De Algemene verordening gegevensbescherming en de pensioensector

feb 08
SPEN/CION Gecertificeerd

Printen?
Download hieronder het pdf bestand.

Download PDF

Inleiding
De media staat er vol mee: de Algemene verordening gegevensbescherming. Iedereen wordt aangespoord om actie te ondernemen om voor 25 mei 2018 hun zaakjes op orde te hebben. Ook de pensioensector. Op 25 mei 2018 gaat namelijk de nieuwe Europese privacywetgeving gelden: de Algemene verordening gegevensbescherming (hierna ook: AVG). In het Engels ook wel General Data Protection Regulation genoemd.

Interessant vonden wij om kort in kaart te brengen wat de AVG nu betekent voor de pensioensector.

Wat regelt de AVG?
Algemeen
De AVG regelt in algemene zin welke regels in acht moeten worden genomen bij het verwerken van persoonsgegevens door personen, overheden en organisaties (ook pensioenuitvoerders vallen hier dus onder, zij verwerken namelijk ook persoonsgegevens). Maar ook alle andere bedrijven in Nederland en dus ook in de pensioensector moeten aan de AVG voldoen. Tijd voor actie dus, mocht je er nog niet mee bezig zijn.

De AVG zal de Wet bescherming persoonsgegevens (hierna ook: Wbp) vervangen en in de aanloop naar deze vervanging blijven de Privacyrichtlijn 1995 en de Wbp relevant om de AVG te kunnen interpreteren.

Verantwoording
Inhoudelijk regelt de AVG het verwerken van persoonsgegevens. Met name op het gebied van accountability (verantwoordingsplicht) brengt de AVG vernieuwing.

De AVG en de Uitvoeringswet AVG stellen algemene regels voor het verwerken van persoonsgegevens. Er zijn geen specifieke regels voor pensioenuitvoerders voor het verwerken van persoonsgegevens, zij zullen zich dan ook moeten houden aan het volledige spectrum van de AVG en de Uitvoeringswet die zullen gelden in aanvulling op de regels in de Pensioenwet en daarbij behorende besluiten.

Functionaris gegevensbescherming
Daarnaast komt er met de AVG ook een verplichting voor de organisatie om in bepaalde gevallen een functionaris voor de gegevensbescherming aan te stellen (hierna ook: FG). Deze functionaris ziet toe of een organisatie zich aan de regels houdt.

Verwerkingsregister
Ook moeten organisaties een verwerkingsregister bij gaan houden, waarin staat welke verwerking je met welke persoonsgegevens doet, wie dat doet, op basis van wat en ook het doel van de verwerking moet duidelijk zijn.

Verwerkersovereenkomst
Sluit met je verwerkers (derden) ook een verwerkersovereenkomst af, zodat duidelijk is wie er wat doet en welke verantwoordelijkheden bij wie liggen.

Nieuwe begrippen
Begrippen die ook samen met de AVG zijn geïntroduceerd zijn ‘privacy by design’ (het nadenken over het nieuwe privacy systeem en het in kaart brengen van alle risico’s en maatregelen) en ‘privacy by default’ (alleen persoonsgegevens mogen worden gebruikt welke nodig zijn voor de uitvoering van de bepaalde taak).

Toezichthouder
De Nederlandse toezichthouder voor de AVG – en andere gegevensbeschermings- en privacywetgeving – is de Autoriteit Persoonsgegevens (AP). Op de website van AP is veel informatie te vinden over de implementatie.

Boete
De bevoegdheid van toezichthouders om administratieve geldboetes op te leggen bij inbreuk op de AVG is bedoeld ter afschrikking. De sancties moeten onder EU-recht namelijk doeltreffend, evenredig én afschrikkend zijn. De hoogte van de boete is maximaal € 20.000.000,- of 4% van de (wereldwijde) omzet.

Handleiding Rijksoverheid
Rijksoverheid heeft ook een handleiding gepubliceerd. In die handleiding zijn de belangrijkste bepalingen uit de verordening en uit de Nederlandse Uitvoeringswet Algemene verordening gegevensbescherming toegelicht.

De AVG voor pensioenuitvoerders
Verwerking van persoonsgegevens
Een pensioenuitvoerder wordt gezien als de verantwoordelijke voor de verwerking van persoonsgegevens van deelnemers en pensioengerechtigden. Deze verwerking van persoonsgegevens vindt plaats in het kader van de pensioenovereenkomst die een werkgever met een werknemer sluit. Het beheren, opbouwen en administreren van deelnemers en uitkeringsgerechtigden zijn verwerkingsdoeleinden voor een pensioenuitvoerder.

Verhoudingen
Zoals de Wbp al bepaalde in artikel 33 en 34 Wbp moet de verantwoordelijke aan de betrokkene van wie hij persoonsgegevens verwerkt bepaalde informatie mededelen. Dit blijkt uit artikel 34 Wbp en uit artikel 14 AVG. Voor pensioenuitvoerders is dit vrijwel altijd buiten de betrokkene om. Dit gaat namelijk via de werkgever van de deelnemer. Om de verhoudingen te verduidelijken hebben wij hieronder de pensioendriehoek toegevoegd.

Passende maatregelen
De pensioenuitvoerder moet daarbij passende maatregelen nemen om ervoor te zorgen dat de betrokkene alle informatie verkrijgt in een ‘beknopte, transparante, begrijpelijke en gemakkelijk toegankelijke vorm’. Voorgaande blijkt uit artikel 12 lid 1 AVG.

Servicedocument Pensioenfederatie
In april 2017 heeft de Pensioenfederatie het ‘Servicedocument Gegevensbescherming’ gepubliceerd. Pensioenuitvoerders zullen stappen moeten zetten in het privacyproof maken van persoonsgegevensbestanden (in onder andere IT-systemen).

Procedures
Vooral zal de manier aangepast moeten worden waarop de informatievoorziening geïntegreerd wordt in reeds bestaande procedures die gericht zijn op het informeren van betrokkenen. Verder staat in het ‘Servicedocument Gegevensbescherming’ een schematisch overzicht van de belangrijkste wijzigingen ten opzichte van de huidige wetgeving weergegeven.

Conclusie

Goed om te zien dat ook te pensioensector actief bezig is het implementeren van de privacyrichtlijn. Nog minder dan 4 maanden te gaan om de implementatie rond te krijgen voor 25 mei 2018.

Disclaimer
Swalef streeft er naar de informatie correct en actueel te verstrekken. Aan de informatie die is verstrekt kunnen echter geen rechten worden ontleend.
Swalef aanvaardt geen enkele aansprakelijkheid voor de inhoud en de informatie in dit nieuwsbericht.

Swalef pensioenjuristen en academie

Geschreven door

Swalef pensioenjuristen en academie | Ons bevlogen team van pensioenjuristen adviseert jou graag over pensioenjuridische kwesties. Vanuit de Academie verzorgen verschillende onafhankelijke docenten die opereren in de top van hun vakgebied, gecertificeerde pensioenopleidingen.