“We gaan bijna op kleuterniveau om met data”, zei commercieel directeur Robert Wondaal van adviesgroep Robidus gisteren tijdens een seminar van de Nederlandse Vereniging Inkomen Adviseurs (NVIA). Het seminar ‘Data binnen de sociale zekerheid en inkomensverzekeringen’ werd door de NVIA georganiseerd om een ambitieuzere en zorgvuldigere omgang met data te stimuleren, maar ook om meer duidelijkheid te creëren over de mogelijke gevolgen van nieuwe privacyregelingen.
Dat betrouwbare data de sleutel vormt tot het creëren van nieuwe verzekeringsadviezen en -oplossingen was voor ieder gisteren duidelijk. Dataverzameling, -kwaliteit, -traffic, -controle en -beheer staan volgens de NVIA nog in de kinderschoenen. De NVIA wilde met het seminar zorgvuldige omgang met data stimuleren en duidelijkheid creëren over wat de gevolgen kunnen zijn van de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 van kracht wordt.
Meerdere partijen stelden zich tijdens het seminar kwetsbaar op. Arend Jansen, specialist in arbeidsongeschiktheid bij Aegon, sprak over data in relatie tot marketing en sales en gaf ruiterlijk toe: “Ik ben geen data-man. Ik stel me hierin nu kwetsbaar op. Ook wij worstelen met wat mag wel en wat mag niet.” Jansen gaf aan hoe Aegon omgaat met data bij het ontwikkelen van nieuwe producten en offertes. Aegon gebruikt data vanuit het Adfiz-formulier gecombineerd met branchedata voor de berekening van offertes en premies. “Het blijft altijd opletten met data. Het komt voor dat bij een offerte-aanvraag vanuit de data van de klant bijvoorbeeld af te lezen is dat twee medewerkers in de WIA zijn ingestroomd. Bij bedrijven met meer dan 250 medewerkers is via de publieke informatie van het UWV te zien wat de bij hen geregistreerde data is en dat kan wel eens uiteenlopen. Ook die data nemen we mee.”
Kwalitatieve data is volgens Jansen “ongelofelijk moeilijk om boven tafel te krijgen”. Volgens Jansen is Aegon vooral bezig met kwalitatieve data in relatie tot groot-zakelijke klanten met meer dan 500 medewerkers die ook worden begeleid in het beleid. “Dit doen we nog niet structureel genoeg.” Jansen gaf, na een vraag vanuit het publiek, toe dat ook Aegon niet altijd op een veilige manier met data omgaat. “Ik denk dat 80% beveiligd binnenkomt. We begrijpen dat dat anders moet en zijn bijvoorbeeld bezig met een digitale datakluis, maar ik geef eerlijk toe dat ik daar niet genoeg van afweet.” Vooral het schadesegment van de organisatie wordt volgens Jansen getroffen door de privacywetgeving. “Binnen dit segment zijn we nu erg belemmerd.” Hoe Aegon daarin werd belemmerd werd door tijdgebrek niet duidelijk.
Tijdens het seminar werden ook flink wat kritische noten gekraakt. Zo zei commercieel directeur Robert Wondaal van Robidus (een adviesgroep die werkgevers ondersteunt bij de benutting van regelgeving, financiering en schadebeheer op het terrein van sociale zekerheid): “We gaan bijna op kleuterniveau om met data. Ik zie nog steeds allerlei excel-sheets die worden doorgestuurd. Met wachtwoord, maar ook zonder wachtwoord. We mogen echter in verband met privacygevoelige informatie niet zomaar meer data naar elkaar toesturen. Ik zie dat echter in deze branche nog heel veel gebeuren.”
Wondaal vertelde verder dat bij hem in het bedrijf “de doodstraf ” staat op onzorgvuldige omgang met data. “We zijn, ook in aanloop naar de AVG, al twee jaar bezig met het volgen van de juiste richtlijnen en het opvoeden van onze medewerkers. Dat heeft veel tijd en geld gekost en we hebben inmiddels twee medewerkers die zich geheel wijden aan de naleving van de privacywetgeving en de inrichting van onze datasystemen zodat er automatische meldingen van datalekken of data-incidenten worden genoteerd.”
Wondaal uitte ook zijn frustratie: “Data is heel interessant en ik denk zeker dat we met big data heel veel kunnen. Maar door de nieuwe privacyrichtlijnen zijn we heel veel tijd kwijt om ons daar op in te stellen terwijl ik eigenlijk gewoon bezig wil met het verkopen en creëren van nieuwe producten.” Wondaal gaf ook een tip: “Wij zijn begonnen met het opstellen van privacystatements zodat, mocht het nodig zijn, we ons daar later op kunnen beroepen.”
Pim Poppe, oprichter van Probablity & Partners (gespecialiseerd in risicomanagement), sprak vooral over de impact en gevolgen van de AVG. De Autoriteit Persoonsgegevens (AP) was volgens de organisatoren ook uitgenodigd voor het seminar maar die partij “was er nog niet klaar voor”, zo werd gemeld. Poppe had het vooral over datakwaliteit en datamodellen. Poppe: “Ik ben een beetje een buitenstaander in deze branche en dat kunnen we zien als zowel een voordeel als een nadeel.”
“De investeringen om alles op orde te krijgen is één ding”, zo zei Poppe. “Wat straks schadelijker zal zijn als er niet goed genoeg met de privacyregelingen wordt omgegaan en er gaten vallen, is dat er daardoor nog heel wat robbertjes zullen worden gevochten in de journalistiek. De schade van die negatieve publiciteit zal mogelijk veel groter zijn”, vervolgde Poppe. Hij verwees onder andere naar het tienstappenplan van de AP en wees erop dat organisaties nu wel op de helft moeten zijn wat betreft de voorbereiding op de AVG.
Poppe gaf met een voorbeeld ook aan hoe er in de branche wordt gesteggeld over definities en vertelde over een data-incident bij een pensioenfonds. “Er werden twee advocaten bijgehaald, de AP was erbij gehaald maar ze kwamen er maar niet uit of het nou een datalek betrof of niet.” Poppe gaf hiermee de ruimte voor interpretatie en attendeerde het publiek erop om vooral ook zelf keuzes te maken. “Je moet op een gegeven moment zelf kiezen: kan iets wel of niet en daar bewijsvoering in opbouwen.”
Herwin Schrijver, directeur van CS Opleidingen, concentreerde zich als spreker op het berekenen van risico’s met behulp van data en de privacywetgeving. Schrijver: “Een onderdeel van de nieuwe privacywetgeving bestaat uit ‘het recht om te verdwijnen’. Consumenten kunnen binnen dit recht straks verzoeken om verwijderd te worden uit systemen en dat wordt nog een dingetje.” Dat het ‘een dingetje’ zal worden komt volgens Schrijver vooral door de ongestructureerde manier waarop verzekeraars met data omgaan.
Schrijver sprak ook over het berekenen van risico’s op basis van data. “Veel verzekeraars hanteren bijvoorbeeld het verzuimpercentage voor de berekening van de premie van een verzuimverzekering. Een verzuimpercentage zegt echter weinig tot niets over de kosten. Een verzuimpercentage is als parameter voor een risicometing handig wanneer je de afwezigheid in dagen wilt meten.” Verzuim ontstaat door verschillende factoren die grofweg in twee groepen kunnen worden ondergebracht: de harde risico’s (de groep factoren die actuarieel wel in beeld is en bestaat uit onderwerpen zoals loon, geslacht, gemiddelde leeftijd, sector, werkzaamheden, verzuimpercentage, wia-instroom laatste 5 jaar, type arbodienstverlening) en de zachte risico’s (de groep factoren die actuarieel niet in beeld is en bestaat uit onderwerpen zoals cultuur, gedrag, cao, verbondenheid met vakbonden, beleid, leeftijd versus prestatie). De harde risico’s zijn volgens Schrijver privacygevoeliger dan de zachte risico’s. De uitdaging in de markt bestaat volgens Schrijver uit: Kunnen eventuele effecten van zachte risico’s in relatie worden gebracht (financieel met kosten/baten) met de harde risico’s?
Onderstaand treft u de presentaties van de sprekers aan.