Aanleiding
Wij nemen u mee naar hetgeen van u, als bestuurder van een pensioenfonds, wordt verwacht op het gebied van privacy en informatieveiligheid.
Nederland telt eind 2017 268 pensioenfondsen[1]. Een pensioenfonds[2] is ervoor verantwoordelijk dat de plichten naar de (gewezen) deelnemers en de uitkeringsgerechtigden (tezamen de deelnemers genoemd) worden uitgevoerd. De Pensioenwet (PW) schrijft voor dat een pensioenfonds zijn organisatie zodanig inricht dat deze een beheerste en integere bedrijfsvoering waarborgt[3].
Met de invoering van de Europese Algemene verordening gegevensbescherming (AVG) sinds mei 2018 heeft het pensioenfonds nog een verplichting naar de deelnemer erbij gekregen, namelijk het aantoonbaar zorgdragen voor de bescherming van de persoonsgegevens van de deelnemers. We beginnen met een algemene introductie met uitleg over pensioenen.
Introductie en uitleg over pensioenen
Het uitgangspunt van de Pensioenwet is de driehoeksverhouding[4] tussen werkgever, werknemer en pensioenuitvoerder. De wet regelt wie binnen deze driehoeksrelatie welke verantwoordelijkheid heeft. Het is belangrijk hierover duidelijkheid te hebben, zodat degene die verantwoordelijk is ook aangesproken kan worden op het naleven van die verantwoordelijkheid.
Er zijn 3 juridische documenten binnen de pensioendriehoek:
- Uitvoeringsovereenkomst: In een uitvoeringsovereenkomst staan de afspraken die de werkgever en de pensioenuitvoerder hebben gemaakt over de uitvoering van de pensioenregeling (basis art. 25 PW).
- Pensioenovereenkomst: De Pensioenwet definieert in artikel 1 van hoofdstuk 1 de pensioenovereenkomst als volgt: ‘hetgeen tussen een werkgever en een werknemer is overeengekomen betreffende pensioen’. De Pensioenwet geeft daarmee duidelijk aan dat het een arbeidsvoorwaarde is die werkgever en werknemer in een pensioenovereenkomst samen afspreken. Veelal is de pensioenovereenkomst een onderdeel van de (collectieve) arbeidsovereenkomst. In de arbeidsovereenkomst wordt doorgaans voor de inhoud van de regeling verwezen naar het pensioenreglement. De pensioenovereenkomst bepaalt de inhoud van de regeling.
- Pensioenreglement: Het pensioenreglement vertaalt de pensioenovereenkomst naar rechten en verplichtingen voor de deelnemers en de pensioenuitvoerder.
Daarna worden in de pensioendriehoek drie partijen benoemd:
- De werkgever is verplicht een tussen werkgever en werknemer gesloten pensioenovereenkomst onder te brengen bij een pensioenuitvoerder door middel van een uitvoeringsovereenkomst. De pensioengelden worden dus buiten het risicodragend vermogen van de onderneming gebracht. Zo wordt voorkomen dat bij een faillissement de deelnemers en gepensioneerden hun pensioen kwijtraken. Door deze onderbrengingsplicht ontstaat een driehoeksrelatie tussen werkgever, werknemer en pensioenuitvoerder.
- De werknemer krijgt daardoor (op basis van de door de pensioenuitvoerder opgestelde pensioenovereenkomst) een zelfstandige relatie met de pensioenuitvoerder. Daardoor kan hij, ook als de werkgever niet meer bestaat, rechtstreeks bij de pensioenuitvoerder aankloppen voor de uitkering. Naast deelnemers hebben ook gewezen deelnemers, pensioengerechtigden en gewezen partners met een bijzonder partnerpensioen een zelfstandige relatie met de pensioenuitvoerder.
- De Pensioenwet regelt de verplichtingen van de pensioenuitvoerder, zoals bijvoorbeeld het beleggen van de premies, het zorgen voor een gezonde financiële basis en het verstrekken van informatie aan de deelnemer.
De belangrijkste documenten die hij daarvoor verstrekt zijn:
- De startbrief;
- Het Uniform Pensioenoverzicht;
- De polis / de kennisgeving / het pensioenoverzicht.
Ketenverantwoordelijkheid en de effectieve werking van pensioenfondsen
De AVG benoemt het pensioenfonds als een verwerkingsverantwoordelijke[5] en deze verantwoordelijkheid geldt voor de hele keten. Ook als het pensioenfonds derde partijen inschakelt, zoals een pensioenuitvoeringsorganisatie. De wetgever verwacht dat de leiding van het pensioenfonds zich aan het maatschappelijk verkeer, en in het bijzonder aan de deelnemer, verantwoordt over de effectieve werking van de getroffen beheers- en beveiligingsmaatregelen bij de verwerking van persoonsgegevens in de gehele keten.
De deelnemers zijn in dienst van een werkgever[6]. Deze werkgever kan verplicht zijn, bij wet voor de bedrijfstak of bij CAO, om de werknemer een pensioenregeling aan te bieden. Daarnaast kan de werkgever onverplicht een pensioenregeling aanbieden. De regeling wordt dan vaak vastgelegd in de arbeidsvoorwaarden. Nadat het dienstverband is geëindigd, blijven de opgebouwde rechten van de deelnemer van kracht of worden middels een waardeoverdracht overgebracht naar het pensioenfonds van de nieuwe werkgever of een verzekeraar.
Volgens de AVG is de werkgever naar de deelnemers een verwerkingsverantwoordelijke. De werkgever verwerkt de persoonsgegevens uit hoofde van de arbeidsovereenkomst. Ook het pensioenfonds is een verwerkingsverantwoordelijke: de grondslag[7] voor de verwerking van persoonsgegevens in de pensioenadministratie is het voldoen aan een wettelijke verplichting of het uitvoeren van een overeenkomst. Afspraken tussen het pensioenfonds en de werkgevers worden vastgelegd in een uitvoeringsovereenkomst of een uitvoeringsreglement. Hiermee wordt de verplichting van de werkgever vormgegeven om de pensioenovereenkomst(en) extern onder te brengen.
Omdat dus zowel de werkgever als het pensioenfonds volgens de AVG aangemerkt worden als verwerkingsverantwoordelijke, is formeel geen verwerkersovereenkomst nodig. Toch is het verstandig dat er afspraken worden vastgelegd in een overeenkomst zodat helder is welke partij waarvoor verantwoordelijkheid draagt. Een dergelijke overeenkomst wordt een gegevensuitwisselingsovereenkomst genoemd. Een voorbeeld waarover afspraken gemaakt moeten worden is de actieve informatieplicht naar de deelnemers die door de AVG wordt opgelegd. Het moet helder zijn of de werkgever deze plicht uitvoert of het pensioenfonds. Een ander voorbeeld is de wijze van het (veilig!) doorgeven van persoonsgegevens door de werkgever aan het pensioenfonds.
Welke verplichtingen hebben pensioenfondsen?
De AVG kent aan het pensioenfonds, als verwerkingsverantwoordelijke, verplichtingen toe. Voorbeelden hiervan zijn:
- Het bijhouden van het verwerkingsregister (totaaloverzicht van alle verwerkingen) in het kader van de documentatieplicht;
- Het vaststellen van grondslag, het voldoen aan de AVG beginselen[8] en het vaststellen van de rechtmatigheid van de verwerkingen;
- Het afsluiten van verwerkersovereenkomsten is in sommige gevallen verplicht;
- Het gevolg geven aan passieve rechten van de deelnemers (bijvoorbeeld het recht van inzage, verwijdering, aanpassing) en het uitvoeren van een Data Protection Impact Assessment (DPIA; in sommige gevallen verplicht);
- Het melden van datalekken aan de toezichthouder, Autoriteit Persoonsgegevens, en de betrokkenen.
Het fonds kan taken om aan deze verplichtingen te voldoen zelf uitvoeren, maar kan die ook uitbesteden aan een pensioenuitvoeringsorganisatie.
De relatie tussen het pensioenfonds en de pensioenuitvoeringsorganisatie is volgens de AVG verwerkingsverantwoordelijke en verwerker. Immers, het pensioenfonds bepaalt doel en middelen waaraan de pensioenuitvoeringsorganisatie zich als verwerker aan dient te houden en verantwoording over moet afleggen. Een verwerkersovereenkomst is in deze situatie verplicht en het is belangrijk om hierin de afspraken vast te leggen zodat de aansprakelijkheid van beide partijen helder is.
Effectieve werking van de beheers- en beveiligingsmaatregelen
De belangrijkste en meest omvattende verplichting uit de AVG voor het pensioenfonds is dat het pensioenfonds als verwerkingsverantwoordelijke zich moet kunnen verantwoorden over de effectieve werking van de beheers- en beveiligingsmaatregelen die gericht zijn op het beschermen van persoonsgegevens en deze werking ook kunnen aantonen. Het gaat daarbij niet alleen om verantwoording door de pensioenuitvoeringsorganisatie maar ook door de leveranciers die de pensioenuitvoeringsorganisatie voor de uitvoering van bepaalde taken in de arm heeft genomen.
Als verwerkingsverantwoordelijke is het onvoldoende te refereren aan een contract waarin de verantwoordelijkheid voor deze verplichtingen (contractueel) neergelegd is bij de pensioenuitvoeringsorganisatie. En blijft het pensioenfonds te allen tijde verantwoordelijk en dus aansprakelijk (ook voor toezichthouders en in een rechtszaak). Die verantwoordelijkheid omhelst dus (ten overvloede) ook de werkzaamheden van andere verwerkers die door de pensioenuitvoeringsorganisatie zijn ingeschakeld.
Het aantonen van de effectieve werking, organiseren van ketenaansprakelijkheid en het in bedwang houden van kostenrisico’s
Om met de vele partners in de keten afspraken te maken is een Trusted Third Party (TTP) beheers- en kostentechnisch de beste optie. De methodiek van een TTP komt overeen met die van een notaris- en makelaarsfunctie. Er wordt overzicht en inzicht gecreëerd in het netwerk van de keten en op die manier hebben de partners onderling een voorspelbaar profiel.
Gezien de ketenverantwoordelijkheid moet er in de hele keten aantoonbaar verantwoording worden afgelegd dat naleving van de AVG wordt gewaarborgd. Dit houdt in dat bewezen kan worden dat de beheers- en beveiligingsmaatregelen gericht op het beschermen van persoonsgegevens, effectief hebben gewerkt.
De sub-verwerkers leggen verantwoording af aan de pensioenuitvoeringsorganisatie, die vervolgens als verwerker verantwoording aflegt over zichzelf inclusief de sub-verwerkers aan het pensioenfonds. De verantwoording hieruit, tezamen met verantwoording van andere verwerkers die het pensioenfonds rechtstreeks heeft ingeschakeld, vormt de input voor de verantwoording door het pensioenfonds, als verwerkingsverantwoordelijke.
Om verantwoording te kunnen afleggen (en dus accountable te zijn) is een sectorspecifieke normenset nodig waaraan getoetst kan worden of aan de vereisten van de AVG wordt voldaan. Vervolgens kan de verantwoording meedraaien in de governance & compliance cyclus en wordt verslaglegging over het privacyrisico geïntegreerd in de reguliere management rapportages. Het management verantwoordt zich jaarlijks in het bestuursverslag over de beheersing van de privacyrisico’s naar de deelnemers en de rest van het maatschappelijk verkeer.
Overigens is het pensioenfonds niet alleen voor de verwerking van pensioenen een verwerkingsverantwoordelijke. Het pensioenfonds is vaak zelf ook werkgever en in die rol ook een verwerkingsverantwoordelijke. Ook hieruit volgt een verantwoordingsplicht. Het pensioenfonds zal daarom een methodiek moeten toepassen om het risico van deze aansprakelijkheid te kunnen dragen. Deze methodiek moet effectief maar ook efficiënt zijn.
Het normenkader voor pensioenfondsen
Behalve aan de AVG heeft het pensioenfonds zich aan nog meer wetten en regels te houden. Samen met professionals uit de financiële dienstverlening heeft Duthler Associates de wetten die gerelateerd zijn aan gegevensbescherming en privacy, waaronder sectorspecifieke wetgeving, opgenomen in een zogenoemd Legal Policy Framework (LPF).
Dit is onderverdeeld in 43 aandachtsgebieden. Hieraan is per aandachtsgebied één of meerdere Baselines (B) toegevoegd waarin de vertaalslag is gemaakt van wet naar praktische uitwerking dat het pensioenfonds minimaal geregeld moet hebben. Tezamen vormt dit het LPFB.
Voor de wet- en regelgeving, betreffende gegevensbescherming en privacy, wordt vervolgens per baseline aangegeven wat ingeregeld moet zijn om te voldoen aan een bepaald volwassenheidsniveau. Heel concreet en herkenbaar voor het pensioenfonds. Op basis hiervan kan het pensioenfonds zelf of door een ingeschakelde professional vaststellen per aandachtsgebied wat het volwassenheidsniveau is.
Er bestaan vijf volwassenheidsniveaus, waarbij het eerste niveau aangeeft dat er weinig is ingeregeld tot aan het vijfde niveau dat een geoptimaliseerd niveau aangeeft. Het niveau heeft niet alleen betekenis voor het pensioenfonds zelf maar geeft ook duidelijkheid naar derde partijen en naar deelnemers in hoeverre het fonds in staat is om persoonsgegevens te beschermen.
Er kan gedacht worden dat deze transparantie wat té ver gaat en het pensioenfonds kwetsbaar wordt voor aansprakelijkheid. Het tegendeel is echter waar. Door openheid te geven over het eigen niveau weet een derde partij welk niveau van bescherming verwacht kan worden en zich daardoor er niet op beroepen dat hij dat niet heeft geweten. Andersom, kan het pensioenfonds besluiten om alleen zaken te doen met derde partijen die ook een dergelijke openheid nastreven.
Het is belangrijk om hierbij de informatie van de ketenpartners mee te nemen zodat het niveau een beeld geeft van de hele keten. Op basis van een gewogen gemiddelde kan dan het volwassenheidsniveau van het pensioenfonds worden bepaald. Indien een hoger volwassenheidsniveau wordt geambieerd, dan is aan de hand van de eisen per volwassenheidsniveau snel duidelijk wat nog gerealiseerd moet worden. Dit kan worden omgezet naar een stappenplan en heeft dan alleen nog een planning nodig.
Verantwoordingsverslag en de vaststelling van verantwoording
Het pensioenfonds zal zich moeten (en willen) verantwoorden over de naleving van de AVG[9] in het bestuursverslag. Om deze verantwoording te kunnen afleggen kan het fonds gebruik maken van de uitkomsten van de bepaling van het volwassenheidsniveau.
Het verslag hiervan met de eindconclusie, samengevoegd met de mededeling van het bestuur en de FG, wordt ook wel een ‘Declaration of Accountability’ (DoA) of de vaststelling van verantwoording, genoemd. De DoA kan object van onderzoek zijn van de interne of externe accountant. Een samenvatting hieruit is zeer geschikt om op te nemen in het bestuursverslag waarin immers ook verantwoording moet worden afgelegd over de naleving van deze wetgeving.
Volwassenheidsniveau publiceren door middel van een Accountability Seal
De manier om het volwassenheidsniveau van het pensioenfonds zoals vastgelegd in de DoA te tonen aan de belanghebbenden is om dit niveau vast te leggen in het Register Accountability Seal. Dit register wordt beheerd door MYOBI en gepubliceerd op de website van MYOBI. Indien Duthler Associates niet betrokken is bij de DoA, dan vindt een bestuurlijk gesprek plaats en stelt een vertegenwoordiger van MYOBI vast of het door u aangegeven volwassenheidsniveau een juist beeld geeft van de werkelijkheid.
Externe Functionaris voor Gegevensbescherming, is het noodzakelijk?
Een pensioenfonds is niet verplicht om een Functionaris voor Gegevensbescherming (FG) aan te stellen. Echter, gezien de hoeveelheid persoonsgegevens (waaronder bijzondere persoonsgegevens) waarvoor het pensioenfonds verantwoordelijk is voor de bescherming, is dit wel aan te raden. Ook als het pensioenfonds gebruik maakt van een pensioenuitvoeringsorganisatie. Juist dan, om countervailing power te bieden naar deze organisatie en diens FG.
Het is niet efficiënt voor een pensioenfonds om een eigen FG aan te stellen. Er moet geïnvesteerd worden in het bijhouden van kennis en het is geen volledige dagtaak bij een pensioenfonds. Het samenvoegen van de rol van FG aan een medewerker met andere taken, leidt meestal tot belangenverstrengeling in de functie van die medewerker.
Verstandig is het om dan een externe FG aan te stellen die er voor het pensioenfonds is op de momenten dat de kennis echt nodig is (bijvoorbeeld bij datalekken). Het is belangrijk om te weten dat als een FG wordt aangesteld, ook al is de aanstelling niet wettelijk verplicht, de AVG zowel aan het pensioenfonds als aan de FG verplichtingen oplegt.
Meer informatie
Heeft u vragen of heeft u behoefte aan een afspraak? Neem gerust contact met ons op via +31 0 (70) 392 22 09 of info@duthler.nl.
[1] Bron DNB https://www.dnb.nl/nieuws/nieuwsoverzicht-en-archief/dnbulletin-2017/dnb362426.jsp. In 1997 waren er nog 1.060 pensioenfondsen.
[2] Artikel 1 Pensioenwet: een pensioenfonds is een stichting die niet een premiepensioeninstelling is, waarin ten behoeve van ten minste twee deelnemers, gewezen deelnemers of hun nabestaanden gelden worden of werden bijeengebracht en worden beheerd ter uitvoering van ten minste een basispensioenregeling.
[3] Artikel 143 Pensioenwet.
[4] Zie figuur 1.
[5] Artikel 4 Avg.
[6] Sommige pensioenfondsen kennen ook een verplichte aansluiting van ZZP’ers.
[7] Artikel 6 Avg.
[8] Art. 5 Avg.
[9] Direct blijkt dat uit artikel 5 lid 2 AVG dat verder is uitgewerkt in artikel 24 lid 1 AVG. Butarelli, voorzitter van EDPS, heeft artikel 24 benoemd als ‘Notion of Accountability’: het afleggen van verantwoording. Ook uit de Code Frijns (wettelijke status vastgelegd in artikel 391 lid 5 en 6 BW2) is deze verplichting op te maken.