Pensioen Seminar. IT & Privacy in de pensioen sector. 11 februari 2016

Transcriptie

1 Pensioen Seminar IT & Privacy in de pensioen sector 11 februari 2016

2 IT & Privacy in de pensioensector 11 februari 2016 Van Doorne 2 Programma Pensioen Seminar 14:30 uur Ontvangst 15:00 uur Welkomstwoord 15:05 16:00 uur Louis Jonker Senior advocaat IT-recht Van Doorne IT-aspecten voor pensioenuitvoerders 16:00-16:10 uur Korte Pauze 16:10-17:00 uur Elisabeth Thole Partner / Advocaat Privacyrecht Privacy aspecten voor pensioenuitvoerders 17:00 17:05 uur Afsluiting 17:05 uur Borrel

3 IT-aspecten voor pensioenuitvoerders 11 februari 2016 Louis Jonker Senior Advocaat IT-recht

4 Waarom aandacht voor IT?

5 IT-aspecten voor pensioenuitvoerders Van Doorne 5 Enkele zekerheden We worden (gemiddeld genomen) ouder en ouder. De noodzaak van een adequate oudedagvoorziening wordt steeds belangrijker. Vrijwel elke Nederlander heeft een pensioenvoorziening. Die wordt echter steeds duurder. We wensen meer kostenefficiëntie en meer transparantie in de pensioensector. We zijn allemaal in meer of mindere mate gebruiker van IT-voorzieningen. We kunnen allemaal in meer of mindere mate niet meer zonder IT. maar we blijven worstelen met de toepassing van IT in de pensioensector, het behalen van de beoogde voordelen en het beheersen van de bijbehorende risico s.

6 IT-aspecten voor pensioenuitvoerders Van Doorne 6 DNB: IT-risico bij pensioenfondsen Onderzoek DNB (juli 2015): Pensioenfondsen doen te weinig om hun risico s op problemen met computersystemen te beheersen. Meer dan de helft is onvoldoende voorbereid op een calamiteit. Training voor afhandeling van beveiligingsincidenten is ondermaats. Controle op betrouwbaarheid van data 'kan beter'. Meeste fondsen zeggen dat hun IT niet geschikt is voor de toekomststrategie. Bestuurlijke aandacht voor het onderwerp is laag: veelal geen agendaonderwerp, onder meer door weinig IT-kennis. Vaak geen IT-risicoanalyses en ook geen duidelijke afspraken met de uitvoerder over de kwaliteit van de IT.

7 IT-aspecten voor pensioenuitvoerders Van Doorne 7 DNB: IT-risico bij pensioenfondsen IT-risico s: - uitval van systemen; - toegang door onbevoegden; - fouten in de informatie Extra risico s door het toenemen van cybercrime en de grote ITvernieuwingsprojecten die bij veel uitvoerders lopen (complexiteit). Er valt veel te verbeteren aan de beheersing van deze risico s. DNB gaat meer en indringend aandacht vragen voor (governance van) IT, met name waar sprake is van een vorm van uitbesteding.

8 IT: waar moet ik dan aan denken?

9 IT-aspecten voor pensioenuitvoerders Van Doorne 9

10 IT-aspecten voor pensioenuitvoerders Van Doorne 10

11 IT-aspecten voor pensioenuitvoerders Van Doorne 11 Hardware contracten Verkrijging van hardware Koop (eigendomsoverdracht) Lease/huur (geen eigendomsoverdracht) Hardware diensten Ontwikkeling Installatie Onderhoud & ondersteuning (herstel & vervang) Sourcing van hardware Housing IaaS

12 IT-aspecten voor pensioenuitvoerders Van Doorne 12

13 IT-aspecten voor pensioenuitvoerders Van Doorne 13

14 IT-aspecten voor pensioenuitvoerders Van Doorne 14 Softwarecontracten Softwarelicentie Eeuwigdurend vs. periodiek Koop? Softwarediensten Ontwikkeling (waterval, agile) Installatie en implementatie Onderhoud en ondersteuning Broncode escrow Sourcing van software Hosting, ASP PaaS/SaaS

15 IT-aspecten voor pensioenuitvoerders Systeembenadering Van Doorne 15 cloud

16 IT-aspecten voor pensioenuitvoerders Procesbenadering: BPO Van Doorne 16

17 Juridische aspecten van IT

18 IT-aspecten voor pensioenuitvoerders Van Doorne 18 Bezint eer gij begint Welke eisen en wensen stelt de business aan IT? Functionaliteit Beschikbaarheid Performance Planning Wie zijn de relevante partijen? Afnemer (pensioenuitvoerder); andere gebruikers (uitvoeringsorganisatie?) Leverancier; onderaannemers? Welke scenario s zijn denkbaar? Wat als alles misgaat? Aard van de verplichtingen, formaliteiten, aansprakelijkheidsbeperkingen

19 IT-aspecten voor pensioenuitvoerders Bezint eer gij begint Van Doorne 19 Welke eisen en wensen stelt de business aan IT? Functionaliteit Beschikbaarheid Performance Planning Wie zijn de relevante partijen? Afnemer (pensioenuitvoerder); andere gebruikers (uitvoeringsorganisatie?) Leverancier; onderaannemers? Welke scenario s zijn denkbaar? Wat als alles misgaat? Ofwel: WIE doet WAT WANNEER en WHAT IF? Aard van de verplichtingen, formaliteiten, aansprakelijkheidsbeperkingen

20 IT-aspecten voor pensioenuitvoerders Van Doorne 20 Waar zitten zoal de uitdagingen? Uitdaging #1: Corporate governance Kan je aan je wettelijke verplichtingen voldoen? Wft, Pensioenwet, Code Tabaksblat, Code Pensioenfondsen ( deugdelijk ondernemingsbestuur ) Civielrechtelijke en fiscale bewaarplichten Bestuurdersverantwoordelijkheid (Ceteco; Landis); positie DNB Oplossingen c.q. beheersingsmaatregelen: Continuïteitswaarborgen (zie hierna) Audit TPM (bijv. ISO27001-certificaat; ISAE3402 type I/II assurance report)

21 IT-aspecten voor pensioenuitvoerders Van Doorne 21 Waar zitten zoal de uitdagingen? Uitdaging #2: Continuïteit bedrijfsvoering Potentiële bedreigingen: Gebrekkige kwaliteit/performance leverancier of diensten Vendor lock-in Oplossingen c.q. beheersingsmaatregelen: Gedegen analyse (sourcingstrategie, eisen en wensen van de business) Gedegen review van SLA s (meetperiode; gepland onderhoud; governance op laatste 1%) Toegang tot gegevens; datastandaardisatie Geclausuleerd opschortingsrecht leverancier bij betalingsgeschillen

22 IT-aspecten voor pensioenuitvoerders Van Doorne 22 Waar zitten zoal de uitdagingen? Uitdaging #3: Verwachtingenmanagement Potentiële bedreiging: Mismatch van verwachtingen en mogelijkheden Oplossingen c.q. beheersingsmaatregelen: Goede regieprocessen (communicatie, rapportage) Realisme over stand van zaken: - 100% betrouwbaarheid bestaat niet - mate van risico-aanvaarding leverancier is inherent aan prijsstelling - des te groter de eigen rol in een project (stuurgroep etc.), - vertrekpunt is ook gebrekkig

23 IT-landschap toekomstvast?

24 IT-aspecten voor pensioenuitvoerders Van Doorne 24

25 IT-aspecten voor pensioenuitvoerders Meer dan 100 jaar later Van Doorne 25 Is er iets veranderd hoe wij als maatschappij kijken naar nieuwe technologieën en nieuwe IT-bedrijfsmodellen?

26 IT-aspecten voor pensioenuitvoerders Van Doorne 26 De wereld verandert De arbeidsmarkt wordt steeds flexibeler: men werkt niet meer bij een bedrijf, en krijgt daardoor te maken met verschillende pensioenpotjes. Pensioenrisico s verschuiven steeds vaker van de werkgever naar de deelnemer: pensioen is aan het veranderen van een arbeidsvoorwaarde naar een financieel product. Deelnemers hebben door de opkomst van internet de beschikking over veel meer kennis dan tien jaar geleden: deelnemers willen niet meer moeten vertrouwen op hun pensioenuitvoerders, maar willen een eigen beeld vormen over hun pensioen opties. Deelnemers eisen meer en meer dat pensioenuitvoerders kunnen laten zien dat zij risico en rendement kunnen sturen en dat zij kunnen aantonen dat zij voldoende grip hebben op de kosten. Beleggingsstrategieën worden steeds complexer.

27 IT-aspecten voor pensioenuitvoerders Van Doorne 27 De wetgever helpt een handje De nieuwe Wet Pensioencommunicatie: Deels al op 1 juli 2015 en 1 januari 2016 in werking getreden; de rest volgt de komende jaren. De Wet Pensioencommunicatie vergroot de nadruk op communicatie door pensioenuitvoerders met deelnemers in begrijpelijke taal. Denk aan niveau B1. De nieuwe wet vereist voorts dat de communicatie beter moet aansluiten op het profiel en de behoeftes van de ontvanger. Maatwerk dus! Dit vereist een switch van een compliar-centric naar een customer-centric dienstverlening.

28 IT-aspecten voor pensioenuitvoerders Van Doorne 28 FinTech als oplossing? IT-oplossingen die het mogelijk maken klantdata bij elkaar te brengen, te analyseren en op basis daarvan persoonlijk maatwerk te bieden. Datavisualisatie en games die klanten helpen te begrijpen hoe pensioenen werken en keuzes te maken voor hun oude dag. Robo Advisors die een kostenefficiënt, geautomatiseerd vermogensbeheer mogelijk maken door een portefeuille samen te stellen die continu wordt gemonitord en indien noodzakelijk automatisch wordt aangepast. Blockchaintechnologie (de technologie achter de Bitcoin) die kan worden ingezet om er zeker van te zijn dat pensioengeld conform het risicoprofiel van de deelnemer wordt geïnvesteerd. Etc.

29 IT-aspecten voor pensioenuitvoerders Van Doorne 29 Maar Grotere aansprakelijkheidsrisico s jegens deelnemers? Weglaten van juridische nuances in pensioencommunicatie; Mate van waarschuwingsplicht bij grotere autonomie van de deelnemer? Rechtsgevolgen van gerobotiseerde handelingen? Grotere privacy compliance uitdagingen: Verdergaande profiling van deelnemers; Beveiliging & cybercriminaliteit.

30 IT-aspecten voor pensioenuitvoerders Van Doorne 30 Contact Louis Jonker Advocaat IT / FinTech t m jonker@vandoorne.com

31 Elisabeth Thole Partner / Advocaat Privacyrecht Van Doorne

32

33

34 Privacy in de pensioensector 11 februari 2016 Van Doorne 34 Waarom voldoet u aan de Privacy Regels? Omdat Maar ook Ethisch belang Reputatie Wij hechten belang aan privacy compliance. Publicatie onderzoeken Pensioenuitvoerder moet handhavende maatregelen opnemen in bestuursverslag Risico management o Last onder dwangsom o boetes tot EUR of 10% van de jaaromzet o Na 2018: Boetes tot 20 miljoen of 4% van de wereldwijde jaaromzet Publicaties CBP/AP

35 Privacy in de pensioensector 11 februari 2016 Van Doorne 35 1 januari 2016: Nieuwe Privacy Regels - Meldplichten Datalekken - Hoge boetes - Nieuw naam & Nieuw Logo: Autoriteit Persoonsgegevens

36 Privacy in de pensioensector 11 februari 2016 Van Doorne 36 Privacy Regels - EU Privacyrichtlijn (1995) - Toekomst: AVGB (2018) - Wet bescherming persoonsgegevens (Wbp) - Telecommunicatiewet - Privacy bepalingen in de Pensioenwet - Gedragscode Verwerking Persoonsgegevens Financiële Instellingen - Autoriteit Persoonsgegevens - Artikel 29 Werkgroep (Europees Comité voor Gegevensbescherming)

37 Privacy in de pensioensector 11 februari 2016 Van Doorne 37 Persoonsgegevens Elk gegeven over een levende persoon Direct of indirect identificerend/identificeerbaar Zie Opinie Artikel 29 Werkgroep

38 Privacy in de pensioensector 11 februari 2016 Van Doorne 38 Verwerken Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens: vastleggen ordenen bewaren bijwerken wijzigen opvragen raadplegen gebruiken verstrekken - doorzenden - verspreiden - ter beschikking stellen - samenbrengen/ verzamelen - met elkaar in verband brengen - afschermen - uitwissen - vernietigen - [ ]

39 Privacy in de pensioensector 11 februari 2016 Op wie is de Wbp van toepassing? Van Doorne 39 Verantwoordelijke Bewerker Betrokkene rechtspersoon alleen of samen met anderen initiatief: o het doel en o de middelen o vaststelt voor de verwerking van persoonsgegevens opdracht zonder rechtstreeks aan diens gezag onderworpen te zijn degene wiens gegevens worden verwerkt

40 Privacy in de pensioensector 11 februari 2016 Van Doorne 40 de Pensioendriehoek werkgever werknemer pensioenreglement pensioenuitvoerder

41 Privacy in de pensioensector 11 februari 2016 Van Doorne 41 Kwalificatie partijen in pensioendriehoek Verantwoordelijke Wie heeft de verwerking geïnitieerd? Waarom vindt de verwerking plaats; wat is het doel? Wie verwerkt daadwerkelijk en in welke mate de gegevens? Wie heeft formeel zeggenschap over de verwerking? Wie heeft daadwerkelijk zeggenschap over de verwerking?

42 Privacy in de pensioensector 11 februari 2016 Van Doorne 42 Wie is wat? Verantwoordelijke Bewerker Betrokkene Werkgever Pensioenfonds Sociale partners / beroepspensioenvereniging Uitvoeringsorganisatie? Uitvoeringsorganisatie? Andere partijen Pensioenregister (Gewezen) Deelnemer Pensioengerechtigde Werknemers van pensioenuitvoerder Zakelijke contacten van pensioenuitvoerder Overige

43 Privacy in de pensioensector 11 februari 2016 Wat is de rol van de uitvoeringsorganisatie? Van Doorne 43 Stel een pensioenfonds heeft zijn helpdeskactiviteiten uitbesteed aan een uitvoeringsorganisatie. De SLA bepaalt welke KPI s de uitvoeringsorganisatie moet behalen. Stel een pensioenfonds heeft de uitvoering van zijn geschillenregeling uitbesteed aan een uitvoeringsorganisatie. De uitbestedingsovereenkomst verwijst voor de uitvoering daarvan naar het van tijd tot tijd toepasselijke geschillenreglement.

44 Privacy in de pensioensector 11 februari 2016 Van Doorne 44 Belangrijkste verplichtingen - Wbp Toereikend, ter zake dienend en niet bovenmatig Behoorlijk zorgvuldig en in overeenstemming met de wet Doelbinding Grondslag Informatieplicht Meldingsplicht Beveiliging / Meldplicht Datalekken Sluiten bewerkersovereenkomst Doorgifte naar derde landen

45 Privacy in de pensioensector 11 februari 2016 Van Doorne 45 Melden Autoriteit Persoonsgegevens of Functionaris Gegevens-bescherming (FG) Vrijstellingen Gratis In het Nederlands Meldingsformulier

46 Privacy in de pensioensector 11 februari 2016 Van Doorne 46 Grondslag gegevensverwerking Toestemming betrokkene Uitvoering overeenkomst Gerechtvaardigd belang Wettelijke verplichting [ ]

47 Privacy in de pensioensector 11 februari 2016 Van Doorne 47 Privacy Statement

48 Privacy in de pensioensector 11 februari 2016 Van Doorne 48 Beveiliging Passende technische en organisatorische beveiliging CBP Richtsnoeren (2013) AP Beleidsregels Meldplicht Datalekken (2016)

49 Privacy in de pensioensector 11 februari 2016 Van Doorne 49 Bewerkersovereenkomst Omschrijving Diensten / Verwerkingen / Toegang Betrouwbaarheidseisen Afspraken beveiligingsmaatregelen Inhoud en frequentie rapportages Beveiligingsincidenten en datalekken Subbewerkers Doorgifte naar derde landen Heronderhandeling / beëindiging / noodplan

50 Privacy in de pensioensector 11 februari 2016 Van Doorne 50 Meldplichten Datalekken Either you have been data breached or you just do not know that you have been data breached

51 Privacy in de pensioensector 11 februari 2016 Van Doorne 51 Wat is een datalek? Een datalek is een inbreuk op de beveiliging van persoonsgegevens. Van een datalek is alleen sprake als er persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt. Bijvoorbeeld een zoekgeraakte USB-stick, een gestolen laptop of een inbraak door een hacker.

52 Privacy in de pensioensector 11 februari 2016 Van Doorne 52 Bij wie wanneer melden? Autoriteit Persoonsgegevens: onverwijld = 72 uur (Aanzienlijke kans op) op ernstige nadelige gevolgen voor de bescherming van persoonsgegevens Webformulier / fax Betrokkenen: onverwijld =?? De inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de persoonlijke levenssfeer van de betrokken personen Op website/per / brief/krant of. Uitzonderingen Logboek van datalekken Let op: uitzonderingen / eigen meldplichten specifieke sectoren

53 Privacy in de pensioensector 11 februari 2016 Van Doorne 53 Wat raden wij u aan? Roadmap datalekken Pre-incident maatregelen Beveiligingsincident Post-incident maatregelen Audits Cyberverzekering

54 Privacy in de pensioensector 11 februari 2016 Van Doorne 54

55 Privacy in de pensioensector 11 februari 2016 Van Doorne 55 AVGB Inwerkingtreding verwacht in 2018 Eén set regels binnen de EU (uitzonderingen per lidstaat) One-stop-shop? Toenemende verplichtingen Meer rechten betrokkenen Sancties: 20 miljoen EUR of 4% wereldwijde jaaromzet

56 Privacy in de pensioensector 11 februari 2016 Van Doorne 56 Contact Mr. dr. Elisabeth P.M. Thole Hoofd Van Doorne Privacy Team Lid Van Doorne Cyber Response Team t +31 (0) f +31 (0) m + 31 (0) thole@vandoorne.com Volg ons op Twitter: VDprivacy Check: Van Doorne Alert

57 AMSTERDAM Van Doorne N.V. Jachthavenweg KM Amsterdam P.O. Box AG Amsterdam The Netherlands t +31 (0) info@vandoorne.com LONDON Van Doorne UK B.V. 125 Old Broad Street London EC2N 1AR United Kingdom t london@vandoorne.com ASSOCIATION WITH VANEPS KUNNEMAN VANDOORNE ARUBA I BONAIRE I CURACAO I ST. MAARTEN DUTCH CARIBBEAN DESK (AMSTERDAM) info@ekvandoorne.com