Inleiding

Met de aanstaande overgang naar een nieuw pensioenstelsel, willen we als compliance officers de aandacht vestigen op een belangrijk aspect: de privacyrisico’s die hiermee gepaard gaan. Ondanks dat er geen grote wijzigingen worden voorzien in de verwerkte gegevens van deelnemers, zijn er wel aspecten die nauwkeurige overweging vereisen bij de aanstaande overgang naar een nieuw pensioenstelsel.

Samenwerking uitbestedingspartijen

Bijna alle pensioenfondsen vertrouwen op verschillende dienstverleners voor de uitvoering van hun administratie en beheer. Met de komst van de Wet toekomst pensioenen (Wtp) zal er naar verwachting een nauwere samenwerking ontstaan tussen deze fondsen en hun diverse dienstverleners. Dit betekent dat de diensten van uitbestedingspartijen meer dan ooit op elkaar moeten worden afgestemd. Het heroverwegen van de rollen en verantwoordelijkheden van deze partijen is cruciaal om de opdrachten aan te passen aan het nieuwe pensioenstelsel.

Zowel DNB als praktijkinzichten onderstrepen dat de overgang naar dit nieuwe stelsel operationele gevolgen heeft voor zowel de beleggings- als pensioenadministraties van pensioenfondsen, met directe implicaties voor uitbestede werkzaamheden. Dit vereist een andere invulling van toezicht op een beheerste bedrijfsvoering.

Het wettelijk kader vereist dat een pensioenfonds zijn organisatie zo inricht dat een beheerste en integere bedrijfsvoering wordt gewaarborgd. Dit wordt ingevuld door de specifieke regulering van uitbesteding en het daaropvolgende toezicht. Niet alles kan worden uitbesteed; cruciale beleidsbeslissingen blijven in handen van het fonds. Het is van cruciaal belang dat het fonds de volledige controle behoudt, ook bij uitbestede activiteiten.

De overgang naar dit nieuwe pensioenstelsel zal waarschijnlijk leiden tot herzieningen van de bestaande uitbestedingscontracten, inclusief de verwerkingsovereenkomsten die daarmee samenhangen. Een integrale benadering waarbij pensioenadministrateurs, fiduciair beheerders en fondsen intensiever en meer geïntegreerd samenwerken, zal essentieel zijn. Het is raadzaam om nu alvast contracten te analyseren en leemtes te identificeren die onder de Wtp kunnen ontstaan.

Met deze veranderingen in aantocht is het van groot belang dat pensioenfondsen en hun dienstverleners proactief handelen. Het aanpassen en afstemmen van uitbestedingscontracten vormt een essentieel onderdeel van het voorbereiden op het nieuwe pensioenlandschap.

De Wtp behandelt een breed scala aan aspecten met betrekking tot het pensioenstelsel, zoals nieuwe contractvormen, solidariteit tussen generaties en de manier waarop pensioenen worden berekend en verdeeld. Echter, hoewel de Wtp belangrijke veranderingen aanbrengt, besteedt deze niet specifiek gerichte aandacht aan uitbesteding binnen pensioenfondsen.

Contracten analyseren

Om contracten te analyseren en eventuele hiaten met betrekking tot de Wtp te identificeren, zijn er enkele aanpassingen en aandachtspunten waar een fonds op moet letten:

• Plichten en verantwoordelijkheden: Controleer of de contracten duidelijk vastleggen welke partij verantwoordelijk is voor welke taken met betrekking tot de Wtp. Zorg ervoor dat de verplichtingen van de betrokken partijen worden gespecificeerd, inclusief rapportageverplichtingen.
• Governance-structuren: Zorg ervoor dat de contracten de governance- en besluitvormingsstructuren binnen het fonds en tussen fonds en uitbestede partijen duidelijk definiëren. Het moet helder zijn wie welke beslissingen neemt en wie verantwoordelijk is voor het beheer van veranderingen die door de Wtp worden geïnitieerd.
• Data- en rapportagevereisten: Controleer of de contracten specifieke eisen bevatten met betrekking tot gegevensbeheer, data-rapportage en -uitwisseling in overeenstemming met de Wtp-vereisten. Zorg ervoor dat er heldere afspraken zijn over hoe data worden verzameld, verwerkt, beschermd en gerapporteerd.
• Beëindiging en overdracht: Bekijk de contracten om te waarborgen dat er procedures zijn voor een soepele overdracht of beëindiging van diensten in overeenstemming met de Wtp, inclusief de overdracht van data en verantwoordelijkheden.
• Risicobeheer en naleving: Zorg dat de contracten de vereisten voor risicobeheer, monitoring en naleving van wet- en regelgeving, inclusief de Wtp, bevatten. Garandeer dat er passende maatregelen zijn om risico’s te identificeren, te evalueren en aan te pakken.
• Escalatieprocedures: Controleer of er duidelijke procedures zijn voor het oplossen van geschillen, het melden van problemen en escalatie van zaken die van invloed kunnen zijn op de naleving van de Wtp.

Het is essentieel om deze aspecten te herzien en waar nodig aanpassingen te maken om ervoor te zorgen dat de contracten voldoen aan de eisen van de Wtp en dat het pensioenfonds de nodige controle behoudt om aan deze nieuwe wetgeving te voldoen.

Privacyrisico’s binnen de context van de Wtp

Binnen de context van de Wtp zijn er verschillende privacyrisico’s die de aandacht verdienen. Hieronder worden twee secties gepresenteerd die elk specifieke aspecten van deze risico’s belichten. De eerste sectie benadrukt de specifieke risico’s en uitdagingen, terwijl de tweede sectie zich richt op belangrijke aandachtspunten en aanbevolen acties om deze risico’s te beheren.

Privacyrisico’s: Sectie 1 – Risico-identificatie

Binnen het kader van de  Wtp zijn er diverse privacyrisico’s waar we  alert op moeten zijn:

• Toenemende gegevensdeling: De Wtp kan resulteren in een nauwere samenwerking tussen pensioenfondsen en verschillende dienstverleners. Dit vergroot de hoeveelheid gedeelde gegevens tussen partijen, wat het risico op datalekken verhoogt. De toegenomen uitbesteding brengt extra kwetsbaarheden met zich mee, zelfs als de aard van de verwerkte gegevens niet wezenlijk verandert.
• Veranderingen in gegevensverwerking: Hoewel de aard van de gegevens mogelijk gelijk blijft, kunnen veranderingen in de manier waarop deze gegevens worden verwerkt nieuwe privacyrisico’s met zich meebrengen. Dit kan komen door de introductie van nieuwe systemen, processen of methoden in overeenstemming met de Wtp.
• Gegevenstoegang en beheer: De implementatie van de Wtp kan veranderingen teweegbrengen in wie toegang heeft tot welke gegevens en hoe deze worden beheerd. Dit kan potentiële risico’s met zich meebrengen als het gaat om de juiste toegangscontrole, beveiliging en beheer van gevoelige informatie.
• Compliance met gegevensbeschermingswetten: De Wtp kan veranderingen in operationele structuren en de relaties met uitbestedingspartijen met zich meebrengen, wat een herbeoordeling van de naleving van gegevensbeschermingswetten, zoals de AVG, noodzakelijk maakt.
• Uitbestedingspraktijken: De intensivering van uitbestedingspraktijken onder de Wtp vereist sterke overeenkomsten met derden om te zorgen voor naleving van gegevensbeschermingsnormen. Dit omvat het beheren van risico’s die ontstaan door gedeelde verantwoordelijkheden bij het verwerken van gegevens.

Het identificeren, begrijpen en beheersen van deze privacyrisico’s is van vitaal belang om de privacy van deelnemers te waarborgen en om te voldoen aan de vereisten van gegevensbeschermingswetten binnen de context van de Wtp.

Belangrijke Aandachtspunten: Sectie 2 – Risicobeheer

Uitbesteding brengt groeiende privacyrisico’s met zich mee, zelfs wanneer het type verwerkte gegevens niet verandert. Het feit dat gegevens in handen zijn van meerdere externe partijen vergroot het risico op datalekken aanzienlijk. Daarom is het essentieel om ervoor te zorgen dat alle uitbestedingspartijen voldoen aan strikte gegevensbeschermingsnormen. Het opstellen van solide overeenkomsten en het uitvoeren van regelmatige compliance-beoordelingen zijn hierbij cruciaal om de risico’s die ontstaan door gedeelde verantwoordelijkheden bij het verwerken van gegevens te beheren.

Uitbesteding, bijvoorbeeld, brengt in toenemende mate privacyrisico’s met zich mee doordat gegevens zich verspreiden over meerdere externe partijen, waardoor het risico op datalekken toeneemt. Het uitvoeren van Data Protection Impact Assessments (DPIA’s) is van essentieel belang bij elke substantiële verandering in gegevensverwerking, aangezien dit helpt bij het identificeren en minimaliseren van risico’s.

Zelfs als de aard van de verwerkte gegevens niet verandert, kunnen veranderingen in de manier waarop deze gegevens worden verwerkt nieuwe privacyrisico’s met zich meebrengen. Het periodiek beoordelen van gegevensbeschermingspraktijken is een vereiste voor compliance met de AVG (Algemene Verordening Gegevensbescherming).

Elke wijziging in operationele structuur of relaties met uitbestedingspartijen kan een herbeoordeling van de AVG-compliance noodzakelijk maken.

Daarnaast is het van groot belang dat alle uitbestedingspartijen voldoen aan strikte gegevensbeschermingsnormen. Het opstellen van solide overeenkomsten en het uitvoeren van regelmatige compliance-beoordelingen zijn hierbij cruciaal om de risico’s die ontstaan door gedeelde verantwoordelijkheden bij het verwerken van gegevens te beheren.

Beheersmaatregelen

Om de effectieve bescherming van gegevens en privacy binnen het Fonds te waarborgen, zijn specifieke beheersmaatregelen van groot belang. Enkele van deze maatregelen zijn:

1. Effectbeoordeling Gegevensbescherming (ERB) of DPIA: Identificeer en beoordeel privacyrisico’s. Denk aan datalekken, wet- en regelgeving naleving, gegevensbeveiliging, data-integriteit, enz.
2. Uitvoeren van DPIA: Hierbij de stappen om privacyrisico’s te identificeren en te beperken: vaststellen noodzaak, beschrijven activiteiten, raadplegen betrokkenen, beoordelen proportionaliteit, identificeren risico’s, ontwikkelen van mitigatiemaatregelen, documenteren, integreren in projectplanning, continue evaluatie, consultatie toezichthouder indien nodig.

Het is van groot belang om proactief te zijn in het beoordelen en mitigeren van mogelijke privacyrisico’s, vooral in een veranderende regelgevende omgeving.

Heeft u vragen over de toepassing van de AVG in het kader van de Wtp of wilt u meer inzicht in uw rol als verwerkingsverantwoordelijke? Aarzel dan niet om contact met ons op te nemen. Ons team staat klaar om u te helpen bij het navigeren door dit complexe onderdeel van compliance.