Frankenslag 137, 2582 HH Den Haag
+31 (0) 70 392 22 09
info@duthler.nl

Toetsen van de geschiktheid van een FG binnen de financiële sector

Door: André Biesheuvel en Caroline Willemse                                     Leestijd: 30 minuten

Geschiktheid volgens DNB

De Nederlandsche Bank (DNB) berichtte op 19 december 2018[1]over een update van de richtlijn IORP II[2]. Het ging over het ter toetsing voorleggen aan DNB van kandidaten voor sleutelfuncties[3]. Deze sleutelfuncties betreffen risicobeheer, actuariële functie en interne audit. De IORP II[4]gaat over de werkzaamheden en toezicht van instellingen voor bedrijfspensioenvoorziening (IBPV’s) en behelst dus meer dan de governance voor sleutelfuncties.

Richtlijn

In de richtlijn[5]wordt aangegeven dat een persoon die een sleutelfunctie vervult, moet beschikken over de nodige beroepskwalificaties, – kennis en -ervaring. Nieuwe sleutelfunctiehouders moeten gemeld worden bij DNB. DNB is de autoriteit in Nederland die de personen die de sleutelfuncties uitoefenen kan toetsen op geschiktheid en betrouwbaarheid. In het aangehaalde bericht van 19 december geeft DNB aan dat in zes Q&A’s op de website van DNB ingegaan wordt op de eisen aan geschiktheid en betrouwbaarheid van sleutelfunctiehouders.

Kennis en ervaring

Per sleutelfunctie somt DNB per taak de vereiste kennis en ervaring op. Hierdoor wordt het duidelijk en toetsbaar waaraan een sleutelfunctiehouder moet voldoen. DNB geeft ook aan dat (en hoe) proportioneel naar de vereisten wordt gekeken. Ook competenties worden benoemd. 

Een kandidaat sleutelfunctie kan diens geschiktheid toelichten in een formulier ‘self assessment’. DNB kan vervolgens de geschiktheid van de sleutelfunctiehouder beoordelen en op basis van de aangeleverde informatie vaststellen of de sleutelfunctiehouder aantoonbaar voldoet aan de voor de functie gestelde eisen. Indien deze informatie toereikend is kan DNB tot een positief besluit komen zonder dat daarover een gesprek plaatsvindt. Zo nodig vindt wel een gesprek plaats.

Net als IORP II kent de Europese Algemene Verordening Gegevensbescherming (AVG) ook een sleutelfunctiehouder: de Functionaris voor Gegevensbescherming (FG). Een FG is een functionaris die aangesteld moet worden om als een intern toezichthouder (en hiermee een onderdeel wordt van de governance) te functioneren binnen een organisatie maar dan op het gebied van gegevensbescherming en privacy. De IORP II heeft (via de wetten waarin de IORP II in opgaat) als toezichthouder DNB en de AVG heeft als toezichthouder de Autoriteit Persoonsgegevens (AP).

Verschillen DNB en de AP

Hieronder worden de verschillen tussen DNB met de sleutelfunctiehouders en de AP met de FG’s komen toegelicht.

  1. Geschiktheidseisen
    De AVG heeft drie artikelen gewijd aan de FG: 37, 38 en 39. In artikel 37, lid 5, wordt bepaald dat de FG “wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de in artikel 39 bedoelde taken te vervullen”. In overweging 97 staat dat het vereiste niveau van deskundigheid dient te worden bepaald op grond van de uitgevoerde gegevensverwerkingsactiviteiten en de bescherming die voor de verwerkte persoonsgegevens is vereist. In de Richtlijn voor FG’s[6]van de WP29 (thans European Data Protection Board) wordt het vereiste niveau van deskundigheid ook niet strikt gedefinieerd, maar wordt toegelicht dat deze in verhouding moet zijn tot de gevoeligheid en de complexiteit van de gegevens, alsook de hoeveelheid gegevens die een organisatie verwerkt. Ik vind dit heel vaag. Van de zes Q&A’s zijn er drie algemene Q&A’s en de andere geven per functie per taak een lijst met duidelijke kennis- en ervaringsgebieden. Zoals kennis van risicohouding, risicobeleid en risicobeheer-cyclus, kennis van beheersing datakwaliteit. Met relevante opleiding en werkervaring moet aangetoond kunnen worden dat hieraan voldaan wordt. Ook de benodigde competenties zijn uitgeschreven. Heel concreet. Waarom kan de AP niet ook komen met scherpe geschiktheidseisen net als DNB?  
  2. Toetsing vooraf
    De AP houdt het register van FG’s van organisaties bij. De AP toetst nu niet vooraf aan de inschrijving, of de FG bekwaam is. DNB doet dit wel aan de hand van een self assessment waarin aangetoond moet worden dat de sleutelfunctiehouder voldoet aan de gestelde eisen. Dat kan ongelukken voorkomen. De AP zou er m.i. verstandig aan doen om ook een assessment voor FG’s in te voeren (en te toetsen!) die meegeleverd moet worden bij het verzoek tot inschrijving in haar register.
  3. Melding aan toezichthouder
    De FG is een vooruitgeschoven post van de AP. Conform de wet ziet de FG toe op naleving van de AVG. Indien de FG ziet dat bevindingen hierover zijn te melden, dienen deze gerapporteerd te worden aan de leiding. Verder kan de FG niet gaan. Als gevolg van de implementatie van de IORP II is artikel 143a van de Pensioenwet opgesteld en hierin is opgenomen dat indien geen tijdig passende corrigerende maatregelen worden getroffen, de sleutelfunctiehouder een substantieel risico of inbreuk aan de toezichthouder (DNB) moet melden. De FG zou ook ten zeerste gebaat zijn indien deze functionaris ook deze wettelijke verplichting had. Dat zou de FG een enorme interne kracht geven. En de AP zou beter en sneller geïnformeerd zijn over niet-naleving door organisaties waardoor preventief ingrijpen mogelijk is.

Slotwoord

De financiële sector bestaat al lang en de toezichthouder heeft voldoende leergeld betaald om te weten hoe en waar het bit van het hoofdstel moet zitten om aan de teugels te kunnen trekken. De privacywetgeving is jonger maar de wetgevers en toezichthouders kunnen leren van de financiële sector. Het zou ook logisch zijn om het toezicht te stroomlijnen vanuit toezichthouders zoveel mogelijk op eenzelfde manier in te richten.

Wij hopen dat er niet eerst ongelukken met FG’s moeten gebeuren alvorens men gaat inzien dat kwaliteitseisen helder moeten zijn en getoetst moeten worden alvorens een FG aan het werk kan. Een FG word je niet zomaar. Daar is een jarenlange opleiding voor nodig om kennis op te doen en vaardigheden te ontwikkelen. Ik hoop dat de AP gaat inzien dat er een kwaliteitscontrole aan de poort nodig is. De FG is de hoeksteen van de AVG. Zonder goede FG’s stort de AP in.

Meer weten? Neem dan contact met ons op.


[1]https://www.dnb.nl/nieuws/dnb-nieuwsbrieven/nieuwsbrief-pensioenen/NieuwsbriefPensioenendecember2018/index.jsp

[2]Website Pensioenfederatie: De IORP-richtlijn (Institutions for Occupational Retirement Provision Directive) is de Europese richtlijn voor pensioenen. Het doel van de IORP II-richtlijn is het bevorderen van de verdere ontwikkeling van tweede pijler pensioenen in de Europese Unie.

[3]In het Servicedocument IORP II-richtlijn van de Pensioenfederatie wordt de volgende definitie gegeven voor sleutelfunctie: een bekwaamheid om bepaalde governancetaken uit te voeren, verricht door een persoon (specialist) of organisatorische eenheid (team/ afdeling). Laatste zal vaak het geval zijn bij (zeer) grote en/of complexe pensioenfondsen. Het betreft de functies risicobeheer, actuarieel en interne audit.

[4]IORP II leidt tot aanpassingen in diverse nationale wetgeving zoals de Pensioenwet, de Wet verplichte beroepspensioenregeling en de Wet op het financieel toezicht. 

[5]Overweging 55

[6]16/NL WP 243 rev.01