De nieuwe privacy gedragslijn voor pensioenfondsen verplicht een jaarlijkse privacy assessment  | Deloitte Nederland

Article

De nieuwe privacy gedragslijn voor pensioenfondsen verplicht een jaarlijkse privacy assessment

En nog twee redenen waarom 2020 een goed jaar is om te controleren of je als pensioenfonds goed op weg bent

Ook in de pensioenmarkt is er veel te doen geweest over de AVG de afgelopen tijd. Nu de eerste fase van compliance is afgerond, wordt het dit jaar tijd voor het privacy re-assessment!

Sleutelfuncties pensioenfondsen

Per 13 januari 2019 hebben pensioenfondsen sleutelfuncties moeten inrichten naar aanleiding van de pensioenfondsenrichtlijn (‘IORP II’). De introductie van de sleutelfuncties stuurt hiermee aan op een vergelijkbare versie van het bekende three lines of defense model, ter ondersteuning van het bestuur, en om te zorgen voor een gezonde en prudente bedrijfsvoering. De sleutelfunctie “risicomanagement” omvat mede het beheer van operationele, niet-financiële risico’s. Hoewel daarbij wellicht niet altijd direct wordt gedacht aan persoonsgegevens, is dit wel van essentieel belang. In het bijzonder geldt dit in de situatie dat een pensioenfonds heeft besloten geen (vrijwillige) functionaris voor gegevensbescherming aan te stellen in het licht van de AVG (zie hieronder).

Persoonsgegevens en pensioenfondsen

Bescherming van persoonsgegevens is een belangrijk onderwerp voor pensioenfondsen. Een pensioenfonds is immers verantwoordelijk voor een grote hoeveelheid (gevoelige) persoonsgegevens, die bovendien voor aanzienlijk lange periodes worden bewaard. Daarnaast zien we dat pensioenfondsen voor de uitvoering van deze bedrijfsprocessen in steeds grotere mate voorzieningen van externe IT leveranciers gebruiken. Vaak besteden zij ook de pensioenadministratie uit aan pensioenuitvoerders. Deze uitbesteding brengt aanvullende beveiligings- en privacy risico’s met zich mee.

Veel pensioenfondsen zijn gestart met het voldoen aan de AVG

Vanaf 25 mei 2018 moeten pensioenfondsen voldoen aan de Algemene Verordening Gegevensbescherming (‘AVG’). Veel pensioenfondsen zijn rond deze periode gestart met de eerste fase van de gegevensbescherming-compliance. Vaak is dit gestart met een assessment en zijn er naar aanleiding van de resultaten verschillende acties opgepakt. Bijvoorbeeld een vernieuwde privacy verklaring, een nieuw gevuld register van verwerkingsactiviteiten en aangepaste verwerkersovereenkomsten.

Maar is dit eenmalige proces genoeg om aantoonbaar compliant te zijn? Nee! Drie redenen waarom een privacy re-assessment in 2020 een goed idee is:

Reden #1: Voldoen aan de AVG is een doorlopend proces. Eenmaal geïmplementeerd moeten de documenten en procedures periodiek geëvalueerd worden. Denk hierbij aan inhoudelijke vragen zoals “Zijn wij nog steeds aan het verwerken wat wij zeggen dat we aan het verwerken zijn of moeten de privacy verklaring updaten?” of operationeel “Worden de procedures wel gevolgd of is hier een verbeterslag te maken?”.

Reden #2: De toezichthouder heeft aangegeven zich de komende periode meer te richten op handhaving. Organisaties hebben ruim anderhalf jaar de ruimte gekregen zich klaar te maken voor de AVG. Nu gaat de Autoriteit Persoonsgegevens (‘AP’) controleren of hier daadwerkelijk iets mee gedaan is en is de AP van plan actief te handhaven.

Reden #3: De nieuwe Gedragslijn Verwerking Persoonsgegevens Pensioenfondsen (‘Gedragslijn’) verplicht een jaarlijkse controle. De Pensioenfederatie heeft samen met haar leden (vrijwel alle pensioenfondsen in Nederland) de Gedragslijn opgesteld. De Gedragslijn beschrijft hoe de pensioensector persoonsgegevens verwerkt. Per januari 2020 dienen de pensioenfondsen ieder jaar vast te stellen dat de Gedragslijn is nageleefd en de naleving dient getoetst te worden door een onafhankelijke (derde) partij. De Gedragslijn is bindend voor alle leden.

Uitbesteding aan pensioenuitvoerders?

Dat de deelnemersadministratie is uitbesteed aan gespecialiseerde pensioenuitvoerders ontslaat de pensioenuitvoerder niet van haar verantwoordelijkheid om aan de AVG te voldoen. De pensioenfondsen blijven verwerkingsverantwoordelijke en accountable. Dit betekent dat ook de pensioenuitvoerders moeten worden meegenomen in het privacy re-assessment.

Deloitte Legal helpt bij het re-assessment

Een uitgebreide assessment is vaak te grootschalig. Met onze gecombineerde juridische en operationele kennis van privacy en pensioenwetgeving én onze ervaring in de pensioensector hebben wij een op maat gemaakte quick scan methode ontwikkeld. Hiermee helpen wij u op efficiënte en effectieve wijze te achterhalen waar uw organisatie, inclusief uw pensioenuitvoerder, staat ten opzichte van AVG compliance, en wat u hierin kan verbeteren. Het resultaat is inzicht in de opzet, het bestaan en de werking van privacy binnen uw organisatie, afgezet tegen de wet en de praktijk binnen de sector.

Mocht u meer informatie willen over dit onderwerp of een offerte willen ontvangen neem dan contact op Maria van Duijvenbode of Anastasiya Milshina.

Did you find this useful?