Waarom wij?

Arrangement voor de Pensioenfondsen

Nederland telt eind 2017 268 pensioenfondsen. Een pensioenfonds is ervoor verantwoordelijk dat de plichten naar de (gewezen) deelnemers en de uitkeringsgerechtigden (tezamen de deelnemers genoemd) worden uitgevoerd. De Pensioenwet schrijft voor dat een pensioenfonds zijn organisatie zodanig inricht dat deze een beheerste en integere bedrijfsvoering waarborg.

Met de invoering van de Europese Algemene verordening gegevensbescherming heeft het pensioenfonds nog een verplichting naar de deelnemer erbij gekregen, namelijk het aantoonbaar en zorgdragen voor de bescherming van de persoonsgegevens van de deelnemers.

Arrangement Pensioenfondsen

Welke verplichting hebben pensioenfondsen?

 Een aantal belangrijke zijn:

  • Het bijhouden van het verwerkingsregister (totaaloverzicht van alle verwerkingen) in het kader van de documentatieplicht;
  • Het vaststellen van grondslag, het voldoen aan de Avg beginselen en het vaststellen van de rechtmatigheid van de verwerkingen;
  • Het afsluiten van verwerkersovereenkomst is in sommige gevallen verplicht;
  • Het gevolg geven aan passieve rechten van de deelnemers (bijvoorbeeld het recht van inzage, verwijdering, aanpassing) en het uitvoeren van een Data Protection Impact Assessment (DPIA; in sommige gevallen verplicht);
  • Het melden van datalekken aan de toezichthouder, Autoriteit Persoonsgegevens (AP), en de betrokkenen.

De relatie tussen het pensioenfonds en de pensioenuitvoeringsorganisatie is volgens de Avg verwerkingsverantwoordelijke en verwerker. Immers, het pensioenfonds bepaalt doel en middelen waaraan de pensioenuitvoeringsorganisatie zich als verwerker aan dient te houden en verantwoording over moet afleggen.

Arrangement Pensioenfondsen

Alle services op één plek

Normenkader voor pensioenfondsen

Samen met professionals uit de financiële dienstverlening zijn de wetten die gerelateerd zijn aan gegevensbescherming en privacy, waaronder sectorspecifieke wetgeving, opgenomen in een 'legal policy framework' (LPF). Hieraan is per aandachtsgebied één of meerdere 'baselines' toegevoegd waarin de vertaalslag is gemaakt van wet naar praktische uitwerking dat het pensioenfonds minimaal geregeld moet hebben.

Ketenverantwoordelijkheid van verantwoording

Gezien de ketenverantwoordelijkheid moet er in de hele keten aantoonbaar verantwoording worden afgelegd dat naleving van de Avg wordt gewaarborgd. Dit houdt in dat bewezen kan worden dat de beheers- en beveiligingsmaatregelen gericht op het beschermen van persoonsgegevens, effectief hebben gewerkt.

Vaststelling van verantwoording

Het verslag hiervan met de eindconclusie, samengevoegd met de mededeling van het bestuur en de FG, wordt ook wel een ‘Declaration of Accountability’(DoA) of de vaststelling van verantwoording, genoemd.

Functionaris voor Gegevensbescherming

Een pensioenfonds is niet verplicht om een Functionaris voor Gegevensbescherming (FG) aan te stellen. Echter, gezien de hoeveelheid persoonsgegevens (waaronder bijzondere persoonsgegevens) waarvoor het pensioenfonds verantwoordelijk is voor de bescherming, is dit wel aan te raden.

Mijn naam is Caroline Willemse en ik help u graag.

Operations financiële sector

Kom vrijblijvend in contact voor een afspraak, vrijblijvende offerte of factsheet.