LIFCP – Patrick de Neef – Rabobank
Voice-over: Welkom bij de Leaders in Finance Compliance Podcast. Met experts, adviseurs, bestuurders en de business bespreken we risk en compliance binnen de financiele wereld en alle uitdagingen en dilemma’s die daarbij horen. Want voor het juiste en rechte pad bestaat geen navigatiesysteem. Deze podcast wordt mede mogelijk gemaakt door Cense, Deloitte, Rabobank, en Osborne Clarke. Je host is Jeroen Broekema.
Jeroen: Welkom luisteraars bij een nieuwe aflevering van de Leaders in Finance Compliance Podcast. Hartstikke leuk dat je luistert. Ook vandaag hebben we weer een hele interessante gast, namelijk Patrick de Neef, de Global Head Technology & Innovation Risk bij Rabobank. Hij was tot relatief kort geleden werkzaam als Chief Innovation Officer bij De Nederlandsche Bank. Welkom Patrick.
Patrick: Dankjewel, leuk om er te zijn.
Jeroen: Leuk dat jij de tijd neemt om met mij en met Leaders in Finance in gesprek te gaan. Ik ben heel erg nieuwsgierig naar de inhoud zo meteen. Maar voordat we dat doen, wil ik toch iets meer te weten komen over jou en je achtergrond. Misschien eerst iets over jou. Kan je daar iets over uitweiden?
Patrick: Ja, natuurlijk. Er wordt altijd gelijk gevraagd: wat doe je nu, waar ben je werkzaam geweest? Misschien toch even terug naar waar mijn pad ooit begonnen is. Ik ben afgestudeerd als econometrist, maar wel met een combinatie van een stukje psychologie, AI en econometrie. Eigenlijk is die combinatie van mens, machine, economie en wiskunde altijd een beetje de rode draad door mijn leven geweest, of in ieder geval door mijn carrière.
Als je terugkijkt naar waar ik vandaan kom en waar ik nu zit, dan zie je die combinatie steeds terug. Er is verandering nodig, er is change management nodig, vaak in moeilijke of ingewikkelde omstandigheden. Er is vaak iets van druk van buiten nodig om change te veroorzaken bij de instellingen waar ik gewerkt heb. En je ziet dat die combinatie van mensen, machine, een stukje psychologie versus nu AI, hele mooie thema’s zijn om mee bezig te zijn. Dat heeft mij altijd gedreven om juist op die combinatie actief te zijn.
Ik ben zelf getrouwd, woon in Den Haag en ben vader van twee kinderen, twee dochters. En daar zie je in levende lijve, zal ik maar zeggen, hoe machine en mens samengaan, en alle uitdagingen rond hoe je daarmee omgaat. Die maak ik natuurlijk ook dagelijks mee. Dus dat is even de persoonlijke kant.
En je zei het al inhoudelijk: ik zit nu bij Rabobank, daar zullen we straks nog wat verder op induiken. Ik ben verantwoordelijk voor het wereldwijde IT-riskmanagement van Rabobank. Daar vallen ook third-party risk, business continuity en security onder. Dus eigenlijk alle risico’s die over operational resilience gaan, komen daar bij elkaar. Ik ben dan verantwoordelijk voor het beleid, het oversight en ook het oversight op de hele IT-onderneming van de Rabobank. Dat is best een uitdagende en leuke klus. En dan mag ik ook nog wat met AI doen. Dus elke dag is anders.
Zoals je zei, hiervoor zat ik bij De Nederlandsche Bank. Daar mocht ik echt de innovatie en digitalisering aanjagen, dus meer vanuit een eerste lijn. Dat was de laatste vijf jaar. Daarvoor heb ik als toezichthouder en beleidsmaker een hele tijd gewerkt, maar daar kom je straks vast nog op.
Jeroen: Ongetwijfeld. Een paar zijpaden ga ik graag met je bewandelen. Je zei: ik merk het aan den lijve, ook met mijn dochters thuis. Ik neem aan dat je dat bedoelde. Wat bedoel je precies dan? Meer in het algemeen het gebruik van de digitale wereld?
Patrick: Ja. Waar ik geen telefoon had toen ik opgroeide, dat zegt iets over mijn leeftijd, al voel ik me nog niet zo heel oud. Maar er was geen mobiele telefoon toen ik geboren werd. Toen ik mijn eerste telefoon kreeg, was er nog niks smart aan. Je kon er echt alleen maar mee bellen. Dus je had er eigenlijk niks aan, want niemand anders had zo’n ding.
Nu weten mijn kinderen niet beter dan dat ze niet naar school kunnen zonder een smart screen, want daar staat hun rooster op. Dus de manier waarop digitale middelen verweven zijn in het leven is fundamenteel anders voor hen. En dat geldt ook voor AI. Ze gebruiken inderdaad ChatGPT, maar ook andere tools. AI zit overal in, maar zeker ChatGPT zien ze gewoon als een verlengstuk van hun telefoon, om dingen snel te vinden of om hun huiswerk mee te helpen maken.
En dan krijg je alle ethische vraagstukken: hoe leer je jezelf iets aan als het zo makkelijk voorhanden is, zo overtuigend lijkt, en hoe blijf je toch kritisch? Dat zijn hele mooie parallellen met hoe kinderen opgroeien versus wat we in ons werk proberen te doen, namelijk iedereen die nu werkzaam is daarin meenemen.
Jeroen: Absoluut. Econometrie, waarom ben je dat destijds gaan studeren?
Patrick: Ja, dat zou je niet verwachten van een toezichthouder en een riskmanager, maar ik ben niet zo van de extreme voorbereiding. Ik kwam er op een gegeven moment in de zomervakantie achter dat het wel handig was om een keuze te maken voordat het september was. Toen ben ik naar de Erasmus Universiteit gegaan en daar leek econometrie me wel wat, want dat was wiskunde en economie, en daar was ik allebei wel goed in.
Ik heb daar een proefles gedaan en daar won ik iets. Toen dacht ik: hey, dit is best leuk. En dat werd hem. Dat was eigenlijk best wel spot-on, maar daar lag niet een hele gedegen analyse aan ten grondslag. Ik kon toen ook nog niet aan AI vragen wat goed bij me past. Zo ben ik erin gerold. En als je kijkt naar wat econometrie biedt, dan is dat eigenlijk een combinatie van verschillende werelden. Daarmee kun je de wereld begrijpelijk maken in cijfers, data en modellen. Ja, dat past er wel heel goed bij.
Jeroen: Mooi, prachtig verhaal. Je noemde net mensen en machine. Dan is dit wel een geweldige tijd om hieraan te mogen werken, kan ik me voorstellen. Want ook tien jaar geleden was alles heel digitaal, maar nu gaat het natuurlijk echt ongelooflijk hard. Met name AI, maar ook met heel veel andere dingen. Is dat ook zo? Ervaar je dat ook zo? Of zeg je: nee, het is eigenlijk al sinds ik in het veld werk zo dat techniek snoeihard gaat?
Patrick: Een beetje van allebei. Je ziet inderdaad dat technologie in eigenlijk elke periode van tien jaar hard gaat. De smartphone is daar ook een goed voorbeeld van. Die heeft de manier waarop onze maatschappij werkt flink veranderd, met alle voor- en nadelen van social media, maar ook online betalen. Ik loop nu naar buiten met alleen een telefoon. Ik heb geen autosleutel, geen huissleutel en geen portemonnee meer nodig. Die telefoon doet alles. Als de batterij leeg is, heb ik wel een probleem, want dan kom ik mijn auto en mijn huis niet meer in.
Dus de manier waarop technologie verweven is met je leven is echt wel flink veranderd. Wat je nu vooral ziet, is dat AI ervoor zorgt dat technologie niet alleen reageert op wat je doet, maar ook zelf actie kan nemen. AI is nu in principe nog vraaggedreven, maar we staan natuurlijk op de drempel van agentic AI, waarbij je niet alleen iets vraagt, maar ook zegt: regel het maar voor me.
Daar komen meteen veel meer vragen bij kijken. Wat betekent dat dan? Waar durf je op te vertrouwen? Welke collateral damage ben je bereid te accepteren? Denk aan zelfrijdende auto’s. In grote delen van de wereld rijden ze rond. Het risico dat er wat misgaat, en dat gebeurt, wordt daar geaccepteerd. In Nederland kiezen we er eerder voor om dat niet te accepteren. Dan mag het niet. Maar in principe kan mijn auto een heel eind zelf rijden, niet helemaal autonoom, maar de basisfuncties die je nodig hebt zijn er eigenlijk al.
Dat is ook mooi illustrerend voor wat er in de financiële sector gebeurt. Technologie kan eigenlijk meer dan we op dit moment toestaan. Dat kan door regelgeving komen, of door onze eigen beleid, omdat we zeggen: wacht even, rustig aan. Disruptieve technologie is mooi voor innovatie, maar in een sector waar stabiliteit en continuïteit cruciaal zijn, wil je niet disruptief veranderen. Daar heb je een andere balans nodig dan in sommige andere sectoren.
Jeroen: Zeker nog op terug, ik zit driftig mee te schrijven. Nog even om het introductie deel netjes af te ronden. Ik zei in mijn introductie: overgestapt van DNB, de toezichthouder, naar een onder toezicht staande instelling. Deze vraag hebben ongetwijfeld heel veel mensen aan jou gesteld, ook op de Croeselaan. Maar hoe anders is het in de praktijk? Want je wist er veel van, maar als je er dan daadwerkelijk werkt, is het waarschijnlijk toch weer anders dan je had verwacht.
Patrick: Ja, nu moet ik zeggen dat ik Rabobank vanuit mijn toezicht verleden best goed kende. Dus in die zin wist ik vrij goed waar ik aan begon. Het is ook wel een bewuste keuze geweest om in een cultuur te stappen die vanuit de coöperatieve gedachte is ingericht.
Ook nog wel, ja tuurlijk, het is een bank en het businessmodel moet kloppen, maar er zit ook een hele duidelijke drive achter ten aanzien van iets teruggeven aan de maatschappij. Iets doen wat ertoe doet, breder dan alleen voor jezelf. En tuurlijk, elke bank zal zeggen klant centraal, en dat moet ook, want anders is je businessmodel vrij snel onderuit.
Maar ik geloof wel dat, als ik de culturen van DNB en Rabobank vergelijk, er veel van dit soort common drive in zit. De mensen die er werken willen uiteindelijk ook iets achterlaten wat ertoe doet. En ik geloof dat we bij DNB absoluut, met de financiële crisis en regelgeving die nodig was, best wel veel gedaan hebben dat geholpen heeft. Ik hoop het dan maar, maar in ieder geval zijn ze in Amerika de laatste crisis slechter doorgekomen dan in Europa, rond de renteschokken en dat soort dingen. Er zijn best wel een hoop banken in Amerika op de fles gegaan. In Europa is er eigenlijk een enkel probleemstuk geweest, en dat zat niet op dat ALM stuk. Zijn onze banken er goed doorgekomen? Ja, dan hoop ik toch dat wat ik in het verleden op liquiditeit en dat soort dingen gedaan heb, daar in ieder geval een beetje aan heeft bijgedragen.
En bij Rabobank geldt een beetje hetzelfde: je wil uiteindelijk een stabiele factor voor je klant zijn, die er door alle moeilijke tijden en alle uitdagingen waar klanten nu voor staan in het huidige economische en politieke klimaat, een betrouwbare partij hebben waar ze op terug kunnen vallen. En ja, dat merk je in de cultuur, in hoe mensen kijken naar hoe je met dingen omgaat, in de gesprekken die je hebt. Maar ook alleen al het feit dat Rabobank, pin me niet vast op het exacte bedrag, honderden miljoenen teruggeeft aan de maatschappij per jaar, om vanuit het coöperatief dividend ook echt een verschil te maken in de lokale gemeenschappen waar we actief zijn. Dat maakt het toch net even anders dan dat je op een aandeelhoudersvergadering dividend uitkeert aan je aandeelhouder.
Die dynamiek, dat verschil, en dat je als bank best wel zelf gaat over je eigen toekomst, dat spreekt me heel erg aan. Want dat leiderschap naar de toekomst toe is nodig met alle onrust die er nu is, maar ook met wat technologie in mijn ogen nog gaat brengen aan veranderingen in de wereld. Dan heb je wat eigen zeggenschap nodig zodat je de lange termijn voor ogen kan houden.
Jeroen: Want jij zoomt heel erg in op waar de organisaties hetzelfde zijn, maar kijk je nu dan toch op een of meerdere elementen anders naar de toezichthouder, nu je daar bij die bank zelf werkt?
Patrick: Ja, deels wel natuurlijk. Want wat je merkt is, kijk, als toezichthouder sta je voor een hele brede opgave om dat voor alle banken, of zelfs alle financiële instellingen waar je toezicht op houdt als DNB zijnde, op een goede manier te doen zodat het passend is voor iedereen. En als je bij een instelling werkt, dan zie je vooral wat er van alle verschillende toezicht kanten op jouw ene instelling afkomt. Dan merk je wel meer dat je soms klem komt te zitten tussen prudentieel toezicht, gedragstoezicht of privacy toezicht. Er zijn best veel verschillende toezichthouders die acteren. Dat wisten we als toezicht natuurlijk ook wel destijds. Alleen uiteindelijk, als het erop aankomt, heb je ieder je eigen mandaat. En als bank heb je je business uiteindelijk te draaien binnen alle regels die er zijn. Dat merk ik wel. Het optimaliseren, het zorgen dat je dat punt vindt waarbij je nog voldoet aan alle regelgeving en nog steeds je businessmodel overeind kan houden, dat is niet altijd even makkelijk.
Jeroen: En waar is nou meer bureaucratie?
Patrick: Het verschilt echt. Allebei kunnen best bureaucratisch zijn. Een start-up…
Jeroen: Ja, een bank is veel groter natuurlijk. Veel meer medewerkers dan DNB.
Patrick: Ja, dat klopt. En historisch heeft het natuurlijk ook zijn roots in een heel decentrale organisatievorm. Daar heeft de laatste twintig jaar behoorlijk veel centralisatie plaatsgevonden, maar je ziet dat nog steeds wel terug in hoe zaken werken. Dat heeft positieve dingen voor continuiteit, draagvlak, et cetera, maar het heeft ook uitdagingen als het gaat om snelheid en resultaatgerichtheid.
Dus als je het over bureaucratie hebt, daar zijn we zeker niet onbekend mee. Wat ik als toezichthouder wel heb ervaren, is dat het soms ook een uitdaging is als er minder directe druk is om dingen te veranderen. Dan kunnen dingen bureaucratisch worden omdat het als argument gebruikt kan worden om niet te veranderen.
Dus je moet dan een hele duidelijke missie en visie hebben over waar je heen wil. Het hielp dat we die uiteindelijk bij DNB wel gemaakt hebben. Maar je ziet wel dat in dat soort interacties, ook als je te maken hebt met het stelsel, dus DNB waar ik heb gewerkt, maar ik heb ook veel bij de ECB doorgebracht, omdat je onderdeel bent van een groter geheel. Dat was al langer zo, maar zeker sinds 2014, toen het Single Supervisory Mechanism als bankentoezicht is neergezet. Dan is het eigenlijk ook heel groot. Dus ja, in die zin is het soms ook best wel te vergelijken.
Ik merk wel bij allebei dat als de organisatie wil, er een open dialoog met het hoogste niveau mogelijk is. Dat vind ik wel een mooie parallel tussen beide organisaties. Allebei de directies zijn best wel toegankelijk voor mensen uit de eigen organisatie om uiteindelijk een stap te zetten als je dat als organisatie wil. En als je het niet wil, dan helder communiceren en zorgen dat er niet allerlei hobby’s gebeuren, dat is ook belangrijk. Dus ja, het heeft twee kanten. Ik heb wel ergere bureaucratische dingen meegemaakt buiten deze twee instellingen, dus er is nog hoop.
Jeroen: Die laten we even voor de borrel. Maar het is toch ook wel handig voor Rabobank, lijkt mij, dat als jij nu echt even iemand op het hoogste niveau nodig hebt, dat jij Olaf Sleijpen of iemand anders in de directie daar even kan appen. Dat is toch ook wel handig, lijkt mij. Of is dat een beetje te kort door de bocht?
Patrick: Dat zou leuk zijn, maar inderdaad, dat is te kort door de bocht. Kijk, uiteindelijk zie je, en dat vind ik als oud toezichthouder ook belangrijk, dat die onafhankelijkheid en zuiverheid in de rollen en lijnen cruciaal zijn. Dus dat betekent dat in de normale toezichtrelatie mijn directe counterpart gewoon een joint supervisory team is. En dat moet ook. Daar was ik zelf destijds ook hoofd van. Ik had er een hekel aan als mensen bovenlangs gingen. Dus in die zin is het feit dat we dat over en weer niet doen voor de directe dingen denk ik verstandig. Wat je wel ziet gebeuren, is veel overleg, zeker nu rond de hele ontwikkeling in de maatschappij en de geopolitiek. Wat doet dat? Want uiteindelijk zijn de oplossingen voor de problemen van vandaag toch wel instellingsoverstijgend. En je ziet dat daar die korte lijntjes zeker ook mogelijk zijn. Dan spreken we ook met elkaar over: wat is er nodig?
Jeroen: Laten we switching the gears in het Engels doen, namelijk naar mens en AI. AI is natuurlijk een onderwerp dat niet meer weg te denken is uit ons dagelijks leven, zowel hoe we erover praten als in het daadwerkelijke gebruik. Hoe zit dat nou eigenlijk met die, hoeveel zijn het, ongeveer 45.000 of 50.000? Ergens tussen de 40.000 en de 50.000 medewerkers van Rabobank wereldwijd. Wordt er veel AI ingezet?
Patrick: Nou, de crux zit natuurlijk in het woord ingezet. Wat je denk ik in alle studies van Gartner en anderen wel ziet, is dat iedereen eigenlijk al tien jaar over AI praat. Waar we nu op het punt zitten dat de daadwerkelijke brede uitrol plaatsvindt. Dat zie je ook bij ons.
Dus wij kijken ook naar waar je traditionele AI hebt. Dat is eigenlijk al langer onderdeel van ons normale model risk management framework. Maar uiteindelijk wil je ook generatieve AI neerzetten, en dat doet iets anders. Dat zit meer in de chatachtige applicaties die collega’s kunnen helpen.
Als je even naar mijn eigen landschap kijkt: ik ben verantwoordelijk voor een hele set aan policies, procedures, et cetera, die uiteindelijk operational resilience goed moeten regelen. Ja, dat is een hoop papierwerk. En je wil natuurlijk dat die 45.000 mensen dat allemaal uit hun hoofd kennen, maar de realiteit is: er is zoveel intern beleid, het is onmogelijk voor een individu om alles helemaal te weten.
Dus ik zie daar wel een kans voor gen AI om dat veel toegankelijker te maken. Die stap zijn we sowieso nu al aan het verkennen. Je ziet op de gen AI kant, die vooral genereert om te ondersteunen, dat we best breed met use cases bezig zijn om te zorgen dat mensen hun werk efficiënter kunnen doen. Je kan een stukje foutmarge verlagen daardoor.
Waar ik heel graag naartoe wil, is nog net niet het agentic stuk, want daar zijn we wel mee aan het experimenteren, maar heel voorzichtig. Agentic is ook levensgevaarlijk vanuit een compliance perspectief, want als daar iets misgaat, dan vermenigvuldigt het zich heel snel voordat je doorhebt dat er iets mis is gegaan.
Maar wat er nog tussen zit, is wat ik zelf een beetje een risk avatar noem, omdat ik af wil van die chatbotachtige benamingen. Een chatbot geeft antwoord op de vraag die je hebt gesteld, en dat kan die heel netjes doen. Je kan mooie prompts maken.
Maar wat ik voor ogen heb, is dat je uiteindelijk als risk professional of compliance professional ergens mee bezig bent, en dat dan, zoals je vroeger die paperclip had in Microsoft Office, die op een gegeven moment ongevraagd opkwam en zei: kan ik je helpen? Maar dan niet zo. Dat het systeem eigenlijk zegt: ik zie dat je nu dit aan het doen bent, ons beleid zegt daar dit over, je zou dat op deze manier kunnen meenemen.
Dat je dus proactief advies krijgt in plaats van dat je zelf moet prompten: was dit nou verstandig om te doen? En dat zit nog net tussen autonoom acties ondernemen en taken overnemen, maar gaat toch wat verder dan waar we vandaag zijn.
Ik denk dat als we dit goed doen, de kwaliteitsslag nog een heel stuk omhoog kan. Dat is goed voor efficientie, want je hebt minder tijd nodig om door allerlei policy heen te gaan. Review cycles worden korter. Maar uiteindelijk is het ook belangrijk voor compliant zijn met regelgeving.
Wat je uiteindelijk niet wil, is dat je achter elkaar in de krant komt met overtredingen, boetes en dat soort dingen. Dat zijn toch wel dingen die de financiele sector in het verleden op onderdelen heeft gehad. Dat komt nu in beter vaarwater, maar je wil niet dat AI de driver is om weer terug te gaan naar zo’n litigationachtige fase.
Jeroen: Dat lijkt me ontzettend lastig. Want alles gaat om snelheid. Je wil niet te snel zijn, maar zeker ook niet te langzaam. Dus constant bekijken of de juiste snelheid wordt gehaald, is natuurlijk heel ingewikkeld in een landschap dat zelf ook heel hard verandert. Het lijkt me heel ingewikkeld. En dan moet je natuurlijk heel veel voelen wat er speelt, zowel aan de technische kant in de markt als intern. En dat leidt ook tot mijn volgende vraag.
Iedereen praat over responsible, verantwoorde AI. Maar wie beslist uiteindelijk wat verantwoord is? Zijn dat de toezichthouders? Is dat de top van de organisatie? Is dat Patrick de Neef? Wie bepaalt uiteindelijk wat verantwoord is en wat de juiste snelheid is? Want daar gaat het natuurlijk constant over.
Er is geen organisatie die zegt: ik wil AI niet toepassen. Maar er is ook geen organisatie die zegt: ik wil de meest extreme vorm van agentic AI, zoals jij zegt, nu al inzetten. Dus wie bepaalt uiteindelijk de juiste snelheid en de juiste mix van inzet?
Patrick: Ja, dat is een goede vraag. Er zijn natuurlijk organisaties die wel aan die voorkant willen zitten. Die willen ook graag naar de maan en dat soort dingen, zal ik maar zeggen. Die roepen wel: we gaan maximaal voor alle soorten AI. Daar worden honderden miljarden voor vrijgemaakt, laten we wel wezen. Dus je ziet wel dat organisaties dat doen. Maar dat past niet bij een financiële sector die zwaar gereguleerd is.
Dus verantwoorde toepassing heeft inderdaad twee kanten. Aan de ene kant wil je ervoor zorgen dat je klant er niet de dupe van wordt. Dat is volgens mij waar het start als bank. Want je wil AI toepassen om dingen efficiënter te maken. Als dingen goedkoper zijn, kunnen we goedkopere leningen uitgeven. Daar heeft de klant dus ook wat aan. We kunnen ook bijblijven met concurrenten, want iedereen kijkt naar kosten. Uiteindelijk is dat een belangrijk aspect van gewoon efficiënt zijn. Dat is van alle dag, en nu is AI het middel waarmee we efficiënter kunnen worden.
Dus dat is op zich prima, maar je wil niet dat je in die slag naar efficiëntie vervolgens een hele groep klanten hebt die door zo’n AI model wordt buitengesloten, verkeerde adviezen krijgt, of geen lening krijgt op basis van criteria die je helemaal niet mag meenemen. En dat is op zich niets nieuws, want dat hebben we ook in ons model landschap. Alleen wat met AI ingewikkeld kan zijn, is dat er soms diep in de onderliggende logica afhankelijkheden worden gebruikt die je niet mag gebruiken, zonder dat je dat ziet in hoe het model uiteindelijk tot stand komt.
Toen ik nog toezichthouder was, was er heel veel discussie over de black box. AI was een black box en moest geband worden. Zo begon het jaren geleden een beetje, van: ja maar dit kan eigenlijk niet, want het moet uitlegbaar zijn. Wat je nu ziet, is dat er ook weer, soms met AI maar soms met andere manieren, modellen worden gedwongen om zichzelf uit te kunnen leggen.
Dus je kan wel een geavanceerd model hebben, of een model dat heel ingewikkeld in elkaar zit, maar uiteindelijk moet je kijken waar je het voor gebruikt. Als ik een model gebruik om automatisch klantbeslissingen te nemen, dan moet de uitlegbaarheid heel hoog liggen. Maar gebruik ik een model om een sanity check te doen of er geen discriminatie plaatsvindt in het verlenen van leningen door mensen, dan mag voor mij die lat heel laag liggen. Dan wil je juist triggers krijgen, dat je zegt: hey wacht even, ik weet niet precies waarom, maar het lijkt erop dat hier misschien wat aan de hand is. Zodat in ieder geval de mens nog getriggerd wordt van: heb ik mijn zaakjes echt op orde, laat ik er nog een keer naar kijken.
Wat je natuurlijk moet voorkomen, is dat AI je 20.000 signalen per dag geeft. Daar hebben andere instellingen ook slechte ervaringen mee. Als alle lampjes elke keer op rood gaan, dan gaat de mens daar ook op reageren met: laat maar, het zal wel weer een valse melding zijn, terwijl het die ene keer dan niet zo is. Dus hier zit die balans uitdaging in.
En om helemaal terug te komen op je oorspronkelijke vraag: uiteindelijk is het bestuur van de instelling dat moet bepalen, gegeven wat de wetgeving eist. Daar zit heel veel in van wat verantwoord is en wat niet. De AI Act zegt: dit mag allemaal niet, dus dat is heel duidelijk. Maar wat daaronder zit, ook de high risk dingen, die mogen wel, maar dan moet je het goed risk managen. Dus wat je daarvan wil…
Jeroen: Wordt dat bij jullie ook echt op boardniveau besproken en besloten? Dus je ziet dat als het om grote AI projecten gaat…
Patrick: In ieder geval de richting. En dat vind ik belangrijk, dat een managementteam uiteindelijk de richting uitzet en zegt: dit is wat we willen zijn in een veel meer digitaal gedreven, AI gedreven maatschappij. Is dit het soort instelling dat we willen zijn? Dat komt een beetje terug op wat ik in het begin zei: wij kunnen als Rabobank nog redelijk naar de toekomst kijken en over onszelf beslissen. Dat maakt dat je hier ook echt een keuze in kan maken van: wie wil je nou zijn?
Dan wil je die vraag stellen. Wat wil je zijn? Wie wil je zijn? Dat moeten we nog even parkeren. Maar het feit dat je hiermee bezig bent, dat dit is wat de board uiteindelijk neerzet, dat is cruciaal. Zodat alle use cases waar mensen mee aan de slag gaan, passen bij de richting die we gekozen hebben.
En vervolgens moet er risk management ingericht zijn. Daar zit compliance bij, risk, legal. Dat is best een hele kerstboom aan checks and balances om te zorgen dat je binnen de lijntjes van de wet blijft. En dat is nodig. Maar die combinatie van een goede, duidelijke visie en goed risk management op AI maakt dat je het denk ik met een verantwoorde snelheid kan doen.
Jeroen: Als je kijkt naar AI en de inzet daarvan, en naar cultuur, komt uiteindelijk niet toch heel veel neer op hoe mensen nadenken over het gebruik van AI en hoe bewust ze zijn van de risico’s? Met andere woorden: dat mensen uit zichzelf bedenken dat als ik mijn prive AI tool ga gebruiken, mijn eigen prive ChatGPT of what have you, en ik gooi daar alle documenten van een klant in, dat dat problemen gaat opleveren. Het lijkt heel obvious, maar het zal ongetwijfeld bij jullie ook gebeurd zijn. Als je tienduizenden medewerkers hebt, is er altijd wel iemand die dat doet. Gaat het uiteindelijk, met andere woorden, niet ook heel erg om de juiste culturele mindset en mensen in de organisatie meenemen in wat wel en niet verantwoord is?
Patrick: Ja, uiteindelijk is het gebruik van AI volgens mij de grootste uitdaging. Dat je dat op een goede manier doet. Het is niet zozeer de technologische kant van hoe het werkt. Het zit hem er inderdaad vooral in hoe je het verantwoord gebruikt als persoon in de rol die je hebt in een organisatie.
Kijk, het voorbeeld dat jij geeft: op het moment dat zoiets gebeurt, dan moet je daar gelijk een melding van maken bij de Autoriteit Persoonsgegevens. Dus die autoriteit krijgt de nodige meldingen binnen vanuit het hele land, denk ik. Dit gebeurt bij allerlei organisaties, maar inderdaad vanuit onwetendheid.
Uiteindelijk wil je dus communiceren: dit mag niet, en dit is wat je wel kan doen, et cetera. Waar je wel ziet dat er spanning kan ontstaan, is op het moment dat je zegt: vanuit die verantwoorde snelheid waar we voor kiezen, kiezen wij als organisatie nu voor dit tempo, en dan mag dit wel en dat niet. Mensen vinden dat niet altijd leuk en willen sneller. Dan zeggen ze: waarom kan ik dit niet? Privé kan ik het wel.
Dat klopt. Ik doe prive met ChatGPT ook allerlei dingen die ik zakelijk niet zou mogen. Maar dat is een bewuste keuze in hoe ik met mijn eigen informatie omga, welk risico ik wil nemen, wat er wel op die telefoon staat en wat niet. Ik doe het met het ene device wel en met het andere niet. Dus daar zit ook iets van nadenken in.
Maar ik snap dat mensen denken: het kan allemaal al, waarom kunnen we het nog niet gebruiken? Alleen, als het niet mag, dan mag het niet. Dat is uiteindelijk wat je probeert uit te leggen. Maar wel, en ik denk dat dat breder geldt voor compliance en risk, op momenten waarop je zegt: dit kan nu niet, dat je wel perspectief geeft. Dat je zegt: oké, we snappen dat je dit eigenlijk wel zou willen. Het kan nu niet, maar als dit en dit is gebeurd, dan kan het wel.
Jeroen: Heb je ook voorbeelden waarvan je zegt: dit zijn dingen die mensen eigenlijk best graag willen, maar die kunnen we gewoon nog niet bieden?
Patrick: Copilot is daar wel een goed voorbeeld van. Of het nou die van Microsoft is, of dat je zelf iets doet. Chat GPT loopt nu natuurlijk ook via Microsoft als je de enterprise versie hebt. De discussie daar is precies dit. Op mijn privé telefoon of op een website kan ik al die functionaliteit toepassen. Intern hebben we dat deels beschikbaar, maar nog niet helemaal geïntegreerd zoals je het zou willen.
Waarom zetten we die stap niet? Dan zie je dat er gekeken wordt naar dingen als security, kosten, et cetera. En dat mensen sneller willen dan wat je als organisatie zegt: dit is nu verantwoord.
Uiteindelijk denk ik wel dat iedereen op zo’n punt binnen elke instelling een vorm van AI ondersteuner zal hebben. Of dat dan Copilot is of iets heel anders, gaan we nog zien. Maar het feit dat efficiëntie gewoon verbeterd kan worden doordat de machine met je meedenkt, dingen bij elkaar haalt, en die overvolle mailboxen die bijna iedereen in onze sector wel heeft helpt managen met: oké, wat is voor mij nu belangrijk, waar vind ik dit ook alweer, dat helpt gewoon.
Ik zit in de pilotgroep van onze eigen uitrol, en je ziet dat dat helpt. Ik zie ook de beperkingen. Ik krijg ook heel vaak: ja maar dit kan ik niet doen, ja maar dit wel. En dan denk ik: ja, maar dat kan ik net zo goed zelf doen. Dus uiteindelijk zie je dat het rustig uitrollen ook van belang is om ervaring op te doen met wat wel werkt, wat niet werkt, en wat de kosten waard is. Maar ook: waar zitten de risico’s? Waar loop je op een gegeven moment tegenaan dat je denkt: oh wacht even, dit zou niet moeten kunnen? Dat wil je liever met een kleine groep ontdekken, ervan leren en inperken als het echt ongewenst is, voordat je het naar 45.000 man uitrolt.
Jeroen: Zie je het ook weleens andersom? Dat je denkt: hey, ik krijg een signaal uit de organisatie, wij zouden dit al lang moeten doen, want die andere bank in het buitenland of in Nederland, of wie dan ook, doet het al. En we worden in onze concurrentiepositie gewoon minder snel. Ik noem maar wat, bij het verstrekken van leningen. De ene organisatie gebruikt veel meer AI en kan misschien sneller een lening verstrekken dan de ander. Dus dat mensen juist vanuit concurrentieoogpunt zitten te pushen van: laten we het nu sneller doen, sneller, sneller. Of valt dat wel mee?
Patrick: Nou, die gesprekken vinden natuurlijk altijd plaats. Wat ik wel belangrijk vind, is om goed door te prikken op wat er uiteindelijk achter zit. En waar gaan wij voor? Wat is voor onze bank belangrijk?
We willen onze klant goed bedienen. We willen inderdaad snel zijn waar dat kan. En ik vind het veel belangrijker dat onze eerste lijn de vergelijking maakt tussen hoe snel concurrenten zijn en hoeveel prospects wij verliezen doordat wij minder snel zijn dan anderen. Dat vind ik het gesprek waard. Dan kun je kijken wat je in de interne keten kan doen om sneller te zijn, maar nog steeds kwaliteit te leveren.
Maar als iemand zegt: die ander gebruikt AI en zegt dat hij sneller is, dan zeg ik altijd: realiseer je dat er ook heel veel marketing zit in wat er naar buiten gebracht wordt. Ik probeer hier een gebalanceerd verhaal te brengen, maar uiteindelijk, als mensen namens hun instelling naar buiten gaan en zeggen: kijk ons eens met AI aan de slag zijn, dan luister ik altijd goed naar wat er daadwerkelijk terug te zien is in de balans en in de klantinteractie, versus wat vooral het verhaal is van kijk ons eens gaaf zijn.
Jeroen: Als het gaat om de inzet van AI gaf jij eerder in dit gesprek een voorbeeld over de enorme hoeveelheden documentatie die jij hebt. Dat zou met, of wordt al, of zou in de toekomst met generatieve AI functies makkelijker doorzoekbaar worden, noem ik het maar even, en makkelijker te gebruiken zijn. Wat ik me dan meteen afvraag: ik kan me dat helemaal voorstellen, en tegelijkertijd denk ik, ja maar wie gaat dat dan ook echt doen? In welke vorm bied je dat dan aan zodat mensen dat ook echt gaan gebruiken? Hoe moet ik dat voor me zien?
Patrick: Je hebt daar denk ik twee smaken in. De eerste smaak is wat je nu al ziet. Als je toegang hebt tot zo’n Copilot, dan kan je dus de vraag stellen: hey, ik ben nu met deze klus bezig, welk beleid is voor mij nou relevant? Dat is heel erg eigen initiatief en promptgedreven.
Een van onze use cases gaat juist over een stukje regulatory technology, waarbij je kijkt: hoe kunnen wij intern zorgen dat we compliant zijn met alle wetgeving? En als je kijkt naar de vertaling van die regulations in onze policies, en het vervolgens toegankelijk maken van dat beleid voor je mensen, dan kan je met AI ook een aantal slagen maken. Zowel in de voorbereiding, dus hoe kom ik van regelgeving naar eigen beleid, als in het vervolgens ontsluiten van dat beleid naar je mensen toe.
Dan zit je iets meer in een eigen AI use case, waarbij je het gerichter kan maken op je eigen risk en compliance professionals, zowel in de tweede als in de eerste lijn. Dat gaat over het hele risk domein heen.
Het blijft wel vraaggedreven. Dus als er mensen zijn die denken: geen tijd, geen zin, whatever, ik doe wat ik altijd deed, dan verandert er niet zoveel. Dus ik geloof zelf heel erg in die volgende stap, dat je het op bepaalde punten in het proces of als verplichting inbouwt, of interactief maakt. En die laatste is natuurlijk veel prettiger dan verplicht.
Je kan zeggen: voordat jij iets kan uploaden in het systeem, moet je deze check hebben gedaan en een quality assurance check met een AI algoritme. Dat kan al heel veel helpen en dat is makkelijk af te dwingen. In principe zouden we het zo kunnen doen. Maar qua adoption, de manier waarop gebruikers zeggen oké, dit wil ik ook echt doen, is het veel handiger als het interactief is. Dat je precies op het moment dat jij het nodig hebt even dat advies krijgt, waardoor jouw stuk beter wordt.
Als dat gebeurt, dan krijg je dat ChatGPT effect. Iedereen praatte over AI en 1 procent van de mensen gebruikte het. ChatGPT kwam live en opeens kon mijn achtjarige het gebruiken, en deed dat ook. Die omslag van awkward, moeilijk, et cetera, en niemand doet het, naar in een keer laagdrempelig en door iedereen te gebruiken, dat zijn wel de momenten die we met elkaar moeten zoeken. Maar we moeten ook heel goed bedenken wat we daarin willen. Want daarna kan je ook niet meer terug. Er is nu ook geen wereld zonder ChatGPT meer denkbaar.
Jeroen: Ik heb de afgelopen half jaar veel CRO’s geinterviewd, waaronder ook Vincent Maagdenberg bij jullie, jouw collega. En bij al deze CRO’s gaat het, en ook bij Vincent dus, over resilience. Eerst even, het gevaar is: als ik het woord resilience zeg, dan krijg ik vaak hele lange antwoorden, dus dat zeg ik vast even als suggestie. Maar eerst even heel kort: is het nou een buzzwoord? Is het zeg maar… want je hoort het overal, en niet alleen in de financiele sector maar ook erbuiten, of niet?
Patrick: Niet, maar het is wel snel gegaan. Toen ik de overstap maakte, nog geen jaar geleden, van DNB naar Rabo, was dit voor mij helemaal geen onderwerp. Dat kan ik niet zeggen over waar ik heel erg op gefocust was, maar het speelde toen heel erg. En het laatste jaar hebben we inderdaad een operational resilience framework neergezet. We zijn alles bij elkaar gaan brengen.
Wat voor mij de reden is om te zeggen: nee, het is geen buzzwoord, is een: de wereld staat echt, figuurlijk sprekend, in de fik. Er is heel veel aan de hand en het gaat er bepaald niet beter op iedere keer dat je een maand verder bent. En resilience is dan het antwoord van instellingen en maatschappij om daar weerbaar tegen te zijn. Dat is echt veel belangrijker geworden dan twee jaar geleden.
Het andere is de interactie. Het zijn geen losstaande silo’s van risico. Als ik kijk naar IT risk, information security, third party of continuity: die zijn allemaal met elkaar verbonden als het om dit soort scenario’s gaat. Je moet nadenken over hoe je ervoor zorgt dat je dienstverlening kan blijven draaien als je wordt aangevallen. Aangevallen worden door hackers was natuurlijk altijd al een onderwerp van focus, maar tegenwoordig kan het ook uit hele andere hoeken komen. Dus dat je integraal over resilience nadenkt en dat veel meer op de kaart zet, ik denk dat dat verstandig is.
Jeroen: Eigenlijk, als ik het even in mijn eigen woorden samenvat, en dank trouwens voor het zeer overtuigende en korte antwoord, aan de ene kant: de hele context is veranderd. De wereld staat in brand, dus het is ook een veel groter onderwerp geworden dan het ooit is geweest. Los van wat je al zei, cyber en dat soort dingen. Dat is de ene kant: context is veranderd.
En twee: het is eigenlijk veel meer kijken vanuit alle domeinen die samenkomen, een veel integralere kijk op de zaak, dan alleen maar dit risicogebied, het volgende risicogebied en weer het volgende risicogebied. Staat dit gebied op groen, rood of oranje, en het volgende op rood, groen of oranje, maar nu kijken we ook naar het geheel en hoe ze op elkaar interacteren. Zou ik het zo kunnen samenvatten?
Patrick: Ja. Het leuke is: je kan ook wel een vergelijking maken met cyberbeveiliging. Wat een hacker uiteindelijk doet, is de zwakste schakel vinden om binnen te komen. Het maakt hem niet uit of dat de applicatie is waar hij uiteindelijk naar op zoek is. Als hij ergens anders binnen kan komen en zijn weg kan vinden, dan zal hij dat doen.
Zo zit het met resilience ook. Alleen de scope van resilience is de hele organisatie geworden. Dus het kan overal misgaan. Het kan langs de kant van IT, maar ook langs de kant van mensen, gebouwen of elektriciteit. Dus ook daar moet je kijken: wat is nou echt belangrijk om te beschermen, en wat zijn dan de factoren die dat kunnen bedreigen?
Daarin vind ik het wel belangrijk om onderscheid te maken. Het kunnen doen van een betaling, brood kopen in de winkel, is in een extreem scenario, denk aan wat ze nu in Oekraine allemaal meemaken, gewoon essentieel. Dan is overleven het eerste waar mensen aan denken. Dan is het wel fijn als er een betaalinfrastructuur is waardoor je nog steeds eten en drinken kan kopen, hopelijk is het er dan ook.
In Nederland zitten we natuurlijk in een heel andere situatie, waarin het niet zo extreem is. Maar je moet wel nadenken over: stel dat wel extreme scenario’s plaatsvinden, zoals in Spanje en Portugal waar een dag lang alles eruit lag. Stel dat dat nog drie dagen duurt. Onze overheid zegt ook: wees voorbereid op 72 uur stroomuitval. Nou ja, ik vraag me af hoeveel Nederlanders dat echt zijn en of dat werkt.
Dus ja, resilience is belangrijk, maar de vraag is: voor wat precies? Op het moment dat er heel veel dingen uitvallen, is het niet zo dat je nog steeds een bankkantoor in je lokale dorp binnen kan lopen en zegt: doe mij een hypotheek. Daar zit een verschil. Kunnen betalen, ja. Een hypotheekadviesgesprek voeren is ook belangrijk in onze dienstverlening, maar niet als het hele land zonder stroom zit.
Jeroen: Dan gaat het onvermijdelijk toe naar de vraag over hoe afhankelijk wij onszelf, als land, als continent, maar ook als Rabobank of welke andere financiële instelling dan ook, hebben gemaakt van allerlei services in Amerika. Niet in de laatste plaats waar we onze data bewaren. In feite is een bank natuurlijk een data warehouse met enorm veel informatie.
En ik heb toch het idee dat ook bij jullie delen daarvan op zijn minst in feite in de Amerikaanse cloud staan. Dus met andere woorden: hoe afhankelijk hebben we ons gemaakt? En dan kan je zelf kiezen of je het op landniveau, continent niveau of Rabobank Niveau wil beantwoorden.
Patrick: Als je even op globaal niveau kijkt, waar we de laatste twintig jaar, los van de laatste twee jaar, mee bezig waren, was globalisering. Dus in principe… ik vertel mijn kinderen altijd: we waren op weg naar een meer vredige wereld, meer samenwerking, meer met elkaar, meer creëren in plaats van tegen elkaar in.
Jeroen: Een plus een is meer dan twee.
Patrick: Ja, precies. Dat had ik moeten zeggen. Ik blijf die hoop houden. Ik beschouw ook de fase waar we nu in zitten als tijdelijk. De vraag is alleen hoe lang die tijdelijkheid is, want dat kan best vijf, tien of langer jaar duren. Dus we moeten ons wel voorbereiden op het feit dat dit het nieuwe normaal is voor de komende periode.
Ik hoop wel echt dat, als je over generaties heen kijkt, we weer terugkomen naar momenten waarin de wereld wat minder probeert elkaar naar het leven te staan. Maar de realiteit is dat het nu een stuk minder veilig en vriendelijk is dan tien jaar geleden.
Dus op dat niveau zijn we van “we willen allemaal vrienden zijn en het met elkaar beter maken” wel van een koude kermis thuisgekomen. En als je daar altijd op hebt ingezet, en je hebt je misschien ook een beetje rijk gerekend op wat je allemaal in de toekomst kan gebruiken, dan is de vraag nu: wat kunnen we zelf als Europa, en waar hebben we anderen voor nodig?
Dat is geen hele positieve balans. Militair gezien is dat heel duidelijk. Economisch misschien nog redelijk ok, maar ook daar zit met alle trade wars best veel druk op. Het is vooral onzeker. En als het gaat over continuïteit borgen, dan moet je met die onzekerheid ook iets kunnen.
Dat betekent ook nadenken over hoe je die afhankelijkheid verkleint. En ja, daar hebben we best veel in gedaan. De Amerikaanse hyperscalers zijn daar een goed voorbeeld van. Die zitten zo’n beetje overal in de wereld met hun invloed. Dat geeft hen een positie van kracht vanuit Amerika om dingen af te dwingen. Als het je grootste vrienden zijn, helpt dat je. Maar als dat niet meer zo is, dan kan het tegen je gebruikt worden.
Dat soort denken bestond eigenlijk niet tot iets meer dan een jaar geleden. Nu is dat wel iets waar je ook met extremere situaties rekening mee moet houden. Hoe kan je nog steeds je eigen boontjes doppen als het nodig is?
Daarbij geldt wel: dit is echt een Europese uitdaging. Militair ga je je ook niet als Nederland in je eentje kunnen verdedigen tegen de wereld. In Europa zou je dat moeten kunnen. Op cloudvlak zie ik dezelfde parallel. Uiteindelijk wil je dat in Europa allemaal wat meer zelf kunnen. Daar zijn initiatieven voor gaande. Wij volgen die ook en steunen die waar we dat kunnen.
Tegelijkertijd is dat niet morgen geregeld. En er zal altijd een verschil zijn in hoeveel geld in Amerika in dit soort dingen wordt gestopt versus in Europa. Dat betekent ook: als je meer voor jezelf wil kunnen zorgen, moet je zelf, en ook als klant, accepteren dat het misschien wat minder fancy en strak is.
En dat is de grote vraag: zijn we met elkaar bereid om de prijs te betalen in lagere gebruikerskwaliteit, omdat het daarmee veiliger, stabieler en meer in onze eigen controle wordt als Europa? Want als je dat niet wil, en je wil altijd het meest geavanceerde, dan ga je toch naar de partij die zich baseert op de meest geavanceerde technologie, ongeacht waar die vandaan komt.
Jeroen: Ja, nou, mooi verwoord. Maar stel, je wil in de tussentijd, terwijl je kijkt naar hoe het meer Europees geregeld kan worden, bijvoorbeeld, of meer in bepaalde landen in Europa, wel degelijk zeggen: ik wil een deel van mijn meest vitale digitale infrastructuur eigenlijk weg hebben uit Amerika. Kan dat eigenlijk?
Patrick: In algemene zin hangt dat af van wat voor soort instelling je bent. Je hebt ook heel veel kleine bankjes of andere financiële instellingen die de cloud eigenlijk nodig hebben omdat ze hun eigen on premise systemen niet meer hebben.
Grotere instellingen hebben over het algemeen een combinatie. Dus je hebt iets van eigen datacenters, en daarnaast verschillende cloud providers. Dat betekent dat je een strategie kan ontwikkelen over wat waar moet staan. Even zonder de details van de strategie prijs te geven, is dat wel de manier waarop wij er ook naar kijken. Dat je kijkt: wat zijn nou de landing zones voor bepaalde typen functionaliteit?
Het helpt enorm als je daar als organisatie helderheid over hebt. Dat is waarschijnlijk het antwoord waar je heen wil, niet per se wat je nu hebt. Maar dan kan je wel gaan kijken: hoe kom ik daar dan? Dan kan je dingen in stukken opknippen.
Zeggen “we gaan allemaal weg van overzeese cloud providers” is eigenlijk geen scenario dat kan, in ieder geval niet in de komende vijf of tien jaar. Maar dat hoeft ook niet. Voor sommige dingen geldt: als het echt misgaat, prima, dan ligt het er even uit en bouwen we het opnieuw op. Maar voor vitale infrastructuur wil je dat niet. Daar wil je dat het veiliger is, of dat je een backup hebt, of dat het ergens anders draait.
Dat is precies het gesprek dat nu gaande is tussen financiële instellingen, het ministerie van Financiën en toezichthouders. Eind vorig jaar heeft DNB met de AFM ook een rapport geschreven met de mooie titel Digitale afhankelijkheid in de financiële sector, conservatieve titel. Daar staat ergens in dat we eigenlijk het scenario willen voorkomen dat Europa digitale koloniën wordt. Dat is het denken waar we mee aan de slag moeten. Dat willen we niet. Ok, wat wil je dan wel, en hoe kom je daar? Daar heb je elkaar ook weer voor nodig.
Jeroen: Laatste paar vragen in dit gesprek helaas alweer, maar het gaat snel. Het eerste gaat over resilience in relatie tot efficiëntie. Want we zijn natuurlijk altijd bezig geweest, en nog steeds, om dingen efficiënter te maken. Zeker Nederland is daar, denk ik, heel goed in.
Maar je ziet hier wel dat resilience en efficiëntie alles maar efficiënter maken, misschien wel op gespannen voet leven. Ook met zo’n voorbeeld van de cloud. Misschien is het, als alles goed loopt, heel veel goedkoper. En dan komt straks weer een nieuwe president in Amerika en dan denken we: waarom hebben we überhaupt dingen weggehaald, ik kon het daar prima laten, was hartstikke efficiënt.
Maar uiteindelijk, net als in de agrarische sector, als je meerdere crops hebt en een crop gaat eraan door teveel regen of een insect, dan heb je nog drie andere crops. Dat is weerbaarder. Maar het is efficiënter om een crop te hebben. Dus is het niet een enorm spanningsveld tussen efficiëntie en stabiliteit?
Patrick: Ja, dat is er. Kijk, uiteindelijk kost meer resiliënt worden meer geld. Vraag me niet om het wetenschappelijk te onderbouwen, maar dat is mijn gut feeling. We zijn heel lang gericht geweest op efficiëntie, en daar zijn we nog steeds mee bezig. Het voorbeeld van AI waar we het net over hadden maakt dingen efficiënter.
Soms heb je de kans om het en efficiënter en meer resilient te maken. Dan denk ik bijvoorbeeld aan standaardisatie. Als je zorgt dat je hele technology stack veel meer standaard is en geen legacy heeft… alle instellingen hebben daar nog uitdagingen mee, om te zorgen dat het echt een modern landschap is en blijft.
Dat is wel iets waar je op korte termijn in investeert, dus dat kost geld. Legacy systemen uitzetten, maatwerk vervangen door een standaardoplossing. Maar als je dat eenmaal gedaan hebt, zouden je kosten omlaag moeten kunnen en ben je meer resilient.
Dat is wel een as waarvan ik zou zeggen: iedereen die hiernaar luistert, zou ook vanuit die blik moeten kijken, ook vanuit een tweedelijns view op wat de instelling aan het doen is. Waar wordt standaardisatie nou aangemoedigd, en waar hebben we eventueel beleid of andere zaken die standaardisatie tegenwerken? Daar kan je ook vanuit risk of compliance wel wat aan doen.
Ik denk dat dat cruciaal is. Zonder standaardisatie, zonder de combinatie van efficiëntie verhogen en resilience versterken, gaan we met elkaar een best uitdagende toekomst tegemoet. En het probleem is: de klant ziet het niet per se. Als je tegen de klant zegt “wil je tien basispunten meer betalen op je hypotheek zodat wij er in een extreem scenario nog steeds voor zorgen dat jouw betalingsverkeer in de lucht blijft”, dan zegt die klant: waar heb je het over, ik wil gewoon een goedkope hypotheek. Die uitdaging zullen wij als instellingen uiteindelijk goed moeten managen. Daar zijn we ook voor.
Jeroen: Er gaat dus ook veel druk uit van goed samenwerken met anderen, als dat kan. Dat dachten we ook altijd goed te kunnen met de Amerikanen. Dat lijkt op dit moment toch net weer wat anders te liggen, in ieder geval met een deel, en met een deel nog steeds heel goed natuurlijk.
Heb jij nog voorbeelden van initiatieven waarin jullie samenwerken als grote Europese, of eigenlijk wereldwijde, coöperatieve bank?
Patrick: Ja, er zijn natuurlijk een heleboel netwerken waar we op aangesloten zijn. Binnen Europa heb je de European Banking Federation, je hebt coöperatieve organisaties, eigenlijk ook op Europees niveau. Maar inderdaad, wat je zegt, op wereldwijd niveau kijken we ook vanuit onze footprint. Food en agri, je noemt het al, is een van de belangrijkste focuspunten op onze balans. Wat kan je op dat gebied doen, en hoe kun je die kennispositie weer inzetten om iets voor je klanten te doen? Want uiteindelijk, of je nou een boer bent in Nederland of in Amerika, je zit ook met die economische en politieke dimensie.
Dus vanuit het perspectief van wat wij voor resilience kunnen doen om onze klanten te helpen meer resilient te zijn, hebben we ook een programma gestart. We hebben daar ook een website voor live om klanten te helpen met hoe je als klant zelf je bedrijf meer resilient kan maken.
Dat is natuurlijk ook een deel van die coöperatieve gedachte: we willen ook iets goeds doen. Uiteindelijk helpt het ook als die klant resilient is in slechte tijden, want dan gaat die niet failliet en wordt het geen non performing loan. Dus in die zin is het een win-win: je helpt je klant en je houdt je bank stabiel in moeilijkere economische tijden. Ik denk dat dat een hele belangrijke is waar we op inzetten, rechtstreeks naar die klantgroep toe.
Waar ik zelf bijvoorbeeld in zit: naar aanleiding van dat rapport van DNB dat ik net noemde, is er ook een Financial Sector Resilience Committee opgericht. Daarbij zit de sector met het ministerie en de toezichthouders bij elkaar om dit soort vraagstukken te bespreken. Dat vind ik belangrijk, dat je elkaar daar ook vindt, niet alleen om te zeggen “kijk ons eens iets gaafs gedaan hebben”, maar vooral: wat hebben we nog niet geregeld met elkaar en waar heb je elkaar nodig?
Je kan als individuele instelling resiliënt zijn. Stel in een extreem scenario: Rabobank houdt alle lichten aan, elektriciteit doet het overal, wij kunnen wel bellen met elkaar terwijl telefonie verder plat ligt, fantastisch. Maar als jij geen telefonie op je smartphone hebt en je hebt geen elektriciteit in de supermarkt, dan kan je nog steeds geen brood kopen.
Dus we hebben als maatschappij aan de resilience kant echt iets te doen, waarin je met elkaar dingen doet die voortbouwen op alle resilience initiatieven van individuele instellingen.
Jeroen: Ja, mooi, prachtig verwoord. Laatste vraag, die we aan alle gasten van de Leaders in Finance Compliance Podcast altijd stellen: heb je tips voor de risk en compliance professional?
Patrick: Op welk gebied dan ook? Dat is heel breed. Ik trek hem dan toch een beetje in het verlengde van dit gesprek.
Uiteindelijk zou ik zeggen: AI gaat, dat is mijn overtuiging, onze maatschappij echt veranderen. Dit is meer intuïtie dan dat ik het kan bewijzen, maar als ik kijk naar hoe mijn kinderen nu eigenlijk AI native opgroeien… dat is voor mij generation AI, zou ik het noemen. De human AI hybride samenleving waar we heen gaan, en dat gaat steeds verder. Dat gaat echt niet meer terug. Er zullen ongelukken mee zijn, maar gegeven het feit dat ik echt denk dat we die kant op gaan als maatschappij, kan je daar maar beter op voorbereid zijn.
Wat ik wel merk in risk en compliance, net als toen ik bij toezicht zat ook, is dat het toch vaak culturen zijn die gericht zijn op het beperken van dingen om te zorgen dat het veilig is. Mijn grootste advies is: probeer vooral uit wat wel kan, en probeer het ook zelf uit.
Kijk hoe AI echt tot een verandering kan leiden. Kijk waar je standaardisatie ruimte kan geven, omdat dat van levensbelang is voor de instelling. Als je op die manier als risk en compliance medewerker ook kijkt naar wat jouw eigen invloed op deze beweging is, dan help je zowel de eigen instelling als uiteindelijk onze maatschappij.
Ook Nederland heeft nog wel wat uitdaging om relevant te blijven op de langere termijn. Als wij een digitale maatschappij zijn waarin AI veilig en goed wordt toegepast, maar waarin we ook de kansen benutten, dan hebben we ook nog betekenis als land richting de toekomst, binnen een Europa dat sterker moet worden, en binnen die wereld die hopelijk tegen die tijd ook weer wat veiliger is.
Jeroen: Wat een ongelooflijk goede spreker ben je. Ik hang echt aan je lippen tijdens het gesprek, heel erg leuk. Voordat ik afrond en nog iets meer woorden van dank uitspreek: is er nog iets waarbij jij zegt, Patrick, dat hadden we echt nog moeten bespreken rondom dit onderwerp, en dat is niet aan bod gekomen? Iets waarvan je van tevoren dacht: dat ga ik in ieder geval zeggen?
Patrick: Heb ik niet kunnen noemen. Ik zal eerlijk zijn: ik heb niet zo heel veel van tevoren bedacht. Ik dacht alleen even na over wat ik echt niet kon zeggen, maar verder ging ik eigenlijk een beetje mee, net als toen met mijn keuze voor econometrie. Maar dat brengt je dus ook wel ergens, denk ik dan, in het leven, zeg ik zelf. Misschien wat daar ook bij hoort, is dat je fouten accepteert. Dat hebben we niet echt geraakt, maar rond AI en resilience is dat ook ingewikkeld. Er zullen dingen misgaan. De appetite voor fouten hoort gewoon bij dit werk.
Dat hebben we niet echt aangeraakt, maar ja, ik heb ook mijn fouten gemaakt. Ik heb ook mijn hoofd gestoten. Het is belangrijk dat je dat dan realiseert en de bereidheid hebt om een stap terug te zetten, om vervolgens weer verder te kunnen op die weg. Dat is eigenlijk het enige wat we niet echt geraakt hebben.
En zeker met AI en dat soort dingen is dit toch weer een les die ik naar voren haal, ook voor mezelf en mijn team om me heen. Soms gaan er dingen mis, laten we daarvan leren, maar vooral niet te veel met de pakken neerzitten en daarin blijven hangen. Als het maar niet te erg misgaat.
Jeroen: Als je maar niet in de krant komt.
Patrick: Precies. Niet in de krant komen, of voor de rechter komen en veroordeeld worden voor allerlei dingen die mis zijn gegaan. Maar hoe eerder je leert van fouten, hoe minder de kans dat je uiteindelijk met zo’n groot pak ellende terechtkomt.
Jeroen: Ja. Heel veel dank, Patrick. Ongelofelijk leuk. Wat ik net al zei: prachtig hoe je alles verwoordt en hoe helder je dingen uitlegt en opsommingen maakt, zonder langdradig te zijn, maar toch heel concreet. Ik vond het zelf, als luisteraar nummer een, ongelofelijk leuk. Ik hoop dat de luisteraars van deze podcast het net zo leuk vonden, of gaan vinden, als ik.
Heel veel dank voor je tijd. Patrick de Neef is de Global Head Technology & Innovation Risk bij Rabobank. Ik hoop je nog eens terug te zien in deze podcast, want net als de techniek die snel verandert, verandert dit hele werkveld supersnel. Dus als we dit over een jaar weer doen, hebben we weer heel veel nieuwe stof om over te praten. Nogmaals heel veel dank voor je tijd. En wij sturen jou graag, als extra bedankje, ons Leaders in Finance boek na.
Voice-over: Dankjewel, graag gedaan. Je luisterde naar de Leaders in Finance Compliance Podcast. Deze podcast werd mede mogelijk gemaakt door Deloitte, Rabobank, cense en Osborne Clarke.
Meer weten of een reactie achterlaten? Dat kan op onze LinkedIn. Als je ons daar volgt, ben je bovendien altijd op de hoogte van nieuwe afleveringen. Natuurlijk zijn we je zeer dankbaar als je een review achterlaat en meer mensen vertelt over deze podcast.
Vergeet ook niet te kijken naar de andere podcasts op ons kanaal. Er zit vast iets tussen dat je aanspreekt. Bedankt voor het luisteren.