In 2023 is het zover: het Ethisch Kader van het Verbond van Verzekeraars dat sinds 2021 van kracht is gaat getoetst worden. Ik ben om meer dan één reden erg benieuwd naar de uitkomsten. De scope van het kader bevat namelijk behoorlijk wat ruimte voor interpretatie. En ook in de praktische invulling van de normen kan op meerdere manieren vorm worden gegeven. Welke keuzes hebben de verschillende verzekeraars gemaakt? En wat blijkt straks wel en niet goed te werken? De Stichting Toetsing Verzekeraars gaat nu het net ophalen. Staan we hier aan de vooravond van de geboorte van een nieuwe “veldnorm”?
Scope
De eerste vraag waar je tegenaan loopt als je met het Ethisch Kader aan de slag gaat is scope ervan, namelijk “datagedreven besluitvorming”. Het kader zelf en de toelichting erop geven weliswaar houvast, maar niet heel stevig. Dit komt deels doordat het kader gebaseerd is op een document dat specifiek gaat over artificiële intelligentie (AI): de Ethische Richtsnoeren voor Betrouwbare AI van de High Level Expert Group on AI, een adviesorgaan van de Europese Commissie. In dit document is een aantal principes en vereisten vastgesteld, specifiek gericht op systemen die een zekere mate van autonomie of zelflerend vermogen hebben. Zoals de representativiteit van de gebruikte data en de uitlegbaarheid van uitkomsten. Het kader van het Verbond adopteert wel de door in dit document vastgestelde vereisten, maar past deze toe op een aanzienlijk bredere scope, namelijk “alle datagedreven besluitvorming die van invloed is op het klantvertrouwen”. Wat betekent dit voor de uitkomst van een premieberekening en de data dien hiervoor gebruikt worden?
In de toelichting op het kader wordt het belang van de klant als uitgangspunt genomen. Als een besluit discriminerend is of op een ander manier oneerlijk uitpakt, maakt het voor degene die het raakt immers niet uit dit door zelflerend neuraal netwerk is genomen of op basis van een eenvoudige beslisboom. Toch is het nadrukkelijk ook niet de bedoeling dat alle besluitvorming van verzekeraars onder het kader valt. Hoewel aan vrijwel alle besluiten van verzekeraars data ten grondslag ligt, zou de toepassing van het kader met name gericht moeten zijn op processen en toepassingen waarin de grootste risico’s zitten. Het is dus aan de verzekeraars zelf om hier handen en voeten aan te geven. Helemaal buiten de reikwijdte van het kader is een verzekeraar overigens nooit. Ook als je op het moment van peilen nog niets doet wat op datagedreven besluitvorming lijkt, zul je in je beleid moeten opnemen waar de grens ligt en het kader wel van toepassing wordt. En hoe je daar dan mee omgaat.
Aanpak
Naast de interpretatie van de scope, is het interessant om te weten hoe verschillende verzekeraars de implementatie van het normen hebben aangepakt. Op welke onderwerpen van het nodig om extra maatregelen te nemen? Veel verplichtingen waren immers ook daarvoor al van kracht, zoals het voldoen aan privacy en security eisen. Alleen heet het dan geen ethiek, maar compliance of beheerste bedrijfsvoering.
Heeft het kader bijvoorbeeld geleid tot extra aandacht voor datakwaliteit? En zijn op basis hiervan risico’s aan het licht gekomen, die daarvoor nog niet in beeld waren? Interessant is ook welke invulling de verschillende organisaties hebben gegeven aan het vergroten van kennis van datagedreven besluitvorming bij medewerkers, bestuurders en toezichthouders. Elke groep en subgroep zal immers een andere benadering nodig hebben, specifiek gericht op de informatiebehoefte en risico’s voor die groep . En ook interessant: zijn er verzekeraars die de eis van een intern controle- en verantwoordingsmechanisme voor datagedreven toepassingen hebben vertaald naar een register, zoals in de Toolkit van KPMG geadviseerd wordt? En welke informatie is hierin dan opgenomen, en welke juist niet?
Effect
Het Ethisch Kader bestaat uit 30 normen. Bij een groot deel hiervan hebben verzekeraars ruimte om te zelf bepalen hoe zij hier invulling aan geven. Het derde en misschien wel meest belangrijke punt waar ik benieuwd naar ben is welke aanpakken uiteindelijk goed blijken te werken. En voor wie? Er zijn immers grote verschillen tussen verzekeraars. In omvang, maar ook in type dienstverlening, bedrijfscultuur en volwassenheidsniveau op het gebied van data.
Wat de best practices worden, zullen we ook na de eerste toetsing van het kader in 2023 nog niet weten. Voorlopig moeten we het dus doen met de voorbeelden die we “in het veld” tegenkomen. De bal rolt, maar het doel is nog een eindje weg.
Implementatie
Een overzicht van de normen in het Ethisch Kader op één pagina is hier te vinden. Ben je als verzekeraar gebonden aan het Ethisch Kader, maar ben je er nog niet helemaal uit welke plek in de organisatie dit moet krijgen? Of is de plek van het kader wel duidelijk, maar is de vraag hoe je de organisatie in beweging krijgt? De volgende stappen kunnen dan richting geven:
- Organiseer een awareness sessie met het senior management. Doel is om gevoel te krijgen waar in de organisatie “de ethiek zit”. Welke rol speelt data de besluitvorming? Wanneer vertrouw je op de data en wanneer niet? En waarom?
- Breng in kaart in welke werkprocessen besluitvorming op basis van data plaatsvindt en in hoeverre hierin de verwerking van data geautomatiseerd plaatsvindt.
- Bepaal bij welke van deze besluiten bij een incident de impact op het klantvertrouwen het grootst is. Leg deze langs de normen van het ethisch kader, bepaal in hoeverre reeds aan het kader voldaan wordt en welke acties nog nodig zijn.
Heb je als organisatie je werkprocessen goed in beeld, dan kunnen bovenstaande stappen kort na elkaar gezet worden. Een goede manier voor stap 3 is om te beginnen met het besluit waarvan het risico het grootst is. Dit is een goede manier om het hele kader snel in de vingers te krijgen en om normen die wat meer tijd nodig hebben om te implementeren direct te kunnen oppakken. Belangrijk is ook om vast te leggen wat je doet en welke keuzes je maakt. Niet alleen om een auditor goed te woord te kunnen staan, maar ook om later te kunnen vaststellen wat wel en wat niet gewerkt heeft. En hiermee mogelijk een bijdrage te kunnen leveren aan de veldnorm.
Hulp nodig bij de implementatie van het kader of behoefte aan een sparring partner? De data- & reguleringsadviseurs van VKA denken graag met je mee. En we kunnen je ook helpen om stappen te maken.