AVG in de dagelijkse praktijk

Uitgave: Pensioen Bestuur & Management (PBM) nummer 3 2021

Werkgroep AVG Pensioenfederatie
Rubriek: Communicatie
Geplaatst op 11-08-2021


Pensioenfondsen beschermen de persoonsgegevens van deelnemers en werkgevers in lijn met de Algemene verordening gegevensbescherming (AVG). De werkgroep AVG van de Pensioenfederatie heeft hiervoor een gedragslijn-AVG opgesteld. Deze gedragslijn is praktisch ingericht en is besproken met de Autoriteit Persoonsgegevens. Pensioenfondsen namen in juni 2019 de gedragslijn aan in de Algemene ledenvergadering van de Pensioenfederatie. De gedragslijn ging in per 1 januari 2020.

De leden van de werkgroep beantwoorden vragen over de gedragslijn in de praktijk en beschrijven nieuwe ontwikkelingen. De werkgroep publiceert hierover op de website van de Pensioenfederatie. Relevante thema’s uit de gedragslijn die we beschrijven zijn: bewaartermijnen, verwerkers, datalekken, naleving en hoe verder.

Lange bewaartermijnen
Pensioenregelgeving bepaalt dat de pensioenuitvoerder (hierna: pensioenfonds) en de werkgever verplicht zijn de zakelijke gegevens en bescheiden die betrekking hebben op pensioenregelingen en andere bij of krachtens deze wet geregelde onderwerpen in Nederland beschikbaar te hebben en deze gedurende ten minste zeven jaren na het boekjaar waarop ze betrekking hebben beschikbaar te houden. Op basis van deze bepaling wordt dikwijls een termijn van zeven jaar, te beschouwen als een minimumtermijn, als bewaartermijn aangehouden. Ook de Ombudsman Pensioenen adviseert een lange bewaartermijn. Ook is bepaald dat er geen verjaring is ten gunste van het pensioenfonds bij het in leven zijn van de pensioengerechtigde. Het pensioenfonds houdt in ieder geval rekening met (rechts)vorderingen op pensioen(uitkeringen) die na vele jaren nog worden ingesteld door of namens aanspraakgerechtigden. Voor de bewijskracht en onderbouwing van (het recht op) pensioen is het goed om een ruime bewaartermijn aan te houden. De AVG zélf geeft geen algemene regel inzake de maximum bewaartermijn. Het uitgangspunt is dat persoonsgegevens niet langer worden bewaard dan noodzakelijk. Wat noodzakelijk is hangt af van de situatie. Pensioenfondsen bewaren persoonsgegevens in het algemeen gedurende langere termijn, juist in verband met een mogelijke vordering van de (nabestaanden van de) aanspraak- of pensioengerechtigden. De Pensioenfederatie heeft een servicedocument bewaartermijnen gepubliceerd.

Strakke afspraken verwerker nodig
Een verwerker is een partij die persoonsgegevens verwerkt ten behoeve van het pensioenfonds. Voorbeelden van verwerkers zijn een pensioenuitvoeringsorganisatie, salarisadministrateur en cloud-leveranciers. Omdat pensioenfondsen veel van hun werkzaamheden uitbesteden, wordt veel gebruik gemaakt van verwerkers. Het is van belang om van iedere partij die persoonsgegevens van het pensioenfonds verwerkt, te beoordelen welke rol het pensioenfonds en deze partij hebben. Belangrijkste aandachtspunt hierbij is wie het doel van de verwerking bepaalt. Als de derde het doel bepaalt, dan is deze geen verwerker. Voorbeelden hiervan zijn de Belastingdienst en de bank. Het is belangrijk om met elke verwerker goede afspraken te maken in een verwerkingsovereenkomst. De kern van de afspraken is dat het pensioenfonds verantwoordelijk blijft en de verwerker het pensioenfonds in staat moet stellen om die verantwoordelijkheid aantoonbaar te kunnen dragen. Zo moeten er afspraken gemaakt worden over o.a. het melden van datalekken. Het pensioenfonds moet vervolgens controleren of de verwerker de gemaakte afspraken nakomt.

Datalekken, wanneer en wat te doen?
Datalekken komen meer en meer in het nieuws. Gegevens komen op straat te liggen. Hackers breken in op datasystemen. Met als gevolg dat persoonsgegevens van betrokkenen onbedoeld en ongewenst in het bezit van derden komen. Die kunnen er dan misbruik van maken. Om deze inbreuk op de privacy van betrokkenen te beschermen bepaalt de AVG dat een organisatie alle datalekken moet registreren. Ook moet de organisatie datalekken met een waarschijnlijk risico voor betrokkene binnen uiterlijk 72 uur na ontdekking aan de Autoriteit Persoonsgegevens, en met een hoog risico eveneens aan betrokkene melden. Er is sprake van een datalek wanneer persoonsgegevens verloren zijn geraakt, zijn vernietigd of gewijzigd. Maar ook als deze zijn verstrekt aan of ter inzage zijn gekomen van onbevoegden. Voor het intern melden van een datalek is het verstandig een meldingsformulier te gebruiken overeenkomstig het meldingsformulier datalekken van de Autoriteit Persoonsgegevens. Doel van de AVG is dat organisaties leren van datalekken. Verder is het nemen van maatregelen om datalekken te dichten en in de toekomst zo veel mogelijk te voorkomen een eerste vereiste.

Transparant over naleving gedragslijn
Het pensioenfonds zorgt voor de naleving van deze gedragslijn. Het is belangrijk dat pensioenfondsen over een privacybeleid beschikken, daarmee samenhangende procedures hebben ingericht en zorg dragen voor een adequate uitvoering van de AVG. Voor het toetsen op de naleving is het belangrijk dat een onafhankelijke functionaris deze toets uitvoert. De gedragslijn noemt een frequentie voor de toetsing van eens per jaar, maar dat kan in de praktijk afwijken. De verantwoording over de naleving van de gedragslijn is vormvrij. Dit kan met een specifieke privacyrapportage of met behulp van standaarden of audits die inzicht geven in de naleving van privacywetgeving. Het pensioenfonds verklaart jaarlijks of het zich heeft gehouden aan deze gedragslijn en kan zich hiervoor mede baseren op de hierboven genoemde rapportages. Deze verklaring kan onderdeel uitmaken van een generieke verklaring met betrekking tot de naleving van wet- en regelgeving. Het pensioenfonds bepaalt of deze verklaring wordt opgenomen, bij voorkeur in het jaarverslag en/of de website.

Nieuwe ontwikkelingen signaleren
Voor de Pensioenfederatie is het belangrijk dat via de werkgroep AVG de Autoriteit Persoonsgegevens een officiële gesprekspartner is voor de hele pensioensector. De omvang, aard, vertrouwelijkheid en kwaliteit van de gegevens van deelnemers en werkgevers maken zo’n officiële lijn met de autoriteit nodig. Door het bundelen van expertise uit de pensioensector via de werkgroep AVG blijft de Autoriteit Persoonsgegevens bereid om het gesprek over de toepassing AVG te blijven voeren. De werkgroep- AVG signaleert actuele ontwikkelingen over de onderwerpen die in dit artikel zijn genoemd. De werkgroep AVG beoordeelt wat nodig of gewenst is om naleving van de AVG verder te borgen. Dat proces kan gaandeweg leiden tot aanvullingen op de gedragslijn of servicedocumenten.

De werkgroep AVG schreef dit artikel op persoonlijke titel.

Meer informatie: https://www.pensioenfederatie.nl/ stream/pfgedragslijn-verwerkingpersoonsgegevens- pensioenfondsen-1-7-2019.pdf