Redactioneel. Data
Lucianne Verweij Het artikel is in de opmaak van het tijdschrift rechts als pdf beschikbaar.De editie van het Tijdschrift voor Compliance die voor u ligt is geheel gewijd aan data. Voor de compliancefunctionaris een essentieel ingrediënt om tot een aantoonbaar toereikend en effectief complianceprogramma te komen. Dat blijkt wel als je bijvoorbeeld de recente publicatie ‘Evaluation of corporate compliance programs’1 van de US department of Justice erop naslaat. Volgens deze richtlijnen doe je als compliancefunctionaris er goed aan om de periodiek uitgevoerde risico-assessment te baseren op een continue stroom van operationele data en informatie over verschillende functies heen. Daarnaast dien je ongelimiteerde toegang te hebben tot relevante databronnen om tijdig en effectief te kunnen monitoren en testen. Natuurlijk vragen deze controls, verzamelingen, en analyse van data op hun beurt weer om continue test- en verbeterslagen. Kortom, datamanagement lijkt voornamelijk een belangrijk middel om tot het doel, een toereikend complianceprogramma, te komen. Door de toenemende mogelijkheden van data dient zich echter een bewustzijn aan dat het gebruik van data ook de nodige vragen en dilemma’s oproept. In de vorige editie werd hier al een uitstapje naar gemaakt door Dennis Mijnheer, en wel in zijn interview van Evert Stamhuis en Joris Krijger. Zij namens ons mee in een zoektocht naar een ‘eerlijk’ gebruik van kunstmatige intelligentie en de keuzes en afwegingen die hiermee gemoeid zijn. Een van de dilemma’s daarbij was bijvoorbeeld de trade-off tussen performance en explainability.2 In deze editie bouwen de auteurs hierop voort en nemen u niet alleen mee in de relevantie van data, maar ook in vraagstukken die het gebruik van data oproepen. De wereld van juridische en morele uitdagingen die gelden voor gebruik van data, door de compliancefunctionaris zelf, of door andere functies waarmee de compliancefunctionaris vanuit zijn of haar rol interacteert. ‘Schijnveiligheid’, ‘onzorgvuldigheid’, ‘bias’, zijn geen woorden die goed resoneren met een effectief complianceprogramma. Toch zijn het woorden die relevantie dragen, en aandacht vragen om juist die effectiviteit te realiseren. U komt ze bij de verschillende auteurs in deze editie tegen. Hieronder vindt u de verschillende onderwerpen in deze editie op een rijtje. Sylvie Bleker-van Eyk neemt ons mee in de wereld van de algoritmen en hoe deze bij de ordening van data behulpzaam kunnen zijn bij de beantwoording van prangende compliancevraagstukken. Daarin schenkt ze aandacht aan wat er nodig is om het algoritme goed te laten functioneren in een compliance-omgeving, en aan de tijdbom onder algoritmen: bias. Volgens haar zullen in het begin regelmatige audits dienen te worden gehouden om onzorgvuldigheden in algoritmen zoveel mogelijk weg te nemen en fairness te borgen. Fairness is ook iets waar Emanuel van Praag en Tara Scholma impliciet naar op zoek zijn in hun bijdrage, die ziet op ongelijke behandeling van klanten. De auteurs geven ruimte aan gerechtvaardigd onderscheid, maar waarschuwen voor willekeur of onderscheid op onjuiste gronden. De inzet van Big Data en algoritmen vergroten zowel de mogelijkheden tot onderscheid, maar vergroten ook het risico dat niet meer uit te leggen is waarop het onderscheid is gebaseerd. Met alle risico’s van dien. Instrumenten zoals de Systematische Integriteitsrisico Analyse (SIRA) en het Product Approval Review Proces (PARP) kunnen volgens hen een rol spelen om tot een uitlegbare conclusie te komen dat ongelijke behandeling gerechtvaardigd is. Jeroen Goudsmit en Jeroen de Ridder zoeken de oplossing in de bestuurlijke borging van algoritmen, om zo integer gebruik daarvan zeker te stellen. In hun betoog stellen ze dat algoritmes zelden waardenvrij zijn en dat in hun implementatie al dan niet bewust stelling wordt genomen in de spanningen tussen meerdere conflicterende waarden. De uitdaging is om te borgen dat deze stellingnames bewust plaatsvinden in de daarvoor gepaste gremia. Zij pleiten daarbij voor een gestructureerde aanpak. Volgens henalleen de waarden van belanghebbenden grondig worden verkend maar kan er ook gezocht worden naar de juiste beheersmaatregelen. Om nog even bij governance te blijven, Lokke Moerel argumenteert in haar bijdrage dat het three lines of defense-model voor risicomanagement in deze vorm niet geschikt is voor digitale innovatie. Volgens haar werkt de strikte splitsing van taken in dit model remmend. Met name kunstmatige intelligentie brengt een geheel nieuw scala aan design-issues en daarmee gemoeide ethische dilemma’s mee die alleen zijn te adresseren als de betreffende experts onderdeel zijn van de innovatieteams en het team vervolgens gezamenlijk verantwoordelijkheid voor compliance neemt. Dit betekent dat fundamenteel anders dient te worden nagedacht over risico en controle. Volgens haar dient een heroriëntering plaats te vinden op hoe de onderliggende rationale van de rol van de second line of defense het best kan worden ingevuld, indien compliance zelf onderwerp van innovatie is. Innovatie op compliance vergt volgens haar immers ook innovatie op de compliancefunctie. Dennis Mijnheer interviewt Aleid Wolfsen, voorzitter van de Autoriteit Persoonsgegevens, over de toezichthoudende rol van de AP in de digitale wereld van algoritmes. Een duidelijk beeld ontstaat uit dit interview: zodra verwerking van persoonsgegevens in het spel zijn, dan is de Algemene Verordening Gegevensbescherming (AVG) daar in volle omvang op van toepassing. Dat maakt dat iedere verwerking ten eerste rechtmatig, behoorlijk, en daarnaast transparant moet zijn. De komende jaren zal vanuit toezicht extra nadruk gelegd worden op datahandel, de digitale overheid, kunstmatige intelligentie en algoritmes, zoals vastgelegd in hun visiedocument Focus 2020-2023: Dataprotectie in een digitale samenleving. Aleid pleit daarnaast voor toezicht met kennis binnen de organisatie zelf. Verder raakt dit interview aan de relatie AP en andere toezichthouders, en worden conclusies getrokken uit de Syri-uitspraak. Jurriaan Jansen en Naomi Schuitema borduren op dit onderwerp voort en bespreken vervolgens de waarborgen die op grond van de AVG bij het gebruik van artificiële intelligentie in acht moeten worden genomen. Daarbij besteden ze aandacht aan verschillende begrippen zoals machine learning, deep learning en supervised learning, om vervolgens het privacyrechtelijke kader in hoofdlijnen uiteen te zetten. Ze schenken daarbij specifieke aandacht aan de concepten profilering en geautomatiseerde besluitvorming, gezien de specifieke eisen die de AVG daaraan stelt. Om te eindigen met concrete aanbevelingen voor de praktijk. Ook de curator heeft soms te maken met de AVG met noodzakelijke verwerkingen van data om aan zijn wettelijke verplichtingen te voldoen onder de Faillissementswet. In het artikel van Elze ’t Hart wordt besproken onder welke voorwaarden een curator (bijzondere) persoonsgegevens ter uitvoering van zijn wettelijke taken mag verwerken. Met een praktische suggestie om de Uitvoeringswet AVG (UAVG) zodanig aan te passen, opdat de curator zijn taken onder de Faillissementswet weer naar behoren kan uitvoeren. In het kader van actualiteit reflecteert Joris Blaauw over de Binding Corporate Rules (BCR). Op dit moment staat menig multinational in de wachtrij om hun BCR goedgekeurd te krijgen. Zolang de BCR niet definitief is goedgekeurd kunnen de organisaties hun privacy-implementatie niet afronden en beschikken ze in veel gevallen mogelijk niet over een geldige grondslag voor bepaalde doorgiften van persoonsgegevens binnen het concern naar landen buiten de EEA en zonder een passend beschermingsniveau. In deze bijdrage wordt ingegaan op wat de BCR is en in welke situaties de BCR van toepassing is. Mede gezien het complexe proces, de lange doorlooptijd en de vaak aanzienlijke kosten om een BCR goedgekeurd te krijgen, is het voor organisaties die nu nog voor de keuze staan hoe zij hun privacy beleid vorm willen geven, aan te bevelen om alternatieven te overwegen. Een alternatief kan bijvoorbeeld worden opgehangen aan de verplichtingen die voortvloeien uit art. 26/28 AVG, waarin de entiteiten op transparante wijze hun respectievelijke verantwoordelijkheden voor de nakoming van de verplichtingen dienen vast te stellen. In deze bijdrage worden daarnaast handvatten geboden om een dergelijke afweging te maken. Want ook voor het opstellen van een BCR geldt bezint eer ge begint. Waar al deze bijdragen met name gericht zijn op de zorgvuldigheid die het van de organisatie en de compliancefunctionaris vraagt om data, en dan met name AI oplossingen, in te kunnen zetten, onderstaande twee bijdragen concentreren zich vooral op de winsten die met de inzet van data kunnen worden geboekt in het verbeteren van de effectiviteit van een complianceprogramma. Pieter van Doorn en Pieter Lamens argumenteren dat de waarde van organisaties deels bepaald wordt door de data die ze verwerken, en de (al dan niet verantwoorde) manier waarop ze die verwerken. Dat onderstreept in een mergers and acquisition traject het belang van een goede due diligence of assessment van het data management, met name met betrekking tot het verwerken van persoonlijke data. Zij reiken in hun bijdrage daartoe een aantal instrumenten aan die ingezet kunnen worden om te bepalen of aan de randvoorwaarden voor verantwoord datagebruik voldaan is, en hoe zich dit vertaalt naar de waardering van de organisatie. In hun bijdrage stellen Marlène Jans en Henk de Jong dat soft controls goed meetbaar zijn en zodoende bij kunnen dragen aan de effectiviteit van een complianceprogramma. Ze betogen dat een goed inzicht in de werking van soft controls samen met de analyse van hard controls een integraal beeld oplevert van de beheersomgeving en de effectiviteit van de genomen beheersmaatregelen. Daarmee kan het een solide bijdrage leveren aan de risicoanalyse. Daarbij is het wel van belang dat de analyse van de gedragsdata zo objectief en betrouwbaar mogelijk is ingericht. Wat dat inhoudt leggen ze aan de hand van theorie onderbouwd met voorbeelden uit. Meike Fijneman en Dennis Tesselaar bieden ons inzichten in hoe we meer grip kunnen krijgen op een organisatiecultuur en gedrag van medewerkers middels data driven compliance en de daarbij vereiste data-analysetechnieken. Met toepassing van data driven compliance is een compliance officer volgens hen in staat om gericht te sturen en tijdig in te grijpen, indien uit de data blijkt dat het gedrag niet in de pas loopt met de regels. Hun bijdrage voorziet in aandachtspunten en een stappenplan hoe de theorie in de praktijk om te zetten. In zijn vaste bijdrage, dit keer gewijd aan de onbevreesde organisatie, bespreekt Edgar Karssing (de noodzaak van) psychologische veiligheid. Hij stelt dat ‘om de goede dingen op de goede manier te doen, is het nodig dat mensen hun mond opendoen en zich uitspreken’. Dat is gegeven aan de moedigen onder ons, maar hij vraagt zich af waarom wij binnen organisaties geen omgeving creëren waarin mensen zich veilig voelen om zich uit te spreken, waardoor de noodzaak van moed afneemt en de bereidheid tot uitspreken toeneemt. Zoals hem gebruikelijk geeft hij een ruime hoeveelheid aan tips aan organisatie en compliancefunctionaris hoe een dergelijke omgeving te (helpen) creëren. Bijvoorbeeld het uitrollen van een enquête om zicht te krijgen op de stand van zaken. De antwoorden hierop zouden niet misstaan in de data-analyse waartoe U zich wellicht geroepen voelt na het lezen van de bijdragen in deze editie. De kernredactie, bestaande uit Frank Segers, Joris Blaauw en mijzelf, wenst u veel leesplezier toe.