Innovaties in het delen van data geven financiële sector nieuwe mogelijkheden voor waardecreatie

De opkomst van ‘privacy enhancing technologies’ (PET) biedt de financiële dienstverlening een schat aan nieuwe kansen. Internationaal advieskantoor Deloitte analyseerde vijf vormen van innovatieve technologieën die de inzet van data naar nieuwe niveaus kunnen tillen, meer in het bijzonder door het delen van data met derden. Het delen van data – ook wel Data Sharing genoemd - via deze nieuwe technologieën maakt de som groter dan het geheel der delen, terwijl de data zelf veilig opgeslagen en vertrouwelijk blijft. Dit klinkt veelbelovend, maar de praktijk is complex en voortdurend wordt gezocht naar een optimale balans tussen voor- en nadelen voor financiële instellingen, toezichthouders en consumenten.

Er wordt weleens gesproken over de komst van een vierde industriële revolutie* en volgens sommigen zitten we daar al in. Het is in essentie een nieuwe digitale revolutie, waarbij de grenzen tussen de fysieke en virtuele wereld en tussen de verschillende sectoren vervagen. Binnen die ontwikkeling speelt data een cruciale rol, meer specifiek de analyse ervan en de waarde die dat oplevert. Door intelligent gebruik te maken van data en door data te delen kunnen nieuwe producten en diensten worden gecreëerd en kunnen bestaande producten kwalitatief aanzienlijk worden verbeterd. Maar geavanceerd gebruik van data kent ook risico’s, op het gebied van ethiek, veiligheid en privacy. Banken en verzekeraars zien zeker de nieuwe mogelijkheden van het delen van data, maar ze worstelen met deze compliance- uitdaging. In een nieuw rapport verkent Deloitte in samenwerking met het World Economic Forum (WEF) nieuwe technologische mogelijkheden - die privacy enhancing technologies of PET’s worden genoemd - waarmee banken zichzelf kunnen beschermen tegen ongeoorloofde manieren van het delen van data.   .

De blinden en de olifant

Waarom zouden bedrijven data eigenlijk met elkaar willen delen? Deloitte bedient zich hierbij van een filosofische metafoor, namelijk die van de blinden en de olifant. De ene blinde voelt de slurf en denkt dat hij een slang beet heeft. Een andere blinde voelt een poot en denkt dat hij een boom beet heeft. Weer een andere blinde voelt een oor en denkt dat hij een waaier beet heeft. Ze communiceren echter niet met elkaar en hebben daarom een beperkte opvatting van de werkelijkheid. Zouden ze hun informatie delen en bij elkaar leggen, dan zouden ze vermoedelijk wel tot de conclusie komen dat ze naast een olifant staan. 

Deloitte en het WEF hanteren in het onderzoek naar ‘privacy enhancing technologies’ drie groepen belanghebbenden, namelijk de financiële sector, toezichthouders en consumenten. Alle drie hebben ze in potentie belang bij data sharing, maar niet altijd delen ze dezelfde belangen. Bovendien gelden voor alle groepen ook specifieke risico’s.

Voors en tegen voor verschillende belanghebbenden

Financiële instellingen kunnen via data sharing bijvoorbeeld interne besluitvorming verbeteren, want ze hebben meer en gedetailleerdere data tot hun beschikking om de gevolgen van besluiten te kunnen inschatten. Op commerciële afdelingen kan men betere verkoopresultaten boeken, door beter in te spelen op veranderende marktprijzen. Soms loont het ook om data door een derde partij te laten analyseren, omdat zij meer expertise hebben. Tegenover die kansen staan de risico’s. Financiële instellingen kunnen bijvoorbeeld (al dan niet bewust) persoonlijke of concurrentiegevoelige data laten lekken  of privacywetten overtreden (GDPR of AVG). De reputatieschade als gevolg daarvan of de processen die hierop volgen kunnen zo kostbaar blijken dat ze niet tegen de voordelen opwegen. Ten slotte is er nog de ‘creep factor’, waarbij consumenten zodanig bezorgd zijn over wat hun bank van hen weet dat ze mogelijk ergens anders heen gaan. 

Toezichthouders stimuleren het delen van data, in de praktijk het meest zichtbaar via nieuwe ontwikkelingen en wetgeving als Open Banking en PSD2. Data sharing heiligt het doel, namelijk meer concurrentie en meer innovatie. Tegelijkertijd hebben ze de verantwoordelijkheid om de (informatie)positie van consumenten te beschermen. Hiertoe is de GDPR of AVG ingesteld, die consumenten weer eigenaar van hun eigen gegevens moet maken. Het vinden van de gulden middenweg is zodanig complex en soms zo kostbaar dat het data sharing virtueel onmogelijk maakt.

De consument ten slotte profiteert van data sharing door financiële instellingen via verbeterde dienstverlening, bijvoorbeeld meer op maat gesneden producten of adviezen. Consumenten zijn bereid om hun data te delen, maar alleen als het ze ook iets oplevert. Ze zijn echter - door allerlei berichtgeving - steeds bezorgder dat onzorgvuldig of onjuist wordt omgesprongen met hun data. Neem in Nederland zzp’ers die vaak worden lastiggevallen door energieverkopers omdat de KvK hun data verkocht heeft.

Vijf veelbelovende ‘privacy enhancing technologies’ 

Bedrijven die alleen data in eigen bezit analyseren lopen het risico om verkeerde conclusies te trekken. Data sharing kan dus een oplossing bieden, maar is verbonden aan strenge voorwaarden en restricties. Bovendien gaan bij de woorden ‘data sharing’ vooral bij toezichthouders en consumenten alle alarmbellen af. Voor het menselijk brein is data sharing haast te complex, te tijdrovend en dus te kostbaar. Door de technologische ontwikkelingen binnen het domein ‘privacy enhancing’ wordt er echter een nieuw blik aan mogelijkheden geopend, die data sharing veilig en compliant maken. Deloitte bespreekt vijf van deze veelbelovende PET’s. 

1. Differential privacy. Deze technologie voegt stukjes onjuiste informatie – ofwel ruis  - toe aan bestaande datasets. Het ‘wegknippen’ of anonimiseren van informatie is (zo bleek al bij eerder onderzoek) geen sluitende oplossing gebleken, slimme systemen kunnen die gegevens namelijk vaak alsnog herleiden naar individuen. De toevoeging van ruis voorkomt die kans niet, maar verkleint hem wel sterk. Onder meer Apple gebruikt het voor zijn beveiliging. Moderne applicaties berekenen hoeveel ruis moet worden toegevoegd om data onbruikbaar te maken voor wie de sleutel niet heeft en de  techniek is inmiddels voldoende volwassen om het operationeel in te zetten.
   
   
2. Federated analysis (FA). Aangesloten analyse, vrij vertaald. Deze technologie legt niet dataverzamelingen zelf bij elkaar vast, maar wel de analyses ervan.Data centraliseren is vaak niet toegestaan, bovendien betekent één inbraak dat potentieel alles op straat ligt. FA omzeilt die belemmeringen, maar profiteert wel van in grootte toegenomen datasets. Dat werkt als volgt: decentraal vindt de analyse plaats en die wordt in een model gebracht. Deze modellen worden dan centraal op elkaar aangesloten. Technisch gezien is het al mogelijk om FA in te zetten, maar praktisch nog niet in de financiële sector. Denk aan combineren van tracking data opgeslagen op de smartphone, die lastig te combineren is met de data centraal bij de instelling zelf.
   
   
3. Homomorphic encryption (HE) ofwel gelijkvorming encryptie. Soms moet een derde partij een data-analyse uitvoeren, bijvoorbeeld omdat deze wél de benodigde expertise in huis heeft of simpelweg omdat deze toegang heeft tot andere bronnen die de beheerder niet heeft. Het risico hierbij is dat de derde partij – of medewerkers daarvan – misbruik maken van de data, maar het is doorgaans de beheerder die erop aangekeken wordt. Homomorphic encryption maakt het mogelijk analyses uit te voeren op versleutelde tekst, zonder inzicht te geven in de onderliggende informatie. Dat leidt tot een eveneens versleuteld resultaat, maar na decryptie komt dit overeen met het resultaat als dezelfde analyse was uitgevoerd op de oorspronkelijke tekst. Deze methode heeft als voordeel dat data versleuteld kan worden aangeleverd aan derden. In de praktijk zien we nog maar een beperkte toepassing van deze techniek. Ten eerste omdat versleutelde data complexer is om te analyseren, waardoor het meer tijd kost dan niet-versleutelde data. Ten tweede zijn er nog grote zorgen over datalekken en privacy. 
   
   
4. Zero-knowledge proofs (ZKP). Bij deze technologie van data sharing door consumenten of door beheerders wordt uitsluitend die informatie gedeeld die men nodig heeft voor het beoogde doel. Stel dat een huurder moet aantonen dat hij een huursom kan betalen, dan is dat het doel. De verhuurder hoeft niet te weten hoeveel de huurder daadwerkelijk verdient, want hij zou bij de eerste de beste gelegenheid de huur stevig omhoog kunnen gooien omdat hij weet dat de huurder het best kan betalen. De bank zal in dit geval alleen aantonen dat de huurder de huursom kan betalen en verder niets. ZKP geeft consumenten in zekere mate controle over de hoeveelheid data die ze prijsgeven. Deze methode is nog vrij jong, maar al wel operationeel en wordt onder meer gebruikt analyse van transacties of van digitale identiteiten. 
   
   
5. Secure multiparty computation (SMC). Deze technologie stelt bedrijven in staat om data vanuit verschillende bronnen te analyseren zonder dat zij de rauwe input hoeven prijs te geven. Voorheen kon dat alleen via een tussenpersoon, met alle risico’s van dien. SMC vervangt de tussenpersoon door bepaalde  algoritmes, die zelfs bij een lek geen gevoelige informatie prijsgeven, uitsluitend gecodeerde data. Toepassingen zijn er op de kapitaalmarkt en bij de detectie van fraude. SMC is voorlopig nog erg duur om het op dagelijkse basis operationeel te hebben, hoewel diverse fintechs in dit gat proberen te springen en een meer levensvatbaar (i.e. goedkoper) product te bieden.
   
   

Concluderend stellen Deloitte en het World Economic Forum dat de onderscheidende factoren van de afgelopen eeuwen - prijs en gebruiksgemak - geleidelijk aan concurrentie krijgen van twee nieuwe zaken, namelijk privacy en veiligheid. Voor klanten en toezichthouders geldt dat het kunnen toevertrouwen van data aan een financiële instelling essentieel is om vertrouwen te kweken en te behouden. Een lek waarbij allerlei gegevens op straat komen te liggen kan zelfs hele sterke reputaties snel breken. 

Samenwerken met belanghebbenden

Financiële instellingen krijgen het advies om fors te investeren in ontwikkelingen om het delen van data mogelik te maken om zo meer waarde uit de data te halen, maar tegelijkertijd is het van belang te investeren in technologie die privacy en databeveiliging bewaakt. Daarbij is het van belang om samen te werken en te overleggen met andere belanghebbenden, zoals met toezichthouders om compliant te zijn en te blijven. Richting consumenten moeten financiële instellingen duidelijk uitleggen dat hun data veilig is en met respect behandeld wordt. Niet alleen moeten consumenten dit weten, misschien nog wel belangrijker is dat ze dat ook zo ervaren. 

De beschreven ontwikkelingen zijn kostbaar en uitermate complex, maar de kansen die PET’s brengen op het vlak van waardecreatie zijn enorm en blijven verder toenemen. PET’s stellen financiële instellingen in staat om ‘de hele olifant’ te zien, door met elkaar te communiceren zonder dat dit ten koste gaat van de veiligheid en vertrouwelijkheid van gevoelige informatie. 

 

*De eerste industriële revolutie bracht mechanisatie aangedreven door stoom en steenkool aangedreven. De tweede industriële revolutie bracht de wereld elektriciteit en de verbrandingsmotor. De opkomst van informatietechnologie en duurzame energie markeerde de start van de derde industriële revolutie.