Toezicht houden op digitalisering
In alle drukte is het je misschien niet opgevallen, maar op 20 december is de geactualiseerde Corporate Governance Code verschenen. In de vernieuwde code staan twee thema’s centraal: er is meer aandacht voor de impact van digitale en technologische ontwikkelingen en voor duurzaamheid.
Van de inviduele commissaris wordt vooral meer deskundigheid verwacht. De Governance Code zegt daar dit over:
“Duurzaamheid en digitalisering zijn geen aparte of ondersteunende processen, maar raken de kern van de strategie en de bedrijfsvoering van de onderneming. Vennootschappen zijn vrij in de keuze om al dan niet een specifieke digitaliserings- en duurzaamheidscommissaris en/of een specifieke bestuurder met kennis op dit vlak te benoemen. Een dergelijke benoeming ontslaat de overige bestuurders en commissarissen niet van nauwe betrokkenheid bij deze thema’s. Omdat de genoemde transformaties zo ingrijpend zijn, behoort het tot de taak van iedere bestuurder en commissaris om de afwegingen hieromtrent te maken.” (2.1.4)
Digitale transformatie als speerpunt
De digitale ontwikkelingen gaan hard en hebben een diepgaande impact op onze samenleving, de zakelijke wereld en de manier waarop we leven en werken. Van beursgenoteerde onderneming tot familiebedrijf en zelfstandigen: in veel bedrijven is de digitale transformatie een speerpunt. Nederland kent een bloeiende economie van startups, die technische oplossingen verzinnen voor allerlei problemen, van de energietransitie tot gezondheid en mobiliteit. In deze bedrijven staat digitalisering gelijk aan het primaire proces. Ze ontwikkelen toepassingen die andere bedrijven in staat stellen producten en diensten te verlenen, en vormen zo een basis waarmee processen aan elkaar geknoopt worden tot een platformeconomie.
Stel je voor dat je gevraagd wordt commissaris te worden van zo’n digitaal bedrijf. Hoe kun je dan beoordelen of het bestuur de lange termijn waardecreatie goed op orde heeft? Heb je voldoende kennis in huis? En hoe houd je digitaal toezicht op een organisatie die alleen gebruik maakt van technologie ontwikkeld door anderen?
Digitalisering was altijd een onderbelicht onderwerp in de Corporate Governance Code. In de Code van 2016 komt het woord zelfs niet voor. Het woord technologie wordt slechts drie keer vermeld. Er werden geen specifieke eisen aan commissarissen gesteld, anders dan om tijdig kansen en risico’s te signaleren die gepaard kunnen gaan met vernieuwingen in business modellen en technologieën. En dat is vreemd, want in deze tijd kan het niet op orde hebben van digitalisering, of het te laat reageren op technologische ontwikkelingen de lange termijn waardecreatie van je bedrijf fundamenteel beïnvloeden.
De bedrijfsvoering is digitaal
Nieuwe technologieën en digitalisering vormen inmiddels de basis om als bedrijf goed te kunnen presteren. Ze zijn impliciet onderdeel van de bedrijfsvoering en kunnen daar eigenlijk niet meer los van gezien worden. Een bedrijf dat op een unieke manier gebruik maakt van digitalisering, zal zich onderscheiden van de concurrentie. De nieuwe governance code erkent dat en stelt eisen aan de manier waarop commissarissen en bestuurders kennis hebben van en omgaan met digitalisering en technologische ontwikkelingen.
De belangrijkste veranderingen zijn:
Impact op strategie: de raad van commissarissen moet aandacht besteden aan de impact van nieuwe technologieën en veranderende businessmodellen bij het vormgeven van de strategie voor duurzame lange termijn waardecreatie.
Impact op risico’s: de raad van commissarissen moet informatie- en communicatietechnologie meewegen bij het beoordelen van risico’s, waaronder cybersecurity, leveranciers- en ketenafhankelijkheden, data protectie en ethisch verantwoorde toepassing van nieuwe technologieën en veranderende businessmodellen.
Deskundigheid bij bestuurders: diepgaande kennis en ervaring bij het bestuur en de raad van commissarissen over digitalisering is cruciaal, en er dient te worden geborgd dat zij ten aanzien van dit thema ook voldoende training en opleiding ontvangen.
In dit artikel ga ik in op de veranderingen die de governance code voorschrijft voor de impact op de strategie, risico’s en de deskundigheid bij toezichthouders. Aan de hand van voorbeelden uit mijn eigen praktijk zal ik deze drie veranderingen verduidelijken en uitleggen waarom kennis van technologie cruciaal is voor de moderne commissaris.
Artificiële intelligentie aan het werk
Het kan je niet ontgaan zijn dat Artificiële Intelligentie (AI) het digitale thema van 2023 is. De stormachtige introductie van ChatGPT, een programma dat automatisch tekst kan genereren, laat veel mensen nadenken over hun beroep: van leraren, die zich afvragen wie eigenlijk dat werkstuk heeft geschreven, tot artsen, die van een patient te horen krijgen hoe ChatGPT hun symptomen interpreteert. Stel ChatGPT een vraag en je krijgt een antwoord (op basis van informatie voor 2021). Er zijn ook veel vragen over de correctheid van de antwoorden van ChatGPT en de gevolgen daarvan. En we moeten nadenken over de ethiek van deze toepassing, die in feite grote hoeveelheden tekst zonder toestemming van het internet bijeengeschraapt heeft en die hergebruikt, zonder daar een auteursvergoeding tegenover te stellen. Maar dat laat onverlet dat de prestaties van de tool indrukwekkend zijn.
ChatGPT is slechts één toepassing van artificiële intelligentie, een technologie die steeds belangrijker wordt en meestal in combinatie met machine learning (ML) gebruikt wordt. Een vergelijkbare toepassing, maar dan met afbeeldingen, is DALL-E. Op basis van grote hoeveelheden data bepaalt AI welke algoritmes toegepast kunnen worden om de gevraagde output te genereren. Met behulp van ML worden deze algoritmes voordurend aangepast en verbeterd. Op deze manier kunnen razendsnel grote hoeveelheden data geanalyseerd worden en beslissingen genomen.
AI kan grote invloed hebben op de bedrijfsvoering. Waarschijnlijk wordt het al binnen je organisatie gebruikt zonder dat je daar als commissaris specifieke informatie over hebt. Bijvoorbeeld door banken, om te bepalen welke klanten voldoende solvabel zijn of welke transacties nader onderzoek behoeven. In distributiecentra, om medewerkers op de meest efficiënte manier de boodschappen te laten verzamelen. Of tijdens het werven van personeel, om te bepalen welke kandidaten voldoende geschikt zijn als nieuwe medewerker. Kandidaten voeren een online gesprek of doen een aantal tests, waarna AI op basis van taalgebruik en antwoorden bepaalt of ze geschikt zijn als toekomstige medewerker.
Digitaal toezicht gaat internationaal
Al deze ontwikkelingen bieden kansen, maar vormen ook bedreigingen. En de negatieve impact raakt vaak ondergesneeuwd door de enorme nieuwswaarde van de positieve aspecten. Wettelijk toezicht loopt altijd achter op digitale ontwikkelingen, maar inmiddels beginnen autoriteiten overal ter wereld de gevolgen van digitalisering te begrijpen, en verlangen zij van organisaties een actieve rol in het beheersen van de negatieve aspecten. Bij de toepassing van AI is transparantie het sleutelwoord. En als je commissaris bent bij een internationale organisatie, moet je voorbereid zijn op een groeiende mate van wet- en regelgeving in alle landen waar de organisatie opereert.
In oktober 2022 waarschuwde de informatiecommissaris in het Verenigd Koninkrijk bedrijven om zich te onthouden van dit soort technologieën voor “emotionele analyse”. Anders riskeren ze boetes, vanwege de “pseudowetenschappelijke” aard van deze software. Bedrijven die belangrijke beslissingen nemen op basis van deze technologieën, bijvoorbeeld personeel wel of niet aannemen, kunnen aansprakelijk worden gesteld voor de gevolgen. Tevens dient er rekening gehouden te worden met ethiek, en moeten de algoritmen vrij zijn van vooroordelen.
In New York City wordt op 14 april 2023 een wet (nr. 1894-A) van kracht die gericht is op op het gebruik van AI in werving en selectie. Werkgevers die AI-besluitvorming gebruiken in hun werving moeten sollicitanten hiervan op de hoogte stellen. Kandidaten hebben het recht om een alternatief proces aan te vragen. Werkgevers moeten ook onafhankelijke audits uitvoeren om ervoor te zorgen dat deze tools niet discrimineren.
En in Nederland heeft de Autoriteit Persoonsgegevens in januari aangekondigd dat zij starten met het toezicht op algoritmes om discriminatie en willekeur te voorkomen. Zij willen het toezicht op deze technologie beter regelen, om de rechtsbescherming te versterken en burgers te garanderen dat hun persoonlijke gegevens niet tegen hen gebruikt worden. Dat betekent dat een organisatie moet kunnen aantonen hoe zij algoritmes gebruiken, en wat de consequenties zijn van beslissingen die genomen worden op basis van die algoritmes. De kindertoeslagaffaire, waarbij minderheden onder meer door algoritmen stelselmatig werden gediscrimineerd door de Belastingdienst, staat ons nog vers in het geheugen en maakt duidelijk waarom dit toezicht nodig is.
Kun je je beslissing uitleggen?
En mocht je denken dat het zo’n vaart niet loopt: de eerste rechtzaken over het gebruik van AI zijn al gevoerd. Cosmeticabedrijf Estée Lauder moest schikken met drie personeelsleden, nadat zij op basis van een video-interview door een algoritme aangewezen werden voor ontslag. Geen van de personeelsleden had vooraf klachten over hun functioneren gekregen.
Twee taxibedrijven werden door de rechtbank in Amsterdam verplicht om zes voormalige chauffeurs te betalen en toegang te geven tot hun data, nadat zij op basis van een algoritme ontslagen waren. De chauffeurs waren beschuldigd van fraude, zonder dat de bedrijven konden uitleggen wat de exacte frauduleuze handelingen waren die tot ontslag leidden. De rechtbank heeft deze twee bedrijven ook opgedragen transparanter te zijn naar hun chauffeurs over de data die ze opslaan, en hoe beslissingen over ontslag, verlaging van het uurtarief en de verdeling van ritten tot stand komt.
Met andere woorden: als je de algoritmes van artificiele intelligentie gebruikt om beslissingen te nemen, moet je dat uit kunnen leggen in de rechtbank en aan je stakeholders. Rechtzaken hebben altijd een impact op de onderneming, vooral als je ze verliest: het gevolg is tenminste een combinatie van financiële en reputationele schade. Soms stelt een rechter aanvullende eisen die invloed hebben op het primaire proces, zoals in het bovenstaande voorbeeld, waar meer transparantie ingebouwd moet worden. Allemaal zaken waar je als commissaris mee te maken krijgt. Maar je rol als toezichthouder moet er uiteraard op gericht zijn om dit te voorkomen: dat is waar het om draait. En daarvoor moet je weten wat er speelt en de juiste vragen kunnen stellen aan de bestuurders.
Een gemiste kans
Uit de bovenstaande voorbeelden blijkt dat als je als bedrijf gebruik maakt van artificiele intelligentie, je verantwoordelijk blijft voor de consequenties van de beslissingen van deze technologie. En dat is belangrijk voor de commissaris: ben je voldoende op de hoogte van de digitaliseringsactiviteiten in het bedrijf? En welke consequenties (positief en negatief) hebben die op de strategie en daarmee de lange termijn waardecreatie? Is het gebruik ethisch? Begrijp je de inhoud als de bestuurder aan jou vertelt wat het bedrijf aan het doen is? De nieuwe corporate governance code stelt immers dat je voldoende kennis moet hebben om deze ontwikkelingen te beoordelen, en dat je in deze beoordeling de impact en de risico’s moet kunnen meewegen.
De nieuwe Governance Code laat in het midden hoe dit vormgegeven moet worden, en dat is in mijn ogen een gemiste kans. De Code stelt wel eisen ten aanzien van de audit-, remuneratie en selectie- en benoemingscommissie, maar laat dat achterwege bij nieuwe onderwerpen digitalisering en duurzaamheid: “Vennootschappen zijn vrij in de keuze om al dan niet een specifieke digitaliserings- en duurzaamheidscommissaris en/of een specifieke bestuurder met kennis op dit vlak te benoemen.”
Het onderwerp digitalisering is echter zo uitgebreid en zo specialistisch geworden dat je van de gemiddelde commissaris niet kunt verwachten dat deze voldoende kennis bezit om alle facetten goed te kunnen beoordelen. En de ontwikkelingen in digitalisering volgen elkaar razendsnel op. De code zegt daarover het volgende “In verband met de wereldwijde transformatie op het gebied van duurzaamheid en digitalisering, dient te worden geborgd dat het bestuur en de raad van commissarissen ook ten aanzien van deze thema’s voldoende training en opleiding ontvangen.”
Dit alles betekent dat bedrijven zorgen moeten dragen voor een goed opgeleide en ervaren bestuur en raad van commissarissen die in staat zijn om de impact van digitale technologieën op het bedrijf te begrijpen en te beheersen. De vraag is uiteraard of de huidige commissarissen gebaat zijn met training en opleiding over een onderwerp dat zo specialistisch is. Commissarissen zijn drukbezette mensen, en een paar avonden cursus is onvoldoende om met de bestuurder van gedachten te wisselen over strategie en risico’s van nieuwe technologieën, laat staan de implicaties op een kundige manier te kunnen beoordelen. Vanwege de actualiteit heb ik in dit artikel AI als voorbeeld genomen, maar dat is slecht een klein onderdeel in het grote digitaliseringsverhaal.
Het is belangrijk om hier in de raad goed over na te denken: omdat de code geen verplichtingen ten aanzien van de uitvoering oplegt, staat het elke raad van commissarissen vrij om daaraan een eigen invulling te geven. Om hieraan te voldoen moeten commissarissen en bestuurders zich verdiepen in de mogelijkheden en uitdagingen van digitale technologieën, hun interne risico’s in kaart brengen en ervoor zorgen dat zij genoeg ervaring en kennis hebben om deze technologieën te beoordelen in relatie tot de strategie. Daardoor kunnen zij beter beslissingen nemen over de implementatie, budgetten en de benodigde opleiding en training voor de medewerkers. Ook is het van groot belang dat zij op de hoogte zijn van de regelgeving en wetgeving die van toepassing is op de technologie, zoals bijvoorbeeld de AVG, en dat voor ieder land waar je bedrijf opereert.
Het begint met zelfreflectie
Commissarissen kunnen natuurlijk niet allemaal expert zijn op het gebied van digitalisering. Maar je bent wel verantwoordelijk voor het toezicht op het beleid en de prestaties van het bestuur, en daarom is het belangrijk dat je als commissaris voldoende inzicht in de materie hebt en weet waar je tekort schiet.
Mijn advies is om binnen de raad een open gesprek te voeren met de commissarissen over kennis en kunde met digitalisering en nieuwe technologieen, en eerlijk te zijn over de eigen ervaring. Ik zie te veel bestuurders en toezichthouders die ervan overtuigd dat zij veel weten van digitalisering, terwijl de ontwikkelingen zo snel gaan, dat dat een vakgebied is geworden met veel specialismen. Zelfs experts hebben moeite om alles bij te houden. Tekorten in kennis kunnen aangevuld worden via een (tijdelijke) adviseur. Dat is met name van belang als het budget grote digitale investeringen bevat waarvan de strategische impact beoordeeld moet worden.
Zodra een nieuwe vacature in de raad ontstaat, is het te overwegen om specifiek te werven op deze kennis en ervaring, en een “digitale commissaris” aan te stellen die de raad kan adviseren over deze onderwerpen. Gerelateerd aan de kern van de bedrijfsvoering zou je misschien zelfs een digitale commissie moeten overwegen. Dat laat onverlet dat digitalisering, net als bijvoorbeeld financiën, een onderwerp is waar elke commissaris in hoofdlijnen van op de hoogte moet zijn. Naast het aanstellen van de digitale commissaris is een opleiding voor de raad zeker op zijn plaats.
Zet de drie speerpunten op de agenda
Digitale technologieën zijn cruciaal voor het primaire proces en daarmee de lange termijn waardecreatie van een onderneming, en de governance code speelt hierop in door bedrijven te verplichten hier rekening mee te houden. Commissarissen en bestuurders moeten nu actie ondernemen om te zorgen dat hun bedrijf klaar is voor de digitale toekomst.
Er komt een nieuwe generatie commissarissen en bestuurders aan, die is opgegroeid met technologie en vaak meer kennis van digitale technologieën heeft dan huidige generaties. Dit betekent dat zij beter in staat zijn om de impact van digitale technologieën op de bedrijfsvoering in hoofdlijnen te begrijpen en hierop te anticiperen.
Het is belangrijk om het onderwerp “toezicht houden op digitalisering” te agenderen voor een van de volgende vergadering, zelfs als je vindt dat het goed geregeld is binnen jouw raad. De nieuwe Governance Code stelt meer verplichtingen waaraan je moet voldoen. Het is belangrijk om vast te stellen dat de raad elk van de drie aandachtspunten, namelijk impact op strategie, impact op risico’s en deskundigheid bij bestuurders, goed geborgd heeft. En mocht dat niet zo zijn, dan vormt dit gesprek de basis voor een actieplan om op een goede manier uitvoering te geven aan de Code.
