Beroepsvereniging van, voor en door intern toezichthouders in de pensioensector
Ledengedeelte
Vereniging Intern Toezichthouders Pensioensector

Online kennissessie met Sandeep Gangaram Panday

Pensioenfondsen zijn voor cruciale digitale processen afhankelijk van buitenlandse softwareleveranciers. De keerzijde daarvan wordt steeds duidelijker. Hoe kunnen intern toezichthouders bestuurders ondersteunen richting meer digitale autonomie? “Onbelangrijke software kan een hele organisatie op zwart zetten.”

Microsoft had de Nederlandse en Europese overheid er nog zo van verzekerd: wij vechten voor de rechten en belangen van Europese gebruikers. Nog geen week later kon de aanklager van het Internationaal Gerechtshof niet meer bij zijn inbox. De oorzaak: sancties van de Amerikaanse overheid.

IT als offensief instrument

“In de praktijk heeft Microsoft weinig ruimte om verzoeken van de Amerikaanse overheid niet na te leven”, vertelt Sandeep Gangaram Panday tijdens de online VITP-sessie over digitale soevereiniteit. Pensioenfondsen moeten daar hun lessen uit trekken, vindt de medeoprichter van Brightlyn. “Ook fondsen zijn steeds afhankelijker van IT, het komt terug in de haarvaten van onze processen.”

Dat is een risico, omdat de Amerikaanse overheid IT officieel heeft aangemerkt als offensief instrument voor oorlogsvoering. Een ver-van-mijn-bedshow is het evenmin: het faillissement van de Amsterdam Trade Bank kon niet eens worden afgewikkeld omdat Microsoft de curator geen toegang meer gaf tot de administratie.

Welke afhankelijkheden zijn er?

Zulke incidenten plaatsen ook pensioenfondsen voor vragen: wat als je software niet meer beschikbaar is? Kunnen we dan nog wel besturen? Kunnen we processen in het slechtst denkbare scenario handmatig voortzetten?

Voor het intern toezicht is het zaak om bij het bestuur kritisch door te vragen op de risicobereidheid van het fonds ten opzichte van geopolitieke risico’s. Heeft het bestuur de afhankelijkheden in kaart gebracht en gestructureerd geadresseerd?

Mogelijke vragen aan bestuur

  • Op basis van welke scenario's zijn de huidige afhankelijkheden als acceptabel beoordeeld – en zijn die na recente geopolitieke ontwikkelingen bijgesteld?

  • Hoe verhoudt de leveranciersconcentratie zich tot onze formeel vastgestelde risicobereidheid?
  • Als een kritieke provider morgen zijn diensten opschort, hoe lang kunnen onze kritische processen doordraaien en wat is de fallback-oplossing?

Risico’s in kaart brengen kan bijvoorbeeld door de kans dat een risico zich voordoet af te zetten tegen de impact ervan. Op basis daarvan kan een strategie worden bepaald: niets doen, beveiligen en mobieler maken of, in het ergste geval: exit.

Denk na over exitstrategie

Volgens Sandeep kan het nooit kwaad om eens goed na te denken over een ‘exitstrategie’ ten opzichte van bepaalde platformen of leveranciers – met de nadruk op nadenken. Een werkelijke exit is soms niet eens wenselijk, maar het gedachte-experiment is ook waardevol. “Loop de mogelijke scenario’s door: wat als dit, wat als dat? Scenario’s uitwerken kan gewoon op papier of in een digitale testomgeving. Daar komen al ontzettend veel zaken uit waar je als fonds nooit eerder over hebt nagedacht.”

Zo ga je ook zwaktes zien die niet voor de hand liggen. Sandeep: “We denken bij risico’s al snel aan de belangrijkste systemen waarmee we werken, maar vergeet alle aanverwante software niet. Ook daar kan het mis gaan. Een lek in onbelangrijke software kan een heel bedrijf op zwart zetten.” 

Verifieer bij je uitvoerders

Houd het uitdenken van scenario’s niet beperkt tot het fonds zelf. Bestuurders zouden bij hun uitvoerders moeten checken of zij ook zogeheten fallback-scenario’s testen. Wat als er een brand uitbreekt bij een datacenter?

“Denk niet: afspraken liggen vast in contracten. Nee, vraag erop door: hoe wordt dit getest? Wat zijn de uitkomsten? Is de zekerheid die jullie uitstralen terecht? Fondsen kunnen hier ook vragen over verwachten van toezichthouders.”

“Systemen zijn uitbesteed, maar de verantwoordelijkheid niet”, vervolgt Sandeep. “Dus maak gebruik van je ‘right to audit’. Ga in gesprek met je uitvoerder. Idealiter samen met andere fondsen. Misschien sputteren ze tegen als je alleen aanklopt, maar als je met vier of vijf fondsen tegelijk een audit aanvraagt, kunnen ze niet weigeren.”

Maak je processen mobieler

Sandeep benadrukt dat digitale autonomie en soevereiniteit niet hetzelfde zijn, hoewel ze vaak door elkaar worden gebruikt. Autonomie geeft je keuzevrijheid binnen bepaalde kaders, terwijl soevereiniteit volledige onafhankelijkheid is. Dat laatste is niet realistisch voor de meeste organisaties, maar autonomie is een mooi streven.

Wat betekent dat in de praktijk? “Je hoeft niet direct weg bij een leverancier. Maar je kunt wel architectonische keuzes maken. Bijvoorbeeld door jezelf als doel te stellen om binnen twee jaar mobieler te worden. Je bent dan misschien niet direct verhuisbaar, maar wel verhuisbaarder. Daar zit winst.”

Tip voor intern toezichthouders

Bestuurders die een soevereiniteitsanalyse van hun pensioenfonds willen uitvoeren, kun je het Sovereignty Control Framework van de Europese Commissie aanraden.