Vanaf 25 mei 2018: betere bescherming persoonsgegevens | Deloitte

Article

Vanaf 25 mei 2018: betere bescherming persoonsgegevens

Pensioen Magazine Q1 2018

De huidige privacyrichtlijn (95/46/EG) en de Wet bescherming persoonsgegevens worden op 25 mei 2018 vervangen door de Algemene Verordening Gegevensbescherming EU 2016/679 (AVG). De AVG moet de privacyrechten van personen beter beschermen. Het recht op privacy is immers een grondrecht, zoals dat is neergelegd in verschillende Europese verdragen. Omdat de AVG een rechtstreeks werkende verordening is, is deze vanaf 25 mei 2018 dwingendrechtelijk van toepassing op organisaties die werken met persoonsgegevens. Daar vallen ook pensioenuitvoerders onder.

Wilt u magazine Pensioen in uw mailbox / brievenbus ontvangen? Laat hier uw gegevens achter.

De Pensioenfederatie heeft een ‘Service document Gegevensbescherming’ uitgebracht ‘om u attent te maken op de cultuuromslag die de nieuwe privacywetgeving in feite inhoudt ten opzichte van de oude’. Op niet-naleving staat een boete van maximaal € 20 miljoen of 4% van de jaaromzet.

De Pensioenfederatie roept pensioenuitvoerders daarom op zeven stappen te zetten:

Pensioen maart 2018

1. Volledige inventarisatie gegevensverwerkingen

In de eerste plaats moet er een volledige inventarisatie gegevensverwerkingen plaatsvinden, de zogenoemde PIA. Het gaat hier om een inschatting van de privacygevolgen van een bepaalde verwerking van persoonsgegevens, voorafgaand aan deze verwerking van persoonsgegevens. Een PIA is in ieder geval verplicht bij een grootschalige verwerking van persoonsgegevens over de gezondheid van verzekerden of van medische gegevens.

2. Privacy by Design en by Default

In de tweede plaats moet er een proces doorlopen worden van opzet, bestaan en werking van het privacybeleid. Hierbij moeten de beginselen privacy by design en privacy bij default in acht genomen worden.

Privacy by design, gegevensbescherming door ontwerp, houdt in dat al in een vroeg stadium rekening wordt gehouden met een zorgvuldige omgang met persoonsgegevens. Vragen die gesteld kunnen worden, zijn of het voor het product of de dienst écht nodig is om persoonsgegevens te verwerken of dat er ook gewerkt kan worden met volledig geanonimiseerde gegevens. Als er dan toch persoonsgegevens verwerkt gaan worden, is het van belang om na te denken over de beveiliging van deze gegevens.

Privacy by default houdt in dat maatregelen worden genomen om de standaardinstellingen in het proces van gegevensverwerking altijd zo privacyvriendelijk mogelijk te houden. Zo moet ervoor gezorgd worden dat persoonsgegevens nooit standaard openbaar zichtbaar zijn.

3. Passende beveiligingsmaatregelen

Er moeten passende beveiligingsmaatregelen worden genomen. Het doel is om te waarborgen dat de beveiligingsrisico’s van de verwerking van persoonsgegevens tot een acceptabel niveau worden teruggebracht. Naast meer algemene beveiligingsmaatregelen zijn er ook privacyspecifieke maatregelen te noemen, zoals:

  • anonimiseren van persoonsgegevens – het onomkeerbaar vernietigen van gegevens die identificatie van een natuurlijk persoon mogelijk maken;
  • pseudonimiseren – het vervangen van persoonsgegevens met andere data;
  • encryptie – het voorkomen van ongeautoriseerde inzage gedurende opslag en transport;
  • ‘tokenisation’ – het vervangen van persoonsgegevens door willekeurige data, en waarbij alleen geautoriseerde personen door middel van een token toegang kunnen krijgen tot de volledige informatie.

4. Schriftelijk register van alle gegevensverwerkingen

Een andere stap is het opstellen en bijhouden van een schriftelijk register van alle gegevensverwerkingen. De pensioenuitvoerder is verplicht een schriftelijk of elektronisch register van gegevensverwerkingen bij te houden en desgevraagd aan de Autoriteit Persoonsgegevens te overhandigen. Dit betekent bijvoorbeeld dat een pensioenuitvoerder bij iedere mutatie moet vastleggen wat de verwerking is, wat de doeleinden zijn, enzovoort.

5. Verantwoordingsplicht

Aangetoond zal moeten worden dat is voldaan aan alle beginselen die gelden voor de verwerking van persoonsgegevens, onder andere via een op schrift gesteld privacybeleid, een intern register van verwerkingen en een overzicht van getroffen maatregelen.

6. Aanstellen deskundige Functionaris Gegevensbescherming

De voorlaatste stap is het aanstellen van een deskundige Functionaris Gegevensbescherming (FG). De AVG stelt een aantal eisen aan de positie van de FG en aan de waarborgen die een organisatie moet bieden om de FG zijn taken goed te kunnen laten uitvoeren. De FG moet (actief) worden betrokken bij alle aangelegenheden die verband houden met de bescherming van persoonsgegevens. De FG geniet ontslagbescherming en moet onafhankelijk van andere actoren binnen het bedrijf kunnen opereren en mag geen andere functie hebben waarin hij besluiten neemt ten aanzien van de verwerking van persoonsgegevens.

7. De verwerkingsovereenkomst

De zevende en laatste stap is de verwerkingsovereenkomst. De AVG schrijft voor dat bij de uitvoering van een pensioenregeling sprake moete zijn van een sluitend systeem van verwerkersovereenkomsten tussen een ‘verwerkingsverantwoordelijke’ en een ‘verwerker’. Hierbij valt te denken aan de werkgever die de pensioentoezegging doet en aan de pensioenuitvoerder. De verwerkingsverantwoordelijke dient er zeker van te zijn dat de verwerker afdoende garanties biedt, zodat de bescherming van de rechten van de betrokkene, hier de werknemer aan wie de pensioentoezegging is gedaan, wordt gewaarborgd. Binnen de AVG wordt aan de verwerker een grote verantwoordelijkheid toegekend. Wanneer de verwerker een andere verwerker in dienst neemt en deze tekortschiet in de nakoming, dan blijft de verwerker ten aanzien van de verwerkingsverantwoordelijke volledig aansprakelijk.

Samenvatting

De AVG legt meer verantwoordelijkheid bij de pensioenuitvoerder om aan te tonen dat aan de privacyregels wordt voldaan. De nieuwe regels dwingen om goed na te denken over hoe persoonsgegevens verwerkt en beschermd worden. De verantwoordingsplicht houdt in dat de pensioenuitvoerder moet kunnen aantonen dat de verwerkingen aan de regels van de AVG voldoen. Om het met de voorzitter van de Autoriteit Persoonsgegevens te zeggen: ‘Het mooiste zou zijn dat we de AVG niet naleven omdat het moet of omdat je een boete kunt krijgen, maar omdat je het van wezenlijk belang vindt zorgvuldig om te gaan met persoonsgegevens.’

Pensioen Magazine

Dit artikel is geplaatst in het Pensioen magazine, het kwartaalmagazine van Deloitte over actuariële, financiële, juridische, fiscale en verzekeringsaspecten van pensioen.

Vond u dit nuttig?