De weg naar datagedreven toezicht op de retailmarkt is voor de Autoriteit Financiële Markten (AFM) anders gelopen dan gedacht. Waar de toezichthouder data zeven jaar geleden nog voornamelijk zag als een kans, heeft zij gaandeweg gemerkt hoe lastig het privacyvraagstuk daarbij wel niet was.
Dat zei bestuurder Jos Heuvelman van de AFM dinsdagochtend in Amsterdam, aansluitend op de presentatie van het jaarverslag van de toezichthouder. Heuvelman is verantwoordelijk voor het toezicht op de retailmarkten.
In 2022 heeft de AFM de werkwijze en de bijbehorende organisatiestructuur van een datagedreven toezichthouder verder doorgevoerd, zo blijkt uit het jaarverslag. De exacte status is “per kolom” verschillend, lichtte bestuurder Hanzo van Beusekom desgevraagd toe. Van Beusekom is verantwoordelijk voor toezicht op accountancy, maar heeft ook datagedreven toezicht in zijn portefeuille.
‘Voor accountancy moeten we vanaf nul beginnen. Kapitaalmarkten zijn juist al tien jaar gedigitaliseerd, de data spuit zoals door een brandslag bij de AFM naar binnen. Daar speelt meer een analyse-probleem. Bij de retailmarkten leggen we juist weer de focus op het bouwen van een datapositie, terwijl asset management zich daar ergens tussenin bevindt.’
Éen grote database
In 2016 begon de AFM het programma “spot on”, bedoeld om de ontwikkeling van “normaal” toezicht naar datagedreven toezicht te ondersteunen. Data-onderzoeken en de ontwikkeling van een data- en analyseplatform moesten een omgeving creëren waarin de toezichthouder op een gebruiksvriendelijke manier data zou moeten verwerken.
Inmiddels heeft de toezichthouder per toezichtafdeling een team toegevoegd dat datagebruik faciliteert. ‘De conclusies die we trekken zijn door datagedreven toezicht beter onderbouwd met feiten en we zien sneller waar mogelijke risico’s zich manifesteren in de financiële markten’, aldus de toezichthouder in haar jaarverslag.
Van Beusekom (foto): ‘Vijftien jaar geleden liepen we bij een vermogensbeheerder naar binnen en vroegen we om tien dossiers. Die werden uit de kast getrokken, waarna wij ze doorbladerden en keken of alles voldeed. Inmiddels is er sprake van één grote database, waarbij het toezicht een afspiegeling is van wat er verandert in de gehele sector.’
Toch is de filosofie nog altijd hetzelfde, volgens Van Beusekom. ‘Het enige andere is hóe we nu zien, begrijpen en aanpakken. Zeker het zíen, is nu fundamenteel anders. Nu vragen we alle dossiers op, laten daar een algoritme op los, en krijgen de informatie die we willen.’
Voor sectorpartijen kan dat soms een last zijn, beaamde de bestuurder, waarbij hij de vergelijking maakte met een flitscontrole versus een trajectcontrole. ‘Maar als je alles op orde hebt, moet dat niks uitmaken. Bovendien hebben vermogensbeheerders er soms ook lol van, als het bijvoorbeeld gaat om fondsmeldingen, die door automatisering minder tijd kosten.’
Anders dan gedacht
Als het gaat om datagedreven toezicht op retailmarkten, maakt de AFM onder meer gebruik van tekst scraping, het geautomatiseerd informatie van websites halen. Heuvelman (foto): ‘Het lastige binnen retailmarkten is dat het over mensen gaat en dus over hun privacy. Je kunt niet in het wildeweg data opvragen.’
De toezichthouder is bezig met een wetgevingtraject om hiervoor een betere basis aan te leggen. In het jaarverslag schrijft de AFM hierover dat het belangrijk is dat deze wettelijke basis voor het periodiek uitvragen van data in lijn is met het toenemende belang van deze data voor het toezicht.
Is de weg naar datagedreven toezicht langer dan verwacht? Heuvelman: ‘Het is anders gelopen dan we zeven jaar geleden dachten. Toen zagen we data vooral als een kans, nu zien we dat we er zorgvuldig mee om moeten gaan. Niet alles wat je te weten kúnt komen, moet per se gebeuren.’
Datavergaring en -verwerking vormen in toenemende mate de kern van het bedrijfsproces van financiële ondernemingen. Dit toenemend gebruik van data brengt risico’s met zich mee, waarschuwt de AFM in haar jaarverslag. ‘Aandachtspunten zijn onder meer het waarborgen van een hoge datakwaliteit en het rechtmatig en zorgvuldig omgaan met persoonsgegevens. Ook de beveiliging van data tegen cyberaanvallen vergt continue aandacht.’
Vorig jaar heeft de AFM voorbereidingen getroffen voor wat de Digital Operational Resilience Act (DORA) gaat betekenen voor het toezicht. De regelgeving die digitale veiligheid moet bevorderen in de financiële industrie, wordt door Dufas als “groot dossier” gezien. De branchevereniging voor vermogensbeheerders waarschuwde onlangs voor de grote administratieve last die op komst zou zijn. In 2025 ligt er een set van gedetailleerde regels waar de beveiliging van netwerk- en informatiesystemen van marktpartijen aan moeten voldoen.
Volgens Heuvelman is de AFM bezig met een nulmeting en onderzoekt het de stand van zaken bij vermogensbeheerders. Op de vraag hoeveel impact het dossier heeft op de AFM, zei Heuvelman dinsdag dat de AFM geen honderd nieuwe werknemers nodig heeft maar wel meer dan vijf. ‘Het is wel een serieuze taak.’
Van Beusekom verwacht dat het in de toekomst ‘gewoon een van de vijf of tien dingen wordt die we uitvragen als toezichthouder’ bij sommige partijen. Dat gebeurt op risico-gebaseerde basis. Daar waar de toezichthouder de grootste risico’s ziet of verwacht, gaat het als eerste polshoogte nemen.