Stefan van de Giessen:
“Een pensioenfonds is een grootgebruiker van privacygevoelige gegevens”

“Besturen van pensioenfondsen hebben de introductie van de AVG zeker als ‘verplicht nummer’ ervaren zoals andere nieuwe wet- en regelgeving. Zij hebben te maken met een sterke financiële druk om elke euro pensioengeld zo goed mogelijk te besteden. De AVG kwam daar nog bij. Maar in een samenleving waarin steeds meer uitwisseling van informatie via digitale kanalen gaat, merk ik vooral dat bestuurders vanuit hun verantwoordelijkheid willen dat persoonsgegevens met de grootst mogelijke zorgvuldigheid worden verwerkt. Bij Montae is onze aanpak om klanten bij de introductie van de AVG te ondersteunen vooral zo praktisch mogelijk geweest.”

Stefan van de Giessen is een van de adviseurs die zich bij Montae intensief heeft beziggehouden met de Algemene Verordening Gegevensbescherming (AVG), vooral in de weken voor de datum van introductie, vrijdag 25 mei 2018. “De nieuwe wet is al in 2016 aangekondigd”, zegt Stefan, “dus organisaties hebben twee jaar de tijd gehad om hun zaken op orde te krijgen. Halverwege 2017 zag je dat sommige fondsen begonnen te zoeken naar een concrete aanpak. Maar veel fondsen kwamen pas begin 2018 in actie, vooral toen duidelijk werd hoe ingrijpend de potentiële boetes konden zijn bij niet-nakoming van de nieuwe regels. Dat zou bovendien tot grote imagoschade kunnen leiden. Veel fondsen hebben in de maanden voor 25 mei een flinke eindsprint gemaakt.”

Awareness sessies
Stefan vertelt dat hij en zijn collega’s in het AVG-team van Montae aan het eind van de zomer van 2017 zijn begonnen de klanten via awareness sessies te informeren over de nieuwe Europese regels voor gegevensbescherming. “Bescherming van gegevens begint bij bewustwording. Het gaat niet alleen om technische maatregelen. Het gaat er vooral om dat mensen in de pensioensector zich er goed van bewust zijn dat zij werken met gevoelige, persoonlijke gegevens van deelnemers. Daar moeten zij integer mee omgaan zodat de privacy van die deelnemers wordt gewaarborgd. Tijdens de awareness sessies attendeerden wij de bestuurders erop hoeveel persoonsgegevens er door een pensioenfonds heen gaan en welke verantwoordelijkheden zij daarbij hebben. Tijdens die gesprekken bleek dat bestuurders goed weten wat er in de bedrijfsvoering omgaat en dat zij zich bewust zijn van het risico dat zij afhankelijk zijn van partijen die voor hen gegevens verwerken. Vanuit die awareness sessies kregen wij vragen van klanten of wij hen bij de voorbereidingen op de AVG wilden gaan helpen. Ook waren er andere partijen in de markt die gehoord hadden dat wij iets deden met de AVG en bij ons kwamen voor assistentie.”

Praktische aanpak
Daarbij hanteerde Montae een 12-stappenplan gebaseerd op het stappenplan van de toezichthouder, de Autoriteit Persoonsgegevens. “Dat is een goede richtlijn”, zegt Stefan. “Wij hebben het heel praktisch gemaakt: wat moet ik doen als pensioenfonds dat met veel uitbestedingspartijen werkt?  Het begon met het maken van een privacyverklaring tot het aanpassen van het Pensioen 1-2-3 zodat nieuwe deelnemers meteen weten dat er van hen persoonlijke gegevens worden verwerkt. We hebben contracten voor verwerkingspartijen ontworpen en gecontroleerd en we hebben fondsdocumenten en beleidsstukken getoetst op naleving van de AVG. We hebben ook nieuwe documenten ontwikkeld zoals een privacyreglement, een archiefbeleid of een IT-beveiligingsbeleid. De AVG is heel nauw verbonden met het beleid voor informatietechnologie en hoe een fonds zijn informatie beveiligt. We hebben klanten die dat nog niet helemaal in kaart hadden gebracht, geadviseerd de introductie van de AVG te gebruiken om dit goed in orde te maken.”
Wij hebben als onderdeel van onze praktische implementatie aanpak van de AVG gekozen voor een collectieve aanpak. Dat maakte onze aanpak efficiënt waardoor de implementatie voor 25 mei afgerond kon worden. Natuurlijk heeft elk fonds wel uitzonderingen en ook zijn eigen identiteit.”

Maatschappelijke verplichtstelling
Is er voor de AVG verschil tussen een groot bedrijf en een pensioenfonds. “Een groot bedrijf heeft commerciële doeleinden en wil zo veel mogelijk gegevens van zijn klanten verzamelen om meer te kunnen verkopen. Een pensioenfonds heeft een taak vanuit een maatschappelijke opdracht waarbij de gegevens dienen om te zorgen dat de deelnemers later hun pensioen uitgekeerd krijgen. Maar de basis voor het bereiken van deze verschillende doelstellingen is dezelfde: het gebruik van persoonsgegevens. Een pensioenfonds is een grootgebruiker van privacygevoelige gegevens. Daarbij gaat het niet alleen om salarisgegevens, maar ook of een deelnemer arbeidsongeschikt of gescheiden is. Die gegevens mogen alleen gebruikt worden waarvoor zij nodig zijn. Dus de informatie over iemands arbeidsongeschiktheid is niet bedoeld om een extra verzekering te kunnen verkopen.”

IT-beveiliging
Uit het gesprek met Stefan blijkt duidelijk dat het er vooral om gaat dat een fonds de beveiliging van de informatietechnologie op orde heeft. “Dat is ook het vertrekpunt geweest van de AVG. De wereld is zo gedigitaliseerd dat de rechten van burgers over hun persoonsgegevens steeds meer op de achtergrond raakten. Met de AVG zijn ze weer terug in handen van de burgers. Iemand die via zijn werkgever persoonsgegevens beschikbaar stelt aan een pensioenfonds moet ervan uit kunnen gaan dat het fonds die gegevens zorgvuldig en veilig verwerkt en alleen voor het doel waarvoor ze bedoeld zijn.”

Grip houden
Met het vaststellen van het IT-beleid vóór 25 mei is volgens Stefan de klus niet geklaard. “De grote uitdaging wordt om geregeld te toetsen of je IT-beleid nog goed functioneert en of je als bestuur genoeg grip houdt op de beveiliging van de (vaak digitale) persoonsgegevens. De digitalisering ontwikkelt zich voortdurend en je moet je daaraan aanpassen. Kijk daarbij ook risicobewust naar waar je gegevens voor gebruikt. Er zit echt wel een verschil tussen het bewaken van gevoelige gegevens over arbeidsongeschiktheid en een e-mailadres dat je gebruikt voor een nieuwsbrief.”

Print deze post
Dit artikel delen: