Uit het veld

Opzet van een datavoorzieningsfunctie terondersteuning van datagedreven toezicht

Wouter van Aerle, Ronald Damhof en Frank Ouddeken*

Toezichthouders hebben te maken met een steeds grote-re stroom aan data. Dit vraagt om toenemende discipli-ne in de verwerking ervan. Uit de principes van goedtoezicht volgen niet-functionele eisen – als traceerbaar-heid, uitwisselbaarheid en betrouwbaarheid – waaraande gegevensverwerking moet voldoen. Voor het realise-ren hiervan is een datavoorzieningsfunctie nodig, verge-lijkbaar met andere bedrijfsfuncties als Finance en HR.Binnen DNB is het datakwadrantenmodel gebruikt omdeze realisatie vorm te geven. Het model is een begrips-vormend kader, dat de gegevensverwerking vanuit tweeperspectieven beschouwt: de aanbod- en vraagzijde vangegevens en een opportunistische versus een systemati-sche manier van werken. Op basis van het model zijnkeuzes gemaakt ten aanzien van de technische voort-brenging van data, inrichting van de organisatie, bestu-ring en benodigde kennis en competenties.

Inleiding

De opkomst en het belang van data zijn overduidelijkzichtbaar in de samenleving. Naast nieuwe mogelijkhe-den worden ook risico’s en kwetsbaarheden openlijkzichtbaar, zoals recent bleek uit het datalek bij Face-

* Ir. W.A. van Aerle is managing partner bij Deltiq, adviesbureau voorinformatiemanagement. Drs. R.D. Damhof was tot 1 juli 2018 werk-zaam als enterprise data architect bij De Nederlandsche Bank Drs.F.E.M. Ouddeken is werkzaam voor De Nederlandsche Bank als mana-ger Data Management Office, Divisie Statistiek. De auteurs schrijven oppersoonlijke titel.

book.1 Toezichthouders staan voor soortgelijke uitda-gingen. Uit de praktijk wordt duidelijk dat het gebruikvan data structurele ondersteuning vergt. Gebaseerd opervaringen bij De Nederlandsche Bank (DNB) engespiegeld met ervaringen bij andere toezichthouderszetten we in dit artikel uiteen waarom deze ondersteu-ning vereist is en wat de overwegingen bij de inrichtingervan zijn. Dat begint bij een nadere duiding van watdata en de groei hiervan betekenen. Vanuit dit begripbeschrijven we de kaders waarbinnen de toezichthouderde gegevensverwerking dient in te richten. Met het kwa-drantenmodel introduceren we vervolgens een begrips-vormend raamwerk waarmee de inrichting van een data-voorzieningsfunctie gestuurd kan worden. We sluiten afmet een beschouwing hoe de inrichting bij DNB con-creet is vormgegeven.

Dataficatie: exponentiële groeivan gegevens

Het verzamelen van informatie is voor toezicht eenkernactiviteit.2 Verzamelde informatie vormt de basisvoor oordeelsvorming door de toezichthouder en even-tueel daaropvolgend ingrijpen. Met de toenemendegroei van gegevens3 – vaak aangeduid met de term data-ficatie – ontstaan nieuwe informatiebronnen die voortoezicht van belang kunnen zijn. Dataficatie wordt door

1. ‘Data van Facebook misbruikt door firma die voor Trump werkte’, www.nrc. nl/ nieuws/ 2018/ 03/ 19/ data -van -facebook -misbruikt -door -firma -die -voor -trump -werkte -a1596172.

2. R. Velders, Introductie in toezicht en handhaving, Den Haag: BoomLemma uitgevers 2011.

3. De termen gegevens en data worden beschouwd als synoniem en wor-den in dit artikel door elkaar heen gebruikt.

65

doi: 10.5553/TvT/187987052018009002006 TvT 2018 | nr. 2-3

Mayer-Schonberger en Cukier4 gedefinieerd als het ver-schijnsel ‘to put a phenomenom in a quanitified formatso it can be tabulated and analyzed’. In ruimere zinwordt de term dataficatie vaak gebruikt om de toenamevan data in de maatschappij te duiden. Feitelijk is dithet gevolg van dataficatie: ‘through datafication (…) wecan now capture and calculate at a much more compre-hensive scale the physical and intangible aspects of exist-ence (…)’.5Deze groei van gegevens kent verschillende verschij-ningsvormen. Voortdurende digitalisering zorgt voor deovergang van analoge naar digitale vastlegging vaninformatie over bedrijfsactiviteiten. De BoordcomputerTaxi (BCT)6 bijvoorbeeld vervangt de papieren ritten-administratie van taxi’s, wat de toezichtlast verminderten de toezichthouder (ILT) in staat stelt gerichter toe-zicht te houden. Daarnaast ontstaan nieuwe aanbiedersvan producten en diensten die vrijwel geheel digitaalopereren zoals Bunq (bank), Adyen (betaaldienstverle-ner) of Brand New Day (pensioenbeleggen). Een andererelevante trend is het internet der dingen (Internet ofThings of IoT): de ontwikkeling dat steeds meer alle-daagse voorwerpen verbonden worden met het interneten gegevens ontvangen en versturen over hun functio-neren en gedrag. Voorbeelden zijn slimme energieme-ters, vaatwassers en lampen, maar ook auto’s, medischeapparatuur, straatverlichting, vuilnisbakken of agribots.IoT is enerzijds een verdergaande vorm van digitalise-ring en de data die op deze manier worden gegenereerdzijn een potentiële informatiebron voor toezicht. Ander-zijds brengt het IoT ook nieuwe toezichtvraagstukkenmet zich mee, zoals het rechtmatig gebruik van per-soonsgegevens of de beveiliging van apparaten. Socialemedia ten slotte worden hier beschouwd als het ver-schijnsel dat burgers en bedrijven vrijwillig data delenen beschikbaar stellen. Hiermee ontstaat voor toezicht-houders een nieuwe bron om signalen uit de praktijk tekrijgen. Berichten op Twitter bijvoorbeeld of discussiesop consumentenfora als Radar vormen zo een additione-le informatiebron om indicaties te krijgen van mogelijkegedragingen die strijdig zijn met wet- en regelgeving.

Gevolgen voor toezicht

De voortdurende groei in de beschikbaarheid engebruiksmogelijkheden van data heeft indringendegevolgen voor toezicht. Niet alleen verandert de externeomgeving waarbinnen de toezichthouder zelf opereerten de wijze waarop de onder toezicht staande instellin-gen daarbinnen invulling geven aan hun activiteiten, ookde verwachtingen van het publiek over wat het als goed

4. V. Mayer-Schonberger en K. Cukier, Big Data: A Revolution That WillTransform How We Live, Work, and Think, New York: Houghton Mif-flin Harcourt 2015.

5. Mayer-Schonberger en Cukier 2015, p. 96.6. De BCT is sinds 2012 verplicht en daarmee een voorbeeld van datafica-

tie die al enkele jaren geleden is ingezet, www. ilent. nl/ onderwerpen/boordcomputer -taxi.

toezicht beschouwt, wijzigen hierdoor. Voor de toe-zichthouder zelf vertaalt zich dit in nieuwe kansen enmogelijkheden, een hoger verwachtingsniveau bij debuitenwacht ten aanzien van toezicht en daarmee in gro-tere risico’s en verantwoordelijkheden voor de toezicht-houder.

Kansen en mogelijkhedenTraditioneel beschikken toezichthouders over wettelijkebevoegdheden om bij de onder hun toezicht staandeinstellingen noodzakelijke informatie op te vragen. Bijprudentiële toezichthouders is daarbij veelal sprake vanreguliere, gestandaardiseerde rapportages. Hoewel detraditionele informatievoorsprong van toezichthoudersdoor de toenemende dataficatie in het gedrang leek tekomen, zijn verplichte rapportages de laatste jaren alsgevolg van – veelal Europese regelgeving7 – sterk inomvang gegroeid. Steeds vaker is hierbij sprake van gra-nulaire datasets8 die op periodieke basis beschikbaarmoeten worden gesteld door financiële instellingen.9 Dereikwijdte van deze verplichte rapportages10 neemt hier-bij steeds vaker toe, vooral bij het markt- c.q. gedrags-toezicht. Zo is na het begin van de financiële crisis deverplichting tot afwikkeling van transacties via centraletegenpartijen substantieel vergroot en hebben de markt-toezichthouders de beschikking gekregen over data metbetrekking tot individuele beleggings- en derivaten-transacties, inclusief het betrokken onderpand.11 Ook ishierdoor meer en gedetailleerdere informatie beschik-baar gekomen die kansen biedt voor versterking van hettoezicht.12

Zo is in diverse rapportages het gebruik van de interna-tionaal overeengekomen Legal Entity Identifier (LEI)13

verplicht gesteld. De LEI-code komt terug als identifi-cerence sleutel in toezichtrapportages voor banken(CRD IV) maar is bijvoorbeeld ook verplicht onderEMIR (derivatentransacties) en AnaCredit (granulaireleningposities en onderpand, zie verderop). Het gebruikvan de LEI-code biedt zo de mogelijkheid om deze data-sets eenvoudig(er) te combineren.14 Op deze combinatievan gegevens kan met behulp van algoritmes een risico-

7. Bijvoorbeeld EMIR, MifID II, SFTR en AnaCredit.8. Met granulariteit wordt het detailniveau van data de bedoeld. Granulai-

re (d.w.z. gedetailleerde) data zijn het tegenovergestelde van geaggre-geerde (d.w.z. samengevatte) data.

9. D.M. Bholat, ‘The future of central bank data’, Journal of BankingRegulation 2013, nr. 3-4, p. 185-194.

10. Bijvoorbeeld de prudentiële rapportages van banken en verzekeraars(CRDIV resp. Solvency II).

11. Voorbeelden hiervan zijn de MifiD/MifiR II en EMIR.12. Zo wordt uit studies van de European Systemic Risk Board (ESRB) dui-

delijk dat granulaire data betere mogelijkheden bieden om bijvoorbeeldschaduwbankieren in kaart te brengen.

13. De LEI-code is een internationaal toegepast uniek nummer bedoeld omjuridische entiteiten die participeren in financiële transacties, eenduidigte identificeren, www. gleif. org/ en/ about -lei/ introducing -the -legal -entity -identifier -lei.

14. Europese ontwikkelingen als het European Reporting Framework (ERF)en Banks Integrated Reporting Dictionary (BIRD) ten aanzien van hetharmoniseren van data over verordeningen heen passen in dit kader,www. ecb. europa. eu/ stats/ ecb_ statistics/ co -operation_ and_ standards/reporting/ html/ index. en. html.

66

TvT 2018 | nr. 2-3 doi: 10.5553/TvT/187987052018009002006

profiel opgebouwd worden om vroegtijdig signaleringente doen.Bij het bancaire toezicht in Europa geldt dat door decentralisatie in SSM15-verband en de onderbrengingervan bij de ECB ook monetaire statistische datasetsbeschikbaar zijn gekomen voor het toezicht. Ook dezestatistische rapportages worden steeds meer granulair,zoals de effectenstatistieken van het ESCB16 die hethouderschap van individuele effecten meet en de Ana-Credit17-verordening. Deze verordening leidt binnenafzienbare tijd tot een register van individuele bancairebedrijfskredieten op Europees niveau. Al met albeschikken toezichthouders daarmee in toenemendemate over een unieke en steeds rijkere informatiepositie.De mogelijkheden om van de informatie die in dezedatabronnen zit gebruik te maken voor het toezichtnemen snel toe. Analysetechnieken nemen een steedshogere vlucht. In eerste instantie werden data daarbij opgestructureerde wijze toegankelijk gemaakt om bestaan-de toezichtprocessen beter te ondersteunen met behulpvan ‘dashboards’. Tegenwoordig wordt steeds meergebruikgemaakt van algoritmes die voorspellende eigen-schappen hebben.18 Een verdere doorontwikkeling daar-van zijn analytische technieken zoals vormen van kunst-matige intelligentie. Hierdoor voltrekt zich een transfor-matie in de toezichtprocessen die een transitie naarsteeds meer datagedreven toezicht bewerkstelligt. Data-gedreven toezicht wordt gekenmerkt door het systema-tisch inzetten van databronnen en evaluatie van de effec-tiviteit van daarop gebaseerde acties van de toezichthou-der. Op basis van ervaring in diverse organisaties zijn devolgende effecten zichtbaar:– efficiëntere inzet van schaarse toezichtcapaciteit

door betere risicoanalyses;

15. Single Surpervisory Mechanism: de wijze waarop het bankentoezicht inEuropa is vormgegeven. Zie ook: www. bankingsupervision. europa. eu/about/ thessm/ html/ index. en. html.

16. Securities Holdings Statistics (SHS).17. www. ecb. europa. eu/ stats/ money_ credit_ banking/ anacredit/ html/ index.

en. html.18. Zie bijvoorbeeld ‘Tekst van een jaarverslag zegt meer over fraude dan

gedacht’, Het Financieele Dagblad 29 december 2017.

– monitoring van hele toezichtpopulaties en netwer-ken in plaats van steekproeven;

– verbeterde onderbouwing van standpunten enbesluiten op basis van feiten, bijvoorbeeld bij the-matisch onderzoek;

– verschuiving van reactief naar meer preventief toe-zicht door meer gebruik te maken van voorspellen-de en zelflerende analysetechnieken zoals vormenvan kunstmatige intelligentie.

Hoger verwachtingsniveauDe omvang, snelheid en gedetailleerdheid waarmeeinformatie tegenwoordig publiek beschikbaar komt enbijvoorbeeld via sociale media wordt verspreid, leidtertoe dat het publiek steeds sneller is geïnformeerd ofmeent dat te zijn. Hierdoor ontstaat gemakkelijk de ver-wachting in de maatschappij dat de toezichthouder ookaltijd van alles op de hoogte is en alles tijdig voorziet.Dit kan in de praktijk gemakkelijk leiden tot de opvat-ting dat de toezichthouder ‘het had kunnen weten’. Hoeminder data onbekend of niet toegankelijk zijn, des tehoger zullen de publieke verwachtingen zijn ten aanzienvan wat de toezichthouder vermag te bereiken. Kortom,dataficatie schept ook hoge verwachtingen ten aanzienvan de toezichthouder.

Impact voor toezicht

De toenemende beschikbaarheid en daarmee gepaardgaande gebruiksmogelijkheden van data brengen ookgrotere verantwoordelijkheden én risico’s met zich mee.Deze verantwoordelijkheden en risico’s manifesterenzich primair in de wijze waarop gegevens door de toe-zichthouder worden verwerkt19 ter ondersteuning vanzijn toezichtstaken.

19. Onder het verwerken van gegevens vallen handelingen als het verza-melen, vastleggen, opslaan, wijzigen, opvragen, raadplegen, gebruiken,verstrekken, wissen en vernietigen van data.

Tabel 1 Principes van goed toezicht

OECD Best Practice Principles for Regulatory Policy Zes principes van goed toezicht

1. Evidence-based enforcement2. Selectivity3. Risk focus and proportionality4. Responsive regulation5. Long-term vision6. Co-ordination and consolidation7. Transparent governance8. Information integration9. Clear and fair process10. Compliance promotion11. Professionalism

a. selectief toezichtb. slagvaardig toezichtc. samenwerkend toezichtd. onafhankelijk toezichte. transparant toezichtf. professioneel toezicht

67

doi: 10.5553/TvT/187987052018009002006 TvT 2018 | nr. 2-3

De principes van goed toezicht20 kunnen wordenbeschouwd als een algemene leidraad voor toezichthou-ders voor de vormgeving van hun toezicht (zie Tabel 1).Het ligt voor de hand om te stellen dat deze principesniet alleen van toepassing zijn op het toezichtproces zelfmaar ook op hiervoor benodigde (geautomatiseerde)gegevensverwerking.De implicaties van deze principes worden uitgedrukt inniet-functionele eisen. Dit soort eisen specificeert criteriaom het functioneren van de gegevensverwerking tebeoordelen maar beschrijft geen specifieke gegevensver-werking zelf, zoals de selectie van specifieke databron-nen ten behoeve van analyse in het kader van thematischonderzoek. De principes van de OECD en die van hetministerie liggen in lijn met elkaar en worden hierondergecombineerd beschouwd in de context van datagedre-ven toezicht.

Bewijs en feitenHet eerste principe van de OECD gaat over evidence-based enforcement: ‘deciding what to inspect and how itshould be grounded on data and evidence’. Het tweedeprincipe van het ministerie is slagvaardig toezicht: ‘zake-lijke houding gebaseerd op feiten’.Het belang van data komt in deze principes explicietnaar voren en onderstreept de noodzaak voor toezicht-houders om een informatiepositie op te bouwen. Deniet-functionele eisen die hiermee samenhangen zijnrelevantie van de data voor een specifiek toezichtvraag-stuk. Omgekeerd dient misbruik of onjuist gebruik vandata, zoals een verkeerde duiding van de data, te wordenvoorkomen. Een tweede belangrijke eis is de betrouw-baarheid van data. Het waarborgen van de kwaliteit vandata en de analyses waarin deze data worden gebruikt isvan groot belang, zodra data ten grondslag gaan liggenaan toezichtmaatregelen. Dit vereist dat de toezichthou-der ‘in control’ is over de kwaliteit van de gegevens. Ditimpliceert niet direct dat (alle) data altijd van de hoogstekwaliteit moeten zijn alswel dat er inzicht is in wát dekwaliteit van de data is, en de toezichthouder op grondvan deze kennis een weloverwogen beslissing neemt eendataset al dan niet te gebruiken.Daarnaast dienen de gegevens ook daadwerkelijk voorde toezichthouder toegankelijk te zijn. Dit lijkt triviaalmaar in de praktijk blijkt vaak dat data opgesloten zittenin systemen en slecht benaderbaar zijn voor gebruikers.

Selectief en risicogebaseerdSelectiviteit is nodig omdat ‘inspections and enforce-ment cannot be everywhere and address everything’.21

Het is dus nodig om keuzes te maken. Voor het makenvan deze keuzes staat een risico-oriëntatie voorop:‘enforcement needs to be risk-based and proportiona-te’.22

20. OECD, Regulatory Enforcement and Inspections, Parijs: OECD Publish-ing 2014; ministerie van Binnenlandse Zaken en Koninkrijksrelaties,Minder last, meer effect. Zes principes van goed toezicht, 2005.

21. OECD 2014, p. 24.22. OECD 2014, p. 27.

Het maken van keuzes is bij uitstek een beslissing die inhoge mate met data en analyse ondersteund kan worden.Door algoritmes en analytische modellen te gebruikenkunnen risico’s in kaart worden gebracht en beoordeeld.Deze toepassing stelt eisen aan de bruikbaarheid enbetrouwbaarheid van (beschikbare) data, gewenste wend-baarheid om gemakkelijk nieuwe databronnen te ontslui-ten en traceerbaarheid van de gegevensverwerking om deuitkomsten van risico-analyses en daarop gebaseerdekeuzes te kunnen verantwoorden.

SamenwerkingVan toezichthouders wordt verwacht dat ze waar moge-lijk samenwerken, beschikbare gegevens delen en zo derapportagelast (reporting burden) voor onder toezichtstaande instellingen beheersen. Dit is verwoord in hetprincipe van ‘co-ordination and consolidation [between]inspection functions’23 en het principe van samenwer-kend toezicht: ‘verschillende toezichthouders zullen nietdezelfde informatie vragen’.24

Dit principe vraagt om een efficiënte informatiehuis-houding en het hergebruik van gegevensverzamelingendie met een ander maar verenigbaar doel door anderetoezichthouders zijn verzameld bij onder toezicht staan-de instellingen. Tussen de AFM en DNB is dit bijvoor-beeld geformaliseerd in een samenwerkingsconvenant.25

Bestuurlijke afspraken zijn een randvoorwaarde omdaadwerkelijke gegevensuitwisseling in de praktijk terealiseren. Dit stelt eisen aan de interoperabiliteit (dat wilzeggen de mogelijkheid om elkaars gegevens recht-streeks te kunnen gebruiken en te koppelen) van data.Het gebruik van open standaarden en basisregistratiesbevorderen deze uitwisselbaarheid.

TransparantieTransparant toezicht behelst het verantwoording kun-nen afleggen over gemaakte keuzes en behaalde resulta-ten. Om transparant te kunnen zijn moet inzicht gege-ven kunnen worden in de wijze waarop de data zijn ver-werkt die als basis hebben gediend voor gemaakte keu-zes en behaalde resultaten representeren. Dit betekentdat de gegevensverwerking traceerbaar dient te zijn.Traceerbaarheid is de mogelijkheid om de historie, oor-sprong en verwerking van data te verifiëren op basis vanspecifiek hiervoor geregistreerde meta-informatie.26

Informatie-integratieOnder informatie-integratie verstaat de OECD ‘[to]maximise information-sharing and optimal use ofresources’.27 Dit sluit aan bij het principe van coördina-

23. OECD 2014, p. 41.24. Ministerie van Binnenlandse Zaken en Koninkrijksrelaties 2005, p. 22.25. ‘Rectificatie Samenwerkingsconvenant tussen de Stichting Autoriteit

Financiële Markten en De Nederlandsche Bank N.V’., Stcrt. 2016, 1863.26. Traceerbaarheid is een voorwaarde voor auditeerbaarheid. Auditing is

het uitvoeren van onderzoek naar opzet en werking van een proces ofhet resultaat dat dit proces voortbrengt. Een dergelijk onderzoek wordtondersteund of kan soms alleen maar worden gerealiseerd door het bij-houden van een audit trail. De meta-informatie die ten behoeve vantraceerbaarheid moet worden vastgelegd, kan hiervoor wordengebruikt.

27. OECD 2014, p. 51.

68

TvT 2018 | nr. 2-3 doi: 10.5553/TvT/187987052018009002006

tie en samenwerking. Maar niet alleen het (kunnen)delen van informatie tussen instellingen speelt hier eenrol, ook – of misschien wel juist – het delen van infor-matie binnen de toezichthouder zelf is hier van belang.Het is niet vanzelfsprekend dat gegevens die eenmaalzijn uitgevraagd, vrijelijk beschikbaar zijn voor anderebelanghebbenden binnen de toezichtorganisatie. Nietzelden zijn er organisatorische, culturele of technischebeperkingen die het delen van data binnen de organisa-tiegrenzen belemmeren. Het bevorderen van de toegan-kelijkheid van gegevens dient daarom expliciet aandachtte krijgen.Naast de niet-functionele eisen die zijn afgeleid van deprincipes voor goed toezicht, zijn nog andere eisen vantoepassing. Zo dient in het geval van persoonsgegevensde verwerking te voldoen aan de Algemene verordeninggegevensbescherming (AVG). Ook het waarborgen vande vertrouwelijkheid van data, in de zin van beperking totslechts gelegitimeerd gebruik, verscherpt de verant-woordelijkheden voor de toezichthouder in hoge mate.

Noodzaak van eendatavoorziening

Uit voorgaande beschouwing is duidelijk geworden datde opkomst van data een verscheidenheid aan kansen,verantwoordelijkheden, risico’s en verwachtingen metzich mee brengt. Hoe evident de eisen aan de gegevens-verwerking ook lijken te zijn, een juiste toepassing enbeheersing ervan blijkt in de praktijk geen sinecure maardiep in te grijpen in de bedrijfsvoering van een toezicht-houder. Duidelijk is dat het benutten van het datapoten-tieel waarbij tegelijkertijd aan externe verwachtingen enniet-functionele eisen wordt voldaan meer vergt dan deimplementatie van nieuwe technologie of het aannemenvan een aantal data-analisten. Het vereist daarentegeneen datavoorziening28 die de organisatorische capabili-ty29 levert om systematisch data te benutten binnen degestelde randvoorwaarden.De vraag waarvoor DNB zich gesteld zag, is hoe gege-ven genoemde ontwikkelingen in de wereld van datazo’n datavoorziening ingericht en vormgegeven moetworden. Dit inrichtingsvraagstuk staat centraal in derest van dit artikel.Centraal hierbij staat de balans tussen de benodigdeorganisatie en governance van zo’n datavoorziening ener-zijds en de valorisatie (dat wil zeggen het benutten vanwaarde) van data anderzijds. Een lastige balans omdat detwee uitersten elkaar lijken tegen te spreken. Bij te veelorganisatie en governance worden innovatie en experi-menteren met data geremd; te veel nadruk op valorisatie

28. Onder een voorziening verstaan we het geheel van beleid, processen,mensen en (technologische) middelen, ondergebracht in een organisa-torische functie.

29. ‘a firm’s ability to perform repeatedly a productive task which relates(…) to a firm’s capacity for creating value’, R.M. Grant, ‘Prospering inDynamically-Competitive Environments: Organizational Capability asKnowledge Integration’, Organization Science 1996, nr. 4, p. 359-467.

kan ten koste gaan van niet-functionele eisen zoals inter-operabiliteit, transparantie of vertrouwelijkheid.Bij het inrichten van een datavoorziening – hoe gaan wijals toezichthouder gegevens verwerken – en het bepalenvan de hiervoor genoemde balans zijn er drie uitdagin-gen. Ten eerste het realiseren van een voorziening waarinnovaties met data op een verantwoorde manier kun-nen plaatsvinden en waarbij de organisatie het vermo-gen30 heeft ontwikkeld om deze innovaties structureel teoperationaliseren binnen de toezichtprocessen. Tentweede het belang om bij de realisatie van zo’n voorzie-ning de eerdergenoemde niet-functionele eisen bydesign31 te implementeren. Ten slotte een houding bin-nen de organisatie die data ten principale ziet als grond-stof die gedeeld moet worden binnen en buiten de orga-nisatie, rekening houdend met wettelijke kaders. Eendergelijke houding is randvoorwaardelijk omdat datazich in de praktijk niet houden aan kunstmatige kaderszoals informatiesystemen, bedrijfsprocessen, organisa-tie-eenheden en zelfs rechtspersonen maar daar als hetware doorheen vloeien.32

Visie op de voortbrenging vangegevens: kwadrantenmodel

Om het bestuurlijk en management kader in de uitwer-king van het inrichtingsvraagstuk voor een datavoorzie-ning handvatten te geven, gebruikt DNB het Kwadran-tenmodel,33 een begripsvormend raamwerk rondomcommunicatie, organisatie, governance, beleid, investe-ringen, architectuur en prioriteit op het datadomein.Het is een eenvoudig model dat veel, met name publiekeorganisaties34 in hun benadering van dit vraagstuk heb-ben overgenomen of dat door hen wordt toegepast.

30. Sparrow spreekt in deze over ‘the task of devising and constructing theorganizational infrastructure necessary to turn the concept of a cohe-rent compliancy strategy into an operational reality’, M.K. Sparrow, TheRegulatory Craft, Washington D.C.: Brookings Institution Press 2000.

31. Het ‘by design’-principe is afgeleid van het specifiekere Privacy byDesign-principe. Refererend aan art. 25 AVG wordt dit principe gedefi-nieerd als het treffen van passende technische en organisatorischemaatregelen zowel bij de bepaling van de verwerkingsmiddelen als bijde verwerking zelf met als doel de gegevensbeschermingsbeginselen(…) op een doeltreffende manier uit te voeren en de nodige waarbor-gen in de verwerking in te bouwen ter naleving van de voorschriften(…). Deze manier van borging kan op vergelijkbare manier ook wordentoegepast ter naleving van andere niet-functionele vereisten, zoals dekwaliteit(seisen) van data en de betekenis c.q. definities.

32. ‘The wondrous and perilous properties of data and information in orga-nizations’, in: Th.C. Redman, Data Driven, Boston, Mass.: Harvard Busi-ness Press 2008.

33. Dit model is geïnspireerd op (1) The Toyota Way die haar oorsprongheeft in het werk van W. Edwards Deming, (2) het Cynefin Frameworkvan Dave Snowden en (3) ontwikkelingen in data-architectuur van deafgelopen tien jaar met name op het gebied van feitmodellering, inte-gratiemodellering en het ondersteunen van multi-realiteiten. ‘Maakdatamanagement bespreekbaar in de hele organisatie’, in: FutureBright. A data driven reality, SAS Nederland 2015, p. 24-31, https://issuu. com/ sasnederland/ docs/ futurebrightdatamanagement_ nl.

34. Voorbeelden zijn de Autoriteit Financiële Markten (AFM), de gemeenteAmsterdam en de Nederlandse Voedsel- & Warenautoriteit (NVWA).

69

doi: 10.5553/TvT/187987052018009002006 TvT 2018 | nr. 2-3

Het model is geïnspireerd door de wijze waarop ruwegrondstoffen in de fysieke wereld worden verwerkt toteindproducten. Eenzelfde uitdaging is er in de wereldvan data. DNB ontvangt van verschillende partijen bin-nen en buiten haar organisatie steeds meer data. Vandeze data (lees: ruwe grondstoffen) moeten verschillen-de informatieproducten worden gemaakt. Dit varieertvan gebruikelijke informatieproducten als rapportagesen dashboards om besluitvorming te verbeteren, data-sets voor geavanceerde analyses, maar ook verplichtedataleveringen aan partijen binnen en buiten DNB.Meer ambitieus zijn informatieproducten die het resul-taat zijn van algoritmes op data die een bedrijfsprocesaansturen, bijvoorbeeld een verhoogd risico op eenrechtspersoon waar nader onderzoek nodig is. De kernis dat data binnenkomen als ruwe grondstof en zodaniggetransporteerd en verwerkt moeten worden dat de veleverschillende soorten afnemers er hun gevarieerde doel-stellingen mee kunnen bereiken.In deze logistieke beschouwing van gegevensvoortbren-ging zijn er twee assen die vier kwadranten opleveren.Deze assen zijn het klantorderontkoppelpunt en de wij-ze van ontwikkeling.

KlantorderontkoppelpuntIn het proces waarin ruwe grondstoffen verwerkt wor-den tot eindproducten is het concept klantorderontkop-pelpunt (KOOP) cruciaal: tot waar dringt de vraag vande afnemer door in het verwerkingsproces? Bij hetkopen van een luxe motorjacht zal er pas geproduceerdgaan worden als de order van de klant geaccordeerd is(vraaggedreven). Het KOOP ligt in dat geval bij deruwe grondstoffen, dus bij de start van het verwerkings-proces. Bij het kopen van lucifers daarentegen gaat deafnemer naar de supermarkt, haalt ze van het schap enrekent af (aanbodgedreven). Het KOOP ligt hier bij heteindproduct. Het KOOP wordt zo onderscheiden door

aanbodgedreven (push) en vraaggedreven (pull) zijde.Kenmerken van deze twee kanten zijn onder andere:– push is aanbodgedreven, pull is vraaggedreven;– push is gericht op massaverwerking, pull is gericht

op stukverwerking;– push is herhaalbaar, voorspelbaar en doorloopt een

uniform proces;– push stelt betrouwbaarheid boven wendbaarheid,

pull stelt wendbaarheid boven betrouwbaarheid;– push kent een grote mate van specificatie en stan-

daardisatie, pull heeft dat per definitie minder;– push kent een hoge automatiseringsgraad, pull een

lagere.

In het verwerken van data wordt bovenstaande analogieovergenomen en ontstaan er twee gebieden die funda-menteel van elkaar verschillen (zie Figuur 1).Aan de aanbodzijde (push, linkerkant) is er één versievan feiten. Vanuit het perspectief van de organisatieworden alle gegevens zoals aangeleverd door rappor-teurs, technische systemen of andere instituties,beschouwd als feiten. Feiten kennen maar één versie, deversie zoals die is ontvangen, ongeacht eventuele onvol-komenheden die de data bevatten. Er is geen interpreta-tie nodig om deze gegevens op te slaan en te verwerken.Deze feiten zijn over de tijd heen gestapeld en wordenin principe35 niet verwijderd. Het met de data door detijd reizen wordt daarmee mogelijk gemaakt. Allemaalniet-functionele eisen die passen in de principes vangoed toezicht.Aan de rechterkant (pull, vraagzijde) zijn er meerdereversies van de waarheid. Waarheden, ook wel realiteitengenoemd, zijn perspectieven op feiten. Verschillendegebruikers kunnen op basis van dezelfde feiten verschil-lende perspectieven hebben die allemaal binnen hunspecifieke context geldig en juist zijn. Waarheden zijn

35. Tenzij specifieke wetgeving zoals bijvoorbeeld de AVG dit verplicht.

Figuur 1 Aanbod- versus vraaggedreven voortbrenging van gegevens

70

TvT 2018 | nr. 2-3 doi: 10.5553/TvT/187987052018009002006

als het ware lenzen op de werkelijkheid. Met lenzen vanverschillende sterkten en kleuren krijgen afnemers eenbeeld van de werkelijkheid die past binnen hun context.Dit kan bij DNB een toezichtperspectief zijn op banken,een macrostatistisch perspectief op basis van de beta-lingsbalans of een perspectief vanuit financiële stabili-teit.

Wijze van ontwikkelenEen deel van de informatieproducten die gemaakt moe-ten worden, kent redelijk vastomlijnde eisen. Denk aanmanagementinformatie met betrekking tot bedrijfsvoe-ring of het periodiek leveren van datasets aan de ECB,het CBS, EuroStat en het IMF. Het maken van dezeinformatieproducten kent een verloop dat te vergelijkenis met ordentelijke systeemontwikkeling in de informa-tietechnologie. We noemen dit ook wel systematisch ont-wikkelen (zie Figuur 2). Binnen DNB maar zeker ookdaarbuiten is echter sprake van een niet te stoppen enpotentieel waardeverhogende trend om innovatief enexperimenteel om te kunnen gaan met data, vaak onderde noemer van data science. Onderzoekers, econometris-ten, statistici of andere kwantitatieve specialisten zoekennaar patronen, ‘outliers’ en inzichten die verstopt zijn incomplexe en grote hoeveelheden data en die een indica-tie geven waar nader onderzoek nodig is. De contextwaarin deze experts werken, moet een grote mate vanvrijheid kennen. We noemen dit ook wel opportunistischontwikkelen.Het onderscheid tussen deze twee vormen van ontwik-kelen is cruciaal voor het datadomein omdat de tweevormen een fundamenteel andere inrichting en operatio-nalisatie behoeven. Hieronder benoemen we enkeleonderscheidende kenmerken:– Er is sprake van functiescheiding tussen gebruiker

en ontwikkelaar in de systematische ontwikkeling.Deze is niet of beperkt aanwezig bij opportunis-tische ontwikkeling. Hier is degene die de dataverzamelt, duidt, prepareert, schoont, analyseert,interpreteert en er soms zelfs actie op onderneemt,een en dezelfde persoon.

– Systematische ontwikkeling wordt gekenmerktdoor een defensieve governance, in tegenstelling totde opportunistische ontwikkeling waar sprake isvan offensieve governance. Defensieve governancebetekent een planmatige, vastomlijnde en geforma-liseerde manier van ontwikkelen, implementerenen beheren van gegevensverwerkingsprocessen.Denk hierbij aan het inrichten van systeemmonito-ring, wijzigingsmanagement, OTAP36-voortbren-ging, segmentering van IT-omgevingen enzovoort.Bij een offensieve governance is dit veelal niet aan-wezig en ook niet nodig. De beheersing van degegevensverwerking is hier de volledige verant-woordelijkheid van de degene die de verwerkinguitvoert.

36. Ontwikkel, Test, Acceptatie en Productie is een gebruikelijke faseringdie bij de ontwikkeling van informatiesystemen wordt doorlopen.

– Systematische ontwikkeling tendeert naar een cen-trale inrichting binnen een organisatie, in tegen-stelling tot de opportunistische wijze van ontwik-keling die een grote mate van decentralisatie (somstot de individuele onderzoeker) kent.

– De systematische wijze van ontwikkelen vormtzich rondom de niet-functionele eisen als duur-zaamheid, betrouwbaarheid, schaalbaarheid enherhaalbaarheid. De opportunistische wijze vanontwikkeling is meer gericht op eisen als wend-baarheid, snelheid en experimenteren.

– De technische omgeving voor systematische voort-brenging is ingericht volgens standaarden die in deinformatietechnologie gewoon zijn en bedoeld zijnvoor langdurig, structureel en meervoudiggebruik. In de opportunistische omgeving daaren-tegen worden er feitelijk drie componenten aange-boden: data, computerkracht, analyse- en pro-grammeergereedschappen. Dit soort omgevingenwordt vaak aangeduid met termen als datalab,sandbox of pilot-omgevingen37 en kennen door-gaans een tijdelijk karakter voor de duur van eenspecifieke data-analyse.

De kwadranten nader belichtDe twee assen gecombineerd geven een viertal kwadran-ten (zie Figuur 3). Het is belangrijk te benadrukken datde assen waardevrij zijn. Kwadrant I is niet beter, mooi-er of belangrijker dan kwadrant IV. Hoe DNB de kwa-dranten invult, is contextafhankelijk. Voor toezichthou-ders en formele rapportages naar bijvoorbeeld de ECBof EIOPA is het van belang dat de gegevensverwerkingtransparant en auditeerbaar is (kwadrant I). Voor onder-zoekers is het opportuun dat ze eigen data (kwadrantIII) kunnen combineren met systematisch voortgebrach-te data (kwadrant I) op zodanige wijze dat ze met gespe-cialiseerde analysegereedschappen (kwadrant IV) kun-nen experimenteren.

• Kwadrant I: FeitenIn kwadrant I staan de gegevens zoals ze bij aanleveringzijn aangeboden. Er wordt gestreefd naar een minimaleinterpretatie van gegevens en maximale precisie enondubbelzinnigheid. De automatiseringsgraad en demate van beheersbaarheid zijn in dit kwadrant maxi-maal. Bij het doorvoeren van wijzigingen in de gege-vensverwerking zal beheersbaarheid hoger wordengewaardeerd dan wendbaarheid. In de context van bij-voorbeeld DNB worden in kwadrant I hoge eisengesteld aan de verwerking, met name ten aanzien vantraceerbaarheid, beheersbaarheid, schaalbaarheid enbetrouwbaarheid.

• Kwadrant II: ContextIn dit kwadrant worden informatieproducten gemaakten in beheer genomen die structurele behoeften van degebruiker vertegenwoordigen. Deze informatieproduc-

37. Zie bijvoorbeeld www. toezine. nl/ artikel/ 228/ ilt -verbetert -datagedreven-toezicht -met -datalab/ .

71

doi: 10.5553/TvT/187987052018009002006 TvT 2018 | nr. 2-3

ten komen tot stand door een systematisch productie-proces waarbij gebruik wordt gemaakt van de feiten inkwadrant I en waarbij vooraf duidelijk is verwoord watde kwaliteitseisen zijn en op welke wijze de informatie-producten in de bedrijfsprocessen van waarde zijn. Indit kwadrant kunnen informatieproducten worden gere-aliseerd die op dezelfde feiten zijn gebaseerd maar alsgevolg van een verschillend perspectief op die feiten vanelkaar verschillen of elkaar zelfs tegenspreken.

• Kwadrant III: Shadow-IT, ad hoc, eenmaligElke organisatie heeft een kwadrant III. Denk aan alleExcelbestanden, MS Access databases en andere lokalegegevensdragers. Kenmerk van dit soort omgevingen isdat de enige persoon die de data begrijpt, vaak ook die-gene is die de data er heeft neergezet. Het is ook hetkwadrant waar het mogelijk moet zijn om data neer tezetten die een eenmalig of onvoorspelbaar karakter heb-

ben. Het is hierdoor ook niet nodig om deze data inkwadrant I te plaatsen. Belangrijk is verder dat de gege-vens in kwadrant III onder beperkt georganiseerdbeheer staan en dat de betreffende datakwaliteit hoog-stens bekend is bij degene die de data er heeft neergezet.Let wel: ook in dit kwadrant staan de data wel degelijkonder governance. Alleen is het de gebruiker zelf die deniet-functionele governance-eisen moet handhaven.

• Kwadrant IV: Research, innovatie, prototypingKwadrant IV staat in het teken van het adagium ‘experi-menteer, leer en verbeter’. Het is het kwadrant waarmedewerkers vragen om (bij voorkeur goede) data, com-puterkracht en geavanceerde software om data-analysesuit te voeren. Het is het kwadrant waar veel vrijheidwordt geboden en veel wordt gevraagd van de verant-woordelijkheid van de betreffende medewerkers. Kwa-drant IV wordt voor verschillende toepassingen

Figuur 2 Wijzen van ontwikkeling

Figuur 3 DNB kwadrantenmodel

72

TvT 2018 | nr. 2-3 doi: 10.5553/TvT/187987052018009002006

gebruikt. Veel voorkomend is prototyping: het iteratiefontwikkelen van een basisversie van een informatiepro-duct. Prototyping is bij uitstek geschikt wanneer eengebruiker een globaal idee heeft van zijn informatiebe-hoeften en deze graag in de vorm van een voorbeeld uit-gewerkt wil zien. Samen met de gebruiker wordt danvaak in een aantal iteraties het gewenste product ontwik-keld. Ad-hocanalyses zijn een andere toepassingsvorm.In feite zijn dit alle mogelijke soorten niet-standaardana-lyses op reeds aanwezige data. Research is een anderetoepassingsvorm, zoals onderzoek naar nieuwe risicomo-dellen voor kredieten, analytische voorspelmodellenvoor solvabiliteit bij verzekeraars of algoritmes die out-liers vroegtijdig identificeren. Daarnaast is kwadrant IVde aangewezen omgeving voor innovatie, zoals het uit-proberen van nieuwe analytische technieken als machinelearning. Ten slotte is kwadrant IV – vaak in combinatiemet kwadrant III – de Haarlemmerolie van een data-voorziening. Voor situaties waarin er direct gereageerdmoet worden zoals bij een calamiteit of andere niet vantevoren bedachte vormen van gebruik, biedt kwadrantIV de ruimte om naar eigen inzicht data te verwerken enanalyses uit te voeren.

Van visie naar inrichting

Het kwadrantenmodel is door DNB gebruikt als refe-rentiekader bij het doorvoeren van structurele vernieu-wingen in de wijze waarop gegevens worden verwerktvoor toezicht en de macrostatistiek. Hierbij heeft hetmodel niet alleen zijn toegevoegde waarde bewezen bijhet (opnieuw) ordenen en inrichten van de (fysieke)gegevensverwerkingen maar ook bij het bepalen van dehiervoor gewenste organisatorische inrichting, bestu-ring, benodigde kennis en competenties en noodzakelij-ke technologieën.38 Deze invalshoeken komen hieronderachtereenvolgens aan de orde.

Keuzes in voortbrengingspatronenEerder is gemotiveerd dat een toezichthouder te makenheeft met diverse niet-functionele eisen als traceerbaar-heid, vertrouwelijkheid, toegankelijkheid en betrouw-baarheid. Het kwadrantenmodel maakt duidelijk hoe degovernance van deze eisen verloopt. Aan de hand van hetmodel kunnen nu keuzes gemaakt worden welke patro-nen van gegevensvoortbrenging wel en niet zijn toege-staan.– Het systematische patroon: van KI naar KII. Dit

patroon wordt gevolgd voor gegevensvoortbren-gingen die structureel en periodiek moeten wordenuitgevoerd en waarbij de niet-functionele eisen(geautomatiseerd) moeten worden gewaarborgd.Voorbeelden zijn periodieke doorleveringen vanCRDIV en Solvency II-rapportages naar de ECBresp. EIOPA en dashboards voor het toezicht opde verzekeringssector.

38. Een beschouwing van benodigde technologieën is met opzet uit dit arti-kel weggelaten.

– Het opportunistische patroon: KIII naar KIV.Hier speelt de gegevensvoortbrenging zich vrijwelvolledig af in de persoonlijke werkomgeving vaneen gebruiker of onderzoeksgroep. Voor een speci-fiek doel worden gegevenssets (handmatig) ontslo-ten en vervolgens gebruikt voor analyse. Een voor-beeld is een onderzoek van DNB naar de procycli-citeit van initiële margevereisten van renteswaps(IRS), waarbij gebruik wordt gemaakt van infor-matie over de dagelijkse posities ontleend aan ver-schillende transactieregisters en geavanceerde ana-lytische modellen.

– Het wendbare patroon: KI naar KIV: in ditpatroon worden systematisch ontvangen en opge-slagen data vervolgens voor analytische doeleindengebruikt. Zo worden de CRDIV-data nadat ze zijnontvangen gevalideerd en opgeslagen, daarna ookbeschikbaar gesteld voor analisten in KIV die iedervanuit hun eigen werkomgeving ad-hocanalyses opdeze dataset willen uitvoeren. In de praktijk is diteen veel gebruikt patroon dat door gebruikers enanalisten hoog gewaardeerd wordt. Ze hoevenimmers niet zelf voor de (periodieke) ontsluitingen validatie van de data te zorgen maar krijgen welvrijheidsgraden in het zelf doorzoeken en analyse-ren van dit soort datasets.

Vanuit het oogpunt van verantwoording en risicobe-heersing is het daarentegen ongewenst dat opportunis-tisch voortgebrachte data (kwadrant III) wordengebruikt in formele informatieproducten (kwadrant II).Indien deze behoefte toch bestaat, is het nodig de gege-vensontsluiting in kwadrant III te promoveren naarkwadrant I, ofwel een degradatie van het informatiepro-duct in kwadrant II naar kwadrant IV (waarmee hetonder verantwoordelijkheid komt van de data-analist ofgebruiker die initieel het informatieproduct heeft ont-wikkeld).

• De ultieme queeste: van kwadrant III/IV naarkwadrant I/II

De grootste uitdaging bij het realiseren van datagedre-ven toepassingen is het structureel toepassen van bruik-bare algoritmes, geslaagde experimenten en prototypenin reguliere toezichtprocessen. In termen van het kwa-drantenmodel gaat het hierbij om de beweging van kwa-drant III/IV naar kwadrant I/II (zie Figuur 4)Van een algoritme dat ‘werkt op mijn laptop’ moet nueen permanent werkend en periodiek geautomatiseerdvoortgebracht informatieproduct gemaakt worden datschaalbaar is naar een grote(re) groep gebruikers en ‘bydesign’ voldoet aan de gestelde niet-functionele eisen.Uit ervaringen in de praktijk blijkt dat hier een forseuitdaging ligt die voortkomt uit een brede kloof tussenkwadrant I/II en kwadrant III/IV. Die kloof wordtgevormd door verschillen in de manier van werken (sys-tematisch versus opportunistisch), profiel van betrokkenmedewerkers (de ‘suits’ versus de ‘hoodies’), gebruiktetechnologieën en organisatorische positionering (cen-traal versus decentraal). Het is van belang dat leidingge-

73

doi: 10.5553/TvT/187987052018009002006 TvT 2018 | nr. 2-3

venden erkennen dat alle kwadranten van cruciaalbelang zijn en dat de randvoorwaarden wordengecreëerd voor optimale samenwerking en afstemming.Het ontwikkelen van een dergelijke organisatorische com-petentie blijkt in de praktijk een van de grootste uitda-gingen in het werken met data te zijn en moet op velevlakken gerealiseerd worden: cultuur, mens, proces entechnologie. Dit moet gezien worden als een forse cultu-rele transformatie waarbij nieuwe vormen van samen-werking tussen het datadomein en het toezichtdomeingevonden en opgezet moeten worden.

Keuze in organisatorische inrichting engovernance

Bij de organisatorische inrichting van de datavoorzie-ning kunnen verschillende functies worden onderschei-den. Zij verschillen wezenlijk van elkaar en dienen inenigerlei vorm belegd te zijn in een datagedreven orga-nisatie.

• Data Service CentreHet Data Service Centre (DSC) realiseert en onder-houdt de systematische en periodieke ontsluiting vanreguliere databronnen. Het DSC richt daartoe, in nauwoverleg met het (meest) betrokken toezichtsdomein pergegevensbron (bijvoorbeeld een verplichte rapportagevoor banken of een reguliere gegevensuitwisseling meteen ketenpartner), het benodigde gegevensverwerkings-proces in dat de gecontroleerde voortbrenging van dedata uitvoert. Deze verwerking wordt gekenmerkt door(geautomatiseerde) voortgangsbewaking, geautomati-seerde validatie op tijdige levering en kwaliteit van dedata en de communicatie hierover met de desbetreffen-de gegevensleveranciers en rapporteurs. De zwaarte vande vereiste validaties wordt daarbij primair bepaald doorde eisen van de gebruiker, de gegevenseigenaar en/ofonderliggende wet- en regelgeving. Het DSC is daarmeehet organisatieonderdeel dat de voortbrenging van gege-vens in kwadrant I ondersteunt.

• Business Intelligence Competency CentreHet Business Intelligence Competency Centre (BICC)verzorgt de systematische en periodieke uitnutting vande brondata in de vorm van gestandaardiseerde, desge-wenst dynamische, informatieproducten (zoals rappor-tages en dashboards) ten behoeve van de reguliere analy-seprocessen van de verschillende toezichtdomeinen.Ook dit betreft een gegevenswerkend proces maar dangericht op het feitelijk gebruik van de data (pull, vraag-gedreven). Het werk van het BICC wordt gekenmerktdoor de vertaalslag die gemaakt moet worden om de datainzetbaar te maken voor reeds gestandaardiseerde werk-processen. Dit impliceert dat het betrokken toezichtdo-mein over een eenduidig, samenhangend en stabielbeeld van de uit te voeren analyseprocessen dient tebeschikken. Dit vergt vaak een intensief leerproces bin-nen toezicht om tot standaardisatie te komen van degewenste, optimale werkwijzen. Juist voor dit doel wor-den vaak pilots of prototypes ontwikkeld in kwadrantIII/IV (zie ook hieronder). Op basis van de vereisten dievanuit deze prototypes aan het licht komen, ontwikkelthet BICC structurele informatieproducten en gegevens-leveringen. Het BICC is dus het organisatieonderdeeldat de voortbrenging van gegevens in kwadrant IIondersteunt.

• Data-analyseafdelingenData-analyseafdelingen zijn afdelingen, teams of somszelfs individuele medewerkers die als taak hebben omdata-analyses uit te voeren voor domeinspecifieke vraag-stukken. Dit kunnen reguliere analyses betreffen zoalshet opstellen van een marktbeeld van de toezichtpopula-tie, maar het kan evenzeer gaan om ad-hoconderzoeknaar de bruikbaarheid van nieuwe databronnen of deverkenning van een onderzoeksvraag met de inzet vanbestaande datasets. Afgebeeld op het kwadrantenmodelzijn dit doorgaans gebruikers die opereren in kwadrantIII en IV.

Figuur 4 Operationaliseren van ontwikkelde informatieproducten

74

TvT 2018 | nr. 2-3 doi: 10.5553/TvT/187987052018009002006

De verschijningsvorm van dit soort afdelingen of teamsis veelzijdig en niet altijd direct herkenbaar binnen hetgebruikelijke organogram. Richtinggevend is de matewaarin binnen een afdeling vormen van data-analyseplaatsvinden. Refererend aan het organogram van DNBbetreft het daar bijvoorbeeld expertisecentra binnen ver-schillende toezichtdivisies, statistiekafdelingen binnende divisie Statistiek, beleidsafdelingen, onderzoeksafde-lingen en marktanalyse.

• Data Management OfficeHet Data Management Office (DMO) heeft het formelemandaat om vanuit een organisatiebreed perspectief deregie te voeren op de informatiepositie en datavoorzie-ning van de instelling als geheel. Hoofddoelstelling isdat alle geledingen van de organisatie op efficiënte enverantwoorde wijze optimaal gebruik kunnen maken vandata ter ondersteuning van hun taken en verantwoorde-lijkheden. Centraal daarbij staat het realiseren van eenoptimale balans tussen enerzijds de noodzaak tot stan-daardisatie van technologieën, processen en spelregelsen anderzijds het ondersteunen van de verscheidenheidaan gebruikerswensen zonder daarbij te vervallen induplicering van gegevensvoortbrengingen of specifiekemaatwerkoplossingen.Naar hun aard vormen het DSC en het DMO sterkgecentraliseerde organisatieonderdelen omdat zijdomeinoverstijgende taken vervullen. Het DSC is daar-bij vooral gericht op operationele taken op datagebied,terwijl het DMO zich bezighoudt met de strategische entactische inrichtingsvraagstukken. Het BICC is daaren-tegen niet noodzakelijkerwijs instellingsbreed georiën-teerd. Het is immers goed denkbaar dat een specifiekgebruiksdomein dermate ruim en intensief gebruik-maakt van data in zijn werkprocessen dat de slagkrachtvan dat domein om meerwaarde uit data te halen sterkgediend is bij de inrichting van een eigen BICC. Van-zelfsprekend zal het DMO ook voor dergelijke ‘locale’BICC’s de instellingsbrede regievraagstukken verzor-gen.De regiefunctie van het DMO krijgt invulling door hetopstellen van beleid en spelregels.Hiermee wordt voorgeschreven hoe de gegevensverwer-king ingericht dient te worden, waarbij maatwerkoplos-singen worden beperkt en generieke, instellingsbredeoplossingen worden bevorderd voor de uiteenlopendegebruiksvarianten die binnen een organisatie voor hetwerken met data bestaan. Om deze data-architectuur (datwil zeggen het ontwerp van de inrichting van de gege-vensverwerking) ‘fit for purpose’ te houden dient zij sys-tematisch getoetst te worden aan externe ontwikkelingenen nieuwe gebruikerswensen tot uitbreiding c.q. aanpas-sing. In veel gevallen wordt daarvoor binnen een datage-dreven organisatie een Change Advisory Board (CAB)opgericht waarbij gebruikers en data-architecten geza-menlijk proberen tot optimale oplossingen te komen.Bijzondere vermelding daarbij verdienen niet-functio-nele eisen met betrekking tot gegevensbeveiliging en dekwaliteitswaarborgen die gesteld dienen te wordenindien data een systematische rol spelen in bedrijfspro-

cessen van de toezichthouder, waardoor de verantwoor-dingsvereisten navenant hoger komen te liggen.

Competenties van medewerkersAan de hand van het kwadrantenmodel is duidelijkgemaakt welke verschillende vormen van gegevensvoor-tbrenging onderscheiden kunnen worden. Deze vormenzijn ook in de organisatorische inrichting zichtbaar doormiddel van verschillende afdelingen die ieder specifiekeondersteuning bieden. In lijn hiermee zijn er ook ver-schillende en nieuwe soorten kennis en competentiesnodig om hier invulling aan te geven. Algemeen kangesteld worden dat de toezichthouder er belang bij heeftom zijn competenties in het werken met data – zijn dataliteracy – te vergroten. In de strategische agenda vansommige toezichthouders is dit reeds zichtbaar.39 Meerspecifiek worden binnen de verschillende kwadrantennieuwe functies zichtbaar. De datamodelleur specificeertgegevens en datasets door middel van modellen40 en legtdaarmee alle eigenschappen en niet-functionele eisenvan de data en bijbehorende verwerkingen op een for-mele manier vast. De data engineer verzorgt op basis vandeze specificaties de technische realisatie en periodiekeoperatie van de gegevensverwerking. De datamodelleuren -engineer vallen onder het Data Service Centre enwerken hoofdzakelijk in kwadrant I. In kwadrant II staatde vraagzijde en daarmee een specifieke toezichtcontextcentraal. In dit kwadrant is het dan ook essentieel ommateriedeskundigheid te organiseren. Voor toezichthou-ders betekent dit dat ze zich de voor hen relevante data-bronnen eigen moeten maken qua betekenis, betrouw-baarheid en relevantie. Op basis van dit inzicht moetende toezichthouders hun vraag formuleren in termen vangewenste informatieproducten. Ten slotte zullen zepraktische analysevaardigheden moeten aanleren omgerealiseerde informatieproducten in hun dagelijkse toe-zichtpraktijk ook daadwerkelijk te gebruiken. De mate-riedeskundigheid moet ook terugkomen bij de rollen diede informatieproducten in kwadrant II realiseren.Afhankelijk van gehanteerde functiebenamingen komenhier rollen terug als informatieanalist, business intelligencespecialist of applicatieontwikkelaar. De gemene deler bin-nen deze rollen is dat kennis van de specifieke toezicht-context, beschikbare datasets (in kwadrant I) en beschik-bare technologische mogelijkheden nodig is alsmede decompetentie om de geformuleerde vragen zowel functio-neel als technisch te vertalen naar werkende oplossingenmet inachtneming van niet-functionele eisen.In het scherp krijgen van zijn vraagstelling staat de toe-zichthouder niet alleen. Immers, mede voor dit doel isverwerking in kwadrant III en IV bedoeld. Met name indeze kwadranten is de datawetenschapper of data scien-tist41 gepositioneerd. Het profiel van deze relatief nieu-

39. Zie bijvoorbeeld de Agenda 2018 van de AFM, p. 36, https:// afm. nl/ ~/profmedia/ files/ afm/ 2018/ agenda -2018 -en. pdf.

40. Zie bijvoorbeeld het logisch datamodel voor AnaCredit: www. dnb. nl/statistiek/ digitaal -loket -rapportages/ statistische -rapportages/ banken/anacredit/ index. jsp.

41. T.H. Davenport en D.J. Patil, ‘Data scientist. The sexiest job in theworld’, Harvard Business Review 2012, nr. 10, p. 70-76.

75

doi: 10.5553/TvT/187987052018009002006 TvT 2018 | nr. 2-3

we functie kent een mix van competenties op het gebiedvan analytische technieken en algoritmes, wetenschap-pelijke aanpak en programmeren. Het spreekwoordelijkeschaap met vijf poten. Juist vanwege deze combinatievan vaardigheden bewijst deze functie bij uitstek haartoegevoegde waarde bij het werk in kwadrant III en IV.Snel en iteratief kunnen schakelen tussen ideeën entechnische realisatie door middel van nieuwe gegevens-voortbrengingen en data-analyses is hier essentieel.

Conclusies

Het lijkt onomkeerbaar dat data een nieuw, permanentbedrijfsmiddel worden voor toezichthouders en organi-saties in het algemeen. Dit brengt een groeiende behoef-te aan ‘databewustzijn’ met zich mee. Ingeschatte risi-co’s worden in toenemende mate gebaseerd op basis vanverscheidene (data)bronnen en slimmer wordende algo-ritmes die trachten de kennis van de expert te verbete-ren. Hierover verantwoording kunnen afleggen vereisteen gedisciplineerde omgang met data. Ervaring binnenverschillende organisaties laat zien dat het kwadranten-model in de praktijk behulpzaam is om met elkaar opeen begrijpelijke wijze over de datahuishouding te kun-nen praten vanuit een toezichtperspectief en stappen tezetten op weg naar een volwassen datavoorzieningsfunc-tie.Het ligt dan ook voor de hand dat een volwassen data-voorziening als volwaardige bedrijfsfunctie wordt inge-richt zoals ook gebruikelijk is voor andere bedrijfsmid-delen als medewerkers (human resource management)en kapitaal (financieel management). Anders dan andereorganisaties hebben toezichthouders hierbij een extrauitdaging om deze inrichting vorm te geven binnen eenset van noodzakelijke niet-functionele eisen. Bij hetmaken van afwegingen tussen verschillende eisen enbelangen helpt het kwadrantenmodel om hier duidingaan te geven. De toenemende adoptie van het modelbinnen andere organisaties laat zien dat het model zijnnut bewijst.

76

TvT 2018 | nr. 2-3 doi: 10.5553/TvT/187987052018009002006