Arjen de Graaf [00:00:00] Als een paal boven water staat wat mij betreft dat de Nederlandsche bank niet zonder IT kan en ik denk dat het ook steeds meer gaat worden.

Host Noortje Veldhuizen [00:00:12]  Je luistert naar DNB Talks, een podcast van De Nederlandsche Bank. In deze podcast bespreken we actuele financieel economische vraagstukken met verschillende specialisten van DNB. Goed dat je luistert naar deze aflevering van DNB Talks. Ik ben Noortje Veldhuizen. Vandaag bespreek ik met Arjen de Graaf en Ariane Knoppert-Veltena de steeds verdere digitalisering van de Nederlandsche bank. Arjen, ik begin bij jou. Hoe ben jij precies bij DNB terechtgekomen?

Arjen de Graaf [00:00:41] Nou, dat is een weg van 53 jaar, ik ben geboren in Friesland. Ik kom uit een arbeidersgezin en dat betekent dat toen ik ging studeren, dat best wel een stap was. Ook voor mezelf, moet ik zeggen. Ik had in die tijd nog lang haar en een baard. En als je me nou zou kunnen zien, dan zie je dat daar betrekkelijk weinig van over is gebleven. Ik ben bedrijfskunde gaan studeren. Daarna ben ik de IT in gerold en sinds 2002 ben ik vooral met verschillende ondernemingen bezig geweest. En een kleine tweeënhalf jaar geleden ben ik bij DNB terechtgekomen als adviseur van verschillende grote IT trajecten. Ik ben er buitengewoon trots op dat ik op 23 maart de CIO ben geworden, Chief Information Officer van De Nederlandsche Bank. En dat betekent dat ik eindverantwoordelijk ben, eigenlijk voor beleid tot en met de daadwerkelijke beheer van alle IT zaken van DNB.

Host Noortje Veldhuizen [00:01:35] En Ariane, hoe is het met jou? Wat voor pad heb jij bewandeld?

Ariane Knoppert-Veltena [00:01:38] Ja, ik kom gewoon uit de Randstad en ik heb wiskunde en informatica gestudeerd. En toen ben ik bij een klein bedrijfje gaan werken, wat software maakte voor de bouw. Maar na zeven jaar dacht ik, ik moet nou toch eens een overstap maken naar een grote mensen bedrijven en dat werd meteen DNB. Dat is 24 jaar geleden alweer. Ik kwam binnen als een ontwikkelaar en werd al gauw informatieanalist en na een aantal jaar projectleider en later toen we Agile gingen werken werd dat Product Owner. En inmiddels ben ik Chief Product Owner van een hele verwerkingsketen met allerlei verschillende applicaties eronder.

Host Noortje Veldhuizen [00:02:22]  En hoe zit het met de hiërarchie dan hieraan tafel? Moet ik daar nog rekening mee houden? Of is dat iets wat binnen DNB helemaal niet echt speelt?

Arjen de Graaf [00:02:27] Ja, daar is echt een hiërarchie. Het is namelijk toen we hier naartoe liepen kreeg ik al te horen dat als ik ademhaal, zei ze, dan moet jij stil zijn. Nou, je hebt het net gehoord, ze haalde adem en ik heb het gewoon even afgewacht, zal ik maar zeggen.

Host Noortje Veldhuizen [00:02:43] De divisie data, informatie en technologie. Welke rol speelt die binnen, nou ja, toch wel een groot instituut als de Nederlandsche Bank.

Arjen de Graaf [00:02:51] Ja, De Nederlandsche Bank heeft verschillende divisies, daar zijn er 17 van en elk van die divisies of afdelingen doet een stukje eigenlijk van onze dienstverlening. Dus we hebben partijen die toezicht houden op banken, verzekeraars en pensioenbedrijven. Maar we hebben bijvoorbeeld ook een club die zich richt op een resolutie. En dus als een partij eigenlijk uit de markt gaat, dat die ervoor zorgt dat er netjes een afhandeling komt. En wat ik graag altijd zie is dat we, omdat het goed uit te dragen is, dat we zowel gids als hoeder worden van de Nederlandsche Bank. En gids betekent dat we een beeld gaan neerzetten wat er allemaal mogelijk is en hoeder is, dat we heel zuinig zijn op onze IT. En hoeder betekent ook dat je een goeie beveiliging neerzet, dat je zorgt dat je je data netjes aflevert en ook ophaalt. En dat is gewoon eigenlijk een rol voor zorgen dat wij ons werk goed uitvoeren. Dus de gids geeft het toekomstbeeld en de hoeder zorgt ervoor dat je goed kan blijven werken. En we zitten nu net voor die slag naar digitalisering. Dus dat betekent dat we proberen dat wat effectiever neer te zetten. Minder papierstromen en wat meer real time online. Maar daar zijn we voorlopig nog niet. En dat is waar de IT voor staat. Dus we moeten zorgen dat we ons IT goed op orde hebben, onze informatievoorziening en dat die data daar gewoon soepel doorheen stroomt.

Host Noortje Veldhuizen [00:04:23] En hoe gaat dat?

Arjen de Graaf [00:04:24] Het gaat met horten en stoten. Je merkt altijd bij zo'n verandering dat iedereen zijn eigen postzegeltje graag neer wil zetten en daar ook maximaal voor gaat. Maar we hebben best wel een grote club. We hebben meer dan 600 man en je moet er wel voor zorgen dat je die wel eenduidig richt zal ik maar zeggen. En dat betekent dat we met elkaar naar dezelfde tekening moeten kijken. Wat is de architectuur plaat? Hoe ziet ons toekomstbeeld eruit? Welke stapjes gaan we als eerste nemen? Wat is jouw rol daarin? En dat is best wel een militaire operatie en dat probeer je Agile te doen en dat is toch een beetje dat multi samen oppakken voor resultaten. Ook in die transitie zitten we nog, dus we hebben best wel uitdagingen. Nu gaan we naar de cloud, dat is toch een andere steel weer. Het klinkt allemaal heel ver weg en dat zijn natuurlijk ook datacentra, maar daar moet je ook nog eens even voor kijken.

Host Noortje Veldhuizen [00:05:19] Ja, en Ariane. Hoe afhankelijk is DNB geworden van de digitale technologie?

Ariane Knoppert-Veltena [00:05:26] Ja, ik denk, wij doen in gegevens. Ik bedoel wij produceren niks anders dan gegevens, dan beleid, dan informatie zeg maar. Dat is ons product. Dus dat dat is bijna synoniem aan de digitalisering. Ten eerste, je merkt in de coronatijd hoe belangrijk het is om gewoon de basics op orde te hebben zoals de online meetings enzovoort. Dat heeft de hele samenleving gemerkt denk ik. Maar DNB moet ook gewoon z'n werk doen en beleid bepalen en dat doen ze niet door gewoon met elkaar een beetje heen weer te zitten kletsen. Maar dat doen ze op basis van gegevens. En ja, daarom is dat heel belangrijk.

Host Noortje Veldhuizen [00:06:18] Ja maar ik doelde op die afhankelijkheid. Want stel nou dat morgen de centrale server van DNB eruit klapt? Wat dan?

Ariane Knoppert-Veltena [00:06:27] Als de centrale server in Amsterdam er mee ophoudt, dan gaat ie in Wassenaar door. Dus ja, we zijn er wel afhankelijk van. We hebben dat allemaal wel netjes dubbel uitgevoerd. Dat kan niet zomaar stoppen. Ook het betalingsverkeer, dat is helemaal belangrijk. Dat is het meest kritische wat wij hebben. Betalingsverkeer mag nooit stoppen, dan ligt de hele economie plat. Dus dat is heel belangrijk.

Host Noortje Veldhuizen [00:06:55] Je had het net inderdaad over afhankelijkheid. Maar je zei ook papierstromen en steeds meer ook digitaliseren. Ik kan me indenken dat het ook voor veel mensen wel misschien ook wel spannend is.

Arjen de Graaf [00:07:07] Het is denk ik voor zowel IT als voor de business mensen een grote afhankelijkheid. Onze business mensen die willen gewoon hun werk kunnen doen. En we hebben af en toe ook nog eens een keer een kleine verstoring op onze werkplek. En dat is natuurlijk buitengewoon vervelend. En als je iets gaat veranderen, krijg je meer verstoringen, altijd in ’t begin. Het zijn altijd dingen waar je niet over nagedacht hebt, dat is de ene kant. Aan de andere kant gaat het voor mensen hun werkinhoud ook dingen betekenen. Vind ik het dan nog wel steeds leuk om te doen? Als een paal boven water staat wat mij betreft dat de Nederlandsche bank niet zonder IT kan. En ik denk dat het ook steeds meer gaat worden. Ariane weet er nog veel meer van dan ik, maar wij hebben zo’n onwaarschijnlijke volumes aan data die we binnenkrijgen. Ja, vroeger deden we dat op een papiertje, tegenwoordig is dat real time online en dan moeten we daar ook nog allerlei analyses op doen. En dan moeten wij inschattingen maken. Gaat het goed of gaat het niet goed? Betekent ook veel vertrouwen in je geautomatiseerde proces. En ik denk ook dat wij de business nog veel meer kunnen helpen met allerlei dashboard voorspellingszaken. En dat kan je ook doen met de artificial intelligence. Wat we nu nog niet weten dat we kunnen gaan doen. En ik denk dat de IT vervlochten gaat worden met de business en ik hoop dat het een heel goed huwelijk gaat worden. Ik ga er in ieder geval samen met Ariane alles aan doen om er een heel goed huwelijk van te maken.

Host Noortje Veldhuizen [00:08:36] Hoe heeft deze toenemende digitalisering effect op jullie werk? En dan Ariane in jouw geval op de data?

Ariane Knoppert-Veltena [00:08:42] Ja, je ziet dat in de loop van de jaren, zie je de hoeveelheid data zeer exponentieel groeien. We krijgen nu ongeveer honderdduizend rapportages per jaar binnen van allerlei instellingen die aan ons data moeten leveren.

Host Noortje Veldhuizen [00:08:59] Zoals?

Ariane Knoppert-Veltena [00:09:00] Zoals bijvoorbeeld bankverzekeringsmaatschappijen en pensioenfondsen, dus eigenlijk financiële instellingen. Die hoeveelheid data die varieert tussen enkele megabytes tot gigabytes zeg maar. En volgend jaar zal de hoeveelheid data verdubbeld zijn en ook nog eens op allemaal dezelfde piekmomenten plaatsvinden. Dus ja, dat is iets wat we moeten aankunnen. Elk moment dat die behoefte aan die data ontstaat, dus dat is een flinke uitdaging om dat allemaal te kunnen verwerken.

Host Noortje Veldhuizen [00:09:36] En gaan er dan ook twee keer zoveel mensen straks aan ‘t werk? Want je zegt volgend jaar gaat het verdubbelen? Hoe verwerk je zoiets?

Ariane Knoppert-Veltena [00:09:44] Ja, je moet zorgen dat de systemen het aankunnen. Nou, de cloud-gangen, wat Arjen net al zei, is daar wel voorwaardelijk voor. Volgend jaar kunnen we denk ik nog wel aan met de systemen die we hebben, maar het jaar daarop al niet meer. Dus daar moeten we ons echt goed op voorbereiden. En de cloud is schaalbaar. Daar kunnen de rekbare verwerkingscapaciteit. Ja, die stap moeten we gaan nemen met z'n allen.

Host Noortje Veldhuizen  [00:10:12]  Dan krijg je dus alles binnen. En je zegt in de cloud, daar moeten we plek voor hebben. Maar hoe ga je er dan ook mee aan de slag?

Ariane Knoppert-Veltena [00:10:20] Ja, daar komen steeds betere tools voor. Want vroeger ging dat allemaal op papier. En toen ging het in Excel en dat kon je nog allemaal wel behappen, maar je hebt steeds sterkere tools nodig om aan de analyse kant daar ook iets mee te kunnen. Nou, dat zijn ook zelflerende tools. En ja, daar moeten we steeds meer ervaring mee op gaan doen. Want ja, daar kennen we ook nog niet alles van. Dat is een mooi traject wat we nog in gaan.

Host Noortje Veldhuizen  [00:10:50]  Je noemde al tools, wat gereedschap. Maar Arjen, wat voor gereedschap? Waar hebben we het dan over?

Arjen de Graaf [00:10:56] Wij willen nu eigenlijk vooral alles toolen op Microsoft. En waarom doen we dat? Omdat je dan ook zeker weet dat alles goed met elkaar communiceert en dat je dus ook veel minder incidenten gaat krijgen. Dat betekent ook voor de cloudgang dat we naar Azure toe gaan, omdat dat ook een cloud onderdeel heeft. We hebben op dat data spoor ook Microsoftproducten. Maar we hebben daar ook nog aanvullende producten denk ik op. En Ariane, daar zit jij veel beter in nog dan ik.

Ariane Knoppert-Veltena [00:11:26] Ja, we hebben daar verschillende producten. We hebben een soort van speeltuin voor data scientists om met de data nog aan de gang te gaan. En dan moet je denken aan R en Python enzo. Maar we hebben ook wat tooling, zoals BI dashboard Tooling zeg maar, om dashboards te maken voor de wat minder geavanceerde gebruikers. Ja, dus van alles wat.

Host Noortje Veldhuizen  [00:11:52]  En het viel net al even, de cloud. Dat is dus voor jullie een nieuwe plek om de gegevens op te slaan en waar de data terechtkomt. Waar kwam ie dan vroeger of voorheen?

Ariane Knoppert-Veltena [00:12:05] Ja, vroeger gewoon op servers die bij ons in de kelder stonden. Op het Westeinde zeg maar.

Arjen de Graaf [00:12:11] Naast het goud stonden ze. We hadden dubbel intern goud. Dus je kon ‘t ene hokje in en dan had je geel goud en de andere was het andere goud.

Ariane Knoppert-Veltena [00:12:22] Ja en je ziet nu nieuwe projecten die nu starten die zitten meteen in de cloud. En dingen die we nog hebben staan op die services lokaal zeg maar, die moeten we zo langzamerhand naar de cloud gaan brengen. En dat gaat wel een paar jaar kosten. Ja, maar dat is ook wel weer een hele leuke ontwikkeling. En voor de ontwikkelaars is het ook weer super om zich daarin te verdiepen.

Host Noortje Veldhuizen [00:12:49]  We kunnen dus wel stellen dat het effect van de digitalisering heel groot is.

Arjen de Graaf [00:12:55] Ja zeker als je kijkt naar de glimlach op onze mond zo meteen als het helemaal gelukt is dan.

Host Noortje Veldhuizen  [00:13:01] Ja, dat vaststellend: Ariane heb je dan ook een en concreet voorbeeld van waar je nu mee aan het werk bent, waar je mee bezig bent?

Ariane Knoppert-Veltena [00:13:09] Wij maken software voor wat eigenlijk een digitale postbus is voor allerlei instellingen om bij ons data te droppen. En diezelfde postbus, die hebben wij om het dan weer Europa in te sturen. Bijvoorbeeld naar de Europese Centrale Bank. Dat is een onderdeel wat al een tijdje bestaat. Wat we naar de cloud moeten brengen. Maar wat we eerst netjes willen opruimen voordat we gaan verhuizen. We willen eerst de zolder opruimen en dan willen we gaan verhuizen. En daar zijn we mee bezig. Ja, en daar denken we volgend jaar voor nodig te hebben en daarna die stap naar de cloud te kunnen doen.

Host Noortje Veldhuizen  [00:13:54] Leuk. En Arjen, jij? Je staat dus niet meer met je met je voeten in de klei.

Arjen de Graaf [00:13:58] Nee, ik zit wel met mijn hoofd in de wolken, dus ik zou er wel iets van moeten weten dan. Hoe we met de cloud omgaan, we gaan niet alles naar de cloud doen op de hele korte termijn. En de reden is, omdat eigenlijk wat Ariane hier ook al aangaf: Soms is het gewoon helemaal niet zinvol om dat te doen. Dus we kijken business case gedreven. Dat heeft ook te maken met alle andere aspecten, zoals beheer, beveiliging en dat soort dingen. En de komende jaren zal ongeveer de helft naar de cloud gaan en de andere helft zal pas later volgen. We gebruiken wel heel veel cloud based software of applicaties, dus als die er al zijn zitten ze daarin. Maar we hebben ook nog wel wat ouder maatwerk software, dus wat we zelf wilden gebouwd hebben. En de vraag is of dat heel verstandig is om dat naar de cloud toe te brengen. En heel vaak is dat niet het geval. En daar moeten we ook nog wat afwegingen op maken.

Host Noortje Veldhuizen  [00:14:51] Ik twijfel er niet aan dat jullie heel veel plezier hebben in jullie werk hebben en heel erg op jullie plek zitten, want jullie stralen allebei zodra je over je werk begint te praten. Wat maakt een DNB volgens jullie een interessante plek voor IT’ers Ariane?

Ariane Knoppert-Veltena [00:15:08] Ja, wat ik eerder al zei: wij doen in IT, of wij doen in data. Wij doen in informatie, dat moet ik zeggen. Dus het is sowieso voor alles wat we doen relevant. Ik vind ook de maatschappelijke relevantie heel belangrijk en ik vind het zelf heel supergaaf dat je af en toe in de kranten allerlei koppen ziet waar DNB aan gewerkt heeft en waarvan je dan mag zeggen daar heb ik ook aan meegewerkt.

Arjen de Graaf [00:15:40] Wat ik heel gaaf vind aan DNB en ik ben dan nog een broekie, omdat ik nog maar net binnen ben relatief. Maar als je van impact maken houdt en je werkt bij IT, dan maak je impact. We zitten gewoon vooraan in de klas zo meteen voor grote transformatie dus alles wat met technologie te maken heeft en met business helpen daar ben dan je van. Daarbij is ook heel veel ruimte voor persoonlijke ontwikkeling. Ik vind de cultuur ook heel erg van samen de schouders eronder zetten. En waar zie je dat nog? Dat je elkaar de hand kan geven voor een resultaat vind ik geweldig. Maar vooral als je een IT’er bent dan denk ik ja, ik zou er niet langer over hoeven na te denken als ik nog aan het begin van mijn carrière stond om daar te gaan beginnen. Er zijn zoveel mogelijkheden om door te groeien en die maatschappelijke impact, ja daar komen heel veel mensen op binnen. En die ga je pas ontdekken als je zo meteen iets gemaakt hebt wat impact heeft. En dat is natuurlijk helemaal gaaf als IT’er als je gewoon beseft, nou daar heb ik ook een kleine bijdrage aan geleverd.

Host Noortje Veldhuizen  [00:16:46] Je noemt nu al de impact. Hoe zie je de rol of de impact van de van IT voor DNB in de toekomst?

Arjen de Graaf [00:16:54] Ik denk dat we steeds meer verweven worden in de bedrijfsvoering. Tot nu toe is dat minder geweest, denk ik. Het is onmogelijk om IT niet mee te nemen om je werk te kunnen gaan doen. We hadden het net al even over al die data. Het is onmogelijk om al die data hoeveelheid, dat menselijk nog te gaan doen. Dat moet echt geautomatiseerd. Dat is onmogelijk om dat niet te doen. Ik denk dat we nieuwe technologieën kunnen aandragen. Nieuwe tools, nieuw gereedschap voor de business waar ze hun werk beter mee kunnen doen. Ik denk dat wij leniger worden, zodat we ook samen op de trampoline kunnen staan en dan nog eens een keer een salto’tje kunnen gaan doen. En ik denk dat zo meteen ook wel de maatschappij zal zien dat we dat op een effectieve wijze gaan doen. Dat is echt het beeld wat ik voor me zie en waar ik ook echt in geloof.

Host Noortje Veldhuizen  [00:17:47]  Het zijn mooie doelstellingen, lijkt me zo.

Arjen de Graaf [00:17:50] Lijkt me ook heel gaaf als we dan nog meer dan nu bij stilstaan als er iets goed gaat. Dat we dan eens een keer zeggen wow, wat fijn, tof dat het goed gaat. Want we willen altijd meer. Dat zit ook heel erg in de cultuur, dus we kijken vooral wat er nog niet is. Maar we vergeten nog weleens tegen elkaar te zeggen hoe fijn het is dat we weer een stapje hebben gezet. En ik zou het heel gaaf vinden dat we elke dag dus een paar high fives met elkaar geven.

Host Noortje Veldhuizen  [00:18:16]  Nou precies. Het genieten van de reis. Nou bij deze dan voor jullie allebei een groot compliment. Heel goed gedaan, bedankt dat jullie er waren. Heel fijn.

Ariane Knoppert-Veltena [00:18:24] Dankjewel

Arjen de Graaf  [00:18:25] Dankjewel

Host Noortje Veldhuizen [00:18:26] Bedankt voor het luisteren naar DNB Talks. Heb je vragen of wil je reageren op de podcast? Stuur dan een mailtje naar DNB Talks@DNB.nl. En wil je geen aflevering missen? Klik dan op de volg knop in je podcast app.

00:00:01] Speaker 1 Je luistert naar een speciale editie van DNB Talks, een podcast van De Nederlandsche Bank. In vier opeenvolgende afleveringen wordt aan de hand van een fictieve casus die geïnspireerd is op echte gebeurtenissen, een beeld geschetst van het werk van de cyber specialisten van DNB. Elke gelijkenis met bestaande personen of gebeurtenissen in deze casus berust op louter toeval. Dit is DNB Dossier Cyber.

[00:00:27] Speaker 2 Goedenavond. De Nederlandse financiële sector is opgeschrikt door een grootschalige ransomware aanval. Inmiddels zijn de systemen van tenminste één Nederlandse bank en één verzekeraar platgelegd, waardoor klanten niet kunnen internetbankieren of bij hun online verzekeringspolis kunnen. Nieuwe aanvallen worden niet uitgesloten. De Nederlandsche Bank werkt samen met de financiële instellingen aan het beschermen van de financiële data van de aangevallen. Banken en verzekeraars benadrukken dat de gegevens en het geld van klanten veilig zijn.

[00:00:58] Speaker 1 Dit is dus de casus. Hoe zouden jullie teams hierop reageren?

[00:01:03] Speaker 3 Nou, ik denk het belangrijkste wat wat er gebeurt op zo'n moment is dat dat de belangrijkste stakeholders binnen DNB geïnformeerd moeten worden. Dat er intern veel communicatie is. Er was een triage team opgezet en triage houdt eigenlijk in dat we gaan kijken wat er precies aan de hand is en waar. Waar zitten de grootste risico's  en moeten we interveniëren of niet? En ik werk vanuit toezicht, maar ik heb ook ontzettend veel collega's die werken vanuit bijvoorbeeld vanuit betalingsverkeer of vanuit crisismanagement. Dus met elkaar moeten gaan kijken of wij moeten gaan interveniëren bij de instellingen of dat we juist zien dat de instellingen daar bovenop zit en dat we niet hoeven te interveniëren omdat we anders alleen maar in de weg zitten.

[00:01:48] Speaker 1 Ja, precies oké. En vanuit jouw vakgebied.

[00:01:52] Speaker 4 Nou ja, mijn vakgebied is eigenlijk hetzelfde als mijn collega, alleen dan met het verschil dat voor mij de verzekeraars en de pensioensector het meest relevant is. En voor mijn collega de bancaire sector. Wij hanteren een vergelijkbare aanpak op het moment dat we vanuit die sector en dergelijke berichten ontvangen. Wat goed is om te weten is dat operationeel we een beperkte rol hebben, zeker bij de bij de instelling zelf. Het is in eerste instantie aan de instelling om hier zorgvuldig mee om te gaan, om een juiste analyse en dergelijke te maken. Wat wij wel doen als toezichthouder is zorgen dat zij zelf op de bal blijft zitten en dat ze ons ook tijdig informeren naar die informatie. Die is voor ons relevant om dat wat bij één instelling gebeurt. We willen voorkomen dat dat zich gaat verspreiden over verschillende sectoren heen, naar andere instellingen. Dus vandaar dat we altijd aangeven zorg dat je ook zo snel mogelijk niet alleen je eigen huis op orde maakt, maar dat je tegelijkertijd zorg dat je andere instellingen informeert en zorgt dat zij de juiste maatregelen kunnen nemen om te voorkomen dat zij ook geraakt worden.

[00:03:08] Speaker 1 Ja, precies. Oké, en dan even over jullie van Kunnen jullie jezelf introduceren en uitleggen wat jullie doen?

[00:03:16] Speaker 3 Ja, ik ben Jasper. Ik werk bij in ASN Bank als toezichthouder IT. En dat houdt in dat kunnen. Ik werk in een expertise team en het expertise team. Daar zit ik met een groot aantal collega's, met een met een IT of met een oranje achtergrond. En wij houden toezicht op de IT risico's bij banken en betaal instellingen. En als specifiek hebben wij oog voor het feit of die bank in betaal instellingen hun risico's in voldoende mate beheersen. Dus wij gaan niet op de stoel van de bank zitten. Het zijn eigenlijk onder toezicht staande instellingen. Zij zijn zelfstandig verantwoordelijk voor de risico's en wat wij doen is wij challengen hen. Wij doen inspecties, we sturen vragenlijsten, we hebben interviews, we krijgen signalen van hen op moment dat er iets mis is. Waarin we zien of zij risico's waarin ze blijven of bijvoorbeeld cyberrisico's waar we hier over praten. Bijvoorbeeld DDoS aanvallen, phishing emails aanvallen op bancaire systemen? Of zij voldoende mate die risico's in beeld hebben of ze die in voldoende mate beschermen, of ze ook hun omgeving monitoren en of ze in staat zijn om, wanneer er bijvoorbeeld een ransomware aanval plaatsvindt, of zij in voldoende mate in staat zijn om ook te reageren op zo'n aanval en of ze daarop kunnen, of ze daar tijdig van kunnen herstellen.

[00:04:42] Speaker 1 Ja, precies, Maar een heel groot deel van je werk zit dus eigenlijk aan de voorkant. Kijken van hoe is dat? Hoe zit die bank daarbij eigenlijk qua risico's? En  doen zij dat goed genoeg? Ja, en dat eigenlijk steeds controleren?  Dus jullie zijn iets minder betrokken bij zo'n aanval. Maar jullie houden juist van tevoren heel goed in de gaten. Weten die mensen wat de risico's allemaal zijn? En gaat dat goed? En geldt dat ook voor jou? Of kun jij eigenlijk ook jezelf even introduceren?

[00:05:11] Speaker 4 Ja, mijn naam is Marcel. Ik werk binnen het Expertisecentrum Operationeel en IT Risico van DNB. Ons expertisecentrum ziet toe op de verzekerings- en de pensioensector en wij voeren daar vergelijkbare werkzaamheden uit als zojuist, ook toegelicht door mijn collega.

[00:05:29] Speaker 1 Op zich vind ik het best wel logisch dat jullie hetzelfde werk hebben. Alleen jij doet het meer voor banken en financiële instellingen en jij voor pensioenen en verzekeraars. Ja, klopt. En hoe doen jullie dat dan? Wat voor onderzoeken voeren jullie uit?

[00:05:41] Speaker 4 Nou, we hebben verschillende type onderzoeken in ons instrumentarium. Die wisselen qua intensiteit en dat kan eigenlijk heel eenvoudig zijn. Op het moment dat het een onderzoek is met een vrij beperkte scope, het uitsturen van een vragenlijst, het vragen van aanvullende toelichting over risico's, incidenten die we in de markt zien dus op het moment dat er een informatiebehoefte bij is bij ons als DNB als toezichthouder is om eigenlijk beter te begrijpen van is dit iets waar we meer mee moeten?  Maar dat kunnen ook individuele interviews zijn over bepaalde onderwerpen, zoals bijvoorbeeld voorbereiding op eventuele ransomware aanvallen, nieuwe wet- en regelgeving. Hoe staat het daarmee? Hoe ver is de instelling daarmee? En dat is dan voor onze afdeling, het maximum zijn onderzoeken die zo'n twee of drie weken op locatie bij de instelling zijn, waarbij we met meerdere mensen spreken, waarbij we documentatie opvragen, documentatie ook evalueren en dan uiteindelijk binnen de kaders van ons onderzoek tot een conclusie komen over of inderdaad die beheersing van dat onderwerp adequaat en passend is bij de instelling en daarover dan rapporteren.

[00:07:04] Speaker 1 Ja, ja oké. En geldt dat ook zo bij jullie of hebben jullie ander type onderzoek?

[00:07:09] Speaker 3 Dan is dat in grote lijnen hoe onze werkzaamheden wel overeenkomen. Een groot verschil tussen het toezicht op de pensioenen van de verzekeraars en de banken betaal instellingen waar wij aan werken is dat voor banken ligt het primaire toezicht Madagaskar eigenlijk bij de Europese Centrale Bank in Frankfurt. Dus Wij werken heel veel samen met de ECB en het toezicht is eigenlijk volgens het ECB regime, om het zo maar even te zeggen. Dus de onderzoekers zoals Marcel die net heeft toegelicht, die volgen wij maar ook vragenlijsten ons uit inspecties. Dus ja, bijna alles is Engels, dus ik zie dat ik soms even in het in het Engelse jargon gebruik en die zijn grotendeels hetzelfde. Maar er wordt veel samengewerkt met de Europese Centrale Bank en met de andere toezichthouders per land. Dat kan bijvoorbeeld inhouden dat we ook een onsite inspectie doen. Dan gaan we ter plaatse bij zo'n instelling en dat kan soms wel 2 tot 3 maanden zijn. En dat is het best wel inclusief. We vragen, zoals net gezegd we doen interviews, opvragen documenten, bekijken mee in de systemen van een bank en het leuke daaraan is, is dat je dus ook door die internationale samenwerking, dat dat ook kan zijn met een collega van zowel de ECB als van een buitenlandse toezichthouder en als een consultant die daarin meedraait. Dus daarin, dat is best wel diepgaand.

[00:08:29] Speaker 1 En wat is dan de aanleiding om zo'n onderzoek te doen?

[00:08:32] Speaker 3 Nou kijk, ons toezicht is risico gebaseerd opgesteld dus. Onze kalender volgt enerzijds risico's die we in de buitenwereld zien, waarvan we denken van nou daar zien wij een verhoogde dreiging. Dus daar gaan we. Bank of challenge. En dat kan een aanleiding zijn voor een onderzoek. Of het kan zijn er in het verleden incidenten hebben plaatsgevonden waarvan we denken nou hier zien wij dat ze t niet voldoende beheersen, dat we daar op inspringen en een onderzoek doen. Of dat kunnen bijvoorbeeld zaken vanuit de media zijn? Er zijn verschillende aanleidingen, signalen vanuit de klant, toezicht dat iets niet goed loopt en dat kan al. Nou, dat vormt allemaal input voor een keuze om tot zo'n toeschouwers kleine te komen en zo'n inspectie te plannen.

[00:09:16] Speaker 1 Ja, kun je ze gewoon een voorbeeld noemen van iets uit de media? Bijvoorbeeld dat jullie dachten hey, wat is dit?

[00:09:23] Speaker 3 Eventjes checken hoe vanuit de media? Dat was wel een goede. Nou, we zien natuurlijk wel. Kijk, dat is misschien wel weer een leuk moment. De aanleiding voor deze van deze podcast ook is dat we zien dat niet alleen media, maar ook natuurlijk elke dreiging radar er zijn. Er is een stijging in het aantal ransomware aanvallen. Dus wij zijn van mening dat instellingen zich daar voldoende mate tegen moeten wapenen. Dus wij doen ook inspecties op het gebied van cyber, waarin we kijken naar die specifieke elementen waarin we hebben, waarin banken zich moeten voorbereiden, maar ook maatregelen moeten treffen. Om voldoende gewapend te zijn tegen zo'n ransomware aanval. Dus niet alleen beschermen, maar ook afweren en ook herstellen. En de stad? Dat is zo'n voorbeeld waar we dan wel met elkaar naar de buitenwereld kijken van hé, dat gaat bij ons instellingen spelen.

[00:10:14] Speaker 1 Ja, precies, oké. En wat voor risico's worden er beoordeeld?

[00:10:23] Speaker 3 Wat voor risico's je kijkt is een feit. Wij spreken het meest vaak over IT risico's en dat is breed. En ja, we hebben het in de literatuur vaak over bijvoorbeeld het kan je het hebben over officier, AI conferentie, politie, integrity en vele mobility. Dus eerst zijn aanvallers in staat om de conferentie tijden de vertrouwelijkheid van gegevens te doorbreken of om data aan te passen, Dus de integrity of om systemen plat te gooien.

[00:10:51] Speaker 1 Dat is natuurlijk een nachtmerrie.

[00:10:53] Speaker 3 Exact ja. Ja dus dan kun je ze daar niet diep induiken. Maar je kunt ook kijken naar de motivatie van bijvoorbeeld aanvallers, die naar instellingen kijken. Maar veel ability is inderdaad een factor om gewoon ja bijvoorbeeld vanuit sabotage te kijken of je systemen kan neerhalen. Om daarmee de continuïteit van een instelling in gevaar te brengen.

[00:11:20] Speaker 1 Hoe doorgrond je nou een financiële instelling die met veel systemen en infrastructuur aan elkaar vastgeknoopt zit?

[00:11:26] Speaker 3 Als wij ons laten gaan bij een instelling en we kijken in dit geval bijvoorbeeld naar een instelling die te maken heeft met een hoge, met veel incidenten of met veel verstoringen. Daar gaan we dan, is het eerst aan de instelling zelf om daar achter te komen van joh hoe komt dat nou? Want zij zijn niet alleen gehouden aan bepaalde wet en regelgeving ten aanzien van beheerste bedrijfsvoering. Maar het is ook nog zo dat als er veel verstoringen voorkomen, dat zie je ook in de media dat het gelijk het vertrouwen van de consument kan en kan schaden. Dus dat is iets waar wij als toezichthouder heel scherp op zijn. En in zo'n geval kunnen we dus overgaan tot bijvoorbeeld eerst een gesprek of een brief, of een kort onderzoek, of een uitgebreid onderzoek. Eigenlijk met als doel om die instelling ertoe te bewegen. Hoe zorg je nou dat je die eerste bedrijfsvoering hebt? Dat je gewoon alles zo'n controle hebt? En hoe overtuig je ons als toezichthouder dat die risico's beheerst zijn en dat je dienstverlening niet m de haverklap eruit ligt door bijvoorbeeld incidenten?

[00:12:40] Speaker 1 Ja dus. Dan kan het zelfs zijn dat het niet eens illegaal is wat zo'n instelling doet, maar dat het gewoon ja als zo'n systeem zo vaak eruit ligt dat jullie zeggen van ja je moet daar toch iets aan doen, want mensen vertrouwen anders jouw instelling niet meer.

[00:12:54] Speaker 3 Ja daar komt het wel op neer inderdaad dat is natuurlijk het vertrouwen van de consument is hier in het in het geding. En ook al overtreed je met al je fusies en overnames in je complex aan elkaar geknoopt ICT systemen overtreed je geen toezicht regel. Desalniettemin kan het wel schadelijk zijn als je als dat als dat de dienstverlening belemmert? Ja.

[00:13:22] Speaker 1 Wat voor type cyber specialisten werken er in jullie team?

[00:13:27] Speaker 3 Nou, als ik voor mijn team spreek dan. We zijn op dit moment denk ik met zestien man vrouw. Dat we op dit moment met ongeveer zestien personen in ons team zijn ook vrouwen? Ja ja zeker. Ja ja, wel in de minderheid. Dat is een beetje afspiegeling van het idee vakgebied en dat de mannen toch in de meerderheid zijn, maar dat het veelal collega's zijn met een achtergrond in de audit en dan specifiek in IT audit.E n dat is heel simpel. Mensen die op de achtergrond hebben, die hebben het hele vakgebied geleerd van hoe doorgrond je eigenlijk een organisatie, Hoe doorgrond je systemen en audits die de actuele line of defense in een een organisatie en als toezichthouder ben je erg rustig. Ja, de vorige line of the vijftien of defense.

[00:14:19] Speaker 1 Ja dus. Het zijn vooral mensen die goed kunnen onderzoeken, vragenlijsten interviewen, dat soort dingen toch? Dus misschien iets minder keiharde IT techniek.

[00:14:31] Speaker 3 Ja,  in ons team werken vooral nalytische mensen met mensen met een onderzoeks specialisatie die we goed weten te doorgronden en die hier inderdaad van een hele grote laten we zeggen een hele grote bak aan informatie en data. Pecies daar weten in te zoomen waarvan wij denken dat er isico's zijn. Dus een beetje waar je een onderzoek zoals start eerst heel breed en dan denk je nou hier zijn een aantal dingen niet goed en dan smal en diep.

[00:15:00] Speaker 1 Ja precies en  bij jou is dat hetzelfde.

[00:15:04] Speaker 4 Ja, dat is enigszins vergelijkbaar. Ons team is rond de vijftien fte denk ik. Vrij divers, zowel qua man vrouwverhouding als qua leeftijd. Ook een vrij divers opleidingsachtergrond. We hadden voorheen twee, nu nog één persoon met conservatorium opleiding. We hebben geschiedenis gehad data analyse binnen ons team computer science, maar ook bijvoorbeeld een accountancy achtergrond. Ja, cybersecurity is niet alleen de techniek. Dus ja, we hebben ook gewoon verschillende disciplines nodig binnen het team. Verschillende invalshoeken. Zo kunnen we natuurlijk ook van elkaar leren.

[00:15:47] Speaker 1 Wat is nou eigenlijk in jullie carrières het spannends wat je hebt meegemaakt, zeg maar? Zit je echt? Oei, hier wordt toch iets opgespoord of door deze audit is het echt?

[00:16:00] Speaker 4 Ik snap de vraag inderdaad. En ja wij kunnen uiteraard reageren op hetgeen dat in de media is geweest. Nou, we mogen ons enigszins gelukkig prijzen in Nederland als Nederlandse toezichthouders dat het aantal succesvolle grootschalige aanvallen in Nederland relatief beperkt is en ik denk op één hand te tellen is tegelijkertijd. We hebben natuurlijk wel wat incidenten gehad. Als ik even kijk naar de pensioensector bijvoorbeeld, waar ik zelf werk. Kijk, het is nooit leuk als je s ochtends in de auto stapt en je zet de podcast van de Pensioen Pro op en je ziet in je dashboard de titel verschijnen over het grootste datalek in de pensioen geschiedenis. Dat bleek. Uiteindelijk was er toen een hoop data gelekt via een marketingbureau. Dus eigenlijk nog niet eens door ja rechtstreeks de instelling aan te vallen en daar data te ontvreemden. Maar een instelling die data, ja al dan niet bewust had overgedragen naar een externe partij en daar uiteindelijk was een datalek ontstaan.

[00:17:06] Speaker 1 Ja dus. Dat was eigenlijk een dieptepunt denk ik.

[00:17:12] Speaker 4 Nou ja, dieptepunt. Ieder incident is ook weer een kans om te verbeteren en om te kijken van wat kunnen we hier nu van leren? Ja, in principe hadden we dat als DNB al, maar het sterkt ons in de visie op toezicht die we hebben dat het inmiddels ook eigenlijk instellingen overstijgt. En wat ik daarmee bedoel is een financiële instelling staat onder ons toezicht. Daar komen wij langs, daar doen wij onderzoeken, daar kijken wij naar de cyber weerbaarheid. Maar in toenemende mate bestaat een onder toezicht staande instelling, werkzaamheden, delen van IT systemen, delen van processen uit aan leveranciers. En die leverancier zal ook niet alles zelf doen en die zal ook weer zaken uitbesteden. Nou, op een gegeven moment krijg je dan een vrij complex landschap waarvan het lastig is te doorgronden van ja waar zitten nu de kwetsbaarheden binnen die hele keten? Ja, en waar begint en eindigt het mandaat van DNB en waar hebben we wel en niet zicht op? Ja, en dat is natuurlijk ook vanuit cyber weerbaarheid gezien. We hebben het nu over een ransomware aanval voor een instelling. Maar wat we bijvoorbeeld ook zien is zeg dat twintig financiële instellingen binnen Nederland dezelfde leverancier gebruiken voor hun kritieke IT dienstverlening en die leverancier wordt geraakt. Dan zijn wij vrij content, want het probleem zit in principe niet bij de instelling, maar het heeft uiteraard wel effect. Ja, en wij moeten daar als toezichthouder ook iets mee, want het raakt uiteindelijk wel. ja, sowieso de beschikbaarheid van de diensten, de integriteit van de diensten. Op termijn dan ook het vertrouwen wat de consument heeft in dat financiële stelsel? Ja, op het moment dat zo'n partij geraakt zou worden ja.

[00:19:19] Speaker 1 Dus na dat incident met dit, met dat marketingbedrijf zijn jullie allemaal even wakker van hé, daar gaat het toch? Moeten toch echt even verder kijken dan alleen die instellingen over de vloer komen.

[00:19:29] Speaker 4 Ja, het heeft laten zien hoe belangrijk het is om niet naar individuele instellingen te kijken, maar naar het systeem als geheel en ook de ketens die daarin opereren. Ja. Het is nog vrij makkelijk om te kijken naar professionele partijen die daar misschien net onder hangen. Ja, bekende partijen Amazon, Microsoft, Google zijn dienstverleners die vrij veelvuldig gebruikt worden binnen de financiële sector. Maar waar het risico zit is de eigenlijk de wat kleinere partijen. Processen die misschien voor een instelling niet direct kritisch zijn, maar waar wel een wezenlijk reputatie risico in zit of waar data mee gedeeld wordt die vertrouwelijk van aard is.

[00:20:15] Speaker 1 Wat dan?

[00:20:16] Speaker 4 Zoals bijvoorbeeld het marketing.

[00:20:17] Speaker 1 Bureau wat we eerder als.

[00:20:19] Speaker 4 Voorbeeld aanraakten.

[00:20:21] Speaker 1 Stel je doet een audit bij een instelling en je doet een interview of een vragenlijst. Hoe weet je dat die antwoorden echt waar zijn?

[00:20:29] Speaker 3 Ja, dat is een goede vraag. Of de antwoorden echt waar zijn? Ik denk dat het begrip bron en triangulatie ook best belangrijk is wat we doen in onze onderzoeken. Omdat zo'n inspectie is doorgaans is ter plaatse is is echt wel inclusief bij een bank. En het is niet alleen een interview, het is echt een combinatie van factoren waarmee wij risico's boven water willen halen. Dus het is zeg maar. Je zit vaak ook live in een systeem. Wil je meekijken van instellingen?  Je spreekt met mensen, je bekijkt documenten elke dag stel je een vragenlijst op die ze binnen zoveel tijd weer moeten beantwoorden. En dat alles bij elkaar, dat neem je mee en daar heb je een oordeel over. Dus dat wanneer iets echt zou worden uitgesproken of gecommuniceerd wat niet waar blijkt te zijn. Ja, dat zou best een doodzonde zijn denk ik. En het komt ook vrij snel uit door eigenlijk de verschillende onderzoeks methodieken die wij gebruiken.

[00:21:28] Speaker 1 Ja ja, maar gebeurt wel eens.

[00:21:31] Speaker 3 Dus nee, ik kan me eigenlijk niet. Nee, ik kan mij geen dit apparaat voor bijvoorbeeld oor de geest halen. Waarbij ik echt het idee had, dat er foute informatie wordt verstrekt. De zaken wordt natuurlijk wel eens positiever voorgedaan dan dat ze zijn. Ja, maar.

[00:21:50] Speaker 1 Wat is liegen hè? Ja, precies.

[00:21:53] Speaker 3 Nee, ik zou. Ik zou onder toezicht daar de instellingen hier niet willen betichten van liegen. Dus dat kan ook absoluut niet.

[00:21:58] Speaker 1 Nee.

[00:21:59] Speaker 4 Ja, we proberen ook sowieso altijd een setting te creëren waarin het goed is of waarin het makkelijk is om open te zijn. Dus sowieso we willen een open dialoog willen en een goede toezichthouder zijn. Dat betekent dat we kritisch kunnen zijn. Maar wij interviewen en wij doen geen verhoren, dus we proberen altijd deelnemers op hun gemak te stellen. We zeggen ook altijd het is geen individuele beoordeling van iemand. Wij zijn hier om te kijken naar het risicomanagement raamwerk van de instelling in de brede zin dat datzelfde geldt voor als wij uiteindelijk terug rapporteren naar de instelling. Dat we daarin nooit individuele namen opnemen is dat wij niet zeggen heel logisch. Toegangsbeveiliging is onvoldoende op orde, blijkt uit het interview met de heer Piet.

[00:22:55] Speaker 1 Ja, ja. [00:22:56] Speaker 4 Ja

[00:22:58] Speaker 3 Sowieso.

[00:22:59] Speaker 4 Ja. Wat wij altijd proberen is om aan te geven. We zijn hier met hetzelfde doel.

[00:23:06] Speaker 1 Oh ja, wat lopen jullie bij ons ook inderdaad. Of merk je wel eens weerstand? Of je mensen denken jeetje, we doen het gewoon allemaal echt heel goed.

[00:23:14] Speaker 4 Je. Je merkt ons.

[00:23:15] Speaker 1 Op met je onderzoek.

[00:23:18] Speaker 4 Je merkt weerstand en we hebben natuurlijk ook twee verschillende eigenlijk type bevindingenWe kunnen iets zien waarvan wij vinden het is gemist. Dus wij brengen als toezichthouder iets boven water wat de instelling zelf niet gezien heeft. Het andere punt is dat wij ja het risico anders beoordelen, dus dat wij anders kijken naar wat is nu de kans en impact dat het hier misgaat? Of wat is de passendheid van de maatregelen die hier getroffen worden? Nou, daar kunnen we discussies over voeren. Het is natuurlijk ook eigenlijk goede eigenschap om te hebben als toezichthouder dat je ook enigszins kunt overtuigen. Dus dat je het ook op een bepaalde manier kunt brengen dat je de instelling ook wel meeneemt. Ik merk wel, en dat is voor mij wel iets typisch Nederlands. Dat de cultuur van toezicht en audit hier wel meer is van het is een kans om te leren. Dus wat hier uiteindelijk aangedragen wordt, dat is een kans om weer een extern perspectief om een externe blik naar buiten te halen. Ja, ik merk wel Europees gezien, maar daar heeft mijn collega wat meer ervaring mee. Dat er landen zijn waarin dat wel anders is en waarbij het meer voelt als een individuele beoordeling of waarmee mensen zich echt zelf aangesproken voelen op het moment dat er een bevinding is in het domein waar zij voor verantwoordelijk zijn.

[00:24:52] Speaker 1 En dat is natuurlijk ook wel logisch, want wat merk je dan aan weerstand bijvoorbeeld?

[00:24:57] Speaker 3 Nou, die die weerstand hier, die kan zich op verschillende manieren uiten. Omdat 1nspectie is waar alles is aangekondigd en anderzijds ook eigenlijk opgelegd en instellingen kan dat niet weigeren, Dat komt nu even niet uit. Ja en wat je ziet is dat dat medewerkers die daarmee belast zijn, die hebben natuurlijk reguliere werkzaamheden en daar komt een inspectie komt daar bovenop. Ja dus dat kan inderdaad. Kan ik me voorstellen dat dat niet even leuk wordt wordt ervaren. Maar wat altijd wel proberen is, denk ik, is dat we dat we op de relatie dat we een goede relatie proberen op te bouwen door gewoon met respect en begrip voor elkaars en onderzoek uit te voeren en dat die relatie goed is met de uitkomst. Ja daar kan je over twisten ja.

[00:25:46] Speaker 1 Kunnen we eigenlijk ook straffen?

[00:25:49] Speaker 3 Ja zeker. Ja, dat is. Daar zie je ook eigenlijk het verschil tussen tussen ons werk bij toezicht en bij een ander onderdeel van DNB waar echt interventie en handhaving zit. Bij toezicht maken we doen we een inspectie. We schrijven een rapport. Daar komt een brief uit aan een instellingen met wat wordt verwacht, wat zij veranderen is het wat niet het hoe, het hoe ze veranderen. Dat is eigenlijk aan henzelf. Hoe gaat u? Hoe gaat u voldoen aan de geldende wet en regelgeving? Dat is aan hen. En op moment dat dat niet juist volledig tijdig gebeurt, dan kom je in een ander pad. Dat is eigenlijk een escalatie pad waarbij meer richting interventie en handhaving gaat

[00:26:28] Speaker 1 Ja dus dan geven jullie dat dossier door.

[00:26:30] Speaker 3 Ja, daar komt het op neer.

[00:26:32] Speaker 1 Ja oké.

[00:26:34] Speaker 3 En misschien nog een leuke aanvulling is het dat wat ik net even over de weerstand en en de manier van toezicht houden en ook binnen Europa. En dan zie je inderdaad ik. Ik denk dat ik voor de manier waarop het team waar ik in werk dat het wel zou karakteriseren als best wel principle based toezicht versus rule based. Inderdaad echt kijken van dat je het niet ja niet de letter van de wet, maar meer de geest van de wet daarin meeneemt. Er was ooit een bekende goeroe op het gebied van toezicht die het dan vaak heeft over als je een regel overtreedt, is dat dan illegaal of is het schadelijk? En iets kan illegaal zijn. Goh, je hebt de rapportage een dag te laat ingediend, maar het is niet gelijk schadelijk. En dat schadelijk, daar gaat het meer over. Ja, welke risico's loop je nou door een regel te overtreden? Ja, en daarin kijken we ook wel sterk naar IS iets is niet schadelijk of en als het illegaal is, dan overtreedt je dus de wet. Maar dat we ook kijken inderdaad van wat voor impact heeft het?rapporten schrijven en boetes geven voor ja voor zaken diemet een hele lage impact? Ja, dat dan. Dan stuit je wat sneller op die weerstand waar we het net over hadden. Ja.

[00:27:49] Speaker 1 Met welke data en IT tooling werken jullie.

[00:27:54] Speaker 4 Naar de tooling specifiek die kan wisselen binnen DNB? Maar ik denk dat het ook interessant is om te benoemen dat we steeds meer datagedreven proberen te werken binnen DNB. Ook deels noodzakelijk. Wij zijn met vijftien medewerkers ongeveer in het team. Nou tellen we de verzekeraars en pensioenfondsen in Nederland waar wij toezicht op houden bij elkaar op. Dan komen we tot een getal van ongeveer 300. Nou ja, met zoveel mensen moeten wij keuzes maken in waar we wel en niet langsgaan en met welke identiteit. En sinds enkele jaren voeren we daarvoor de Sectorbreed Analyse Informatiebeveiliging uit. Dat is een questionnaire die ieder jaar naar alle verzekeraars en pensioenfondsen opgestuurd wordt, waarin een aantal kwantitatieve en kwalitatieve antwoorden gezocht wordt op vragen als het aantal incidenten en de frequentie waarmee ze een eigen onderzoek kunnen doen en hoe lang ze gemiddeld doen, over het installeren van kritieke beveiligings updates en dergelijke. En ja, waar wij intern mee werken is dan ja, de data. Zodra wij die ontvangen visualiseren we dat. Visualisatie heb je nodig om te kijken van ja, wat zijn bepaalde patronen die ik hierin zie? Wat zijn terugkerende terugkerende zaken? Wat valt mij? Wat valt mij op? Dat doen we door een combinatie van Python en PowerBI. Om dan heel specifiek te zijn, Python. Vooral voor de analyse en de modellering. Omdat we ook niet alle individuele datapunten zelf kunnen kijken. Dus Python gebruiken we om eigenlijk te modelleren. Dus alle ruwe data ontvangen wij. Dat gaat het model in het model. Daar zit tot op zekere hoogte onze intelligentie in. Dus hoe zouden wij normaal normaliter toezicht houden als we wel langs zouden gaan bij de instelling? Wat vinden we wel belangrijk? Wat vinden we iets minder belangrijk? Die geeft daar bepaalde gewichten aan, die gewichten en de output eigenlijk van dat model. Die gebruiken we dan weer om ons toezicht voor het volgende jaar te sturen.

[00:30:25] Speaker 1 Waar gaan we dit jaar langs?

[00:30:26] Speaker 4 Ja, waar gaan we dit jaar langs? Inderdaad.

[00:30:29] Speaker 1 En dat jaar Misschien dat er wel mensen zitten luistervinken of ze werkt met Python. Gewoon even solliciteren.

[00:30:35] Speaker 4 We hebben op dit moment minimaal één vacature volgens mij en we hebben ook vrijwel doorlopend een stage stageopdracht in dit domein. Daarbij zoeken we dus mensen die ervaring hebben met data analyse en bij voorkeur affiniteit. In ieder geval met IT of met informatiebeveiliging die ons kunnen helpen met het verder automatiseren van dit proces. Dus het gaat dan eigenlijk om de hele de hele straat. Dus dat maakt het ook interessant. Want je bent niet alleen aan het analyseren of niet alleen mooie dashboards aan het bouwen. Nee, we zoeken iemand die ondersteunt bij eigenlijk ontvangst, data analyse van de data, het visualiseren en dat ook kan overdragen op een manier naar de toezichthouders. Dat je zegt ik denk op basis van wat ik terug zie komen inderdaad dat ik jullie hier en daar een accent zouden moeten leggen in het toezicht. Of misschien wat meer aandacht voor moeten vragen. Ja maar ook. Want wat we ook doen is bijvoorbeeld terugkoppeling naar de sector resultaten van ons onderzoek. Benchmark rapportage bijvoorbeeld, die daar ook een bijdrage aan kunnen leveren.

[00:31:55] Speaker 1 Oh ja, je wilt er ook iets aan toevoegen.

[00:31:57] Speaker 3 Ja, ik denk dat het dit zonder het hele antwoord van maar zo te reproduceren. Wat was dat jullie spira ip hebben dat hij bij ons iets dat staat voor Actiris Questionnaire en grote delen gelijk aan specifiek voor de voor de bancaire sector waarin erkende vragenlijst inzicht wordt verkregen en de beheersing van risico's bij bij banken. En het interessante daarvan is misschien is dat je dus per instelling een heel gedetailleerd beeld krijgt hoe een instelling er voor staat. Maar je kan ook een horizontaal beeld maken over een sector heen. En en dat geeft niet alleen he beeld van waar we het volgend jaar waar moeten we op focussen, maar ook doordat je daarover kan publiceren naar inzicht in kan bieden. Hou je de sector eigenlijk ook een spiegel voor van hoe? Hoe sta je ervoor? Want je kan die individuele instelling op microniveau eigenlijk zijn peer review laten zien van hoe doe je dat ten opzichte van je andere spelers in de sector? Door en door en dat u eigenlijk op het niveau van de individuele instelling en wat je dus kan doen is daarna. Wat we willen doen is het publiceren van een nieuwsbericht waarin je eigenlijk over horizontaal beeld over de sector heen kan aangeven hoe ze ervoor staan om ook die aandacht te vragen en ze betrokken te houden bij bij risico's die in Chili zit, waar we echt nog over de sector heen verbetering nodig is.

[00:33:10] Speaker 1 Ja, dat klinkt wel klinkt mooi. Wat is nou het maatschappelijk belang van jullie werk?

[00:33:16] Speaker 3 Werk aan vertrouwen, Dat is volgens mij het credo van de Engelse bank. En dat is waar je dit voor doet. Dat de Engelse burger de consument met vertrouwen gebruik maakt van de van de diensten van de financiële sector. Dat is niet. Dat zeg ik niet om de financiële sector te verdedigen, maar dat is wel het doel dat zoals ik zei, dat de consument zich niet hoeft af te vragen wat nou als ik mijn spaargeld bij bank A of B bank B neer? Nee, ze zijn beide even veilig omdat ze onder toezicht staan van De Nederlandsche Bank. En dat is het. Daar doe je het voor. Dat zij zich geen zorgen hoeven te maken over het feit dat dat spaargeld verdwijnt of dat ze niet bij hun geld kunnen. Of dus als je in de supermarkt met je pinpas wil betalen dat die gewoon dat je geweigerd wordt en afgezien kijkt. De storingen zijn altijd mogelijk, maar dat we wel een een basisvertrouwen hebben eigenlijk.

[00:34:15] Speaker 3 Ja, ja precies, dat heeft ja.

[00:34:18] Speaker 1 Nou hartstikke mooi. Dank je wel voor het gesprek. In de volgende aflevering gaan we luisteren naar hoe DNB ervoor zorgt dat andere instellingen veilig blijven door middel van ethische hacks. Dit was een aflevering van DNB Talks. Heb jij ook een vraag over het werk van DNB? Stel hem via DNB Talks at DBNL en wie weet beantwoorden wij hem in de volgende aflevering.