Voor grotere organisaties is het vrijwel onmogelijk om compliant te werken zonder geautomatiseerde checks. Dit zegt Udo Oelen, Chief Privacy Officer bij de NS. Hoe kijkt hij aan tegen de inzet van AI en andere tooling in compliance vraagstukken?
De NS heeft in vrijwel alle businessunits te maken met een veelheid aan wet- en regelgeving. De AVG schrijft voor hoe bedrijven moeten omgaan met klantdata. De E-privacyrichtlijn, in Nederland geïmplementeerd in de Telecomwet, bepaalt hoe het bedrijf moet omgaan met cookies. De Aanbestedingswet bepaalt wat wel en niet mag in aanbestedingen. En ga zo nog maar even door. Het is voor een individuele medewerker van de NS haast niet meer te overzien met welke wet- en regelgeving in een proces allemaal rekening gehouden moet worden. Tegelijkertijd heeft de NS ethisch zakendoen hoog in het vaandel staan. Als ze in hun processen klantdata verwerken, doen ze dat om klanten te helpen. Om te voorkomen dat ze daarbij onbedoeld gegevens op de verkeerde manier verwerken, investeert de NS veel in compliance. Er zijn de afgelopen jaren nieuwe afdelingen opgezet, zoals een Privacy Office en een afdeling Compliance & Integriteit. De NS traint medewerkers in hoe zij met wet- en regelgeving moeten omgaan in hun dagelijkse werk. En het bedrijf gebruikt data intelligence om compliance checks te automatiseren.
Privacy by design vergt vergaande automatisering
Het uitgangspunt van de NS is ‘Privacy by design’. In het kort wil dat zeggen dat er bij de ontwikkeling van ieder nieuw product of dienst aandacht besteed moet worden aan het zorgvuldig omgaan met persoonsgegevens, zowel technisch als organisatorisch. Dit is tevens de werkwijze die door de AVG wordt voorgeschreven. Het is een term die makkelijk in de mond wordt genomen, maar in de praktijk zeer complex te realiseren is. Vooral in een organisatie waarbij veel persoonsdata verwerkt wordt.
"Wanneer je als organisatie met het verwerken van zoveel persoonsdata te maken krijgt, is het erg complex om handmatig te controleren of in alle processen de wet wordt nageleefd. Die controles moet je automatiseren.”
De NS is daarom bezig met een uitrol van software voor het gehele bedrijf, waarmee automatische controles in processen worden ingebouwd. Daarvoor heeft het bedrijf eerst alle processen in kaart gebracht die te maken hebben met wet- en regelgeving. Vervolgens is aangegeven wat er binnen deze processen wel en niet mag, bijvoorbeeld met klantdata, en welke controles er moeten plaatsvinden. Om die controles uit te voeren dienen er periodiek testen te worden uitgevoerd.
“Zeker nu ook de NS steeds meer gebruikmaakt van AI, is het belangrijk om toezicht te houden op wat die algoritmen precies doen. Want AI kan een black box zijn en voor je het weet gebruik je diverse data op een manier die niet geoorloofd is. Je kan bijvoorbeeld het risico lopen op indirecte discriminatie op basis van persoonsgegevens. Daarom heb je systemen nodig die ervoor zorgen dat je als organisatie grip houdt op dit proces.”
Udo Oelen is vanuit zijn rol verantwoordelijk voor het – in samenwerking met de business – opstellen van de business rules. En dat is soms best complex, vertelt hij.
“Er kan spanning ontstaan tussen de businesswens en wat wettelijk gezien mag. En soms ook spanning tussen wat wettelijk gezien mag, maar waarvan je ethisch zegt: moeten we dit wel zo willen doen? Neem bijvoorbeeld de businesswens om bepaalde data te gebruiken voor een doel waarvan de klant zich niet realiseert dat hij daar ooit toestemming voor heeft gegeven.”
Immers, de opt-in regels stellen dat een klant expliciet akkoord moet gaan met de betreffende gegevensverwerking maar de vraag is of die toestemmingsvraag wel goed wordt gelezen door de klant. Mensen klikken soms gedachteloos op akkoord, zonder zich te realiseren waar ze nu eigenlijk ‘ja’ tegen zeggen. Het is volgens Udo Oelen de rol van de Chief Privacy Officer of Compliance Officer om op dat moment samen met de business een manier te bedenken waarop zaken ethisch gezien wel verantwoord zijn en blijven. Je kunt bijvoorbeeld opnieuw toestemming vragen voor het verwerken van data. Dan bied je klanten een herbezinningsmoment om zich beter te realiseren waar ze ‘ja’ tegen zeggen.
Oudere software maakt compliant werken lastig
Het kan complex zijn om ‘privacy by design’ in te regelen in oudere software. Grote bedrijven werken veelal nog met legacy systemen die je niet eenvoudig kunt aanpassen. Die oudere software ondersteunt de hedendaagse wetgeving niet. Bij de NS zijn er plannen om diverse IT-systemen te vervangen, maar dat is een traject dat jaren duurt. Er hangen niet alleen grote investeringen aan vast. Het vervangen van software heeft ook grote organisatorische gevolgen omdat veel afdelingen dan op een andere manier moeten gaan werken. De NS heeft daarom voor een werkwijze gekozen waarbij ze binnen de bestaande IT-systemen toch compliant kunnen werken.
Data intelligence én creativiteit nodig voor compliance
Het mag duidelijk zijn dat bij grotere organisaties, die veel data verwerken, automatisering een noodzakelijke randvoorwaarde is om compliant te kunnen werken. Daarbij speelt data intelligence een belangrijke rol. Tegelijkertijd moeten juist grote bedrijven ervoor waken dat compliance geen IT-feestje wordt, waarbij een compliance officer aan de IT-afdeling vertelt welke controles moeten worden ingeregeld.
“Compliance is en blijft een businessverantwoordelijkheid. Als compliance afdeling heb je een adviserende rol. Je moet als privacy officer je stinkende best doen om tegemoet te komen aan de wensen van de business, zonder dat je daarbij de wet- en regelgeving negeert. Dat betekent dat je niet bij ieder risico kunt zeggen: dit mag niet. Je zult moeten meedenken: als manier A niet kan, hoe gaan we deze businesswaarde dan wél realiseren? Dan vind je vast een manier B. Door inzet van data intelligence kun je vervolgens geautomatiseerd controleren of manier B ook uitpakt zoals van tevoren gedacht."
De impact van AI op KYC-processen.
Bij het automatiseren van KYC-processen duiken vaak juridische en ethische vraagstukken op. Ontdek de aandachtspunten in dit whitepaper.