Compliance & Data Privacy bij pensioenfondsen

Als pensioenfonds komt er veel wet- en regelgeving op u af. Deze regelgeving beslaat een breed scala aan onderwerpen en is vaak behoorlijk complex. Hoe houdt u alle ontwikkelingen bij? Voldoet u bijvoorbeeld al aan de Gedragslijn Verwerking Persoonsgegevens Pensioenfondsen en heeft u gehoord dat de Autoriteit Persoonsgegevens voor het eerst een gedragscode voor ICT verwerkers heeft goedgekeurd?

Voldoen aan wet- en regelgeving omvat de verplichting om uw organisatie zo in te richten dat deze een beheerste en integere bedrijfsvoering waarborgt. Dit vereist aandacht voor governance, risicobeheersing, beloningsbeleid, zorgplicht, belangenverstrengeling, incidentmanagement, uitbesteding, anti witwasregelgeving, enz.

Een ander belangrijk onderwerp is de bescherming van persoonsgegevens. Een pensioenfonds verwerkt op grote schaal (gevoelige) persoonsgegevens. Het is van belang dat dit op een zorgvuldige manier gebeurt, met inachtneming van geldende wet- en regelgeving zoals de Algemene Verordening Persoonsgegevens (AVG).

Gedragslijn Verwerking Persoonsgegevens Pensioenfondsen
Ter uitvoering van de AVG is per 1 juli 2019 de Gedragslijn Verwerking Persoonsgegevens Pensioenfondsen van de Pensioenfederatie in werking getreden, welke per 1 januari 2020 geïmplementeerd moest zijn. Deze gedragslijn is bindend voor alle leden (bijna alle pensioenfondsen in Nederland) en beschrijft de manier waarop de pensioensector persoonsgegevens verwerkt. Een toezichthoudend orgaan binnen het pensioenfonds, zoals de Functionaris Gegevensbescherming (FG) of de Compliance functie, moet over de naleving adviseren en de naleving monitoren. Ook moet de naleving worden getoetst door bijvoorbeeld de interne auditfunctie of een onafhankelijke externe partij. Jaarlijks moeten de leden verklaren of zij de gedragslijn hebben nageleefd.

AP keurt voor het eerste een data gedragscode goed
Een andere, recente ontwikkeling is dat de Autoriteit Persoonsgegevens op 27 augustus jl. de Data Pro Code van NLdigital heeft goedgekeurd, een branchevereniging voor de digitale sector. De leden van NLdigital zijn vaak ICT leveranciers die namens hun opdrachtgevers (zoals pensioenfondsen) optreden als verwerker van persoonsgegevens. De Data Pro Code is een nadere uitwerking van de verplichtingen voor verwerkers op grond van de AVG en geeft concrete gedragsregels over onder andere informatieplichten. Het is voor het eerst dat de AP een gedragscode goedkeurt. De volgende stap is dat NLdigital een toezichthoudend orgaan moet inrichten, die de naleving van de gedragscode toetst bij haar leden. De AP moet dit toezichthoudende orgaan accrediteren. Naar verwachting is dit eind van het jaar afgerond.
Steeds meer pensioenfondsen maken voor de uitvoering van hun bedrijfsprocessen gebruik van externe ICT leveranciers. Als deze leveranciers lid zijn van NLdigital en voldoen aan de Data Pro Code, worden zij geregistreerd in het Data Pro register en daarmee onderworpen aan extern toezicht. Voor een pensioenfonds als opdrachtgever en verwerkingsverantwoordelijke kan dit een aantrekkelijke manier zijn om risico’s op het gebied van uitbesteding met verwerking van persoonsgegevens te beperken en dus een waardevol element om mee te nemen bij het leverancier-selectieproces.

Hoe houdt u alle ontwikkelingen bij?
Naleving van wet- en regelgeving en het bijhouden van de ontwikkelingen is veelomvattend en complex. Een Compliance Officer of FG kan u hierbij adviseren en ondersteunen. Indien u geen Compliance Officer of FG in dienst wilt/kunt nemen, is het een goede optie om een externe Compliance Officer of FG aan te stellen. Deze kan u helpen de relevante ontwikkelingen in wet- en regelgeving in kaart te brengen, een gedragscode of beleid op te stellen, uw jaarlijkse nalevingsverklaring van de AVG gedragslijn voor te bereiden, verwerkingsovereenkomsten te sluiten, naleving te toetsen en rapportages te maken. Ook kan een Compliance Officer fungeren als gesprekspartner voor toezichthouders, diverse commissies en uw Raad van Toezicht.

Wilt u hierover meer informatie? Neem dan vrijblijvend contact met ons op.