Steenpoorte, SNS: 'Cyber crime is meest dynamische vorm van security'

Geldzaken moeten eenvoudig zijn. Dat is het antwoord van SNS Reaal op het steeds complexer worden van financiële producten in de afgelopen periode. ‘Het zou mooi zijn als ik deze filosofie de komende tijd wat breder kan uitdragen. Dat is de kern waar ik voor sta’, zo zegt Wim Henk Steenpoorte, die behalve een uitstapje van drie jaar als ICT-manager bij Ogilvy altijd heeft gewerkt bij een financiële instelling die behoorde, of op enig moment ging behoren, bij wat nu SNS Reaal heet.

Vanaf 1986 zag Steenpoorte hoe SNS door fusies en overnames van onder meer Hooge Huys, Winterthur, AXA, Zwitserleven en Reaal doorgroeide tot Nederlands op drie na grootste financiële instelling: het heeft alleen ING, Rabobank en ABN Amro nog voor zich. Hij zag en ziet ook hoe de verliesgevende vastgoeddochter van SNS Reaal al enige tijd zo ongeveer driekwart van de winst opslurpt en hij weet dat de bankverzekeraar nog 850 miljoen euro aan verleende steun aan de Nederlandse Staat moet terugbetalen. ‘Het zou goed zijn als SNS Reaal blijft bestaan’, is alles wat Steenpoorte er op de dag van het interview over wil zeggen. Plus: ‘We onderzoeken verschillende opties’, om daarna over te gaan op het onderwerp van het gesprek – security, risico’s en een afgeleide daarvan: vertrouwen. Dat laatste heeft uiteraard een directe link met de financiële crisis die nog steeds in Europa woedt.

U werkt al lang in de financiële sector. Wat maakt deze sector voor u zo aantrekkelijk?
‘Ik vind het vak bankieren en verzekeren boeiend. Je hebt en maakt producten en diensten die belangrijk zijn voor mensen, hoewel het pas vaak laat in het leven van een mens duidelijk wordt wat je aan een bepaald product hebt, neem bijvoorbeeld een levensverzekering of een verzekeringspolis. In een dergelijke lange relatie is het vertrouwen dat je hebt bij de klant en in de branche een zeer belangrijk element. Boeiend vind ik ook het werken aan het realiseren van excellent operationeel management. Dat aspect is jarenlang wat onderbelicht geweest. De winsten in onze industrie waren in de afgelopen decennia dermate ruim dat de druk om strak en goed operationeel management te bedrijven niet zo groot was. Operationeel management binnen de financiële sector is enorm aan verandering onderhevig en dat maakt dat SNS Reaal qua bedrijfsvoering, net zoals vele andere financiële instellingen, nu veel meer een normaal bedrijf is.’

Met name het element vertrouwen is de laatste jaren een big topic geweest…
‘Vertrouwen heeft verschillende verschijningsvormen. Bij de klant gaat het om wat hij redelijkerwijs had mogen verwachten. Aan de bedrijfskant gaat het vooral over financiële stabiliteit. Wat dit laatste betreft heeft de financiële industrie het gewoon zwaar. En er is zoiets als maatschappelijk vertrouwen. Overheden helpen banken om in de crisis overeind te blijven. Maar gaan instellingen verantwoord om met de ruggensteun die ze krijgen van de overheid? Het Liborschandaal in Engeland laat zien dat financiële instellingen tot op de dag van vandaag niet goed omgaan met dit maatschappelijk vertrouwen. De affaire leert dat de cultuurverandering die moet gaan plaatsvinden in onze industrie een buitengewoon taai onderwerp is. Nog lang niet iedereen heeft bijgeleerd en zijn gedrag veranderd. De affaire laat ook zien dat de bovenliggende managementechelons niet meer echt op de hoogte zijn van wat er werkelijk allemaal gebeurt. Managers snappen wel hun producten, maar doorgronden niet meer hun eigen bedrijfsprocessen. Dat vind ik een zorgelijke ontwikkeling.’

Heeft SNS een specifieke strategie die benadrukt of onderstreept dat SNS Reaal het vertrouwen waard is? En waarmee het zich kan onderscheiden in de branche?
‘Van origine waren wij bij er bij Reaal op gericht om verzekeringen te bieden voor gemiddelde Nederlanders. SNS Bank wilde de spaarzin bevorderen. Dat is in de wilde groei van de afgelopen decennia wellicht enigszins ondergesneeuwd geraakt. Om weer naar onze roots terug te keren is in 2008 gekozen voor het thema eenvoud in geldzaken. Het streven van SNS Reaal is om dicht bij de klant te zitten. We denken dat de Nederlandse consument niet zit te wachten op grote anonieme financiële molochs waarmee geen persoonlijke relatie is op te bouwen. We denken dat er behoefte is aan relatief kleinschalige financiële instellingen die als merk en imago dicht bij de klant staan of daar naartoe aan het bewegen zijn. In onze groep zitten heel veel banken- en verzekeringsmerken met ieder hun eigen propositie en eigen klantgroep. In onze strategie past niet dat we dat op een grote hoop vegen.’

Financiële instellingen zijn een combinatie van financiële producten en technologie. Hoe maakt u als chief technology officer uw keuzes wat betreft investeringen in ICT?
‘Een deel van het besluitvormingsproces omvat het vragen aan ons management committee, een managementlaag net onder het bestuur, waar volgens hen belangrijke hotspots zitten om ontwikkelingen te laten plaatsvinden. De raad van bestuur beziet vervolgens of de ideeën die door businessunits worden aangedragen goed zijn, een goede business case kennen, en voldoende vooruit kijken.’

Wanneer wordt er voldoende vooruit gekeken?
‘In ieder geval als het woordje app wordt genoemd. Ik zie een sterke beweging richting mobile apps. Mijn persoonlijke inschatting is er steeds meer apps komen die kunnen draaien op meerdere platforms. Apps zijn te installeren in Google Chrome, maar ook in nieuwe explorer-versies. Apps worden veel belangrijker dan in het verleden gedacht. De apps komen en zijn er niet alleen voor portable devices, maar ook voor de desktop, laptop, smartphones of de tablet. Dat is de nieuwe wereld. Met een app is een customer interaction te krijgen die als prettig wordt ervaren. Dat sluit goed aan bij het streven van SNS om met merken dicht bij de klant te zitten. Overigens is het bankbedrijf verder in deze ontwikkeling dan de verzekeringstak.’

In hoeverre loopt de verzekeringsbranche hierin achter ten opzichte van het bankbedrijf?
‘Internetbankieren behoort zo ongeveer tot de basisfunctionaliteiten van een bank. Bij verzekeraars wordt dat niveau lang niet gehaald. Verzekeraars lopen zo ongeveer twee tot drie generaties achter op de banken. In de verzekeringstak is interactie via het net met de klant nog onderontwikkeld. Natuurlijk is op internet een verzekering af te sluiten, maar dan moet die verzekering wel gemakkelijk zijn. Wordt het ingewikkeld, dan lukt het al niet meer via internet. Een lopende polis inzien via internet? Kan vaak niet. Muteren van een polis? Gaat niet. Soms is het mogelijk een e-mailformulier te versturen en krijg je als je geluk hebt antwoord dat het verzoek is ontvangen. Het goede nieuws is dat de teruglopende rendementen bij verzekeringen zeker zullen helpen deze achterstand te reduceren. Net als in het bankbedrijf moeten we bij verzekeringen toe naar een situatie waar een klant of intermediair op internet of via een app zelf het nodige kan doen. Dan ontstaat er een beter contact met de klant en kunnen de kosten in de keten omlaag.’

Wordt het contact met de klant niet vanzelf beter nu de overheid heeft bepaald dat intermediairs transparanter moeten zijn in wat zij rekenen voor adviezen?
‘Als aanbieder word je inderdaad door deze ontwikkeling als vanzelf een bepaalde kant opgezogen.  We worden veel meer dan vroeger direct door klanten benaderd. We proberen hierop in te spelen. Een nieuwe ontwikkeling is bijvoorbeeld dat mensen via de webcam op hun pc thuis live-advies krijgen, alsof ze met een medewerker van de bank aan tafel zitten. Ik geloof heilig in een goed advies, daar mag best een prijs aan hangen, maar er zijn ook veel contactmomenten tussen aanbieder van producten en klant die niet adviesgevoelig zijn. Je zou dat als kans voor SNS Reaal kunnen labelen om directer met de klant in contact te komen.’

Zijn er ook nadelen verbonden aan deze ontwikkeling?
‘Het kan voorkomen dat een klant, omdat hij voor advisering moet betalen en op de factuur ziet hoeveel dat is, hij zijn adviseur niet of niet tijdig benadert. Ik maak me zorgen over deze ontwikkeling omdat financiële producten op het ogenblik in stukjes worden geknipt om ze voor de klant duidelijker te maken. De klant beslist welke stukjes hij gaat afnemen. De verantwoordelijkheid wordt daardoor de facto bij de klant gelegd.’

En dan..?
‘We hebben in het verleden met elkaar geprobeerd om hybride producten te leveren die meerdere dingen tegelijkertijd doen: risico’s afdekken, sparen of beleggen. Dat is te ingewikkeld, zo blijkt. Het is een belangrijke bron van misverstanden. Onze missie eenvoud in geldzaken komt uit die notie voort. Uit complexiteit komt veel ellende voort, ook in de financiële industrie. Eenvoud in geldzaken is een simpel zinnetje, maar daarin zit veel meer dan je aanvankelijk denkt. Het grote risico van ontbundelde producten is dat de klant uiteindelijk met een mandje deelproducten zit waarvan het de vraag is of het zijn probleem oplost. De financiële wereld kan echter zeggen: je hebt zelf gekozen en je zoekt het voor de rest maar lekker zelf uit. Ik denk dat dit wel eens de volgende woekerpolisaffaire zou kunnen  worden, omdat elke component nu eenmaal zijn eigen eigenschappen en lifecycle heeft.’

Het brengen van informatie en producten dicht bij de klant levert zoals u zegt een risico op, omdat de klant de samenstelling van zijn financiële productenpakket moet managen. Daarnaast komt het mij voor dat er daardoor ook voor security bijzondere aandacht moet zijn.
‘Met het dicht bij de klant willen zijn, het ter beschikking stellen van informatie dicht bij de cliënt, wordt het thema informatiebeveiliging steeds belangrijk. Daar zie je wel een trade-off. Je brengt info dicht bij de klant in kleine apparaatjes en dan wil je ook nog eens dat de userinterface heel prettig is. Hoe makkelijker, hoe lekkerder. Mensen willen snel iets kunnen doen, willen langs een near field detector lopen om te kunnen betalen. Dat kunnen, in combinatie met het beveiligen van vertrouwelijke informatie, is lastig.’

Waar stopt de verantwoordelijkheid voor de financiële sector?
‘Soms moet je een stukje verantwoordelijkheid naar je toehalen die je eerder niet had. Een voorbeeld. Veel cybercrime kan er zijn omdat pc’s van klanten met virussen geïnfecteerd zijn. Soms maken wij bij cliënten pc’s schoon en dan treffen we meer dan één virus aan. Strikt genomen zouden we kunnen zeggen dat een schone pc de verantwoordelijkheid is van de klant, maar dat doen we niet, hoewel we graag willen dat de klant zijn eigen verantwoordelijkheid pakt. Wij hebben hier als financiële sector een rol in. Met elkaar hebben we in het verleden immers nagedacht over welke interactie we met de klanten zouden toestaan. We wisten welke risico’s daar in potentie aan verbonden kon zijn. Dan moet je ook je eigen verantwoordelijkheid pakken.’

Gesproken over cybercrime, bent u niet bang dat het dweilen met de kraan open wordt? De Rabobank laat pasjes niet meer zonder meer in het buitenland werken om skimmen ervan te voorkomen. Hoe kijkt u daar tegenaan?
‘Cybercrime is by far de meest interessante en meest dynamische kant van security omdat het steeds verandert. Maar er zijn ook securityzaken die we goed kunnen aanpakken met ICT-oplossingen die risico’s in de systemen voorspelbaar maken. Om cybercriminelen van repliek te dienen voeren we regelmatig securityscans uit van nieuwe ontwikkelingen die zich aan de horizon aandienen. Bij SNS Reaal houdt een team van vijftig tot honderd mensen zich zowel operationeel als tactisch met cybercrime bezig. Het maken van een vuist tegen cybercrime doen we overigens in samenwerking met andere instellingen. Niet dat het een gezamenlijk project is, maar we werken op diverse niveaus op dit terrein nauw met elkaar samen, al zou het alleen maar zijn omdat we werken met een gedeelde betalingsinfrastructuur.’

Zou security een differentiator kunnen zijn? De een zegt: onze producten en services zijn overal goed toegankelijk. Zou een ander kunnen zeggen: bij ons gaat veiligheid voor?
‘Dat is niet de richting die we uit willen. De behoefte aan informatie aan je vingertoppen is niet te stoppen.’

Waar staat SNS Reaal over twee jaar?
'SNS Reaal heeft dan stappen gezet om het verzekeringsbedrijf meer te laten werken zoals dat in 2014 kan met inzet van technologie. In dat jaar zullen we ongetwijfeld ook meer gebruikmaken van sociale media om nog dichter bij het dagelijkse leven van mensen te kunnen staan. En zullen we weer nieuwe methoden en technieken hebben gevonden om de business case van cybercriminelen zo goed mogelijk te verstoren.’

Bart Hogendoorn is managing director van Hewlett-Packard Nederland.