KPMG helpt pensioenfondsen AVG-proof te worden - KPMG Nederland
close
Share with your friends

Wat pensioenfondsen kunnen doen

KPMG helpt pensioenfondsen AVG-proof te worden

Als relatief kleine organisaties krijgen pensioenfondsen een grote verantwoordelijkheid met de Algemene Verordening Gegevensbescherming (AVG), de nieuwe Europese Privacywet. Wat moet een pensioenfonds doen als het voor de ingangsdatum lastig wordt om aan alle vereisten te voldoen? Maak een road map, prioriteer en onderneem actie. Met een risicogebaseerde aanpak vind je de balans tussen kosten/inspanning en het risico dat je loopt.

Thomas Otten

Senior consultant Risk & Regulatory | Integrity, Governance & Compliance

KPMG Nederland

Contact

Gerelateerde content

avg-proof

Op 25 mei 2018 treedt de nieuwe Europese Privacywet in werking, officieel de General Data Protection Regulation (GDPR) geheten. Of op zijn Nederlands: de Algemene Verordening Gegevensbescherming (AVG). De AVG is bedoeld om de privacywetten in alle lidstaten van de Europese Unie gelijk te trekken en om deze beter te laten aansluiten op de digitalisering van de samenleving.

De AVG omvat daartoe een reeks maatregelen om persoonsgegevens beter te beschermen, zoals de meldplicht datalekken, een (al dan niet verplichte) Functionaris Gegevensbescherming en verplichte verwerkersovereenkomsten. Daarnaast geeft de AVG alle Europese burgers meer rechten over hun eigen gegevens. Bijvoorbeeld het recht op dataportabiliteit, zodat zij bij organisaties hun eigen persoonsgegevens kunnen opvragen. Een ander voorbeeld is het recht op vergetelheid, zodat organisaties desgevraagd die persoonsgegevens en verwijzingen daarnaar aantoonbaar uit hun systemen moeten verwijderen.

Het recht op vergetelheid vraagt om een grote inspanning van organisaties die met persoonsgegevens werken. Hoewel dit in de praktijk vooral de uitvoeringsorganisaties en hun sub-verwerkers zijn, is het pensioenfonds eigenaar van de data en daarmee juridisch verantwoordelijk voor de naleving van de AVG. Nu de ingangsdatum nadert, is de vraag: hoe maak je de risico’s op mogelijke overtredingen zo klein mogelijk? Hoewel aan alle vereisten voldaan moet worden, is dit voor een relatief kleine (en overladen) organisatie als een pensioenfonds lastig. Daarom denken wij dat een pensioenfonds gebaat is bij een risicogebaseerde aanpak, waarbij je een balans zoekt tussen kosten/inspanning en het risico dat je loopt.

Wat verwacht de toezichthouder op 25 mei?

De nieuwe privacywet wordt van kracht op 25 mei 2018, maar er zijn nog een aantal open normen die nader uitgewerkt moeten worden. Het adviesorgaan van Europese privacytoezichthouders, de Artikel 29-werkgroep, werkt momenteel aan de interpretatie van deze normen. Daarnaast biedt de AVG op een aantal punten ruimte voor landen zelf om de regels nader in te vullen. Nederland legt die punten grotendeels vast in de zogeheten Uitvoeringswet AVG, die nog door het parlement behandeld en goedgekeurd moet worden.

Het is afwachten In hoeverre de Autoriteit Persoonsgegevens, de Nederlandse toezichthouder, verwacht dat iedereen op 25 mei al helemaal klaar is voor de wet. Een nieuwe wet op papier kan evenwel nooit direct alles regelen. Er zijn altijd twijfelgevallen en in praktijk zal moeten blijken hoe rechters in de EU over afzonderlijke privacykwesties oordelen. Voor pensioenfondsen is het daarom van belang dat zij in elk geval kunnen aantonen dat zij en hun uitvoeringsorganisaties serieus met de AVG bezig zijn.

Hoe kom je tegemoet aan die verwachting?

Aantonen betekent in dit verband iets anders dan vertellen: een pensioenfonds moet echt kunnen laten zien dat het inzicht heeft in de privacyproblematiek en dat het begrijpt wat de AVG betekent voor de omgang met persoonsgegevens.

Het pensioenfonds moet kunnen laten zien dat het erover heeft nagedacht, keuzes heeft gemaakt en heeft vastgelegd, en dat het serieus vorderingen maakt met de implementatie. Inzicht begint hier met overzicht.

  • Verricht een nulmeting: waar sta je nu ten opzichte van de gewenste situatie?
  • Maak vervolgens een road map of implementatieplan: welke stappen moet je zetten om dit gat te dichten?
  • Stel vervolgens prioriteiten: welke acties onderneem je voor 25 mei en welke onderneem je in een later stadium?

Is een functionaris Gegevensbescherming nu verplicht of niet?

Een functionaris Gegevensbescherming is verplicht voor overheidsinstanties en publieke organisaties zoals zorg- en onderwijsinstellingen. Daarnaast is zo’n functionaris verplicht voor organisaties die op grote schaal individuen volgen met een observatiedoel, waarbij relevant is hoeveel mensen worden gevolgd, voor hoe lang en hoe de gegevens verwerkt worden. Tenslotte geldt de verplichting voor organisaties die op grote schaal bijzondere persoonsgegevens verwerken, bijvoorbeeld over iemands gezondheid, politieke opvatting of geloofsovertuiging.

In andere gevallen laat de wet ruimte voor interpretatie. Als we de letter van de Wet volgen, lijken pensioenfondsen vooralsnog niet verplicht om een functionaris Gegevensbescherming aan te stellen. Een pensioenfonds kan er bewust voor kiezen om dit toch te doen. Ook als het ervoor kiest dit niet te doen, is het verstandig om die keuze goed te kunnen beargumenteren. Een alternatief kan zijn om binnen het pensioenfonds een riskmanager of compliance officer aan te wijzen, die toeziet op de naleving van de AVG.

Hoe regel je de AVG met de uitvoeringsorganisaties?

De AVG stelt een zogeheten verwerkersovereenkomst verplicht. In zo’n overeenkomst legt het pensioenfonds afspraken vast met de uitvoeringsorganisatie en haar subverwerkers, zodat zij conform instructies van het pensioenfonds met de persoonsgegevens omgaan. Denk hierbij aan afspraken over duur en doel van de verwerking, beveiliging en vertrouwelijkheid en de uitoefening van privacyrechten door de deelnemers, zoals het opvragen van gegevens. Ook andere verplichtingen worden hierin vastgelegd, zoals het uitvoeren van de Data Protection Impact Assessment (DPIA) en de te volgen procedure bij datalekken.

Hoe minimaliseer je risico’s na een datalek?

NAW-gegevens, BSN, financiële gegevens… Als dit soort gegevens in verkeerde handen valt, kan dit ingrijpende gevolgen hebben. Denk aan identiteitsfraude of chantage. Daarnaast kunnen weggelekte gegevens voor doeleinden gebruikt worden waarvoor ze niet verstrekt zijn, zoals marketing of reclame. Daarom moet een datalek binnen 72 uur bij de toezichthouder gemeld worden door de eigenaar van de persoonsgegevens. Het pensioenfonds dus. Maak daarom goede afspraken met de uitvoerders in de verwerkersovereenkomst, maar zorg er ook voor dat zij de detectie in de praktijk scherp hebben. De afstand is nu vaak zo groot dat een aparte inspanning hier op zijn plaats is.

Hoe helpt KPMG pensioenfondsen om AVG-proof te worden?

KPMG biedt een raamwerk met 12 invalshoeken om de privacy-problematiek gestructureerd aan te pakken. Een privacyexpert gaat met het pensioenfonds om tafel om te kijken wat al is ingeregeld en wat er nog moet gebeuren om de grootste risico’s het hoofd te bieden. Desgewenst kijken we breder dan de AVG en herschrijven we – op samenhangende wijze – het hele privacybeleid: strategie, governance, risk & control, bedrijfscultuur en awareness.

Contact

Voor meer informatie kunt u contact opnemen met Thomas Otten en Stephan Idema.

Thomas Otten, (020) 656 7955, 06 1299 6795 of per e-mail.

Stephan Idema, (020) 656 7047, 06 5275 5924 of per e-mail.

Meer artikelen en blogs over dit thema lezen?

Wij houden u op de hoogte per e-mail. Geef uw voorkeuren door.

Neem contact met ons op

 

Wilt u een offerte van ons ontvangen?

 

Offerteaanvraag (RFP)