Cyberrisico is de nieuwe uitdaging

Uitgave: Pensioen Bestuur & Management (PBM) nummer 2 2018

Rick Goossens, Managing Consultant GroupLife Rubriek: Trends en strategie
Geplaatst op 10-04-2018
Cyberrisico is de nieuwe uitdaging Er gaat geen dag voorbij of het onderwerp cybersecurity is in het nieuws. De namen als ‘Meltdown’ en ‘Spectre’ klinken spannend. Maar het gaat hier om reële risico’s op diefstal van persoonlijke gegevens. Cybersecurity is ook een thema in de pensioenbranche waar dagelijks met zeer privacygevoelige informatie van deelnemers wordt gewerkt. Of zou dat in ieder geval moeten zijn. Diverse ontwikkelingen vergroten de druk op pensioenuitvoerders.

In de wereld waarin pensioenfondsen en uitvoeringsinstellingen hun bestaansrecht verdedigen, zijn veranderingen aan de orde van de dag. Proposities voor deelnemer en werkgever worden herzien, operating models aangepast en er vinden digitale transities plaats. Een belangrijk gevolg hiervan is een toename en verandering van de aard van gegevensstromen binnen de pensioenuitvoering.

Om de veranderende wereld van de pensioenuitvoerder te definiëren gebruiken we het model van Abell1. Dit model beschrijft aan de hand van drie dimensies het werkterrein van een organisatie.

1. Welke klantgroep wordt bediend?
2. Wat is het aanbod van producten en diensten?
3. Welke technologieën worden ingezet?

De combinatie van deze drie assen bepaalt niet alleen het speelveld waarop een pensioenuitvoerder zich begeeft, maar ook de omvang en aard van de gegevensstromen.

Voor een ‘traditionele’ pensioenuitvoerder is de klantgroep deelnemers, werkgever(s) en bijvoorbeeld het bestuur. Het aanbod bestaat uit een collectieve DB-regeling, verplichte communicatieuitingen en een deelnemerportaal. De toegepaste technologie heeft zich bewezen en is mogelijk verouderd. De gegevensstromen zijn overzichtelijk, periodiek en voorspelbaar.

Als we het model toepassen op ‘moderne’ pensioenuitvoerder, dan ziet het plaatje er heel anders uit, zoals in de figuur te zien is.

rg

Technologie
Om dit aanbod te kunnen faciliteren en voldoende wendbaarheid blijvend te kunnen realiseren zet de pensioenuitvoerder in op een combinatie van technologieën. De toegepaste technologie is vaak nieuw en (deels) onbewezen. Dit heeft ook de aandacht getrokken van de toezichthouder. Eén van de drie speerpunten van DNB voor de pensioensector in 2018 is technologische vernieuwing en de risico’s die dat met zich meebrengt.

Gegevensstromen
Zoals uit de figuur duidelijk wordt, nemen de gegevensstromen binnen de moderne pensioenuitvoerder toe in frequentie, aard en omvang. Bijvoorbeeld tussen deelnemer en uitvoerder door de lage drempel om te interacteren, te plannen of te wijzigen via mobile devices. Bovendien worden door het individuele karakter de gegevens privacygevoeliger. Een eventueel sterk geïndividualiseerd, nieuw pensioenstelsel zal deze ontwikkeling verder versterken. Dit vraagt structurele aandacht voor security bij ontwerp, realisatie en beheer van organisatie, IT en infrastructuur: ‘security by design’.

Security is een harde eis
Het organiseren van voldoende bescherming tegen aanvallen van buitenaf is geen eenvoudige opgave. Dat bewijst het feit dat ook klinkende namen in de tech-hoek als Yahoo (500 miljoen! gestolen accounts in 2014) en recent bijvoorbeeld Uber (57 miljoen accounts, waardoor naam en e-mailadres van 174.000 Nederlanders in verkeerde handen terecht zijn gekomen) te maken hebben met datalekken.

Vanzelfsprekend is het de plicht van iedere organisatie om zich in te spannen voor de bescherming van de persoonsgegevens die zij digitaal vastlegt en bewerkt. De Algemene verordening gegevensbescherming (AVG), die eind mei van kracht wordt, scherpt de verplichtingen voor organisaties en eventuele consequenties bij niet nakomen ervan echter flink aan. Daarmee is het borgen van cybersecurity dé nieuwe uitdaging voor de pensioenuitvoerders.

Security structureel onderwerp
AVG maakt onderscheid tussen verwerkingsverantwoordelijke (het fonds) en verwerker (bijvoorbeeld de uitvoeringsinstelling). Het pensioenfondsbestuur zal vanuit zijn rol als verwerkingsverantwoordelijke moeten toetsen of (zijzelf en) de verwerker voldoet aan de eisen van AVG.

Om te voldoen aan de eisen die AVG stelt aan bescherming van digitaal vastgelegde persoonlijke gegevens, moeten zowel organisatorische als IT-maatregelen ontworpen, geïmplementeerd en aantoonbaar werkend te zijn. Technische maatregelen om security te verbeteren zijn bijvoorbeeld twee-factor-authenticatie, encryptie en pseudonimisering.

Bescherming van gegevens door middel van dit type maatregelen levert uiteraard een verhoogde security op. Maar om te voldoen aan de eisen die AVG stelt is meer nodig. Met het oog op de verplichtingen van de verwerkingsverantwoordelijkheid van het fondsbestuur is het raadzaam minimaal de volgende punten door de verwerker te laten beantwoorden.
- Is er voldoende kennis in huis om (echt) over cybersecurity te kunnen praten?
- Op welke manier wordt – aantoonbaar – het principe ‘security by design’ toegepast?
- Welke IT en organisatorische maatregelen zijn geïmplementeerd en welke (passende) afwegingen zijn hierbij gemaakt?
- Is er een dataregister beschikbaar waarin staat welke persoonsgegevens worden bijgehouden en met wie deze zijn gedeeld?
- Is de verwerking van gegevens in alle gevallen echt gerechtvaardigd?
- Is vastgesteld of een gegevensbeschermingseffectbeoordeling moet worden uitgevoerd? Bij gebruik van nieuwe technologieën stelt de wetgever dit verplicht.
- Wat is de procedure voor het opsporen, rapporteren en onderzoeken van datalekken?

Het periodiek stellen van deze vragen, eventueel aangevuld met externe audits door experts zijn onderwerpen die niet meer van de bestuurderstafel zullen verdwijnen. De nieuwe werkelijkheid voor pensioenuitvoerders is een wereld waarin aandacht voor cybersecurity structureel is. Alleen zo wordt de kans op een datalek of securityincident zo klein mogelijk gehouden. En dat is cruciaal voor vertrouwen en bestaansrecht.

1 Abell, Derek F. (1980). Defining the Business: The Starting Point of Strategic Planning. Prentice Hall.