Aanleiding
Een bericht van De Nederlandsche Bank (DNB) op 19 december 2018 zette ons aan het denken. Dit bericht was een update van de richtlijn IORP II[1] over het ter toetsing voorleggen aan DNB van kandidaten voor sleutelfuncties[2]. Deze sleutelfuncties betreffen risicobeheer, actuariële functie en interne audit. De IORP II[3] gaat over de werkzaamheden en toezicht van instellingen voor bedrijfspensioenvoorziening (IBPV’s) en behelst dus meer dan de governance voor sleutelfuncties.
In dit artikel willen wij echter focussen op dit bericht van DNB over de sleutelfuncties.
De richtlijn over een sleutelfunctie
In de richtlijn5 wordt aangegeven dat een persoon die een sleutelfunctie vervult, moet beschikken over de nodige beroepskwalificaties, – kennis en -ervaring. Nieuwe sleutelfunctiehouders moeten gemeld worden bij DNB. DNB is de autoriteit in Nederland die de personen die de sleutelfuncties uitoefenen kan toetsen op geschiktheid en betrouwbaarheid. In het aangehaalde bericht van 19 december geeft DNB aan dat in zes Q&A’s op de website van DNB ingegaan wordt op de eisen aan geschiktheid en betrouwbaarheid van sleutelfunctiehouders.
Per sleutelfunctie somt DNB per taak de vereiste kennis en ervaring op. Hierdoor wordt het duidelijk en toetsbaar waaraan een sleutelfunctiehouder moet voldoen. DNB geeft ook aan dat (en hoe) proportioneel naar de vereisten wordt gekeken. Ook competenties worden benoemd.
Beoordeling
Een kandidaat sleutelfunctie kan diens geschiktheid toelichten in een formulier ‘self assessment’. DNB kan vervolgens de geschiktheid van de sleutelfunctiehouder beoordelen en op basis van de aangeleverde informatie vaststellen of de sleutelfunctiehouder aantoonbaar voldoet aan de voor de functie gestelde eisen. Indien deze informatie toereikend is kan DNB tot een positief besluit komen zonder dat daarover een gesprek plaatsvindt. Zo nodig vindt wel een gesprek plaats.
Richtlijn IORP II en de Europese AVG
Net als IORP II kent de Europese Algemene verordening gegevensbescherming (AVG) ook een sleutelfunctiehouder: de Functionaris voor Gegevensbescherming (FG). Een FG is een functionaris die aangesteld moet worden om als een intern toezichthouder (en hiermee een onderdeel wordt van de governance) te functioneren binnen een organisatie maar dan op het gebied van gegevensbescherming en privacy. De IORP II heeft (via de wetten waarin de IORP II in opgaat) als toezichthouder DNB en de AVG heeft als toezichthouder de Autoriteit Persoonsgegevens (AP).
Op drie punten hebben wij ons verbaast als de verschillen tussen DNB met de sleutelfunctiehouders en de AP met de FG’s worden vergeleken. Hieronder lichten wij dit toe.
Geschiktheidseisen
De AVG heeft drie artikelen gewijd aan de FG: 37, 38 en 39. De FG wordt aangewezen op grond van zijn professionele kwaliteiten, en in het bijzonder, zijn deskundigheid op het gebied van wetgeving en de praktijk inzake gegevensbescherming. Ook zijn vermogen om de in artikel 39 bedoelde taken te vervullen.
In overweging 97 staat dat het vereiste niveau van deskundigheid dient te worden bepaald op grond van de uitgevoerde gegevensverwerkingsactiviteiten en de bescherming die voor de verwerkte persoonsgegevens is vereist.
In de Richtlijn voor FG’s[6] van de WP29 (thans European Data Protection Board) wordt het vereiste niveau van deskundigheid ook niet strikt gedefinieerd, maar wordt toegelicht dat deze in verhouding moet zijn tot de gevoeligheid en de complexiteit van de gegevens, alsook de hoeveelheid gegevens die een organisatie verwerkt. Wij vinden dit heel vaag.
Van de zes Q&A’s zijn er drie algemene Q&A’s en de andere geven per functie per taak een lijst met duidelijke kennis- en ervaringsgebieden. Zoals kennis van risicohouding, risicobeleid en risicobeheer-cyclus, kennis van beheersing datakwaliteit. Met relevante opleiding en werkervaring moet aangetoond kunnen worden dat hieraan voldaan wordt. Ook de benodigde competenties zijn uitgeschreven. Heel concreet.
Waarom kan de AP niet ook komen met scherpe geschiktheidseisen net als DNB?
Toetsing vooraf
De AP houdt het register van FG’s van organisaties bij. De AP toetst nu niet vooraf aan de inschrijving, of de FG bekwaam is. DNB doet dit wel aan de hand van een self assessment waarin aangetoond moet worden dat de sleutelfunctiehouder voldoet aan de gestelde eisen. Dat kan ongelukken voorkomen. De AP zou er m.i. verstandig aan doen om ook een assessment voor FG’s in te voeren (en te toetsen!) die meegeleverd moet worden bij het verzoek tot inschrijving in haar register.
Melding aan toezichthouder
De FG is een vooruitgeschoven post van de AP. Conform de wet ziet de FG toe op naleving van de AVG. Indien de FG ziet dat bevindingen hierover zijn te melden, dienen deze gerapporteerd te worden aan de leiding.
Als gevolg van de implementatie van de IORP II is artikel 143a van de Pensioenwet opgesteld en hierin is opgenomen dat indien geen tijdig passende corrigerende maatregelen worden getroffen, de sleutelfunctiehouder een substantieel risico of inbreuk aan de toezichthouder (DNB) moet melden. De FG zou ook ten zeerste gebaat zijn indien deze functionaris ook deze wettelijke verplichting had. Dat zou de FG een enorme interne kracht geven. En de AP zou beter en sneller geïnformeerd zijn over niet-naleving door organisaties waardoor preventief ingrijpen mogelijk is.
Slotwoord
De financiële sector bestaat al lang en de toezichthouder heeft voldoende leergeld betaald om te weten hoe en waar het bit van het hoofdstel moet zitten om aan de teugels te kunnen trekken. De privacywetgeving is jonger maar de wetgevers en toezichthouders kunnen leren van de financiële sector. Het zou ook logisch zijn om het toezicht te stroomlijnen vanuit toezichthouders zoveel mogelijk op een zelfde manier in te richten.
Wij hopen dat er niet eerst ongelukken met FG’s moeten gebeuren alvorens men gaat inzien dat kwaliteitseisen helder moeten zijn en getoetst moeten worden alvorens een FG aan het werk kan. Een FG word je niet zomaar. Daar is een jarenlange opleiding voor nodig om kennis op te doen en vaardigheden te ontwikkelen. Wij hopen dat de AP gaat inzien dat er een kwaliteitscontrole aan de poort nodig is. De FG is de hoeksteen van de AVG. Zonder goede FG’s stort de AP in.
Opleiding FG
Interesse in een solide Opleiding voor de Functionaris voor Gegevensbescherming? Bekijk hier de Opleiding FG van de Duthler Academy.
Meer informatie
Heeft u vragen of heeft u behoefte aan een afspraak? Neem gerust contact met ons op via +31 0 (70) 392 22 09 of info@duthler.nl.
[1] Website Pensioenfederatie: De IORP-richtlijn (Institutions for Occupational Retirement Provision Directive) is de Europese richtlijn voor pensioenen. Het doel van de IORP II-richtlijn is het bevorderen van de verdere ontwikkeling van tweede pijler pensioenen in de Europese Unie.
[2] In het Servicedocument IORP II-richtlijn van de Pensioenfederatie wordt de volgende definitie gegeven voor sleutelfunctie: een bekwaamheid om bepaalde governancetaken uit te voeren, verricht door een persoon (specialist) of organisatorische eenheid (team/ afdeling). Laatste zal vaak het geval zijn bij (zeer) grote en/of complexe pensioenfondsen. Het betreft de functies risicobeheer, actuarieel en interne audit.
[3] IORP II leidt tot aanpassingen in diverse nationale wetgeving zoals de Pensioenwet, de Wet verplichte beroepspensioenregeling en de Wet op het financieel toezicht.
[4] Overweging 55
[5] 16/NL WP 243 rev.01