ToeZine zoekt aan het begin van het jaar nog even de bezinning op. Waar staat het toezicht en waar moet het heen? Toezichtexpert Rob Velders, bijzonder hoogleraar Toezicht Femke de Vries en directeur van het Kenniscentrum Handhaving en Naleving van VNG Ingrid Hoogstrate kijken nog een keer achterom. Hoe ging het met het toezicht in 2019? Maar ze blikken ook vooruit: waar moet de focus voor toezicht in 2020 nou écht op liggen?
Over 2019: Samenwerken bleef hot
“Ik vind het opvallend dat samenwerking nog steeds lastig is. Terwijl het al jaren hot is en daarom inmiddels vanzelfsprekend zou moeten zijn en soepel lopen. Helaas wordt samenwerken niet per se makkelijker: door de AVG is data-uitwisseling vaak moeilijk of wordt dat zo ervaren. Jammer, want de AVG kan niet bedoeld zijn om dit soort samenwerkingen te blokkeren. Data delen is noodzakelijk voor goed toezicht, bijvoorbeeld voor het opsporen van fraude. Dat data delen wél kan, bewijst het online platform Inspectieview. Dat koppelt databestanden van inspecties aan elkaar én is AVG-proof. Inspectieview bestaat inmiddels een aantal jaar en steeds meer toezichthouders zijn aangesloten of worden dat binnenkort.”
Over 2020: De staat van ict
“Ik pleit voor een Staat van de ICT-veiligheid voor elke sector. De meeste inspecties maken al een ‘Staat van’ waarin ze de belangrijkste ontwikkelingen in de sector die onder hun toezicht staat beschrijven. Mijn idee is dat alle rijkstoezichthouders komend jaar een staat van de ICT-veiligheid voor hun sector publiceren. Waarom? Vrijwel alles in ons land is afhankelijk van ICT. Van wegen, sluizen en waterzuivering tot gas- en oliewinning en telecom. En vergeet de zorg, de financiële sector, de industrie en de sociale zekerheid niet. De toezichthouders zouden dan uitspraken moeten doen over stabiliteit, toekomstgerichtheid en cyberveiligheid.
Maar ook een inschatting moeten geven van hoe goed we zijn voorbereid op grootschalige uitval. Ik betwijfel namelijk of we in Nederland een echte ICT-crisis kunnen weerstaan. ICT opnemen in de ‘Staat van’ zou een eerste stap in de bewustwording zijn, en aanknopingspunten geven voor een plan van aanpak om met ICT-risico’s om te gaan.”
“Een ‘Staat van de ICT’ zal inspecties en toezichthouders opschudden.”
“Een tweede reden voor een ‘Staat van de ICT-veiligheid’ is dat het inspecties en markttoezichthouders zal opschudden. Het zou me niks verbazen als ze lang niet allemaal de kennis in huis hebben om zo’n ‘Staat van’ te maken. Dat is dan ook voor hen een wake-up call: ze moeten hun kennis bijspijkeren én hun focus blijvend richten op cyberveiligheid. Want dat onderwerp is voor het toezicht meer dan een blijverdje.”
Over 2019: Meer aandacht voor gedrag
“In 2019 hebben steeds meer toezichthouders voorzichtig hun gedragsbril opgezet. Wat ik daarmee bedoel? Ze durven meer te sturen op gedrag en cultuur van hun ondertoezichtstaanden. Zoals bijvoorbeeld de Nederlandse Zorgautoriteit en Inspectie Gezondheidszorg en Jeugd met hun kader Goed Bestuur. Mijn overtuiging is dat je zo je toezicht effectiever inricht én problemen voorblijft. Daarvoor moet een toezichthouder zich niet alleen richten op gedrag van raden van bestuur, maar ook op hoe gedrag de processen in organisaties beïnvloedt.
Traditioneel kijkt de toezichthouder hoe een organisatie aan normen kan voldoen. Dat is niet voldoende. Het gaat ook om de keuzes die mensen binnen een organisatie maken. Die worden vaak beïnvloed door denkfouten en psychologische valkuilen, zoals zelfoverschatting of confirmation bias – de neiging om minder aandacht te besteden aan informatie die eigen ideeën tegenspreekt. Een toezichthouder moet meer kijken naar dat menselijk gedrag. Zo verschuift toezicht van een ‘check de box-mentaliteit’ – waarbij simpelweg wordt afgestreept of aan normen wordt voldaan – naar een preventieve aanpak waarbij de toezichthouder zicht heeft op toekomstige risico’s.”
“Als je de fundamentele oorzaken van overtredingen in je sector weet te ontrafelen en benoemen, dán heb je de kern van toezicht te pakken.”
Over 2020: Op zoek naar de weeffouten
“Wat ik dit jaar meer hoop te zien, zijn toezichthouders die op zoek durven te gaan naar de weeffouten in een sector. Een mooi voorbeeld daarvan vind ik De Nederlandsche Bank. Die signaleerde dat er risico’s liggen op het gebied van witwassen en corruptie in de betaaldvoetbalsector. Zij waarschuwden ondertoezichtstaanden om extra op te letten als ze zaken deden met deze sector. Een weeffout kan ook bijvoorbeeld in wet- en regelgeving zitten. Als je als toezichthouder de fundamentele oorzaken van overtredingen in je sector weet te ontrafelen en benoemen, dán heb je de kern van toezicht te pakken.”
Over 2019: Spanning tussen data delen en privacy bewaken
“Een heel duidelijke trend afgelopen jaar was de spanning tussen het delen van data en de angst voor schending van privacy. Het belangrijkste voorbeeld is wel de rechtszaak die is aangespannen tegen het ministerie van SZW over het frauderisicosysteem SyRI. Dit systeem knoopt informatie aan elkaar, zodat fraudeurs er makkelijk uitgepikt kunnen worden.
Denk bijvoorbeeld aan gegevens over de kinderbijslag en de gemeentelijke basisadministratie die gelinkt worden. Zo worden huishoudens gevonden die wel bijslag ontvangen, maar waar geen kinderen ingeschreven staan. De aanklagers vinden het systeem in strijd met de privacy. Het is heel interessant wat hier uit gaat komen, want zonder datavergelijking sta je als toezichthouder 1 – 0 achter.”
“De aanpak van zorgcowboys zal in 2020 volwassen worden. De focus verschuift van puur opsporen naar preventieve maatregelen en aanpassingen in beleid, wet- en regelgeving.”
Over 2020: Zorgfraude systematisch aanpakken
“2019 stond helaas ook in het teken van zorgcowboys. Graaiers die door misbruik van wet- en regelgeving rondom zorg zichzelf verrijkten en zorg daardoor steeds duurder maken. Toezichthouders, met name gemeenten, werden hierdoor overvallen. En de acties die volgden, stonden in het teken van opsporing. De aanpak van zorgcowboys zal in 2020 volwassen worden. De focus verschuift van puur opsporen naar preventieve maatregelen en aanpassingen in beleid en wet- en regelgeving, zodat fraude moeilijker wordt. Maar gemeenten kunnen dit niet alleen, daarvoor moeten ze beter samenwerken met ketenpartners in de zorg: van dataleveranciers en zorgverzekeraars tot politie en justitie.”
