In de afgelopen maanden heeft Montae veel pensioenfondsen geholpen om goed voorbereid te zijn op de inwerkingtreding van de AVG. Maar zoals Stefan van de Giessen uitlegde in het interview met hem, stopt de aandacht voor gegevensbescherming niet bij het afvinken van de eisen van de nieuwe wet die op 25 mei 2018 is ingegaan. Het beveiligen van de informatie en het bewaken van de privacy van de deelnemers vergen geregeld de aandacht van het bestuur. Montae heeft een pakket diensten ontwikkeld waarmee besturen effectief en kostenefficiënt grip kunnen houden op hun IT en informatiebeveiliging.  

Functionaris gegevensbescherming
Stefan van de Giessen vertelt dat er in de pensioensector nu veel discussie is of fondsen een functionaris gegevensbescherming moeten aanstellen of niet. “Wij kunnen hun zo’n functionaris bieden en dat kunnen we binnen een collectieve aanpak doen. Als er bijvoorbeeld een administrateur is die op een vrijwel gelijke manier gegevens verwerkt voor meerdere fondsen, hoef je grotendeels maar één keer te controleren of die administrateur dat op de juiste manier doet. Dan is 80% van de controle generiek en 20% fonds specifiek. Zo kun je slim en efficiënt werken.”

Onafhankelijk
Het is van belang dat de functionaris gegevensbescherming onafhankelijk is. Binnen Montae hebben we hiervoor een apart risk center ingericht zodat, als wij voor een fonds een functionaris gegevensbescherming leveren, die onafhankelijk is. Er wordt gewerkt met aparte emailaccounts en afgeschermde IT omgeving. Een ander voordeel van onze aanpak is dat de persoon die wij ter beschikking stellen, een beroep kan doen op een heel team van specialisten op bijvoorbeeld juridisch gebied of risicobeheer. Onze inzet is ook flexibeler.”

Data officer
Er zijn twee mogelijkheden om de toezichthoudende functie in te vullen. De één is via de al genoemde functionaris gegevensbescherming, die formeel wordt aangemeld bij de Autoriteit Persoonsgegevens. Die wordt dan tevens een verlengstuk van de toezichthouder. De tweede mogelijkheid is via een data officer of privacy officer, die een wat vrijere rol heeft. Stefan vindt dat een fonds minimaal een data officer zou moeten hebben en serieus moet overwegen of een formele functionaris niet beter passend is. “Je deelnemers moeten verplicht deelnemen aan het pensioenfonds. Zij moeten ervan op aan kunnen dat je zorgvuldig omgaat met hun gegevens. Als pensioenfonds moet je een goede huisvader zijn voor je deelnemers.”

Geen lijdend voorwerp
Montae kan besturen tevens helpen bij het contact houden met en controleren van hun meest kritische gegevensverwerkers. “Vaak is er met een administrateur al een service level agreement (SLA) en zijn er verschillende risicorapportages. Je kunt heel gemakkelijk deze rapportages uitbreiden met privacy en informatiebeveiliging componenten. Daarmee borg je dat er periodiek de vinger aan de pols wordt gehouden op deze belangrijke terreinen. Je wilt als bestuur immers geen lijdend voorwerp zijn als er iets misgaat, maar leidend zijn in de naleving van de AVG.”

Jaarlijkse AVG toets
Ten slotte kan Montae helpen met een jaarlijkse AVG toets. “We hebben die voor de introductie van de AVG ontwikkeld om fondsdocumenten en contracten te toetsen op compliance met de AVG. Je zou het als een soort jaarlijkse AVG APK kunnen uitvoeren. De tweede keer gaat het een stuk makkelijker.”

Onderscheidende aanpak Montae
Er zijn meerdere partijen die pensioenfondsen ondersteunen bij het voldoen aan de AVG. Wat is volgens Stefan onderscheidend in de aanpak van Montae? “Een voordeel is dat ons AVG team heel goed weet wat er bij pensioenfondsen aan gegevensverwerking plaatsvindt. Ons team is ervaren in de pensioenbranche. Wij beschikken over een unieke mix van kennis en jarenlange ervaring op het gebied van governance, IT, pensioenadministratie, juridische expertise en risicomanagement. Wij kennen de operatie, verantwoordelijkheden en de risico’s en de lijnen met besturen zijn kort. Daarnaast staan wij als bureau heel onafhankelijk in de markt. Dit wordt nog versterkt door het aparte risk center waarover ik vertelde. Met die combinatie van factoren kunnen we besturen helpen om grip te houden op hun informatiebeveiliging en bescherming van de privacy van hun deelnemers.”

Print deze post
Dit artikel delen: