Prof. Dr. Van Engers, professor in Legal Knowledge Management, Universiteit van Amsterdam

06 september 2017

Wat is uw onderzoeksveld?

Ik doe onderzoek op het terrein van de rechtsinformatica en in het bijzonder naar kunstmatige intelligentie en recht. Een belangrijk aandachtsgebied daarbij is onderzoek naar rule governance en geautomatiseerde detectie van (non-)compliance. Zo ben ik ondermeer betrokken bij onderzoek naar veilige infrastructuren voor data-delen. 

Op 14 augustus jl. stond u geciteerd in Het Financieele Dagblad in een artikel over de Algemene Verordening Gegevensbescherming (AVG). Voor welke uitdagingen als uitvloeisel van de AVG staan banken volgens u?

Banken zijn IT-organisaties met een banklicentie. Banken behoren tot de grootste gegevensverwerkende industrieën en verwerken data die tot personen herleidbaar zijn en daarmee onder de reikwijdte van de AVG vallen. Dat betekent dat banken alleen die gegevens mogen verwerken die passen binnen de doelen die de AVG omschrijft. Nu werken veel banken internationaal en dat betekent dat naast het voldoen aan de binnen Nederland en Europa geldende regelgeving ook wetgeving in andere landen impact kan hebben op de inrichtings- en verwerkingseisen die aan banken worden gesteld. Doelbinding, proportionaliteit en subsidiariteit zijn in de AVG leidende principes.

Uiteraard moet dit op een zodanige wijze worden geïmplementeerd dat zowel aan de betreffende klant als aan de toezichthouder verantwoording kan worden afgelegd dat alleen legitieme opslag en verwerking van de gegevens plaatsvindt. Bij voorkeur vindt dit plaats via embedded compliance en dat dit door de infrastructuur wordt afgedwongen. Een complicerende factor hierbij is dat banken, net als veel andere IT-verwerkers, samenwerken met netwerkpartners. Dat betekent dat de overeenkomsten met deze partijen over de gegevensopslag en -verwerking bij die partners geen inbreuk vormt op de voorwaarden waaronder de bank deze gegevens heeft verkregen, mag opslaan en verwerken. Niet alleen de AVG, ook de Payment Service Directive, die financiële dienstverleners rechtstreeks toegang geeft tot de bancaire systemen, en andere regelgeving maken dat de bestaande infrastructuur een steeds grotere uitdaging voor de banken vormt. Het herontwerpen van de bancaire infrastructuur met compliance als kernaandachtsgebied is daarom zeer noodzakelijk.

Als u kijkt vanuit uw wetenschappelijke expertise, welk advies zou u banken dan willen meegeven?

 

 Het is volstrekt logisch dat banken de toenemende regeldruk als een enorme uitdaging ervaren als het gaat om het implementeren van de steeds toenemende en bovendien vaak veranderende uit regelgeving voortvloeiende eisen. Deze uitdaging heeft echter ook een positieve kant. Banken zijn organisaties die het bij uitstek moeten hebben van vertrouwen. Het bewustzijn dat een bank primair een IT-organisatie is en het realiseren van een infrastructuur die gebouwd is met compliance als kernwaarde zal helpen dat vertrouwen te creëren en daarmee de essentiële maatschappelijke rol te blijven vervullen die banken hebben in het economisch verkeer. Binnen de academische wereld is veel kennis over het ontwerpen, bouwen en toetsen van infrastructuren waarin embedded compliance kan worden gerealiseerd. Banken participeren overigens al in enkele projecten, onder meer op het terrein van infrastructuren voor veilig datadelen, waarin nieuwe technologieën worden ontwikkeld en beproefd. Verdere samenwerking tussen banken en de academische wereld kan banken helpen hun processen niet alleen AVG-compliant te maken, maar ook helpen om aan de andere wettelijke eisen te voldoen. Deze samenwerking kan Nederlandse banken helpen in het vergroten van het vertrouwen met gegevensverwerking en ook de kosten daarvan structureel te verlagen en daarmee hun internationale concurrentie positie te verstevigen.