Het VCO Compliance Symposium: over naleven, voorleven en inleven
Door Cora Wielenga
We blikken terug op een bijzonder geslaagd VCO Compliance Symposium. Hieronder volgt een verslag van de dag.
Stijn Sarneel, voorzitter van de Vereniging Compliance professionals (VCO), trapte de dag af met een oproep aan de aanwezigen. Hij introduceerde zijn oproep met verwijzing naar de berichten die de afgelopen tijd in de pers zijn verschenen over de rol die compliance officers hebben of zouden moeten hebben. Stijn riep op om tezamen met de VCO leden vandaag gezamenlijk een standpunt in te nemen, zodat dit de dag na het symposium in een persverklaring tot uiting kan komen. Een mooie manier om samen te werken als beroepsvereniging.
De reis van de Autoriteit Persoonsgegevens
Cecile Schut, directeur systeemtoezicht, beveiliging en technologie, van de Autoriteit Persoonsgegevens (AP), nam ons mee in de reis die de AP de afgelopen tijd heeft gemaakt en de komende tijd zal maken. De autoriteit zelf is de afgelopen tijd sterk gegroeid. In april 2017 werkten er ongeveer 70 mensen bij de AP. Op dit moment zijn er al 150 mensen werkzaam. En om de toezichtstaak goed te kunnen uitvoeren zal dit aantal de komende tijd toenemen.
Cecile benadrukte dat ze als AP niet bij iedere bakker of sportvereniging zullen aankloppen voor controles. Ze hebben focus aangebracht op een aantal terreinen. Cecile noemt daarbij de overheid, de zorg, de datahandel, (niet) gemelde datalekken en het toezicht op intern toezicht. Met het toezicht op intern toezicht wordt bedoeld dat de AP toeziet op welke wijze de organisaties het interne toezicht hebben geregeld. Of het adequaat is of niet. Binnen de directie waar Cecile directeur van is, wordt het ‘toezicht op het interne toezicht’ momenteel nader uitgewerkt.
Er zijn op dit moment 8.000 functionarissen gegevensbescherming aangemeld bij de AP. Hoewel de AP met 150 mensen bemenst wordt, is de reikwijdte van het toezicht groot te noemen, doordat er verbinding gezocht wordt met de aangemelde FG’s. De AP streeft ernaar om met deze FG’s de dialoog aan te gaan. Het is voor de FG’s mogelijk om vraagstukken voor te leggen aan de AP zodat zij kunnen verifiëren of hun eigen interpretatie correct is.
Na 25 mei dit jaar heeft de AP gecontroleerd of bij alle overheidsorganisaties een FG aangesteld was, wat het geval bleek te zijn. In de zorg hebben ze deze controle eveneens uitgevoerd. Hier was nog niet overal een FG aangesteld. Tevens hebben ze bij 25 grote private organisaties informatie opgevraagd over het verwerkingsregister. Dit onderzoek loopt nog.
Tenslotte heeft de AP de afgelopen maanden onderzoek gedaan naar procedures van datalekken.
Vanuit de zaal werd gevraagd op welke manier de AP de interactie opzoekt met verengingen van FG’s. De AP heeft al regelmatig contact met het genootschap van de functionarissen gegevensbescherming. Daarnaast hebben zij contact met diverse andere verenigingen zoals de VCO. Cecile nodigt de FG’s, maar ook compliance officers overigens uit om ook zelf aan te geven hoe zij verder willen professionaliseren en de AP staat open om de dialoog daarover te voeren.
De rol van compliance officers bij MVO en meer werken vanuit waarden
André Nijhof, professor Sustainable Business & Stewardship bij Nyenrode Business Universiteit, ging met de zaal actief de dialoog aan over de rol van compliance officers bij MVO. André duidde wanneer je mag spreken van MVO. Daarbij spelen twee elementen een rol. Ten eerste dat het om lange termijn gaat. Ten tweede dat de relaties met alle belanghebbenden in ogenschouw worden genomen. Hij attendeerde ons erop dat vanuit compliance optiek vooral de negatieve effecten van het gedrag van onze organisaties belicht worden. Het zou mooi zijn als je vanuit compliance ook de positieve effecten van ons gedrag voor onze belanghebbenden kunt meenemen. Je kunt daarbij goed gebruik maken van de ‘sustainable development goals’ van de Verenigde Naties. André roept de deelnemers aan het symposium op om binnen hun eigen organisatie te bekijken welke van de 17 sustainable goals passend zijn om binnen je eigen organisatie te gebruiken. André triggerde de zaal verder met stellingen waarom een compliance officer vooral niet met MVO aan de slag zou moeten gaan, in de hoop dat de zaal het daar niet mee eens zou zijn. Stellingen zoals ‘compliance officers richten zich op normen en niet op waarden’, ‘compliance officers richten zich vooral op financiële schade’ en ‘compliance richt zich vooral op het eigen belang van de onderneming’. De methode van André werkte goed uit. Het was duidelijk dat deze stellingen geen steun kregen. En daarmee is het antwoord gegeven op de vraag of compliance officers aan de slag moeten met MVO: ‘ja, verstandig om te doen’.
In de zaal werd aangegeven dat de stellingen goed overeenkwamen met de compliance officer van 15 jaar geleden, en dat er nu op een steeds mooiere manier compliance wordt uitgevoerd. Gelukkig worden nu steeds meer belanghebbenden in ogenschouw genomen. Er wordt steeds meer vanuit waarden gewerkt. Steeds meer op vertrouwen gestuurd en steeds vaker wordt de stewardship filosofie uitgedragen. Er werd overigens in de zaal wel terecht geduid, dat dit de wens kan zijn van compliance officers, maar dat ook de bestuurders daarin mee genomen moeten worden. De beroepsgroep van compliance officers wordt door anderen niet altijd direct gezien als degen die met de waarden aan de slag gaan. Er ontstond een levendige discussie tussen de aanwezigen. André attendeerde de aanwezigen er op dat het vooral belangrijk is dat de waarden en normen niet los van elkaar moeten komen te staan. Je moet daarbij altijd de bedoeling van je organisatie in acht houden. ´Waar zijn we toe op aarde?’ De waarden haal je daarmee weer naar boven. André besloot zijn verhaal met een mooi voorbeeld uit de praktijk: Buurtzorg. Zij hebben inmiddels laten zien hoe een waardegestuurde organisatie goed kan werken.
Behavioral compliance
Wilte Zijlstra van het team consumentengedrag bij de AFM nam ons mee in de manier waarop wetenschap compliance kan versterken. De AFM wil graag dat ondernemingen gedrag van mensen in de markt bewuster op een goede manier beïnvloeden. De AFM hanteert daarom de inzichten vanuit de wetenschappelijke hoek en verwacht ook van onder toezicht staande instellingen dat zij gebruik maken van wetenschappelijke inzichten. Om de aanwezigen warm te maken voor dit idee, haalde Wilte een aantal voorbeelden van wetenschappelijke inzichten aan. Hij haalde daarbij het bekende voorbeeld aan van de Israëlische crèches die een boete invoerden wanneer ouders te laat hun kinderen ophaalden. Na het instellen van de boete, haalden steeds minder mensen hun kind op tijd op. Dit heeft ermee te maken dat mensen niet puur en alleen op basis van rationele argumenten beslissingen nemen. ‘De rationele mens’ bestaat niet, ‘de rationele consument’ evenmin. Het is goed om te beseffen dat mensen beslissingen nemen op basis van vuistregels (heuristics) en denkfouten (biases). Bij de AFM hanteren ze een bepaald beeld van de consument. Deze wordt vormgegeven door de denkbeeldige consument ‘Max’: “ik ben beperkt rationeel. Mijn voorkeuren zijn niet stabiel. Mijn tijd en motivatie zijn beperkt. Soms leidt dat tot problemen als ik keuzes moet maken.”
Wilte duidde vier manieren om ‘behavioral compliance’ te versterken. Het moet gemakkelijk, aantrekkelijk, sociaal wenselijk en tijdig zijn. Wilte gaf uitleg over een eigen onderzoek van de AFM, dat samen met een onder toezicht staande instelling werd uitgevoerd, over de verplichte waarschuwingstekst ‘Let op! Geld lenen kost geld’. Financiële ondernemingen zijn verplicht om bij kredietproducten deze waarschuwingstekst te plaatsen. Uit het eerste onderzoek in 2009 bleek dat veel mensen bekend waren met de waarschuwingstekst. Uit het onderzoek van 2016 bleek echter, dat consumenten de tekst wel kenden, maar dat dit niet leidde tot ander gedrag. De waarschuwingstekst die wij allemaal kennen, blijkt niet effectief te zijn. Uit de zaal werd terecht de vraag gesteld waarom het nog steeds een verplichting is voor financiële ondernemingen, terwijl we weten dat de tekst geen effect heeft. Dit is waarschijnlijk te herleiden naar de weerstand die er is om regels weer in te trekken. En daarnaast duurt een wetgevingsproces gewoon lang.
Een tweede voorbeeld ging over een experiment bij Economische Zaken. Het niet aanzetten van de schermbeveiliging van de computer als mensen hun werkplek verlieten, was een probleem. In het kader van het makkelijk maken, werd op de toetsenborden de sneltoets combinatie Windows+L met felle stickers voorzien. Dit had direct effect op het gedrag. Bij EZ hielp het dus om mensen te informeren èn het ze gemakkelijk te maken.
Wilte besloot zijn betoog met drie speerpunten die we in gedachten moeten houden als het gaat om het doen van onderzoek naar (consumenten)gedrag. Een realistisch beeld van mensen hebben we nodig (1). Daarmee is de uitdaging om interventies te kiezen om het probleem op te lossen (2). En tenslotte moet je goed meten, zodat je weet welke interventie goed werkt (3).
Workshops en presentaties
Na de lunch konden de deelnemers kiezen uit verschillende workshops of presentaties. Een aantal bestuurders van de VCO heeft verslag gedaan van de workshops en presentaties.
Corporate mindtraining: op weg naar grotere effectiviteit, creativiteit en integriteit
Door Rudolf Quarles van Ufford
De corporate mindtraining van Cornelie Bol was een ‘out of the box sessie’ voor menig compliance professional, waarbij het algemene beeld, dat het compliance vakgebied met name een domein is van mannen, niet blijkt te kloppen. Of had dit te maken met het karakter van de bijeenkomst met duidelijke elementen van mindfulness? Al met al was het een prikkelende training om op een andere manier naar zaken te kijken. Zo legt een simpele oefening pijnlijk bloot dat multitasken niet effectief is. En de soft skills voor effectiever werken werden getraind door het aanbrengen van focus op je ademhaling. Het begrijpen en het managen van je aandacht op het hier en nu is het belangrijkste ding waar je je op moet focussen. Als je dat voor elkaar kunt krijgen, volgt vanzelf de weg naar grotere effectiviteit, creativiteit en integriteit. En dat is lastig, als je zoveel afleiding om je heen hebt waar je aandacht naar toe gaat.
Robotics has no boundaries so come and see: “How can we help you”
Door Stefanie Berends
De Rabobank heeft 100 robots aan het werk, virtuele medewerkers met een eigen personeelsnummer. Steven van Uffelen licht in een enthousiasmerende workshop toe hoe zijn eerste virtuele collega twee jaar geleden begon, als alternatief voor automatiseren en in plaats van extra handjes. Het proces van ‘premie vrijmaken’ werd in 2017 60.000 keer gedaan. Dit handmatige proces wordt nu door een robot gedaan. De robot pakt de e-mail op en gaat aan de slag in de doelapplicatie. Waar eerder een medewerker als interface tussen twee systemen fungeerde, bouwt de Rabobank robots tegen bestaande systemen aan. De doelapplicatie wordt niet aangepast, zoals bij automatisering.
Van het werk dat overblijft, worden medewerkers blijer, aldus Van Uffelen. Interessanter werk blijft over.
Robots kunnen Compliance helpen bij het ophalen en klaarzetten van informatie (dossiervorming). Van Uffelen schetst daarnaast het voordeel van continue monitoring, leidend tot up to date management informatie, waar nu vanwege beperkte capaciteit steekproefsgewijze monitoring plaatsvindt.
Tijdens de workshop ziet VCO-bestuurder Roderick Noordhoek een mooie taak voor de Kennistafel RegTech ontstaan: inventariseren van repeterende taken van de Compliance Professional die zich (dus) lenen voor robotics.
De robots hebben overigens niet voor niets een personeelsnummer. Als organisatie moet je weten welke robot waarmee bezig is. Doet de robot geen dingen die je niet wilt dat hij doet? De Rabobank checkt dit via het testen van de key controls uit haar Risk Control Framework.
The bright sight of Big Data
Door Ayolt van Tijum
Wouter Seinen en André Walter gaven een interessante inkijk in de praktijk van de AVG, die nu enige tijd van kracht is. Waar worstelen organisaties mee, waar zijn er mogelijkheden? Interessant was dat met name kleine organisaties, zoals scholen en sportclubs minder bang zouden hoeven zijn voor de handhaving door de AP, als men soms wil doen geloven. Met alle soms wat rigide maatregelen door dergelijke organisaties van dien. Deze gaan soms het doel van de AVG voorbij. Volgens de sprekers zal de focus van de AP zich niet primair op deze doelgroepen richten, als zij naar beste kunnen netjes omgaan met de hun toevertrouwde persoonsgegevens. Met een ‘principle based’ benadering is al veel te voorkomen.
Toch biedt de AVG nog veel interpretatieruimte, dit speelt meer bij grotere organisaties, die beschikken over gevoelige gegevens. Deze ruimte zal de komende jaren worden ingevuld. In de workshop werd dit aan de hand van praktische voorbeelden geïllustreerd. Al met al blijft de AVG actueel.
Voorkomen van wangedrag
Door Roderick Noordhoek
Maarten Hoekstra weet vanaf moment één de nieuwsgierigheid van de groep te wekken bij zijn workshop. Hoewel zijn workshop officieel “Voorkomen van wangedrag” heet had hij het net zo goed een workshop ‘omdenken’ kunnen noemen.
Meteen aan het begin van de workshop wordt de zaal omgebouwd zodat iedereen in een grote kring zit met in het midden… een broccoli. De broccoli is natuurlijk een metafoor en iedereen blijft aandachtig luisteren hoe deze metafoor straks gaat uitleggen dat compliance officers wangedrag kunnen voorkomen, “of beter, het juiste gedrag kunnen stimuleren”.
Dat Maarten van iconen en metaforen houdt blijkt ook door een van de eerste slides van zijn presentatie, die de steen van Rosetta laat zien. Deze steen met daarop drie verschillende talen was de eerste mogelijkheid voor de mens (na het tijdperk van de Farao’s) om hiërogliefen te kunnen ontcijferen. Dat ontcijferen staat, kort gezegd, symbool voor de vertaalslagen tussen de taal van de maatschappij (de waarden), de taal van de wetgever (normen), de taal van compliance (beleid) en de taal van de professionals (business). In de praktijk wordt in gesprekken tussen compliance en de business vaak gezegd dat het goed is als de business het beleid leest en goed nadenkt over welke waarden daar dan achter zitten. “En dat is eigenlijk heel gek. Al die moeite gestopt in die vertaling naar de business en dan kunnen zij het allemaal weer gaan terugvertalen.”
Hoekstra weet dit op de juiste manier om te denken met behulp van de broccoli. Het antwoord op de vraag ‘hoe motiveer je mensen om hun gedrag te veranderen?’ is namelijk niet: door de broccoli met de bovenkant (alle normen en intern beleid) in het gezicht van de medewerker te duwen en te vertellen dat hij/zij hier aan moet voldoen. Dat is volgens Hoekstra de rol van de compliance officer. Die moet alle compliance normen en het interne beleid kunnen herleiden naar de steel van de broccoli. Dit door de normen en het beleid te analyseren, te bepalen welke vragen de medewerker moet stellen om tot de juiste waarden te komen, op welk moment en vanuit welke rol.
Daarna is het de kunst, volgens Hoekstra, om rol- en moment gedreven de medewerker in de business de gelegenheid te geven om zichzelf de ‘Why’vraag te stellen. En als je daar eens over nadenkt is dat eigenlijk heel logisch, want met een beetje advies van compliance in het beantwoorden van deze vragen en daarnaast wel te toetsen aan de normen en het beleid, levert dat meer op dan de zoveelste ‘one-size-fits-all’ e-learning. Omdenken, lijkt achteraf vaak logisch, maar Maarten Hoekstra weet het met behulp van zijn zelf ontworpen geïllustreerde modellen en afbeeldingen zo te brengen dat je niet eens meer begrijpt hoe je het daarvoor ooit anders hebt kunnen doen.
Hollen en stilstaan in Wwft | Yevgeniya Balyasna-Hooghiemstra
Product Governance | Laura Stortelder
Scenario-denken voor en door compliance officers | Renate Kenter