op de IT. Zo zijn onder meer bepalingen opgenomen over het beheersingsmechanisme, het risicoanalyseproces, de organisatorische inrichting en over informatie en communicatie. Naast beheersingsmaatregelen binnen de lijn is ook aandacht besteed aan de interne-auditfunctie. In dit kader zijn bepalingen opgenomen die aandacht besteden aan de deskundigheid, de onafhankelijkheid, de toereikendheid van middelen en de vrije toegang tot alle benodigde informatiebronnen Aanbevolen is om, indien de middelen dit toelaten, de interne-auditfunctie als interne-accountantsdienst te institutionaliseren. Tevens is aandacht besteed aan de opdracht aan de externe accountant. Hierbij is aangegeven dat de externe accountant bij zijn toetsing en beoordeling de artikelsgewijze richtlijnen van de ROB in acht dient te nemen. Om een informatieplicht van de externe accountant van een financiële instelling ten opzichte van de DNB mogelijk te maken zijn afzonderlijke overeenkomsten afgesloten tussen de betreffende financiële instelling, haar externe accountant en de DNB (zgn. tripartiete overeenkomst). Gegeven het belang dat de DNB aan een goede beheersing van de IT-risico’s hecht is nadrukkelijk aangegeven dat de externe accountant specifiek aandacht dient te geven aan de richtlijnen en aanbevelingen die zijn opgenomen in de aanvullende artikelen over de IT. In de toelichtende tekst is hierbij onder meer aangegeven dat de externe accountant in zijn rapportage(s) ten minste melding maakt van de bevindingen inzake de beheersing van de ITrisico’s.
2
De richtlijnen en aanbevelingen die in de ROB opgenomen zijn ten aanzien van de IT hebben de volgende strekking. De instelling dient: • helder geformuleerde beleidsuitgangspunten te hebben ter beheersing van de IT-risico’s; Ten aanzien van de hierbij te hanteren ‘sound practices’ is aangegeven dat de DNB verwacht dat een instelling deze ‘practices’ – in het bijzonder van bedrijfsspecifieke standaarden – verwerkt in haar beleid. Tevens is nog vermeld dat informatie- en beveiligingsbeleidsplannen op geïntegreerde wijze deel dienen uit te maken van het beheersingsmechanisme van de instelling als geheel. • op systematische wijze een analyse van de IT-risico’s uit te voeren; Uit de toelichtende tekst valt af te leiden dat de frequentie waarmee deze risicoanalyse moet worden bijgesteld in overeenstemming dient te zijn met de ontwikkelingen in de IT en de daaraan verbonden IT-risico’s. In het ROB is ten aanzien van het IT-risico een verdere detaillering gemaakt naar strategisch-, beheersbaarheids-, exclusiviteits-, integriteits-, controleerbaarheids-, continuïteits- en gebruikersrisico. Hierbij is aansluiting gezocht met de IT-risico’s zoals de DNB deze ook in haar op risicoanalyse gebaseerde toezichtbenadering hanteert. Deze benadering wordt aangeduid als RAST (Risk Analysis Support Tool). • de hiervoorgenoemde beleidsuitgangspunten uit te werken en te implementeren in zichtbare organisatorische en administratieve procedures en maatregelen; • te voorzien in een systematisch toezicht op de naleving van deze procedures en maatregelen; In de toelichting is onder meer aangegeven dat de ‘controls’ zichtbaar dienen te zijn of te kunnen worden gemaakt (de ‘audit trail’). Tevens is de aanbeveling opgenomen dat grotere en meer complexe instellingen deze toezichttaak neerleggen bij een risicobeheersingscommissie. Deze dient rechtstreeks onder het bestuur van de instelling te zijn geplaatst en een onafhankelijke rapportagelijn te hebben naar het bestuur. • specifieke maatregelen te treffen die een afdoende beveiliging van de informatie en van de continuïteit van de IT waarborgen; In de toelichting is aangegeven dat de instelling extra aandacht aan de beveiliging dient te geven als zij de mogelijkheid biedt via elektronische media transacties uit te voeren. Ten aanzien van de continuïteit is een aantal mogelijke maatregelen genoemd (back-up- en recoverymaatregelen, actueel calamiteiten plan, uitwijk en het periodiek testen hiervan). • bij gebruik van IT-toepassingen afdoende waarborgen te treffen voor de rechtszekerheid en de privacy van de cliënten; In de toelichtende tekst wordt ingegaan op de gevolgen voor de beveiliging en de privacy van cliënten, die verbonden zijn aan het koppelen van de IT van de instelling aan netwerken met de buitenwereld. Ten aanzien van de cliënten van de instelling is specifiek nog aangegeven dat de instelling zich tevens dient te beijveren om haar cliënten bij gebruik van (open) netwerkomgevingen een zelfde rechtszekerheid en bescherming te bieden als bij gebruik van meer traditionele communicatieomgevingen. Een onderdeel van het ROB dat eveneens betrekking heeft op de IT zijn de richtlijnen en aanbevelingen ten aanzien van de uitbesteding van (delen van) bedrijfsprocessen. De voorgaande regeling was alleen beperkt tot uitbesteding van de geautomatiseerde gegevensverwerking. De bepalingen in het ROB kennen deze limitering niet meer en hebben betrekking op elke vorm van uitbesteding Hierbij is het in beginsel niet van belang of uitbesteding plaatsvindt binnen of buiten de groep waartoe de instelling behoort. Uitgangspunt bij de richtlijnen en aanbevelingen, die de DNB ter zake van uitbesteding heeft opgesteld, is dat aan het besluit tot uitbesteding een zorgvuldige afweging vooraf gaat. De richtlijnen en aanbevelingen ten aanzien van uitbesteding hebben de volgende strekking. De instelling dient: • te beschikken over helder geformuleerde beleidsuitgangspunten ter beheersing van risico’s die samenhangen met het uitbesteden van werkzaamheden; In de toelichting is onder meer opgenomen dat in het beleidsplan specifiek aandacht moet worden
3
besteed aan de keuze van werkzaamheden die wel of niet voor uitbesteding in aanmerking komen. Voor de uitbestede (deel)processsen dient de instelling tevens zorg te dragen dat wordt voldaan aan richtlijnen en aanbevelingen van de DNB inzake organisatie en beheersing. Specifiek is nog aandacht gevraagd voor maatregelen ter waarborging van de continuïteit van de bedrijfsvoering. • bij onvoldoende waarborgen voor het handhaven van een beheerste en integere bedrijfsvoering, niet tot uitbesteding van de betreffende processen over te gaan; • te voorzien in een systematische analyse van de risico’s die samenhangen met de uitbesteding van werkzaamheden; Hierbij is specifiek toegelicht dat bij uitbesteding op het IT-terrein de risico’s van de snelle verandering op dat terrein in de risicoanalyse dienen te worden betrokken. • de hiervoorgenoemde beleidsuitgangspunten uit te werken en te implementeren in zichtbare organisatorische en administratieve procedures en maatregelen en deze te integreren in de systemen en de dagelijkse werkzaamheden; In het kader van de zorgvuldigheid is toegelicht dat de externe dienstverlener op een aantal aspecten wordt beoordeeld (financiële gegoedheid, reputatie, integriteit, kwaliteit, interne organisatie en beheersing, toegang door derden zoals de externe accountant en de DNB). Tevens dient aandacht te zijn besteed aan de continuïteit van de dienstverlening (beschikbaarheid deskundig personeel, calamiteitenvoorzieningen). • de afspraken met de dienstverlener in een schriftelijke overeenkomst vast te leggen. In deze overeenkomst dienen bepalingen te worden opgenomen, die voorzien in de bevoegdheid van de DNB om bij de externe dienstverlener/leverancier informatie in te winnen omtrent de uitbestede werkzaamheden respectievelijk bij zijn externe accountant. Tevens dienen bepalingen te zijn opgenomen, die de mogelijkheid bieden dat de DNB onderzoek bij deze partijen doet of laat doen. Deze bepalingen gelden ook als wordt overgegaan tot onderaanbesteding; • te voorzien in procedures en maatregelen om toezicht te houden op de wijze waarop de externe dienstverlener invulling geeft aan de uitbestede werkzaamheden. Een van de belangrijkste aspecten bij dienstverlening is dat wordt voorzien in adequate mogelijkheden om de kwaliteit van de dienstverlening te kunnen meten en beoordelen. Om hieraan invulling te kunnen geven dient in de Service Level Agreement (SLA) nauwgezet te worden gedefinieerd welke eisen aan de dienstverlener worden gesteld. Deze eisen dienen niet alleen betrekking te hebben op de kwaliteit van de diensten maar ook op de kwaliteit van de in systemen en de organisatie getroffen maatregelen op het gebied van beveiliging, beheersing en continuïteit. Om toetsing mogelijk te maken dienen deze eisen zodanig te zijn geformuleerd dat realisatie hiervan meetbaar is. In het kader van de beoordeling dient in rapportage te worden voorzien. Het is niet toegestaan de interne auditfunctie uit te besteden aan een niet tot de groep behorende dienstverlener. Tevens is het niet toegestaan de financiële administratie en het opmaken van de jaarrekening uit te besteden aan de controlerend accountant van de instelling, dan wel aan het kantoor waarmee de externe accountant is verbonden. Wet toezicht beleggingsinstellingen Ter bescherming van de belangen van beleggers heeft de wetgever ook voorzien in een Wet toezicht beleggingsinstellingen (Wtb). In het kader van het toezicht zijn onder meer de vereisten gedefinieerd waaraan een beleggingsinstelling moet voldoen om een vergunning te krijgen en zijn vereisten gesteld ten aanzien van de kwaliteit van de administratieve organisatie. Vanuit de Wtb zijn geen specifieke bepalingen ten aanzien van de informatiebeveiliging gesteld. Regelgeving vanuit Wet Toezicht Effectenverkeer (Wte) Het toezicht op de effectenhandel in Nederland wordt uitgeoefend door de STE . Dit toezicht is wettelijk geregeld en heeft tot doel het adequaat functioneren van de effectenmarkten en de bescherming van de
4
positie van de belegger. Evenals de Wtk is de Wte een kaderwet en bevat slechts regelingen op hoofdlijnen. Via afzonderlijke besluiten bij de Wte is in gedetailleerdere regelgeving voorzien. Op 1 februari 1999 is de nieuwe Nadere Regeling toezicht effectenverkeer 1999 in werking getreden. In deze nadere regeling zijn ook afzonderlijke bepalingen opgenomen ten aanzien van de kwaliteit van de geautomatiseerde gegevensverwerking. Aangegeven is dat een effecteninstelling die gebruik maakt van geautomatiseerde gegevenverwerking zodanige maatregelen en procedures dient door te voeren dat de betrouwbaarheid en de continuïteit van de geautomatiseerde gegevensverwerking continue worden gewaarborgd. In dit kader is door de STE onder meer aangegeven dat maatregelen dienen te worden genomen, die: • voorkomen dat ongeautoriseerd programmatuur en systemen wordt geïmplementeerd of gewijzigd; • voorzien in functiescheiding tussen omgevingen (ontwikkeling-, test- en operationele omgeving), in adequate testprocedures, in een adequaat incident en problem management; • bewaken dat in de operationele omgeving van de juiste programmatuur en gegevens wordt gebruik gemaakt; • voorzien in een adequate logische toegangsbeveiliging (competentietabellen, regelmatige wijziging wachtwoorden, beheer procedures, geprogrammeerde controles); • voorkomen dat storingen en calamiteiten optreden binnen de geautomatiseerde gegevensverwerking (herstelprocedure, adequate documentatie, veiligheidskopieën, uitwijk, fysieke en logische beveiliging. • ervoor zorgdragen dat veranderingen in informatiebehoeften en de daartoe benodigde aanpassingen in de automatiseringssystemen worden vastgesteld en doorgevoerd op basis van veranderingen in de doelstellingen en in het risicoprofiel van de effecteninstelling. De STE heeft het voornemen deze bepalingen bij te stellen. Naar verwachting zal hierbij aandacht worden besteed aan een verdere bijstelling van de bepalingen op het gebied van de beveiliging, aan de consequenties op de IT van wijzigingen in doelstellingen en risicoprofiel van een effecteninstelling. Tevens bestaat de verwachting dat de STE voor de door effecteninstellingen te hanteren normen en standaarden ten aanzien van de kwalititeit van de IT ook zal verwijzen naar algemeen geaccepteerde normen en standaarden. Tevens heeft de STE in beleidsnotitie 99-0003 aandacht besteed aan Internet in relatie tot het toezicht op het effectenverkeer. In deze beleidsnotitie is onder meer aangegeven dat uitgifte van effecten, dan wel het aanbieden van effectendiensten die op het Internet ‘in of vanuit Nederland’ worden aangeboden of verricht onder het wettelijk toezicht van de STE vallen. Hierbij zijn een aantal indicatoren genoemd, die een nadere invulling geven van de aanduiding ‘in of vanuit Nederland’. In de beleidsnotitie wordt tevens nog aandacht besteed aan het verschaffen van informatie aan beleggers via Internet (de wettelijk verplicht te verstrekken informatie mag niet uitsluitend via Internet) en aan Internet als onderdeel van de marktinfrastructuur. In dit kader is door de STE ten aanzien van beursorderlijnen onder meer aangegeven dat de STE voor de goedkeuring van een dergelijk systeem extra aandacht zal besteden aan de beveiligingsaspecten. Ten aanzien van de administratieve organisatie en beveiliging is opgemerkt dat in een Internetomgeving de cliënten van een effecteninstelling verzekerd moeten zijn van dezelfde bescherming en (rechts)zekerheid als die welke hen geboden wordt in een traditionele omgeving. Hierbij is aangegeven dat vanwege het ‘open’ karakter van Internet extra zorg en aandacht zal moeten worden besteed aan de beveiliging en de privacy van cliënten en aan de verificatie van de identiteit van de cliënt. In dit kader is tevens nog vermeld dat de eerste identificatie van een nieuwe cliënt, alsmede de cliëntovereenkomst, niet exclusief via Internet tot stand mogen komen. Dit betekent dat moet worden voorzien in een cliëntovereenkomst met een originele handtekening en datum van ondertekening. Aangeven is dat deze altijd in originele vorm moet worden bewaard.
5
Toezicht door de Pensioen & Verzekeringskamer Via een aantal wetten heeft de wetgever voorzien in toezicht op verzekeringsmaatschappijen en pensioenfondsen. Dit toezicht is belegd bij de Pensioen & Verzekeringskamer. Doelstelling van dit toezicht is primair dat de onder toezicht staande instellingen te allen tijde aan hun verplichtingen jegens hun cliënten kunnen voldoen. Ook de Pensioen & Verzekeringskamer kan richtlijnen geven. Op het gebied van informatiebeveiliging heeft de Pensioen & Verzekeringskamer nog geen concrete richtlijnen opgesteld. Een projectgroep heeft recentelijk een concept opgesteld van principes, die in het kader van interne beheersing in acht zijn te nemen. Hierin wordt niet specifiek aandacht besteed aan de kwaliteit van de IT van verzekeringsmaatschappijen en pensioenfondsen. Bij de uitvoering van het toezicht is de kwaliteit van de automatisering wel aandachtsgebied. Buitenlandse beïnvloeding van het toezicht Bij het opstellen van richtlijnen wordt, waar mogelijk en toepasbaar, ook rekening gehouden met toezichtsbeschouwingen van internationale organisaties als het Bazels Comité van Bancaire Toezichthouders, het EMI (Europees Monetaire Instituut), collega buitenlandse toezichthouders en de Europese Commissie. Het Bazels Comité heeft o.a. in 1997 “the Core Principles for Effective Banking Supervision” opgesteld. Hierin zijn 25 basis principes opgenomen die geïmplementeerd moeten zijn voor een effectief toezicht. Het doel van deze principles is om als referentiemateriaal te dienen voor toezichthouders en andere overheden. Deze principles dienen te worden beschouwd als minimum vereiste. Een aantal van deze principles bieden ook aanknopingspunten voor de informatiebeveiliging. Zo zijn er onder meer principles die gericht zijn op de eis tot implementatie van een risico management, op interne controlemaatregelen en op het risico management bij elektronisch bankieren. Standaarden NVB Binnen de NVB houdt de werkgroep Coördinatie Informatiebeveiliging (de Cibev) zich onder andere bezig met de informatiebeveiliging van het binnenlands betalingsverkeer. In de afgelopen jaren zijn door de Cibev in de vorm van ledencirculaires een aantal NVB standaarden opgesteld. Deze circulaires hebben het karakter van een dringende aanbeveling. Maatregelen om opvolging af te dwingen bezit de NVB niet. In het kader van de kwaliteit van de IT is onder meer een ledencirculaire opgesteld, die aandacht besteedt aan de beveiliging van Internet (LC 1968). Tevens is door de NVB een handleiding voor Service Level Agreements opgesteld en zijn standaarden voor het integriteitskenmerk en het authenticiteitskenmerk opgesteld. Deze laatsten zijn door de Beleidscommissie Betalingsverkeer van de NVB voor toepassing in het binnenlands betalingsverkeer verplicht gesteld. In publicaties in diverse media wordt door de NVB ook aandacht besteed kwaliteitsmaatregelen in en rondom de IT bij banken. Conclusie Op grond van het voorgaande wordt geconcludeerd dat de regelgeving ten aanzien van informatiebeveiliging door financiële instellingen inmiddels is aangepast en nog verder zal worden aangepast aan de ontwikkelingen in de tijd. Een van de belangrijkste ontwikkelingen hierin is dat de toezichthouders ten aanzien van de door onder toezichtstaande instellingen te hanteren normen en standaarden op het gebied van de kwaliteit van de IT steeds meer aansluiting zoeken bij algemeen geaccepteerde normen en standaarden op dit terrein. Dit heeft voor de instellingen als voordeel dat zij ten aanzien van kwaliteit van de IT minder rekening hoeven te houden met specifieke door de toezichthoudende instanties gestelde eisen. Voor de toezichthouders is het voordeel dat hun regelgeving hierdoor minder onderhoudsgevoelig is geworden, waardoor minder snel de noodzaak zal bestaan om de regelgeving aan te passen aan (technologische) ontwikkelingen.
6
Paul Osse is als toezichthouder werkzaam bij de sectie Banken en Informatietechnologie van het Directoraat Toezicht van de Nederlandsche Bank, e-mail
[email protected]. Dit artikel is geschreven op persoonlijke titel. Overzicht geraadpleegde literatuur: 1. 2. 3. 4. 5. 6. 7. 8. 9.
Richtlijn Organisatie en Beheersing, De Nederlandsche Bank N.V. Wet toezicht kredietwezen 1992 Beleidsregels Media Wtk 1992, De Nederlandsche Bank N.V. Internetsite DNB (http://www.dnb.nl) Wet toezicht effectenverkeer 1995 Wijziging besluit toezicht effectenverkeer, 20 juli 1998 Informatiememorandum over gewijzigde besluit toezicht effectenverkeer Nadere regeling toezicht effectenverkeer 1999, inclusief toelichting (NR99) Wijziging artikel 27 van bijlage 4 van de Nadere regeling toezicht effectenverkeer 1999. inclusief toelichting 10. Beleidsnotitie 99-0003 van de Stichting Toezicht Effectenverkeer inzake het Internet in relatie tot het toezicht op het effectenverkeer in Nederland 11. Wet toezicht beleggingsinstellingen 12. Besluit toezicht beleggingsinstellingen 13. Core Principles for Effective Banking Supervision, Basle Committee on Banking Supervision, september 1997 14. Internetsite STE (http://www.ste.nl) 15. Internet-technologie, toezicht en de rol van de IT-auditors bij financiële instellingen, Mw. B. Beugelaar RE RA, Compact 2000/1. 16. NVB standaard integriteits- en authenticiteitskenmerk 1997 17. NVB Ledencirculaire Beveiliging van Internet (LC 1968), april 2000 18. NVB Handleiding Service Level Agreement, januari 1999 19. Sleutel tot veilig betalen op Internet, dr. M.A.A. Sonnemans, Secretaris Informatica/Telematica NVB 20. De sleutel tot veilig elektronisch bankieren, dr. M.A.A. Sonnemans, Jaarboek Informatiebeveiliging 1999/2000 21. Internetsite Verzekeringskamer (http://www.verzekeringskamer.nl) 22. (concept) Principes Interne Beheersing, Pensioen- & Verzekeringskamer 23. Audit alert 10: werkzaamheden accountant in het kader van de Nadere regeling toezicht effectenverkeer 1999 (NR99), Nivra Berichten september 2000 24. Regelgeving vanuit de toezichtwetten, Paul Osse RE RA, Praktijkjournaal Informatiebeveiliging, augustus 1999
7
