Het IT-beleid in de praktijk: Noodzaak, Eisen, Risico’s & Tips

Gedegen IT-beleid is noodzakelijk als basis voor de bescherming van persoonsgegevens en een robuuste administratie

Toen we IT-specialist Stefan van de Giessen een jaar geleden spraken bij de invoering van de Algemene verordening gegevensverwerking (AVG), voorspelde hij al dat het Informatietechnologiebeleid van pensioenfondsen cruciaal zou zijn voor een succesvolle invoering van de nieuwe privacywet. Dat is in de praktijk zeker het geval geweest. Het IT-beleid is een belangrijk instrument waarmee besturen van pensioenfondsen richting kunnen geven aan de bescherming van (persoons) gegevens en het beheersen van IT-risico’s.

Noodzaak van een gedegen IT-beleid
Stefan wijst erop dat steeds meer informatie via de digitale snelweg wordt uitgewisseld. Als bestuur bent u verantwoordelijk dat dit veilig gebeurt. Met een IT-beleid bent u als pensioenfondsbestuur in staat te sturen op informatiebeveiliging. Het ontbreken van een gedegen IT-beleid met veel aandacht voor beveiliging van elektronisch verwerkte (persoons)gegevens brengt grote risico’s met zich mee.

Gisteren kwam het volgende nieuws naar buiten:


“Luchtvaartmaatschappij British Airways loopt het risico een boete van 183,4 miljoen pond (bijna 205 miljoen euro) te moeten betalen wegens een groot datalek in 2018. Dat bedrag heeft de Britse privacywaakhond, de Information Commissioner’s Office (ICO), na onderzoek vastgesteld.

British Airways werd in 2018 getroffen door een grote hackaanval, waarbij gegevens van ongeveer een half miljoen klanten werden gestolen. Volgens de ICO heeft British Airways onvoldoende gedaan om de gestolen klantgegevens te beschermen.”

Bron: nu.nl


De nieuwe privacywet is in werking getreden op 25 mei 2018 met als doel is de EU-burgers te beschermen op het gebied van privacyregelgeving en persoonsgegevens. Ook u kunt als pensioenfondsbestuur te maken krijgen met de Autoriteit Persoonsgegevens wanneer een datalek zich voordoet. Wanneer u als pensioenfondsbestuur onvoldoende maatregelen heeft getroffen om de persoonsgegevens te beveiligingen kunt u als pensioenfonds ook een boete krijgen.

Helder beeld van alle betrokken partijen
“Heb je als pensioenfondsbestuur een helder beeld van alle partijen die betrokken zijn bij de verwerking van gegevens waarvoor je verantwoordelijk bent? Weet je hoe deze partijen met die gegevens omgaan? En sluiten zij aan bij de gestelde IT-beleidskaders? Misschien werk je samen met een uitbestedingspartij die de servers met de gegevens van jouw deelnemers in de kelderruimte van zijn kantoor heeft staan en waar de back-up tapes in de sokkenlade bij de IT-manager thuis worden bewaard. Maar het kan ook zijn dat een uitbestedingspartij een IT-oplossing gebruikt waarbij je gegevens ergens in de cloud zijn opgeslagen buiten de Europese Economische Ruimte (EER). Misschien zijn er bij de uitbesteding nog andere partijen betrokken die toegang hebben tot vertrouwelijke informatie van het pensioenfonds. Voor een beheerste bedrijfsvoering is het belangrijk dat je als fondsbestuur inzichtelijk weet te maken welke risico’s je loopt bij de gegevensverwerking en hoe je deze kunt beheersen. Het is ook belangrijk dat je weet met wie je in zee gaat. Zijn die partijen betrouwbaar, voldoen ze aan de regels van de AVG en verwerken ze persoonsgegevens in overeenstemming met jouw IT-beleid?  En als dat nog niet genoeg vragen zijn, is het ook goed om na te denken over hoe u vertrouwelijk informatie verstuurd en deelt met andere bestuursleden. Ofwel welke eisen stelt u aan uw bestuurlijke IT-omgeving?

DNB eist dat pensioenfondsen sturen op IT-beleid
Toezichthouder De Nederlandsche Bank (DNB) eist van pensioenfondsen een gedegen IT-beleid en verwacht dat besturen actief sturen op de activiteiten, de risico’s en de uitbestedingen op het gebied van IT. Een gedegen IT-beleid voldoet in ieder geval aan de volgende aspecten:

 • Het moet borgen dat het doel van de inzet van IT wordt bereikt en dat de pensioenuitvoering nu en in de toekomst optimaal wordt ondersteund.
 • Het stelt duidelijke criteria en kaders voor de IT-voorzieningen van de bestuurlijke IT- omgeving en voor de voorzieningen van uitbestedingspartijen.
 • Het IT-beleid beschrijft de IT-kaders waardoor het bestuur kan sturen op IT en de beheersing daarvan, zodat de beschikbaarheid, integriteit en vertrouwelijkheid van de informatie geborgd is. Daarnaast kan het bestuur ook sturen op nieuwe ontwikkelingen zodat deze beheerst geïmplementeerd worden en het fonds en haar deelnemers hiervan geen hinder ondervinden.

En vergeet de beheersing van de bestuurlijke IT-omgeving dus niet!
De bestuursleden van pensioenfondsen werken met vertrouwelijke data zoals bestuurlijke rapportages en overeenkomsten. Besturen vinden het belangrijk om deze data vertrouwelijk te verwerken en alleen toegankelijk te maken voor daartoe bevoegden. Een belangrijke component hierin is de opslag en verzending van data door de bestuursleden. Bestuursleden werken vaak conform het ‘bring your own device’ principe. Dit betekent dat elke bestuurder vertrouwelijke data op zijn eigen device (tablet of laptop) mag verwerken. Op dit device beschikken ze over bestanden en informatie van het pensioenfonds die door middel van e-mail en de vergaderapplicatie worden uitgewisseld en opgeslagen.

Het is echter vaak een blinde vlek hoe de IT-middelen van bestuursleden zelf zijn beveiligd en of de daarop aanwezige informatiebeveiliging aansluit bij het gestelde IT-beleid. Bestuurders maken gebruik van eigen aangemaakte e-mailadressen bij Gmail of Outlook of gebruiken e-mailadressen van de organisatie waar ze nu werkzaam voor zijn. En in veel gevallen zijn de bestuurlijke apparaten gekoppeld aan cloudopslag. De risico’s van het gebruik hiervan zijn vaak onduidelijk. Het bestuurlijk IT-middel kan het zwakke punt van de informatiebeveiliging van het pensioenfonds vormen. Daardoor is de kans op een datalek groter dan gedacht.

Informatiebeveiligingskaders voor de bestuurlijke IT-omgeving
Nieuwe inzichten leren dat het IT-beleid vaak een nauwkeurig omschreven IT-kader bevat voor uitbestedingspartijen, maar dat er nog een stap kan worden gemaakt ten aanzien van de IT- infrastructuur en de informatiebeveiliging van het pensioenfonds zelf. Het is daarom aan te bevelen om ook een informatiebeveiligingsbeleid voor de bestuurlijke IT-omgeving op te stellen. Dit is een aanvulling op het IT-beleid en is specifiek van toepassing op de IT-omgeving van het bestuur en de daarin gebruikte IT-middelen.

Wij zijn ons ervan bewust dat de bestuurlijke IT-omgeving sterk data- en informatie-gedreven is. Deze omgeving moet goed beveiligd zijn, maar ook op ieder moment benaderbaar. Een bestuurlijke IT-omgeving dient te voldoen aan duidelijke beheersingskaders om informatie:

 • beschikbaar te krijgen en te ontsluiten;
 • integer te verwerken;
 • te beschermen tegen niet geautoriseerde personen.

Hoe zeker bent u van de informatiebeveiliging op uw device?
Bent u er als bestuurslid zeker van dat uw eigen device goed beveiligd is waardoor de opslag van data niet toegankelijk is voor ongeautoriseerde en kwaadwillende personen? Heeft u hiervoor voldoende maatregelen getroffen? Denk hierbij onder andere aan:

 • Wachtwoordbeveiliging;
 • Vertrouwelijk versturen en ontvangen van e-mail en data;
 • Opslag van data;
 • Actualiteit van devices en software;
 • Firewall en virusscan;
 • Beveiliging lokale opslag.

Als pensioenfonds bestuur bent u zowel verantwoordelijk voor de informatiebeveiliging van de bestuurlijke devices als voor de informatiebeveiliging bij uw uitbestedingspartijen. Onze ervaring is dat het vaak lastig is om een IT-beleid praktisch te implementeren. Wij hebben diverse implementaties uitgevoerd en denken graag met u mee.

Wilt u hier meer over weten, neem dan contact met Stefan van de Giessen op.