Stichting Pensioenfonds voor Dierenartsen

Transcriptie

1 Stichting Pensioenfonds voor Dierartsen Incidentenregeling Artikel 1 Pensioenfonds: Incident: Definities Stichting Pensioenfonds voor Dierenartsen een gedraging of een gebeurtenis die een ernstig gevaar vormt voor de beheerste en integere bedrijfsvoering van het pensioenfonds met inbegrip van de bij het fonds betrokken (rechts)personen dat: a. een strafbaar feit oplevert, b. een schending inhoudt van interne of externe regelgeving of beleidsregels, waaronder de gedragscode, c. autoriteiten of personen die belast zijn met de uitvoering van of het toezicht de naleving van wettelijke regelingen, of wettelijke opsporingsambtenaren beoogt te misleiden, d. beoogt dat informatie over de hiervoor genoemde feiten wordt achtergehouden, of e. op enigerlei wijze direct of indirect de goede naam van het fonds kan schaden. Hieronder kunnen, afhankelijke van de zwaarte van de gebeurtenis, ook de zogenoemde datalekken zoals beschreven in de Algemene Verordening Gegevensbescherming, vallen. Ten aanzien van datalekken en het operationele en urgente karakter van een datalek is bijlage 1 aan deze regeling toegevoegd. Deze bijlage bevat de operationele procedure waarlangs het fonds werkt in geval van een datalek. Compliance Officer: Voorzitter: Vicevoorzitter: De functionaris die als compliance officer is benoemd of indien er geen compliance officer benoemd is, degene die verantwoordelijk is voor het uitvoeren van de compliancewerkzaamheden de voorzitter van het bestuur van het pensioenfonds de vicevoorzitter van het bestuur van het pensioenfonds Verbonden personen: a. leden van het bestuur van het pensioenfonds; b. leden van het verantwoordingsorgaan van het pensioenfonds; c. externe leden van de Beleggingsadviescommissie van het pensioenfonds. DNB: AP: De Nederlandsche Bank Autoriteit Persoonsgegevens

2 Artikel 2 Melding incident 1. Elke verbonden persoon is verplicht een incident of een vermoeden van een incident direct te melden aan de compliance officer. 2. De melding wordt bij voorkeur schriftelijk of elektronisch gedaan. Een mondelinge melding is ook mogelijk. 3. Het kan gaan om een gedraging of gebeurtenis zowel binnen het pensioenfonds als bij partijen aan wie werkzaamheden zijn uitbesteed. 4. Indien aanvullende informatie nodig is in het belang van het onderzoek, kan de verbonden persoon worden verzocht zijn medewerking hieraan te verlenen. 5. De melding van een incident of een vermoeden van een incident wordt vertrouwelijk en met grote zorgvuldigheid behandeld. 6. De compliance officer beoordeelt de melding en neemt vervolgens zo nodig het besluit een nader onderzoek in te (doen) stellen. 7. Indien een onderzoek wordt ingesteld, dan wordt het bestuur daarvan in kennis gesteld. 8. Indien er naar het oordeel van de compliance officer geen sprake is van een incident, dan wordt de melder hierover direct geïnformeerd. 9. Indien de melding betrekking heeft op de voorzitter, dan treedt de vicevoorzitter in het kader van deze regeling in zijn plaats. Artikel 3 Onderzoek 1. Het doel van het onderzoek is: a. waarheidsvinding met betrekking tot het incident en de daarmee samenhangende bewijsvoering voor disciplinaire, civielrechtelijke en strafrechtelijke vervolgstappen; b. het beperken van de (potentiële) schade naar een beheersbaar niveau; en c. het herstel van de bedrijfsvoering, voor zover het incident daarop enige invloed had. 2. Het onderzoek naar het incident wordt uitgevoerd door interne en/of externe deskundigen. Als de melding betrekking heeft op een incident bij een partij aan wie werkzaamheden zijn uitbesteed, wordt het onderzoek verricht in overleg met deze partij. 3. De onderzoekers rapporteren de onderzoeksresultaten aan de compliance officer en de voorzitter. De rapportage bevat een kort relaas van feiten en omstandigheden en indien vastgesteld is dat sprake is van een incident de bewijsvoering daarvoor in hoofdlijnen en een advies met betrekking tot de te nemen maatregel(en).

3 Artikel 4 Maatregelen 1. Op basis van de onderzoeksresultaten beoordeelt de voorzitter het incident en besluit in overleg met het bestuur over de eventueel te nemen maatregel(en), zoals: a. disciplinaire maatregelen; b. civielrechtelijke maatregelen; c. interne en externe openbaarmaking; d. aanpassing van procedures; en/of e. overige maatregelen voor het herstel van de bedrijfsvoering. 2. Indien een incident veroorzaakt is door een verbonden persoon, wordt bij het bepalen van de maatregel(en) en sancties betrokken dat een incident als een ernstige schending wordt beschouwd van de vertrouwensrelatie tussen het pensioenfonds enerzijds en de verbonden persoon anderzijds. 3. Het veroorzaken van een incident of anderszins daarbij betrokken zijn, kan leiden tot ontslag uit de functie die de verbonden persoon bij het pensioenfonds vervult. Indien sprake is van opzettelijk en ernstige strafbare feiten, zoals misdrijven genoemd in het Wetboek van Strafrecht en de Wet op de economische delicten, wordt in beginsel aangifte gedaan bij justitie of de politie. 4. De voorzitter ziet toe op de implementatie en naleving van nieuwe procedures en maatregelen, die naar aanleiding van het incident getroffen worden. Artikel 5 Rapportage aan de toezichthouder 1. Door of namens de voorzitter wordt onverwijld DNB over een incident geïnformeerd als: a. aangifte is of wordt gedaan bij justitiële autoriteiten; b. het voortbestaan van het pensioenfonds wordt bedreigd of zou kunnen worden bedreigd; c. er sprake is van een ernstige tekortkoming in de opzet en werking van de maatregelen ter bevordering of handhaving van een integere bedrijfsvoering door het pensioenfonds; d. mede gelet op verwachte publiciteit, rekening behoort te worden gehouden met (een ernstige mate van) reputatieschade voor het pensioenfonds; of e. de ernst, de omvang of de overige omstandigheden van het Incident in aanmerking genomen, DNB in verband met haar toezichtstaak redelijkerwijs, of op basis van een wettelijke verplichting, behoort te worden geïnformeerd. 2. De voorzitter informeert DNB tevens over de maatregelen die naar aanleiding van het incident zijn genomen of nog zullen worden genomen. Artikel 6 Incidentenregister 1. De compliance officer houdt door middel van een incidentenregister een registratie bij van alle binnengekomen meldingen, de wijze van opvolging, ingestelde onderzoeken, onderzoeksresultaten, de genomen preventieve en repressieve maatregelen en de meldingen aan DNB. Ook de incidenten bij uitbestedingspartners van het pensioenfonds worden door de compliance officer opgenomen in dit incidentenregister.

4 Artikel 7 Afhandelen melding incident 1. Indien sprake is van een incident wordt binnen een periode van vier weken, vanaf het moment van melding aan de compliance officer, de melder van het incident door of namens de voorzitter schriftelijk op de hoogte gebracht van een inhoudelijk standpunt over het gemelde incident. Daarbij wordt aangegeven welke maatregelen zijn genomen naar aanleiding van het incident. 2. Indien binnen vier weken geen inhoudelijk standpunt over het gemelde incident kan worden gegeven, wordt de melder door of namens de voorzitter hiervan schriftelijk op de hoogte gebracht. Hierbij wordt aangegeven binnen welke termijn een standpunt tegemoet kan worden gezien. Artikel 8 Inwerkingtreding Deze incidentenregeling is in werking getreden met ingang van 10 september 2019.

5 Bijlage 1 Procedure Datalekken Met ingang van 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) en de Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG) in werking getreden. Er geldt sindsdien een meldplicht die inhoudt dat alle verbonden personen van het fonds datalekken onverwijld moeten melden aan: het fonds; in bepaalde gevallen of aan de AP, of DNB, of in bepaalde gevallen aan de betrokkene(n); Deze procedure beschrijft hoe te handelen binnen het fonds indien er sprake is van: een datalek of wanneer een datalek vermoed wordt, een datalek bij een verbonden persoon, een datalek bij een derde, bijvoorbeeld een bewerker van persoonsgegevens van het fonds. De procedure is mede gebaseerd op de beleidsregels van de AP inzake de meldplicht datalekken in de AVG. Per gemeld datalek behoudt het fonds zich de vrijheid voor om te beoordelen of de procedure gevolgd kan worden, dan wel afwijking van deze procedure gerechtvaardigd is. 1. Identificeren datalek Met verbonden personen en derde (pensioenuitvoeringsorganisatie) is afgesproken om zonder onnodige vertraging, doch uiterlijk binnen 48 uur nadat de verbonden persoon of derde (uitvoerder) een (mogelijk) datalek heeft geconstateerd het dagelijks bestuur hiervan in kennis te stellen. Het dagelijks bestuur bestaat uit de voorzitter en de secretaris van het pensioenfonds. Daarnaast informeert de verbonden persoon of derde (pensioenuitvoeringsorganisatie) het fonds zo mogelijk niet later dan 48 uur nadat het (mogelijk) datalek is geconstateerd accuraat over: a. de geconstateerde en de vermoedelijke gevolgen van de inbreuk voor de verwerking van Persoonsgegevens en (kring van) de betrokkenen; b. de maatregelen die de uitvoerder heeft getroffen of voorstelt te treffen om de (negatieve) gevolgen van de inbreuk te beperken en te verhelpen. c. desgevraagd aanvullende gegevens die het fonds nodig heeft om een eventuele melding bij de toezichthouder te kunnen verrichten. 2. Beoordeling datalek ja/nee Op basis van de verkregen informatie en bij vermoeden van een datalek wordt door het dagelijks bestuur zo spoedig mogelijk de beoordeling gemaakt of er daadwerkelijk sprake is van een datalek. De beoordeling of er sprake is van een incident, dat gemeld moet worden aan de AP komt tot stand met behulp van de WP29 guidelines on data breach notification (6 februari 2018). Tevens wordt beoordeeld of er per direct maatregelen genomen moeten worden om de schade te beperken, waaronder het doen van een (voorlopige) melding aan betrokkenen. In het geval dat het incident niet heeft geleid tot verlies of onrechtmatige verwerking van persoonsgegevens is er geen sprake van een datalek maar van een beveiligingslek. Melding aan de AP is dan niet nodig. Wel overlegt het dagelijks bestuur dan of het zinvol is om het beveiligingslek te onderzoeken om herhaling te voorkomen. 3. Melden aan de AP Het dagelijks bestuur verzorgt de tijdige (onverwijld, zonder onnodige vertraging, en zo mogelijk niet later dan 72 uur na de ontdekking van het datalek) elektronische melding bij de AP volgens het online meldingsformulier van de AP. Het dagelijks bestuur fungeert als contactpersoon inzake de communicatie naar de AP. Dit geldt ook in geval nog niet duidelijk is dat het incident een datalek is. Dan is de mogelijkheid aanwezig om na vaststelling van de aard van het incident de melding aan te vullen dan wel in te trekken.

6 Indien de concrete situatie zich daartoe leent, zal het dagelijks bestuur aan de derde (pensioenuitvoeringsorganisatie) vragen de melding aan de AP te doen en het dagelijks bestuur op de hoogte te houden van de melding (deze clausule geldt alleen voor pensioenuitvoeringsorganisaties). 4. Beoordeling of datalek gemeld dient te worden aan betrokkene(n) Het dagelijks bestuur stelt vast of het datalek ook moeten worden gemeld aan degenen om wiens gegevens het gaat. Het dagelijks bestuur maakt hierbij gebruik van de WP29 guidelines on data breach notification (6 februari 2018). 5. Oorzaken en verbetermaatregelen De verbonden persoon of derde (pensioenuitvoeringsorganisatie) is verplicht om bij constatering van een datalek, in goed overleg met het fonds, voor eigen rekening en risico alle noodzakelijke maatregelen te nemen om het datalek te dichten en de schade die hieruit voortvloeit of kan vloeien te beperken. De verbonden persoon of derde (pensioenuitvoeringsorganisatie) zal het fonds volledig op de hoogte houden en blijven houden van de ontwikkelingen met betrekking tot een datalek en de genomen of te nemen maatregelen om de gevolgen hiervan te beperken en herhaling te voorkomen. Het dagelijks bestuur zal aan de hand van de ontvangen informatie beoordelen of het noodzakelijk is aan de verbonden persoon of derde (pensioenuitvoeringsorganisatie) te vragen bepaalde aanvullende beveiligingsmaatregelen te treffen. Het dagelijks bestuur bewaakt de voortgang ten aanzien van eventuele aanvullende beveiligingsmaatregelen. 6. Registratie De derde (pensioenuitvoeringsorganisatie) houdt tevens een registratie bij van ieder datalek bij de derde.