Datagedreven toezicht

Preventief fouilleren

De AFM heeft in haar wetgevingsbrief van 30 maart 2021 de wens geuit om een wettelijke grondslag te creëren voor datagedreven toezicht. De huidige wettelijke bevoegdheid tot het inwinnen van inlichtingen zou - aldus de AFM - zien op het vorderen van informatie ten behoeve van onderzoek. In een gedigitaliseerde sector zouden data de AFM in staat stellen 'om meer risico's te zien, fijnmaziger naar de markt te kijken en interventies nog beter te onderbouwen'.

Volgens de AFM zijn er drie 'knelpunten' die om datagedreven toezicht vragen. Datagedreven toezicht zou uitkomst bieden bij (i) het toezicht op zogenaamde niet-OOB-accountantsorganisaties dat de AFM met ingang van 2022 zal overnemen van de NBA en de SRA, (ii) de bestrijding van marktmisbruik, met name het verkrijgen van informatie over het prijs-aanvraagproces dat voorafgaat aan de handel in obligaties op handelsplatformen en (iii) het toezicht op financiële dienstverlening. De AFM licht haar wens voor datagedreven toezicht bij financiële dienstverlening toe door aan te geven dat alsdan 'de risico's voor consumenten beter in kaart gebracht kunnen worden waardoor preventief opgetreden kan worden'.

De AFM noemt bij het knelpunt 'financiële dienstverlening' twee voorbeelden ter verduidelijking van haar wens: kredietverlening en beleggingsdienstverlening. Op basis van data van kredietportefeuilles van consumptief en hypothecair-kredietverleners zou ingeschat kunnen worden of krediet binnen de leennormen worden verstrekt, wat het bestedingsdoel is van het krediet en of dit doel aansluit bij de looptijd, en in welke mate beheersmaatregelen van kredietverstrekkers betalingsproblemen weten te voorkomen. Om deze inschatting te kunnen doen is het, aldus de AFM, van groot belang om via (actuele) data inzicht te hebben in welk type product aan de consument is verstrekt, de omvang van de productverstrekking en onder welke voorwaarden het product op de markt is gebracht.

Op basis van de portefeuilledata van beleggingsondernemingen zou de AFM onder andere een indicatie kunnen krijgen of de beleggingsportefeuille aansluit bij het risicoprofiel van de klant, of er groepen beleggers zijn die significant meer risico lopen dan andere groepen en of producten danwel diensten worden aangeboden waarvan de kenmerken niet bij retailbeleggers passen. Met specifieke portefeuilledata zou – aldus de AFM - in al deze gevallen gezien kunnen worden bij welke marktpartijen sprake is van voornoemde risico's.

Dit zou de AFM in staat stellen om potentiële overtredingen op te sporen:

'Een bredere grondslag in de wetgeving past bij de technologische ontwikkelingen rond het gebruik van data, en voorkomt dat het toezicht in dit opzicht achterblijft bij de private sector. Datagedreven toezicht bevordert de effectiviteit en efficiëntie van het toezicht, aangezien dit risico's in kaart brengt op basis waarvan de AFM nader onderzoek kan doen'.

De Minister van Financiën heeft in zijn reactie op de wetgevingsbrief van de AFM - op 21 april 2021 - aangegeven dat bezien moet worden of de door de AFM gewenste structurele wijza van data-uitvraag proportioneel is mede gelet op de nalevingskosten voor de sector. Ook dient de wijze waarop datagedreven toezicht ingericht wordt, niet in strijd te zijn met privacyregelgeving.

Of datagedreven toezicht de AFM effectiever zal maken laat ik in het midden. De vraag is of er een keerzijde is en of deze keerzijde opweegt tegen het aangevoerde effectiviteitsargument. Ik noem enkele aandachtspunten.

De door de AFM geuite vrees dat zonder het verkrijgen van de gewenste data het toezicht achterblijft bij de private sector is niet zonder meer overtuigend. De digitalisering van de samenleving maakt de inlichtingenbevoegdheid namelijk niet minder effectief. Deze bevoegdheid kan worden uitgeoefend zowel ter verkrijging van digitale als op schrift opgeslagen gegevens.

Waar het kennelijk om te doen is, is het vroegtijdig signaleren van mogelijke risico's en potentiële overtredingen zodat preventief kan worden ingegrepen. Preventief fouilleren dus. Het verkrijgen van zogenaamde positiedata in een fase die vooraf gaat aan het houden van toezicht danwel het doen van onderzoek, maakt preventief opsporen (voorkomen) en ingrijpen mogelijk. De gedachte van datagedreven toezicht is overigens niet nieuw aangezien de Engelse toezichthouder FCA al sinds 2013 deze wijze van toezichthouden doorlopend uitoefent. De FCA geeft op haar website aan dat datagedreven toezicht nodig is nu "we are regulating an ever increasing number of firms. This means we must do more with the same resources. We have a duty to regulate and deliver value for money".

Kritischer zijn Micheler en Whaley die de keerzijde belichten van datagedreven onderzoek. In hun publicatie uit 2019 geven zij aan dat:

"The regulator needs to avoid the temptation of over-estimating the scope of the evidence and analysis generated by new digital technologies. Data is a good and an objective source of information. Algorithms find patterns that humans overlook. But data is never complete and predicting risk is not a scientific endeavor. Regulatory legitimacy would be seriously undermined by an approach that fails to ensure that the scope of the evidence underlying data-driven analysis is robustly communicated to the decision makers who rely on regulatory technology." (E.Micheler en A.Whaley, Regulatory Technology: replacing law with computer code, EBO Law Review 30 July 2019).

De bovenstaande vrees is reëel en dat blijkt ook uit de stevige kritiek die SRA heeft geuit op het AFM rapport van 2 februari 2021 met daarin de uitkomsten van de data-analyse die de AFM had verricht naar niet-OOB accountantsorganisaties. Het rapport zou op een groot aantal punten wezenlijke informatie ontberen om het in het rapport geschetste beeld te kunnen onderbouwen. De door SRA ingeschakelde deskundige Statisticor hekelt het AFM-rapport en spreekt van statistische en methodologische tekortkomingen (Statisticor: 'Opmerkingen op het concept rapport van de AFM', rapportage 16 december 2020).

Kortom, effectiviteit, kwaliteit en proportionaliteit zijn bij datagedreven toezicht geen feit maar er is een ander belangrijk aandachtspunt. De AFM (en DNB) is een voorstander van de zogenaamde Sparrow-doctrine waarin niet zozeer het bestrijden van schendingen van wettelijke normen voorop staat, maar eerder het bestrijden van onwenselijk gedrag ongeacht of dit gedrag wettelijk verboden is. De AFM gaf in onder meer "De toezichtsaanpak van de AFM" van 3 mei 2017 al met zoveel woorden aan: 'bij schadelijk gedrag dat niet illegaal is probeert de AFM partijen informeel te beïnvloeden'. Duidelijke taal.

Het uitoefenen van datagedreven toezicht dreigt de mate waarin de AFM informeel kan handhaven, te vergroten. En niet zozeer het informeel toezichthouden of handhaven is de grootste zorg maar wel het informeel handhaven van niet-wettelijke normen. Een concreet voorbeeld. De AFM wenst onder andere na te kunnen gaan of een beleggingsportefeuille aansluit bij het risicoprofiel van de cliënt. Het toekennen van een risicoprofiel aan een cliënt is echter geen wettelijk vereiste. Banken en (andere) beleggingsondernemingen hanteren niet altijd een risicoprofiel en de risicoprofielen die in de praktijk gehanteerd worden, zijn zeer uiteenlopend.

Het 'risicoprofiel' is niet wettelijk gereguleerd en is ook geen vastomlijnd begrip. Een neutraal risicoprofiel kan - per beleggingsonderneming - sterk verschillen qua asset-allocatie. De cliënt met een neutraal risicoprofiel kan bij de ene beleggingsonderneming beleggen middels een asset-allocatie bestaande uit 4 beleggingscategorieën (bijv.: obligaties, aandelen, vastgoed en cash) en bij de andere beleggingsonderneming middels een asset-allocatie bestaande uit 13 beleggingscategorieën (geheel conform de SFA Society VBA risicoprofielen indeling 2019). Dit alles nog afgezien van de concrete wijze waarop iedere beleggingscategorie is ingevuld en de specifieke afspraken op cliëntniveau. Naar mate de horizon van de portefeuille verder in tijd is gelegen neemt bovendien de kans toe dat het profiel gedurende de dienstverlening wijzigt. In geval van life-cycle beleggen met het oog op pensioenopbouw zal het profiel van offensief naar defensief veranderen.

Het risicoprofiel is – met het oog op de zorgplicht die in acht genomen moet worden - niet heilig. Niet in het publiekrecht en niet in het civielrecht. Zo overwoog het Hof Amsterdam in een in 2011 gewezen arrest dat voor de aansprakelijkheid wegens onjuiste advisering geen zelfstandig belang toe komt aan het antwoord op de vraag of de portefeuille door haar samenstelling moest worden beschouwd als defensief, neutraal, offensief of zelfs speculatief (Hof Amsterdam 18 oktober 2011, LJN: BU 9074).

Preventief optreden brengt daarom niet alleen het risico van informele handhaving met zich maar tevens dat die handhaving niet gericht is op naleving van wettelijke normen, maar op bestrijding van gedrag dat door de toezichthouder zelf onwenselijk wordt geacht (waarin een subjectief element zit).

De discussie over datagedreven toezicht dient daarom niet zozeer gericht te zijn op beantwoording van de vraag of het toezicht aan effectiviteit toeneemt (de machtspositie van de toezichthouder zal ongetwijfeld toenemen), maar op vragen als (i) of datagedreven toezicht wel tot kwalitatief hoogwaardige analyses leidt met het oog op handhaving van wettelijke normen, (ii) of het proportioneel is en (iii) of het primaat van marktregulering verder uit handen gegeven dient te worden aan de toezichthouder of niet. De toezichthouder zal alsdan een krachtige marktmeester worden die gebruikmakend van haar machtspositie grote informele invloed kan uitoefenen nog voordat onderzoek wordt gedaan en ongeacht of het gaat om handhaving van wettelijke normen.