Blog: Het nieuwe goud: het bezit van data

man donker haar met laptop

Historicus en futuroloog Yuval Noah Harari zei in een gesprek met Adriaan van Dis dat we moeten wennen aan de gedachte dat we geen mysterieuze zielen meer zijn, maar ‘hackable animals’. En dat machines ons beter gaan kennen dan wijzelf. Vroeger waren er te weinig mensen om alle data te verzamelen en te analyseren. Machines kunnen wel enorme hoeveelheden data eenvoudig inlezen en analyseren. En ze kunnen nieuwe verbanden leggen. In positieve zin zijn data het nieuwe goud. Anderzijds kleven er risico’s aan het gebruik van data door alle digitale mogelijkheden. Het is niet voor niets dat toezichthouder De Nederlandsche Bank in 2020 vooral op beheersing stuurt.

Doel: correcte uitkeringen
Laten we eerst naar de kansen kijken. Pensioenfondsen zitten op een goudmijn aan data. Zeker als alle data uit het verleden volledig en juist zijn gedigitaliseerd. Op grond van deze data doen pensioenfondsen pensioenuitkeringen aan belanghebbenden. Dat is het statutaire doel van pensioenfondsen. Dat kan alleen als, zoveel jaar na dato, de data nog steeds beschikbaar zijn en kunnen worden ontsloten. Papieren dossiers verdwijnen nog al eens. Digitalisering kan dit tegengaan. Toezichthouder De Nederlandsche Bank (DNB) is dan ook voorstander van goed gedigitaliseerde data.

Data eigen portalen bieden mogelijkheden
Er zijn bovendien veel meer en andere mogelijkheden dan tot nu toe gedacht. Denk aan datascience oplossingen op het gebied van communicatie, fraude, beleggingen en aan blockchaintoepassingen. Mag dit gezien (inter)nationale wet- en regelgeving? Er zijn inderdaad beperkingen vanuit privacy AVG en de Wft. De AVG bevat een groot aantal voorschriften voor het gebruik van persoonsgegevens. Daarnaast mogen pensioenfondsen wel helpen maar niet adviseren bij financiële planning van deelnemers. Maar toch kunnen we de data gebruiken die pensioenfondsen via de eigen website en in portalen verzamelen. Dat zijn data over het gedrag van mensen. Wellicht nog interessanter. Samen met u verbetert Achmea Pensioenservices er de communicatie met deelnemers mee.

Mogen fondsoverstijgende onderzoeken?
Kunnen we nog een stap verder zetten: mogen pensioenfondsen de goudmijn delven ofwel hun data in volle omvang gebruiken? Mogen actuarissen bijvoorbeeld de data gebruiken voor fondsoverstijgende onderzoeken naar sterfte, gehuwdheid of arbeidsongeschiktheid? Of data gebruiken voor andere toepassingen? Dat blijkt helaas lastig. Pensioenfondsen hebben genoeg relevante data maar kunnen deze op grond van (inter)nationale wet- en regelgeving niet volledig ontsluiten. Het gaat dan om data zoals opleidingsniveau, sociale status, enz. Wie weet welke inzichten we krijgen door het samenvoegen van data van meerdere pensioenfondsen. Maar dat is helaas vooralsnog niet mogelijk.

DNB kritisch op datakwaliteit en beheersing
In de Toezicht Vooruitblik 2020 staat dat DNB komend jaar kritisch kijkt naar de wendbaarheid van de systemen van pensioenfondsen. En DNB kijkt ook naar datakwaliteit. De toezichthouder verwacht bovendien dat pensioenfondsen in 2020 onderzoek doen naar de beheersing van cyberrisico’s. En naar relatief nieuwe technologische risico’s en digitalisering zoals Artificial Intelligence. DNB stuurt bij onder andere pensioenfondsen aan op het belang van digitalisering en datakwaliteit. En op het kritisch letten op de beheersing hiervan. Dat de accountant deze data controleert, volstaat niet meer.

Beheersing uitbestedingsrisico
Achmea Pensioenservices voegde de afgelopen jaren steeds meer beheersmaatregelen toe op het gebied van privacy en cybercrime. Achmea Pensioenservices gaat hierin verder dan DNB voorschrijft. We hebben een ISAE 3402 en een ISAE 3000 gebaseerd op SOC2. Dit zijn rapportages over informatiebeveiliging, cybersecurity, uitbestedingen, datagovernance en privacy. Achmea Pensioenservices wil in 2020 ook voldoen aan niveau 4 van het Cyber Maturity Assesment “Dynamische verdediging”. Al deze rapportages zijn belangrijk voor de beheersing van het uitbestedingsrisico bij pensioenfondsen.

Goud: een utopie of binnen handbereik?
Het is een goudmijn al die data. Zeker als deze volledig en juist zijn gedigitaliseerd. Dan zijn grondige en fondsoverstijgende analyses mogelijk. Gebruik van geanonimiseerde persoonsgegevens voor wetenschap of statistiek is al mogelijk. Maar verwerking van herleidbare persoonsgegevens niet. Althans niet in zijn volle potentieel. Een eventuele maatschappelijke bijdrage van pensioenfondsen op basis van persoonsgegevens uit deelnemersbestanden is daarom noodgedwongen beperkt. 

Voor 2020 ligt de nadruk vanuit De Nederlandsche Bank in ieder geval op verdere digitalisering, datakwaliteit en het beheersen van risico’s. Voor Achmea Pensioenservices is dat ook van groot belang.

Richt Thien, pensioenjurist