EY balanceert tussen

Hoe APG balanceert tussen mens, wet en AI

Portrait of Rudrani Djwalapersad
Rudrani Djwalapersad

Partner, Technology Consulting, Cybersecurity, EY Advisory Netherlands LLP

4 minuten leestijd 18 dec. 2023
Gerelateerde topics
Financiële dienstverlening

Veiligheid gaat boven snelheid, verzekert Ollivier Trouw (APG): we moeten ons vooral realiseren welk probleem een nieuwe technologie oplost.

In het kort:

  • Ollivier Trouw van APG's Digital Office benadrukt dat hun decentralisatie van digitale innovaties vraagt om een centrale regie voor inzicht en overzicht in het IT- en datadomein.
  • Trouw wijst op de uitdagingen rond nieuwe wet- en regelgeving, en de noodzaak voor bestuurders om de taal van de techneuten te begrijpen, vooral rond AI en ethische vraagstukken.
  • Hij benadrukt het belang van bewustmaking en opleiding in het veilig en effectief omgaan met AI en IT, en het evenwicht zoeken tussen snelheid en veiligheid in technologische ontwikkelingen.

Ollivier Trouw is samen met collega Tim Schulteis bij APG op Group-niveau verantwoordelijk voor IT en data, ondergebracht in de Digital Office. Die zorgt ervoor dat de pensioenuitvoerder op een beheerste manier omgaat met onder andere digitale innovaties. In gesprek met Rudrani Djwalapersad van EY geeft hij zijn visie op recente wet- en regelgeving vanuit de Europese Digital Finance Strategy. “Leiderschap is ook: jezelf niet verliezen in de hype van het moment.”

Trouw gelooft niet in een sterk hiërarchisch georganiseerde IT-functie. “Omdat wij een digitale onderneming zijn en IT- en dataonderwerpen steeds meer richting de eindgebruiker bewegen, willen we de verantwoordelijkheden laag houden. Dat betekent onder andere dat we digitale innovaties vooral decentraal ontwikkelen, maar ook: dat er centraal wel regie moet zijn.” Precies daar houdt de Digital Office zich mee bezig: inzicht en overzicht houden over wat er gebeurt in het IT- en datadomein. En daarnaast richting geven aan de organisatie via visie, strategie, (design)principes en heldere kaders en richtlijnen.

Ingewikkeld

In deze rol heeft Trouw goed inzicht in de uitdagingen rondom nieuwe wet- en regelgeving. De lastigste uitdaging? “Vooral de combinatie van zaken met harde deadlines die tussen 2024 en 2027 tegelijkertijd spelen. Op dit moment zijn DORA, de AI Act en de Wtp (Wet toekomst pensioenen) de drie grote onderwerpen. Voor AI is de uitdaging dat wij enerzijds zelf nog ontdekken wat we wel en niet met AI kunnen en willen doen. Er lopen diverse innovaties op dit vlak. Aan de andere kant zijn ook de wettelijke eisen rondom AI alleen nog maar op hoofdlijnen bekend. Deze kunnen wij dus nog niet by design inbrengen.”

Wij gaan geen AI-tools verbieden.

EY eof olivier trouw
Ollivier Trouw, APG

Taal van de bestuurder

Digitale wet- en regelgeving brengt wel een nieuwe realiteit met zich mee: de bestuurdersaansprakelijkheid. “De onderwerpen IT en data komen op de bestuurstafel te liggen, ook in het kader van aansprakelijkheid. En dat is echt nieuw. Het betekent onder meer dat bestuurders moeten begrijpen wat AI is, en welke ethische vraagstukken daaromheen spelen. Ze moeten weten waar zij vanuit de toezichthoudende rol op moeten letten. Dat vraagt onder andere om bestuurders en commissarissen opleiden.” Maar het vraagt ook van ‘techneuten’ om goed inzicht te geven in dit soort producten en de taal van de bestuurder te leren spreken.” Trouw merkt zelf dat hij steeds vaker deze twee verschillende werelden bij elkaar brengt.

 

Meer bewustzijn

In dit verband maakt hij een mooie vergelijking tussen omgaan met AI en het cybersecurity-domein, een van zijn andere verantwoordelijkheden. Voor dat laatste thema besloten veel organisaties aanvankelijk ook vooral te gaan voor stevige dijken om zich te beschermen tegen aanvallers. Pas later kwam het besef dat niet alles is af te vangen met techniek. Bewustzijn bij eindgebruikers is minstens zo belangrijk om veilig te blijven, benadrukt hij.

 

Bespreekbaar maken

Volgens hem is dat met AI niet anders. “We gaan onze infrastructuur dus niet dichtzetten of AI-tools verbieden. Wel ontwikkelen we beleid om zorgvuldig met AI om te gaan, en daar betrekken we collega’s actief bij. Door erover te communiceren via intranet, door e-learning-modules en door speciale teams die dat beleid bespreekbaar maken in hun onderdeel van de organisatie. Op termijn kan ik me ook voorstellen dat daar harde verplichtingen bij horen. Als je bijvoorbeeld de noodzakelijke certificaten niet hebt gehaald, mag je niet meer werkzaam zijn in het IT- en datadomein. Zonder rijbewijs mag je tenslotte ook niet de weg op. Nieuwe technologie zorgt voor een enorme versnelling, maar brengt ook een extra verantwoordelijkheid met zich mee. Onvoldoende opleiding of bewustzijn is een steeds groter risico. Daarom is een continu ‘lerende organisatie’ ook een randvoorwaarde. En zijn wij met elkaar verantwoordelijk om daar tijd voor te nemen in alle drukte. Het betekent ook dat ikzelf nog het nodige te ontwikkelen heb.”

Onze juristen worden steeds meer IT’er. En andersom.

Eating the world

Kortom, het gaat hier om essentiële onderwerpen nu we steeds afhankelijker worden van IT, data en straks wellicht ook AI. Software is eating the world, zo wordt wel gezegd. Met hoeveel ambitie springt APG op die trein? Trouw: “We beheren enorme hoeveelheden data voor acht pensioenfondsen met 4,5 miljoen deelnemers. En zij rekenen op onze zorgvuldigheid. Ik zoek dan ook continu het evenwicht tussen snelheid en veiligheid, en daarover voeren wij ook voortdurend het gesprek. Als het niet veilig en gecontroleerd is, dan doen wij het niet, want veiligheid gaat boven snelheid.”

Hij vervolgt: “Afgezien daarvan moet je ook oppassen dat je jezelf niet verliest in de hype van het moment en blijft redeneren vanuit de vraag welk probleem een nieuwe technologie eigenlijk oplost. Dat is wellicht een vreemde stelling door iemand vanuit de Digital Office, maar juist wij hebben de rol ook af en toe kritisch te zijn richting digitale ontwikkelingen.”

Samenwerking

Een ander uitdagend aspect is dat DORA vraagt om samenwerking tussen disciplines. “Binnen APG werken we samen tussen de Group, Asset Management, Risk en Legal. Dat betekent voor alle disciplines kennisverbreding. Vanuit IT en data moeten wij ook de juridische context kunnen begrijpen en andersom worden onze juristen steeds meer IT’er. De kracht van multidisciplinair werken is om samen over de wetten heen te kijken naar de achterliggende principes.” Ook kan de branche volgens hem een voorbeeld nemen hoe banken door sectorbrede samenwerking informatie delen. “Als Pensioen Uitvoerings Organisaties kunnen wij samen met onze fondsen ook veel meer de verbinding zoeken. Dit is gelukkig onderwerp van gesprek en komt ook terug in digitale wet- en regelgeving, zoals DORA.”

Lees ook

AI Insights

Lees onze wereldwijde inzichten over hoe je vertrouwen in AI opbouwt, waarde in je organisatie creëert en positieve impact op mensen realiseert. Meer informatie.

    Samenvatting

    APG wil de mogelijkheden van digitale technologieën ontsluiten voor medewerkers en klanten. Maar, wel graag beheerst. Vooral als het gaat om AI, vertelt Ollivier Trouw, bij APG op Group-niveau verantwoordelijk voor IT en data. In die balanceer-act gaat het vooral om goed inzicht krijgen in de experimenten die in de organisatie plaatsvinden. En om samenwerking. “Dat betekent voor alle disciplines kennisverbreding. Vanuit IT en data moeten wij ook de juridische context kunnen begrijpen en andersom worden onze juristen steeds meer IT’er. De kracht van multidisciplinair werken is om samen over de wetten heen te kijken naar de achterliggende principes.”

    EY verwijst naar de wereldwijde organisatie en kan verwijzen naar een of meer van de lidfirma's van Ernst & Young Global Limited, die elk een afzonderlijke juridische entiteit zijn. Ernst & Young Global Limited, een Britse vennootschap met beperkte aansprakelijkheid, verleent geen diensten aan cliënten.