Inleiding

Data-analyse staat sterk in de belangstelling, met name vanwege de toenemende beschikbaarheid en de combinatie- en analysemogelijkheden van gestructureerde databases, om op feiten gebaseerde conclusies te trekken of beslissingen te nemen. Data-analyse vormt daarmee een steeds belangrijker onderdeel van de ‘governance’ van organisaties. Al dan niet geïnspireerd door de toepassing van data-analyse in de jaarrekeningcontrole en door mediaberichten over de – onbegrensd klinkende – mogelijkheden van big en open data, zijn veel organisaties overgegaan tot toepassing van data-analyse als onderdeel van ‘verbijzonderde controles’ in het primaire proces en de analyse van transactieverwerking in de bedrijfsvoering.

Waar voorheen steekproeven of enquêtes werden gebruikt, kan voortaan de gehele (gegevens)populatie worden geanalyseerd. Dit als opmaat voor het in de toekomst kunnen benutten van de ontluikende data-explosie met ontwikkelingen als het Internet of Things (sensoren in de vitale publieke infrastructuren).

De eerste succesvolle toepassingen van data-analyse in het bedrijfsleven waren voornamelijk in de financiële, retail- en logistieke sectoren en binnen organisaties bij financiële en marketingafdelingen. De bij deze organisaties in gebruik zijnde ERP-systemen bevatten veel transactiegegevens, die door hun gestructureerdheid relatief gemakkelijk voor data-analyses kunnen worden benut. Al constateren wij in de praktijk nog vooral operationeel georiënteerde data-analyses en nog weinig strategische toepassing – de beantwoorde vragen komen nog beperkt uit het beleid voort.

Data-analyse heeft bij overheidsinstellingen echter tot nu toe minder ingang gevonden dan in bovengenoemde commerciële sectoren. Naast researchinstellingen en UMC’s zijn het in eerste instantie met name uitvoeringsorganisaties en toezichthouders die de uitvoering van hun taken, het voldoen aan wettelijke termijnen of de beteugeling van hun rechtmatigheids- en frauderisico’s op basis van data-analyses willen versterken. In de publieke sector worden eveneens veel gegevens opgeslagen en door het gebruik van het burgerservicenummer (BSN) zijn deze ook eenvoudiger te combineren en te koppelen – mits dit is toegestaan uit wettelijk oogpunt (zogeheten ‘doelbinding’ uit de Wet bescherming persoonsgegevens) of vanuit maatschappelijke verwachtingen.

Om de mogelijkheden van het verder uitbreiden van de toepassing te onderzoeken hebben Ronald Koorn, Henk Hendriks, Koen klein Tank, Stefan Zuijderwijk en Peter Bölscher vanuit KPMG IT Advisory een bijeenkomst over data-analyses in de publieke sector georganiseerd. Bij de bijeenkomst waren deelnemers aanwezig afkomstig van uitvoeringsorganisaties zoals zelfstandige bestuursorganen, agentschappen, inspecties, toezichthouders en (hoger)onderwijsinstellingen. In de paragraaf ‘Uitwisseling van ervaringen’ leest u enkele voorbeelden van door deelnemers en KPMG’ers uitgewisselde ervaringen.

Mogelijke doelstellingen en vormen van data-analyse in de publieke sector

Ronald Koorn startte de bijeenkomst met een inleiding op de gehanteerde doelstellingen en vormen van data-analyse in de publieke sector. Aan de hand van figuur 1 besprak hij hoe data-analyse kan worden toegepast bij het verbeteren van effectiviteit, betrouwbaarheid, rechtmatigheid en doelmatigheid van zowel primaire als ondersteunende processen. Hierbij kan verder onderscheid worden gemaakt in de wijze waarop kan worden gebruikgemaakt van persoonlijke expertise op een bepaald gebied, bedrijfsregels, kunstmatige intelligentie en gestructureerde of ongestructureerde externe data (zie de ringen van de stam in figuur 2). Het analyseren van data aan de hand van bedrijfsregels en gestructureerde data van andere instanties zijn momenteel de eerste stappen die overheidsorganisaties hebben gezet. Wij zien nog marginaal gebruik van ongestructureerde interne of externe data, zoals data van onder toezicht gestelde partijen.

Figuur 1. Nut en noodzaak van data-analyse in de publieke sector.

Figuur 2. Data-analyse in de publieke sector: antwoord op maatschappelijke en organisatorische vragen. [Klik op de afbeelding voor een grotere afbeelding]

Voordat de twee praktijkcasussen over data-analyse gerelateerd aan de dienstverlening en aan de bedrijfsvoering werden behandeld, werd ingegaan op de relatie tussen risicoanalyse en data-analyse (zie figuur 3).

• Met een risicoanalyse kan worden bepaald in hoeverre bijvoorbeeld organisatie- of beleidsdoelen niet worden behaald, wat de kans hierop is en welke impact dat heeft. Volwassen organisaties hebben op basis van een organisatiebrede risicoanalyse naast key performance-indicatoren (KPI’s) ook key risico-indicatoren (KRI’s) gedefinieerd.
• Met een data-analyse kunnen deze KRI’s worden gemonitord, maar kan natuurlijk ook worden geprobeerd antwoorden op specifieke maatschappelijke en organisatorische vragen uit de data te destilleren. Voorbeelden van dergelijke vragen zijn met welke interventies de veiligheid in stadscentra het meest gebaat is, in welke processen gemeenten en provincies hun administratieve lasten het beste kunnen verlagen, of alle omvangrijke inkopen Europees zijn aanbesteed, welke processen lange doorlooptijden en afwijkende betalingen kennen, etc. Daarnaast kan met data-analyses worden vastgesteld in hoeverre de andere getroffen beheersingsmaatregelen al dan niet effectief functioneren (zie de figuren 3 en 4).

Figuur 3. Van risicoanalyse naar data-analyse.

Figuur 4. Samenhang van beheersingsmaatregelen.

Terwijl data-analyses zich vrijwel uitsluitend richten op databaseniveau, kunnen risicoanalyses zich op alle niveaus van de ‘stack’ van beheersingsmaatregelen richten, van doelen tot aan operationele aspecten (zie ook figuur 4).

Praktijkvoorbeeld van toepassing van data-analyse in het primaire proces

De directeur van de Autoriteit Diergeneesmiddelen, dr. Hetty van Beers, gaf vervolgens een toelichting op de toepassing van proces-, systeem- en data-analyse voor de landelijke monitoring van de reductie van antibioticagebruik in de veehouderij. In 2010 besloot de overheid het gebruik van antibiotica te reduceren om de toenemende resistentie te beteugelen; het antibioticagebruik moest in 2011 met 20 procent gereduceerd zijn, in 2013 met 50 procent en uiteindelijk in 2015 met 70 procent. De Autoriteit Diergeneesmiddelen (SDa) werd door de overheid en private partijen opgericht om standaarden te zetten, te benchmarken, afwijkend gebruik te signaleren en toezicht te houden op de kwaliteit van de data en de registratieprocessen.

Door aan veehouders, diersectoren en dierenartsen benchmarkwaarden en de te hanteren rekensystematiek voor te schrijven en periodiek hierover terug te koppelen hoe hun verbruik van verschillende typen antibiotica zich verhoudt tot die van andere vergelijkbare veehouders, heeft de SDa bewerkstelligd dat het gebruik inmiddels significant is teruggedrongen. Aan het vaststellen van de benchmarkwaarden en het berekenen van het gebruik van antibiotica op bedrijfsniveau liggen een goede analyse, transparante rekensystematiek en een diergeneesmiddelendoseringstabel ten grondslag. Data-analysemethodieken vormen een belangrijk onderdeel van deze aanpak doordat op basis van resultaten van data-analyses het absolute en relatieve antibioticagebruik inzichtelijk wordt gemaakt en de benchmarkwaarden en doseringen worden berekend. Verder vindt toepassing van data-analyses plaats bij het bewaken van de kwaliteit van de gehanteerde data. Ook werd ingegaan op de rol van KPMG, die ondersteuning bood bij het uitvoeren van landelijke proces-, systeem- en data-analyses in diersectoren en bij dierenartsen. Op basis hiervan heeft de SDa beter kunnen bepalen in hoeverre de registratieprocessen en datakwaliteit toereikend zijn voor het bepalen van rekensystematieken en benchmarkwaarden.

Zonder betrouwbare data en landelijke data-analyses zouden geen goede en – per type antibioticum gedifferentieerde – uitspraken en rapportages over antibioticagebruik en reductie ervan aan het ministerie en de Tweede Kamer te doen en maken zijn.

Data-analyse als onderdeel van risicomanagement van ondersteunende processen

Vervolgens presenteerde Koen klein Tank vanuit KPMG de aanpak en succesfactoren van data-analyse in ondersteunende processen. Hij ging nader in op hoe data-analyse op basis van KPMG’s Facts2Value-aanpak kan worden toegepast als onderdeel van risicomanagement van bijvoorbeeld een betalings- of HR-proces. Hiertoe schetste hij hoe data-analyse bijvoorbeeld kan worden gebruikt bij het onderzoeken van de volgende zaken:

• Het efficiënt functioneren van bulktransactieprocessen, bijvoorbeeld in een shared-serviceorganisatie (‘worden alle interne en externe klanten binnen SLA-termijnen bediend?’).
• Het betrouwbare en integere verloop van operationele transacties, zoals controle op gemandateerde inkopen en factuurbetalingen (‘zijn er invoerfouten gemaakt?’ en ‘zijn er krediet- of declaratielimieten overschreden of spoedbetalingen buiten werktijden doorgevoerd?’).
• De effectieve werking van autorisaties en procedures, zoals hiervoor reeds genoemd en in figuur 4 gevisualiseerd. Dit betreft dus niet alleen de theoretische mogelijkheid van het doorbreken van mandaten en functiescheidingen, maar ook het daadwerkelijk doorgevoerd zijn van transacties (‘is het bestellen rechtmatig gebeurd?’ en ‘is het afboeken van dubieuze debiteur of wanbetaler volgens onze richtlijnen gebeurd?’).
• Het verloop van het werkkapitaal (‘moeten wij een beroep doen op de bank voor onze te verwachten liquiditeitsbehoefte?’).
• Het naleven van wet- en regelgeving (‘zijn er afwijkende betalingstransacties, bijvoorbeeld transacties met bijzondere organisaties of transacties die fraude- of omkopingssignalen bevatten?’).
• Het waarborgen van de privacy, vertrouwelijkheid en retentie (‘wie heeft inzage gehad in medische gegevens van medewerkers?’ en ‘hebben wij geen gegevens/documenten opgeslagen die over hun bewaartermijn heen zijn?’).
• De kwaliteit van de gegevens, de heilige graal (‘hoeveel keer komen dezelfde klanten en leveranciers voor?’ en ‘hoeveel uitval is er bij een fotovergelijking met een basisregistratie?’).

De visie van KPMG op de toepassing van preventieve controles en detectieve data-analyse in het inkoopproces is in figuur 5 aan de hand van een vergelijking met een snelweg geïllustreerd.

Figuur 5. KPMG’s visie op preventieve controles en detectieve data-analyse: de snelweg. [Klik op de afbeelding voor een grotere afbeelding]

Uitwisseling van ervaringen

Tot slot spraken de deelnemers in een open discussie over de toepassingsmogelijkheden van data-analyse en de uitdagingen hierbij. Vergelijkbaar met wat in het internationale KPMG-onderzoek over data-analyse ([KPMG14]) naar voren kwam, waren de meeste deelnemers van mening dat de toepassing van vergaande data-analyses hun functie zal kunnen veranderen en in de eerste plaats efficiency- en effectiviteitswinst in de bedrijfsvoering tot gevolg kan hebben.

Op basis van hun leerervaringen bespraken de inleiders en de deelnemers de belangrijkste uitdagingen, de do’s en don’ts, voor de toepassing van data-analyse in de publieke sector – in lijn met het bovengenoemde KPMG-onderzoek.

Projectmatige leerervaringen

• Er zijn meer data-analysespecialisten nodig; in Nederland moeten we daarom veel investeren in de opleiding van dergelijke specialisten. De grote hoeveelheid aan kleinschalige initiatieven op het gebied van data-analyse zou beter gecoördineerd moeten worden.
• Data-analyse moet met steun van het management uit de operationele controlehoek en hobbysfeer komen om belangrijkere beleids- en organisatorische vragen te kunnen beantwoorden. Dan kunnen ook de kwantitatieve analyseresultaten aan kwalitatieve vraagstukken worden verbonden.
• De betrokkenheid van zowel ervaren proces-, systeem- als data-analisten is cruciaal om een pilot te laten welslagen door bruikbare resultaten. Bij voorkeur maakt de pilot ook deel uit van een breder organisatietraject met bestuurlijke ophanging (bijvoorbeeld Lean, risicomanagement, fraudedetectie en dergelijke).
• Generieke data-analyses voegen weinig toe, die moeten concreet worden toegespitst op specifieke processen en onderwerpen. Het juist vertalen van vage doelen en wensen naar praktisch uitvoerbare controles en analyses vergt veel aandacht om ‘false positives’ te vermijden. Het aantal false positives moet op een acceptabel laag niveau liggen voor voldoende draagvlak. Bovendien is de overheid nog beperkt competent in het definiëren van goed bruikbare risicoprofielen.
• Vergeet niet het verandertraject naar een informatiegedreven organisatiecultuur. Vanzelf ontstaat dan het bewustzijn dat ‘eigenaarschap’ en standaardisatie van gegevens onmisbaar zijn.
• Zorg dat data-analyse onderdeel is van een breder proces, denk bijvoorbeeld aan de integratie van data-analyses in bestaande beleidsevaluatie, managementinformatie of de Planning & Control-cyclus. Zonder organisatorische inbedding hebben data-analyses weinig overlevingskansen.

Inhoudelijke leerervaringen

• Door samenvoeging van verschillende databronnen worden op termijn de uitkomsten en de datakwaliteit beter. Dit kan gezien de ontstane vervuiling wel een meerjarig traject vergen.
• Een gegevensautoriteit en gegevenswoordenboek per sector of keten is nodig om te komen tot uitgebreidere gegevensuitwisseling en data-analyses.
• Bij het in één database combineren van ‘kroonjuwelen’ is de toegangsbeveiliging van cruciaal belang.
• Tevens moet voorzichtig worden omgegaan met het analyseren van gevoelige persoonsgegevens en gegevens over persoonlijk gedrag. Om te voorkomen dat de overheid als Big Brother wordt beschouwd is het beter de gegevens eerst te anonimiseren of pseudonimiseren[Pseudonimiseren is een procedure waarmee identificerende gegevens met een bepaald algoritme worden vervangen door versleutelde gegevens (het pseudoniem). Het algoritme kan voor een persoon altijd hetzelfde pseudoniem berekenen, waardoor informatie over de persoon, ook uit verschillende bronnen, kan worden gecombineerd. Daarin onderscheidt pseudonimiseren zich van anonimiseren, waarbij het koppelen op persoon van informatie uit verschillende bronnen niet mogelijk is (uit: ISO-standaard TS 25237).] voorafgaand aan het uitvoeren van data-analyses – anders zou allereerst regelgeving of expliciete toestemming nodig zijn.
• De rol van tooling is essentieel om efficiënte data-analyses uit te voeren; in veel gevallen blijken er al IT-hulpmiddelen in huis te zijn.
• Eventueel maatwerk in standaardpakketten is een complicerende factor waar rekening mee moet worden gehouden bij de interpretatie van analyseresultaten.
• Als data-analyses op het terrein van bedrijfsvoering met name detectief van aard zijn, dan is het beter om op basis hiervan een aantal preventieve applicatiecontroles in te richten.
• Het is van belang kwalitatief goede data op dusdanige wijze beschikbaar te krijgen dat ze kunnen worden toegepast bij data-analyses.

Het visualiseren van uitkomsten is een krachtig middel om bestuurders en managers te overtuigen van de mogelijkheden van data-analyses, met name in het primaire proces.

De meeste deelnemers verwachten de komende jaren nog bezig te zijn met het op poten zetten van goede data-analyses. De vervolgstappen naar Continuous Auditing en Continuous Monitoring of naar volledig – in de processen en systemen geïntegreerd – risicomanagement zien de deelnemers pas op langere termijn plaatsvinden.

Slotoverwegingen

Overheidsorganisaties staan nog aan de vooravond van bredere, gedetailleerdere en doelgerichtere data-analyses. Niet alleen om de bedrijfsvoering te beheersen en te optimaliseren, maar vooral ook om de primaire processen effectiever en efficiënter in te richten. Na een start met data-analyses uitgevoerd op de kernprocessen bij inspecties, toezichthouders en uitvoeringsorganisaties, verwachten wij dat daarna complexere maatschappelijke vraagstukken en beleidsvraagstukken zullen worden aangepakt. Tevens zullen patroonherkenning en heuristische analyses ingang vinden bij de meer volwassen data-analysegebruikers. Hiervoor zal het meestal ook nodig zijn gegevens uit de eigen organisatie en uit andere organisaties of bronnen te combineren en daarvoor zijn verdere standaardisatie van de informatie-infrastructuur van de overheid (governance, data- en uitwisselingsdefinities) en goede rechts- en privacybescherming randvoorwaardelijk.

Omdat ruime praktijkervaring ontbreekt, waren alle deelnemers van mening dat het verder uitwisselen van kennis en ervaring een mogelijke oplossing is voor het succesvol(ler) toepassen van risico- en data-analyses in de publieke sector. Ten slotte spraken alle deelnemers de verwachting uit van een sterke groei aan data-analyseprojecten in hun organisatie.