Educatiesessie R O B U U S T E P E N S I O E N A D M I N I S T R AT I E

Transcriptie

1 Educatiesessie R O B U U S T E P E N S I O E N A D M I N I S T R AT I E

2 Agenda 14:00 14:15 Welkom robuuste pensioen administratie 14:15 15:15 Het optimale bedrijfsmodel vanuit kostenperspectief 15:15 15:30 Pauze 15:30 16:15 Privacy 16:15 16:20 Korte break 16:20 17:15 IT beleid 17:15 napraten en borrel 2

3 Wat is robuuste pensioenadministratie? Integere en beheerste operationele bedrijfsvoering en wendbaarheid van de organisatie staan centraal. Wendbaarheid heeft betrekking op de aanpasbaarheid en financiële positie van de organisatie Maar ook wendbaarheid van de operatie en de systemen (aanpassing en inrichting) Vandaag benaderen we deze twee kernpunten vanuit drie praktische inzichten: 1. Het optimale bedrijfsmodel vanuit kostenperspectief 2. Privacy van u en uw deelnemers staat centraal 3. IT beleid, kaders geven aan uw IT volwassenheid 3

4 Robuuste pensioenadministratie volgens de toezichthouders Pensioenfondsen die vallen onder de Pensioenwet BES vallen onder het toezicht van DNB Pensioenfondsen die vallen onder het toezicht van de Centrale Bank van Aruba of de Centrale Bank van Curaçao en Sint Maarten vallen onder een Richtlijn of Beleidsregel Integere Bedrijfsvoering focus ligt daarmee sterk op integriteit en in zeer beperkte mate op beheersbaarheid. 4

5 Trends in de pensioenmarkt (On)Beheerste kostensturing Meer kosten dan verwacht Externe risico s Hacking, DDOS, cybercriminelen Toezichtskosten nemen toe Privacy(AVG), Cybersecuritywet, etc. Bestuur Verantwoordelijkheid Beheersing Verantwoording Bewustzijn Uitbestedingen (Onder)Uitbestedersbeleid Digitalisering Investeringen in digitalisering Maatschappelijke verantwoording Transparantie naar deelnemers toe 5

6 Het optimale bedrijfsmodel vanuit het perspectief van kosten efficiency

7 Agenda Wat is het vertrekpunt voor een bestuur? Case study aan de hand van een Nederlands praktijkvoorbeeld Optimaal bedrijfsmodel vanuit kosten perspectief Samenvatting, conclusies en tips Voor bestuurders zijn kosten altijd een belangrijk onderdeel geweest van de discussie over het bedrijfsmodel van het pensioenfonds. De kosten per deelnemer worden alom gebruikt als graadmeter. Wat kan het bestuur doen om de kosten inzichtelijk en beheersbaar te maken? Montae laat tijdens deze sessie door middel van een case studie zien hoe een pensioenfondsbestuur dit gestructureerd kan aanpakken. Hoe maak je een degelijke analyse van de kosten structuur? Waar zitten de grootste mogelijkheden om kosten te besparen? Welke keuzes kan het bestuur hierin maken? 7

8 Vertrekpunt (1) APFA's missie is het voorzien in en het zorgdragen voor de pensioenen van haar deelnemers. Onze belangrijkste ambitie is het bijdragen aan het welzijn van de beroepsbevolking op Aruba door het aanbieden van betaalbare financiële zekerheid voor de deelnemers na pensionering. APFA - Aruba Vidanova continues to strive for excellence taking the interest of the actual and potential future participants and sponsors into account. We continue supporting them in the development and implementation of their pension policies. Our goal is to safeguard continuity, transparency, consistency and provide and optimize quality and timely client services as our core values. Vidanova - Curacao APS has as mission to achieve the highest possible returns on the fund s assets, with proportionate financial risks, thereby contributing to the welfare of the members of the pension fund by securing their future pension benefit. APS Sint Maarten Wij zijn toonaangevend door jarenlange ervaring van onze pensioen- en beleggingsexperts, kapitaalkrachtig door een verantwoord investeringsbeleid en betrouwbaar door het waarborgen van het pensioen voor onze deelnemers. APC - Curacao 8

9 Vertrekpunt (2) Is er een eenduidige uitleg van het begrip het optimale bedrijfsmodel? Houdbare bedrijfsmodellen. De toenemende complexiteit van de sector zet de houdbaarheid van het bedrijfsmodel van kleine en gesloten pensioenfondsen verder onder druk. Kleinere pensioeninstellingen kampen met stijgende kosten en een onvoldoende robuuste bedrijfsvoering. Consolidatie kan hierbij een oplossing zijn, maar soms kost het de instellingen moeite om deze stap te nemen. Wanneer het besluit tot consolidatie niet tijdig wordt genomen kunnen er transitierisico s ontstaan. Mogelijk is de overdragende instelling onvoldoende in staat een goede alternatieve uitvoerder te vinden of een beheerste overdracht te bewerkstelligen. Dat kan nadelig zijn voor de pensioenaanspraken van deelnemers. 9

10 Vertrekpunt (3) - toekomstbestendigheid Er moet stuur zijn op de toekomstbestendigheid van pensioenfondsen. Hiervoor heeft de DNB een aantal financiële en niet- financiële indicatoren geformuleerd die duiden op verhoogde kwetsbaarheid: Financiële indicatoren Laag risico (Niet limitatief en kwalitief) 1. Financiële positie Voldoet aan vereist eigen vermogen Dekkingsgraad is in de afgelopen jaren (redelijk) stabiel gebleven Hoog risico (Niet limitatief en kwalitatief) Dekkingsgraad is lager dan 100% Dekkingsgraad is de afgelopen jaren behoorlijk gedaald 2. Bescherming aanspraken deelnemer De afgelopen jaren geen kortingen doorgevoerd Geen of beperkte achterstand ten aanzien van toeslagverlening Korting(en) doorgevoerd in afgelopen jaren Aanzienlijke achterstand ten aanzien van toeslagverlening 3. Premiestuur Premiedekkingsgraad voldoende om buffer in te kopen Premie > 3% technische voorzieningen 4. Beleggingsbeleid Vereist eigen vermogen < 12% Renteafdekkingspercentage > 65% Overrendement afgelopen jaren (t.o.v. benchmark) > 2% per jaar Geen premiestuur (gesloten fonds) Premiedekkingsgraad (ruim) onder 100% Premie < 1% technische voorzieningen Vereist eigen vermogen > 25% Renteafdekkingspercentage < 25% Rendement afgelopen jaren lager dan rendement benchmark 5. Kosten van uitvoering Kosten per deelnemer < 100 EUR Totale kosten < 0,15% van de technische voorzieningen Aanwezige kostenvoorziening hoger dan benodigde kostenvoorziening Kosten per deelnemer > 500 EUR Totale kosten > 1% van de technische voorzieningen Aanwezige kostenvoorziening > 2% lager dan benodigde kostenvoorziening (als % t.o.v. technische voorzieningen) 6. Toekomstverwachting (o.b.v. haalbaarheidstoets) Niet-financiële indicatoren Pensioen in mediaan scenario koopkrachtbestendig (verwacht pensioenresultaat > 100% Pensioen in slecht weer scenario minimaal aangepast met 4/5e deel inflatie (VPR > 79%) Spreiding tussen mediaan en slecht weer scenario < 20% 7. Demografie van het fonds Het deelnemersbestand van het fonds bestaat voor te minste 50% uit actieve deelnemers het deelnemersbestand is in de afgelopen jaren gegroeid 8. Diversiteit van het bestuur De gemiddelde leeftijd van de bestuursleden is <50 jaar Zowel mannen als vrouwen bezetten > 30% van de bestuurszetels 9. Vernieuwing van het bestuur In de afgelopen jaren is > 25% van de bestuurders vervangen Bestuurders zijn gemiddeld < 6 jaar in functie Meer dan 1/5e deel verlies aan koopkracht in mediaan scenario (VPR < 79%) Pensioen in slecht weer scenario aangepast met minder dan de helft van de inflatie (VPR < 55%) Spreiding tussen mediaan en slecht weer scenario > 55% Het deelnemersbestand van het fonds bestaat voor meer dan 30% uit pensioengerechtigden Het deelnemersbestand is in de afgelopen jaren met > 15% gekrompen De gemiddelde leeftijd van het bestuur is > 60 jaar Mannen of vrouwen bezetten < 5% van de bestuurszetels In de afgelopen jaren is < 10% van de bestuurders vervangen Bestuurders zijn gemiddeld > 12 jaar in functie Op punt 5 en 6 zal in gegaan worden wat betreft het optimale bedrijfsmodel. 10

11 Vertrekpunt (4): Trends in de pensioenmarkt (On)Beheerste kostensturing Meer kosten dan verwacht Externe risico s Hacking, DDOS, cybercriminelen Toezichtskosten nemen toe Privacy, Cybersecuritywet, etc. Bestuur $ $ Verantwoordelijkheid Beheersing Verantwoording Bewustzijn Uitbestedingen (Onder)Uitbestedersbeleid Digitalisering Investeringen in digitalisering Maatschappelijke verantwoording Transparantie naar deelnemers toe 11

12 Case study - vraagstelling Kernvraag: hoe kan ik mijn optimale bedrijfsmodel bereiken? Wat is een aanvaardbaar kostenefficiënt bedrijfsmodel en hoe toets ik dat? Zijn deze ontwikkelingen en de daarmee gemoeide investeringen en kosten houdbaar voor de kleine pensioenfondsen? Transparantie in kosten betekent niet per definitie marktconforme kosten. Wat zijn marktconforme kosten? 12

13 Case study het optimale bedrijfsmodel vanuit perspectief van kosten efficiency Optimaal bedrijfsmodel Missie, visie en strategie Juridisch, beleid en toezicht Operationeel Financieel/ actuarieel Kosten per deelnemer Aanvaardbaar? Ben ik toekomstvast? (verandervermogen) Wat streef ik na? Hoever reikt mijn horizon? Ben ik in staat compliant te blijven? Zijn mijn kosten te verantwoorden en marktconform? Is mijn regeling toekomstvast? Is er continuïteit? 13

14 Invloed van kosten Bepalend Wet en regelgeving Richting gevend Missie, Visie en strategie Bestuur Beleid Operationeel Kosten Pensioen beheer Kosten Vermogens beheer Transactie kosten 14

15 Kostenverloop vb. Pensioenuitvoerder I Deelnemers en uitvoeringskosten Is volume de enige manier om kosten te drukken? Aantal deelnemers ultimo jaar Uitvoeringskosten (in 1.000), 2015 inclusief fusiekosten ad

16 Kostenverloop vb. Pensioenuitvoerder II 400 Kosten per deelnemer (in 1) 350 KPI KPI KPI Kosten per deelnemer (in 1) 16

17 Zorg voor overzicht en inzicht Inzicht geven in de ketenpartners, uitbestedingen en onderuitbestedingen Classificeren van de transparantie en mate van beïnvloeding op de kosten van de ketenpartners en uitbestedingspartijen Bestuur/RVT Vermogensbeheerder Pensioenuitvoerder contractueel Pensioenuitvoerder incidenteel of onverwachte kosten Besparing? Actuaris Actuaris incidenteel Accountant Accountant incidenteel Print Partner Extern Archief IT Partner Escrow dienstverlener Hosting Software leverancier Digitaliserings - initiatief BO Juridisch advies BO incidenteel Commissie advies BO incidenteel Software ontwikkellaar 17

18 Uitbestedingen, hoeveel heb ik er nodig? Sturing op kostenbeheersing van (derde)uitbestedingen? Bestuur Dienstenmodel Enkelvoudige kosten 1e uitbesteding 1e uitvoerder ja Kosten herleidbaar? Onder uitbesteding Onder uitbesteding Onder uitbesteding Samengestelde kosten Evaluatie Actie! Kosten herleidbaar? ja ja nee Incidentele uitvoerings kosten Reguliere uitvoerings kosten Actie! Opsplitsen? nee Evaluatie Herijking dienst/ kosten Exit (-clausule) Aanpassing dienst en/of kosten ROI/positieve BC aanwezig 18

19 Marktconform - voorbeeld N.B. Deelnemers zijn alle deelnemers behalve de gewezen deelnemers. 19

20 Kosten en kwaliteit besturen Kosten Reguliere uitvoeringskosten Etc. Incidentele uitvoeringskosten Vermogensbeheer Bestuur Pensioenuitvoerder Overige uitbestedingen Toezichthouders KPI KPI KPI Aantal DNB/AFM Aantal vergaderingen Etc. Etc. Etc. Etc. Waar grens en grip van de kosten beheersing? Investeringen Projecten Boetes Wat is de juiste prijs kwaliteit verhouding die past bij mijn identiteit? ROI/terugverdientijd 20

21 Quickscan resultaat De quickscan geeft inzicht en advies: Best practice vergelijking Inzicht in de mate van uitbestedingen Ontwikkel een maatstaf afgestemd op jouw behoefte waarmee je de uitbestedingskosten kunt meten en beheersen 21

22 Er zijn veel opties om kosten te beïnvloeden Voorbeelden: Uw fonds is toekomstvast. Blijf sturen op kosten, risico s en kwaliteit. Uw fonds is een magneetfonds, zorg voor groei. Of andersom, sluit aan bij een magneetfonds. Ga samenwerken met een fonds met dezelfde normen en waarden. Zoek schaalvergroting en behoudt uw identiteit, of maak gezamenlijk een nieuw fonds die passend is voor beide. Zoek alternatieve oplossingen, zoals een pensioenverzekeraar. Of de openvariant. Zoek samenwerkingsverbanden met collega besturen, om zo synergievoordelen te behalen. 22

23 Doelstelling optimaal besturingsmodel Ons advies: Blijf dicht bij je ambitie en wees realistisch. Maak kosten net als kwaliteit en risico s meetbaar. Ga aan de slag en begin met praktische stappen: Begin met meten. Inzicht verkrijgen in (verborgen)kosten. Zorg voor transparantie in kosten (uitlegbaarheid). Oordeel vormen over beheersbaarheid van kosten. Onderzoek alternatieven om kostenreductie te behalen passend bij uw kwaliteitsnormen en risicobereidheid. Met als doel: Versterken financiële positie en continuïteit Countervailing power vanuit bestuur op uitbestedingen vergroten. De toezichthouder verwacht sturing van strategisch tot operationeel niveau. 23

24 Privacy 2 9 N O V E M B E R

25 Samen kijken naar de basisbegrippen 30

26 Regelgeving persoonsgegevens Aruba Curaçao Sint Maarten BES NL tot NL vanaf Landsverordening persoonsregistraties Landsverordening bescherming persoonsgegevens Landsverordening bescherming persoonsgegevens Wet bescherming persoonsgegevens BES Wet bescherming persoonsgegevens Algemene Verordening Gegevensbescherming (AVG) en bijbehorende Uitvoeringswet 31

27 Vergelijking regelgeving BES, Curaçao, Sint Maarten Regelgeving haakt aan bij de Nederlandse Wet bescherming persoonsgegevens. Begrippenkader gelijk aan Wet bescherming persoonsgegevens Latere wijzigingen van deze wet, zoals de meldplicht van datalekken, zijn niet doorgevoerd in de BES en Curaçao. Aruba Elementaire regeling van de noodzakelijke onderwerpen, waarbij is aangehaakt bij de voormalige Nederlandse Wet persoonsregistraties. Ander begrippenkader 32

28 Verschillen regelgeving in Caribbean en Nederland (inclusief AVG) Het doel: bescherming persoonsgegevens, is gelijk. De basisprincipes zijn hetzelfde. Alleen persoonsgegevens verzamelen die noodzakelijk zijn voor het doel; Persoonsgegevens alleen verwerken voor het doel waarvoor ze zijn verzameld Verschillen: NL: Sterkere rechtspositie betrokken personen NL: Strengere eisen gegevensverwerking, o.a. plicht tot aantonen voldoen aan regelgeving NL: Verplichte aanstelling van onafhankelijke Functionaris Gegevensbescherming in organisatie die op grote schaal (bijzondere) persoonsgegevens verwerkt NL: Verwerkingsregister verplicht NL: Meldplicht van datalekken bij Autoriteit Persoonsgegevens NL: Strengere eisen aan overeenkomst voor gegevensverwerking NL: Hoge (administratieve) boetes bij niet naleving verplichtingen AVG 33

29 Kernbegrippen Aruba - 1 Persoonsgegeven: Gegeven dat herleidbaar is tot een individuele natuurlijke persoon Persoonsregistratie: Samenhangende verzameling van persoonsgegevens die op meerdere personen betrekking hebben, systematisch aangelegd of geautomatiseerd. Houder: Degene die de zeggenschap heeft over een persoonsregistratie. Bewerker: Degene die (deel van) apparatuur onder zich heeft, waarmee een persoonsregistratie, waarvan hij niet de houder is, wordt gevoerd. 34

30 Kernbegrippen Aruba - 2 Persoonsregistratie alleen aanleggen voor bepaald doel, waartoe belang van de houder redelijkerwijs aanleiding geeft. Alleen persoonsgegevens die rechtmatig zijn verkregen en alleen in overeenstemming met doel waarvoor de registratie is aangelegd. Persoonsgegevens betreffende gezondheid, levensovertuiging, ras, seksualiteit, alleen opnemen indien dit voor het doel onvermijdelijk is. Persoonsgegevens alleen gebruiken voor doel waarvoor ze zijn opgenomen. Houder treft de nodige voorzieningen van technische en organisatorische aard ter beveiliging van een persoonsregistratie tegen verlies, aantasting, onbevoegde kennisneming, verstrekking of wijziging. Idem voor de bewerker. 35

31 Kernbegrippen Curaçao, Sint Maarten, BES - 1 Persoonsgegeven: Elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon. Bijvoorbeeld: naam, geslacht, geboortedatum. Identificeerbaar: de identiteit van de persoon moet redelijkerwijs, zonder onevenredige inspanning kunnen worden vastgesteld of achterhaald. Bijzonder persoonsgegeven: Gegeven over godsdienst, levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, lidmaatschap vakvereniging Verwerken persoonsgegevens: Elke handeling met betrekking tot persoonsgegevens, waaronder in ieder geval: verzamelen, vastleggen, ordenen, bewaren, bijwerken, wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, afschermen, uitwissen of vernietigen, enz. 36

32 Kernbegrippen Curaçao, Sint Maarten, BES - 2 Verantwoordelijke: Degene die, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt. Een verantwoordelijke kan zelf persoonsgegevens verwerken, of dit (deels) laten doen. Bewerker: Degene die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt, maar niet onder het rechtstreeks gezag van de verantwoordelijke valt. Betrokkene: De persoon op wie een persoonsgegeven betrekking heeft. Bestand: Gestructureerd geheel van persoonsgegevens, kan zijn gecentraliseerd of verspreid, dat betrekking heeft op verschillende personen. Ook papieren bestanden. 37

33 Kernbegrippen Curaçao, Sint Maarten, BES - 3 Doelbinding: Gegevens verwerken mag alleen voor een tevoren bepaald, uitdrukkelijk omschreven, gerechtvaardigd doel. De gegevens moeten noodzakelijk zijn voor het bereiken van het doel. Verwerking moet behoorlijk en zorgvuldig gebeuren. Hoofdregel: Voor verwerking is ondubbelzinnige toestemming nodig van de betrokkene, Uitzondering: uitvoering overeenkomst / wettelijke verplichting / goede vervulling van publiekrechtelijke taak / behartiging gerechtvaardigde belang van de verantwoordelijke, tenzij belang van betrokkene prevaleert: vb: pensioenfonds kan zonder gegevens zijn werk niet doen. Hoofdregel: Gegevens worden niet langer bewaard dan nodig voor de verwerkelijking van de doelen. Uitzondering: statistische doelen, andere regelgeving Dus: nadenken over bewaartermijnen. 38

34 Kernbegrippen Curaçao, Sint Maarten, BES - 4 Verantwoordelijke legt passende technische en organisatorische maatregelen ten uitvoer om persoonsgegevens te beveiligen tegen verlies of onrechtmatige verwerking. in overeenstemming met de stand van de techniek rekening houdend met risico s van verwerking en de aard van de gegevens bijzondere gegevens: extra beveiligen Verantwoordelijke waarborgt voldoende beveiligingsmaatregelen bij bewerker en ziet toe op de naleving van die maatregelen. De afspraken tussen de verantwoordelijke en de bewerker worden vastgelegd. Bijzondere persoonsgegevens: verwerking is in principe verboden. Pensioenfondsen mogen gezondheidsgegevens verwerken voor zover noodzakelijk voor uitvoering pensioenregeling. 39

35 Aanvullende kernbegrippen NL AVG Verwerkingsregister: Register van de verantwoordelijke of verwerker van de verwerkingsactiviteiten die onder hun verantwoordelijkheid plaatsvinden Functionaris Gegevensbescherming: Degene die aangesteld is door de verantwoordelijke of verwerker en zich bezighoudt met advisering, ondersteuning en toezien op naleving van de privacyregels Datalek: Ongeoorloofde toegang tot, of onbedoelde vernietiging, verlies, wijziging of verstrekking van persoonsgegevens uit een bestand Privacy by default en Privacy by design 40

36 Reikwijdte regelgeving - Aruba Plaats Houder Plaats Persoonsregistratie Aruba Aruba Lv persoonsregistratie van toepassing Aruba Elders Lv van toepassing, voor zover persoonsgegevens van in Aruba gevestigde personen (art. 23) Ontheffing mogelijk indien regelgeving in het elders land volgens Minister gelijkwaardige bescherming biedt Elders Aruba Lv niet van toepassing 41

37 Reikwijdte regelgeving - Aruba Landsverordening is van toepassing op: Houder gevestigd in Aruba en persoonsregistratie in Aruba Houder gevestigd in Aruba en persoonsregistratie buiten Aruba, voor zover de persoonsregistratie persoonsgegevens bevat van in Aruba gevestigde personen. Landsverordening geeft ook regels voor persoonsregistraties buiten Aruba: Indien Lv niet van toepassing is, moet een ieder die vanuit Aruba toegang heeft, de nodige voorzieningen treffen voor de beveiliging van de toegang en de daardoor verkregen persoonsgegevens Het is verboden vanuit Aruba gegevens te verstrekken aan persoonsregistraties waarop de Lv niet van toepassing is, voor zover door de Minister is verklaard dat door zodanig verstrekken of betrekken de persoonlijke levenssfeer ernstig kan worden benadeeld. 42

38 Reikwijdte regelgeving Sint Maarten Plaats Verantwoordelijke Plaats verwerking SXM SXM Lv bescherming persoonsgegevens van toepassing SXM Buiten SXM Art. 14: Verantwoordelijke draagt zorg dat bewerker recht andere land nakomt t.a.v. bescherming persoonsgegevens SXM Buiten SXM? andere staat Art. 63: Doorgifte persoonsgegevens voor verwerking alleen toegestaan indien, onverminderd de naleving van Lv, dat land een passend beschermingsniveau biedt, of wordt voldaan aan art. 64 Elders SXM Lv van toepassing; Gegevensverwerking verboden tenzij verantwoordelijke op Sint Maarten iemand als verantwoordelijke aanmerkt 43

39 Reikwijdte regelgeving - Curaçao Plaats Verantwoordelijke Plaats verwerking Curaçao Curaçao Lv bescherming persoonsgegevens van toepassing Curaçao Curaçao Land binnen Koninkrijk Buiten Koninkrijk Verantwoordelijke draagt zorg dat bewerker recht andere land nakomt t.a.v. bescherming persoonsgegevens Doorgifte persoonsgegevens voor verwerking alleen toegestaan indien, onverminderd de naleving van Lv, dat land een passend beschermingsniveau biedt, of wordt voldaan aan voorwaarden in Lv art. 52 Elders Curaçao Lv van toepassing; Gegevensverwerking verboden tenzij verantwoordelijke op Curaçao iemand als verantwoordelijke aanmerkt 44

40 Reikwijdte regelgeving BES Plaats Verantwoordelijke Plaats verwerking BES BES Wet van toepassing BES Buiten BES Art. 14: Verantwoordelijke draagt zorg dat bewerker recht andere land nakomt t.a.v. bescherming persoonsgegevens BES Buiten EU (hieronder vallen ook de Dutch Caribbean) Art. 42: Doorgifte persoonsgegevens voor verwerking alleen toegestaan indien, onverminderd de naleving van Lv, dat land een passend beschermingsniveau biedt, of wordt voldaan aan art. 43 Elders BES Art 4: Gegevensverwerking verboden tenzij verantwoordelijke op BES iemand als verantwoordelijke aanmerkt 45

41 Toezicht Land Toezicht door Status Curaçao College bescherming persoonsgegevens In oprichting? Sint Maarten BES Aruba -- Commissie toezicht bescherming persoonsgegevens Commissie toezicht bescherming persoonsgegevens BES? Actief Europees NL Autoriteit Persoonsgegevens Actief 46

42 Datalekken Datalek Ongeoorloofde toegang tot, of onbedoelde vernietiging, verlies, wijziging of verstrekking van persoonsgegevens uit een bestand. De verantwoordelijke in Nederland moet een datalek binnen 72 uur melden aan de Autoriteit Persoonsgegevens. De bewerker heeft informatieplicht jegens de verantwoordelijke in NL bij datalek. De regelgeving inzake persoonsgegevens in de Dutch Caribbean kent geen meldplicht van een datalek voor een verantwoordelijke / houder. Een datalek kan in bepaalde gevallen een incident zijn, dat op grond van de Beleidsregel / Richtlijn Integere Bedrijfsvoering moet worden gemeld aan de toezichthouder in de Dutch Caribbean. 47

43 Cloud Steeds meer informatie wordt op het internet opgeslagen. Waar staat uw informatie op dat moment? Welke wet en regelgeving is daar van toepassing? Wat als u overstapt naar een andere cloudoplossing? Heeft u goede exit bepalingen? Bent u nog steeds eigenaar van de data? Kan ik de privacy van mijn deelnemers en klanten wel beschermen? 48

44 Grip op Privacy VWR Vermogensbeheerder Verwerkingsregister (VWR) Bestuur/directie/RVT Voldoen uw (bewerkers-) overeenkomsten aan de wet en regelgeving? Pensioenuitvoerder contractueel VWR Heb ik een interne toezichthouder nodig? Actuaris Externe Toezichthouder Bestuursbureau VWR Incasso partner VWR Escrow dienstverlener Printpartner Hosting VWR IT Partner Heeft u toestemming van uw deelnemers voor het verwerken van zijn/haar persoonsgegevens? Zorg dat het vertrouwen in de pensioenuitvoering van uw deelnemers hoog blijft! Software leverancier Digitaliserings - initiatief Risico herijking? PIA uitvoeren! Software ontwikkellaar Accountant Privacy by Default! Risicoacceptatie en grip: wat vindt u acceptabel? 49 Overig VWR

45 IT beleid Een praktische aanpak 2 9 N O V E M B E R

46 Noodzaak bescherming van persoonsgegevens 51

47 Ontwikkelingen binnen IT De softwaremarkt ontwikkelt zich snel door: Online pensioenproducten Digitale pensioenfondsen is de trend Robotisering Leveranciers overnames Migraties en conversies Cybercriminaliteit IT ontwikkelingen gaan in hoog tempo door. Zijn uw klanten/deelnemers er klaar voor? 52

48 Heeft u inzicht in uw IT-keten? 53

49 Inzicht in uw ketenpartners Inzicht geven in en op basis van risico s classificeren van uw ketenpartners, uitbestedingen en onderuitbestedingen Classificeren van uw ketenpartners geeft inzicht in de omvang en mate van beheersbaarheid van de risico s bij uw ketenpartners 54

50 IT beleid noodzaak I IT normeringen waar uw uitbestedingsrelatie/pensioenuitvoerder/organisatie zich aan moet houden en waar u verantwoordelijk voor bent. Door specifieke IT beleidskaders mee te geven bent u richtinggevend op IT en bent u in staat uw IT organisatie/uitbestedingspartner beter aan te sturen. Hierdoor kunt u uw verantwoordelijk nemen en grip op houden op uw IT bestedingen. 55

51 IT beleid noodzaak II U bent en blijft eindverantwoordelijk voor de bescherming van persoonsgegevens en het verzorgen van een beheerste pensioen administratie uitvoering en de continuïteit daarvan. U moet aantonen dat u de juiste organisatorische en technische maatregelen heeft genomen om aan de beheersingsnormen te voldoen. Digitalisering en cyberrisico s vragen om een radicale omslag in denken en doen m.b.t. beleid en uitvoering. Een integrale en proactieve aansturing van uw ketenpartners met voldoende niveau van countervailing power is noodzakelijk. 56

52 IT beleid toegelicht Het IT-beleid beschrijft het geheel van doelstellingen en uitgangspunten ten behoeve van de ontwikkeling, inrichting en beheersing van IT binnen uw bedrijfsvoering. Financiële instellingen dienen te beschikken over adequate procedures en maatregelen ter beheersing van de IT-risico's. Het gaat hierbij ondermeer om het waarborgen van de continuïteit van de IT en de beveiliging van informatie. Door middel van de IT risico scan krijgt u inzicht en grip op uw grootste IT risico s waaronder het voldoen aan de richtlijnen van de toezichthouder (COBIT/ISO standaarden zijn geaccepteerde markstandaarden). Er zijn meer standaarden en best practices voor IT besturing en beheer (BISL, ITIL, ISTQB, Prince II zijn voorbeelden hiervan) 57

53 Context IT-beleid ACCESS 58

54 IT beleid waar (niet) te beginnen Diverse onderwerpen die je kunt opnemen: System requirements Manage IT professionals (knowledge, job change, personnell clearing procedures) Changemanagement Continuity management/disaster recovery plan Configuration management Incident management User management Monitoring policies Secure infrastructure Infrastructure resource protection and availability Infrastructure maintenance (Cryptographic key management, Network security, Exchange of sensitive data, Manage malware attacks) Malicious software prevention, detection and correction Protect infrastructure components Protection of security technology 59

55 IT beleid II Ontwikkel het stap voor stap, hou het praktisch Het IT-beleid beschrijft het geheel van doelstellingen en uitgangspunten ten behoeve van de ontwikkeling en inrichting van IT binnen uw bedrijfsvoering. De volgende stap zal ook het analyseren van uw bedrijfs kritische pensioen administratie processen zijn, dit zal bijdragen aan het opzetten van het Business Continuïteits Plan. Dit beleid zal bekrachtigd worden door middel van de IT risico scan waarmee u inzicht en grip op uw grootste IT risico s. Handig hulpmiddel: combineer een 0 meting met de Cobit (volwassenheidsniveau) normering die geeft voor robuuste pensioenadministratie. Op deze manier werk je efficiënt en kostenbewust aan het realiseren van de deliverables. Stel een dataclassificatie op waarmee u een baseline creëert (Beschikbaarheid, Integriteits en Vertrouwelijkheids baseline). 60

56 Casestudy: de reis van een persoonsgegeven Begin met het nadenken over je IT In groepen uiteen Denk na over waar worden in het bedrijf persoonsgegevens verwerkt Waar worden ze vastgelegd 61

57 Gegevensstromen: Van overzicht naar. Voorbeeld 62

58 inzicht. Onderdeel van de risico inventarisatie. SVB Censo/ piva Voorbeeld 63

59 Stel vervolgens eisen aan je data I Beschrijf je datastromen, wie, input, output, actiebeschrijving, doel. Daarna classificeer ze, voorbeelden: Data van deelnemers (en werkgevers / contactpersonen) moeten tijdig en voor de juiste personen beschikbaar worden gesteld: Data mogen niet uitlekken; Data mogen niet door onbestemde worden ingezien; Data moeten tijd, juist, volledig en integer beschikbaar zijn; Pensioenopbouw en polisdata moeten beheerst verwerkt en geadministreerd worden: Deelnemersdata moeten juist en aantoonbaar verwerkt worden; Vier ogen principes en logging op materiele activiteiten; Aanpassing van systemen mag niet leiden tot data corruptie of (ongewenste) definitie / inhoudelijke wijziging; Data mogen niet verloren gaan door conversies; Deze data moeten beschikbaar, opvraagbaar en herleidbaar blijven; 64

60 Stel vervolgens eisen aan je data II Beleggingsportefeuilledata moeten juist en tijdig verwerkt worden: Data moeten op het juiste moment verwerkt kunnen worden; Data moeten tijdig beschikbaar zijn; Data moeten juiste en integer beschikbaar zijn (het liefst zonder tussenkomst van menselijk handelen); Transacties moeten herleidbaar en beschikbaar zijn; Geld / middelen op de bankrekening(en) moeten tijdig en beheerst uitbetaald en geïncasseerd kunnen worden: Pensioenexcasseringen moeten conform de uitvoeringsovereenkomst uitbetaald worden aan de gerechtigde: Premievaststelling, facturatie en premie-incasso worden juist, volledig en tijdig uitgevoerd. 65

61 Classificeer je data aan de hand van BIV Beschikbaarheid: beschrijft hoeveel en wanneer data toegankelijk zijn en kunnen worden gebruikt. Integriteit: gaat over het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen (juistheid, volledigheid en tijdigheid). Vertrouwelijkheid: beschrijft de bevoegdheden en de mogelijkheden tot muteren, kopiëren, toevoegen, vernietigen of kennisnemen van informatie voor een gedefinieerde groep van gerechtigden. 66

62 Beschikbaarheid Beschikbaarheid beschrijft hoeveel en wanneer data toegankelijk zijn en kunnen worden gebruikt. De onderscheiden niveaus van beschikbaarheid zijn: Niet nodig: De gegevens kunnen zonder gevolgen langere tijd niet beschikbaar zijn Schending van beschikbaarheid heeft geen gevolgschade; Belangrijk: De informatie of service kan incidenteel uitvallen, het bedrijfsproces staat incidentele uitval toe. De continuïteit zal op redelijke termijn moeten worden hervat. Schending van deze classificatie kan enige (in)directe schade toebrengen; Noodzakelijk: De informatie of service zou niet moeten uitvallen, het bedrijfsproces staat nauwelijks uitval toe. De continuïteit zal snel moeten worden hervat. Schending van deze classificatie kan serieuze (in)directe schade toebrengen; Essentieel: De informatie of service behoort alleen in zeer uitzonderlijke situaties uit te vallen, bijvoorbeeld als gevolg van een calamiteit, het bedrijfskritische bedrijfsproces staat eigenlijk geen uitval toe. De continuïteit zal zeer snel moeten worden hervat. Schending van integriteit kan (zeer) grote schade toebrengen. 67

63 Integriteit Integriteit gaat over het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen (juistheid, volledigheid en tijdigheid). De onderscheiden niveaus van integriteit zijn: Niet zeker: Deze informatie mag worden veranderd. Geen extra bescherming van integriteit noodzakelijk. Schending van integriteit heeft geen gevolgschade; Beschermd: Het bedrijfsproces dat gebruik maakt van deze informatie heeft geen directe hinder van (integriteits)fouten. Een basisniveau van beveiliging is noodzakelijk. Schending van deze classificatie kan enige (in-)directe schade toebrengen; Hoog: Het bedrijfsproces dat gebruik maakt van deze informatie staat zeer weinig (integriteits)fouten toe. Bescherming van integriteit is absoluut noodzakelijk. Schending van deze classificatie kan serieuze (in)directe schade toebrengen; Absoluut: Het bedrijfsproces dat gebruik maakt van deze informatie staat geen (integriteits)fouten toe. Schending van integriteit kan (zeer) grote schade toebrengen. 68

64 Vertrouwelijkheid Vertrouwelijkheid beschrijft de bevoegdheden en de mogelijkheden tot muteren, kopiëren, toevoegen, vernietigen of kennisnemen van informatie voor een gedefinieerde groep van gerechtigden. De onderscheiden niveaus van vertrouwelijkheid zijn: Openbaar: Alle informatie die algemeen toegankelijk is voor een ieder. Er is geen schending van deze classificatie mogelijk; Bedrijfsvertrouwelijk: Informatie die toegankelijk mag of moet zijn voor alle medewerkers van de eigen organisatie(s). Vertrouwelijkheid is gering. Schending van deze classificatie kan enige (in)directe schade toebrengen; Vertrouwelijk: Informatie die alleen toegankelijk mag zijn voor een beperkte groep gebruikers. De informatie wordt ter beschikking gesteld op basis van vertrouwen. Schending van deze classificatie kan serieuze (in)directe schade toebrengen; Geheim: Dit betreft gevoelige informatie die alleen toegankelijk mag zijn voor de direct geadresseerde. Schending van deze classificatie kan zeer grote schade toebrengen. 69

65 Classificeer je data aan de hand van BIV Data Beschikbaarheid Integriteit Vertrouwelijkheid Deelnemersdata Noodzakelijk Beschermd Vertrouwelijk Pensioendata Noodzakelijk Hoog Bedrijfsvertrouwelijk Beleggingsportefeuilledata Noodzakelijk Hoog Vertrouwelijk Geld/middelen (op bankrekening) Belangrijk Hoog Bedrijfsvertrouwelijk Monitorings-, besturings- en besluitvormingsdata Belangrijk Hoog Bedrijfsvertrouwelijk 70

66 Vertaal je processenstromen naar een functioneel IT landschap Dit functioneel IT landschapsoverzicht bevat: De gebruikte systemen, inclusief kantoorautomatisering; Geeft de samenhang tussen de systemen weer, inclusief het type interface; Het landschapsoverzicht bevat tevens een toelichting: Welke systemen intern of extern gehost zijn; Een BIV codering; Indien van toepassing een duidelijke indicatie als er sprake is van outsourcing bij de systemen; Een toelichting per systeem van de staat van onderhoud en de verwachte levensduur (aantoonbaar N-1 beleid). Maak een koppeling naar je Business Continuity Plan 71

67 Ga stap voor stap op een aantal onderwerpen in key onderwerpen Begin met informatiebeveiliging (vaststellen functiescheidingen / privacy conform wettelijke richtlijnen/fysieke toegangsbeveiliging/logische toegangsbeveiliging/user accountmanagement/derden partijen toegang/servers en patch management) Mobiele media (USB, telefoon etc) Anti virus en firewall Cryptografie Cloud Backup Disaster recovery Proceseisen (changemanagement, problem management, incidentmanagement, contractmanagement) Zorg voor actuele architectuur principes en functioneel IT landschap. 72

68 Beheersing met Focus 73

69 Cloudoplossingen beheersen I Cloudoplossingen mogen geen beperking vormen voor toezicht Tevens dienen onder toezicht staande ondernemingen risico s te analyseren en toereikend te beheersen. Dat geldt ook wanneer (delen van) bedrijfsprocessen worden uitbesteed aan een derde. Krijg grip: Voer een samenhangende risicoanalyse uit voordat je besluit over te gaan tot uitbesteding van (IT)diensten. Deze risicoanalyse omvat minimaal een beoordeling van compliance met bestaande wet- en regelgeving, de gemaakte afspraken met betrekking tot de aangeboden diensten (de overeenkomst), de stabiliteit en betrouwbaarheid van de service provider, de locatie waar de diensten worden aangeboden, en het belang en afhankelijkheid van de ITdiensten en/of IT-componenten. 74

70 Cloud oplossingen beheersen II Voor cloud computing is het aan te raden expliciete aandacht te besteden aan de risico s die samenhangen met onder meer de integriteit, vertrouwelijkheid en beschikbaarheid van data. Maak inzichtelijk op welke locatie de bedrijfsdata wordt bewerkt en opgeslagen. Indien de onderneming niet langer gebruik maakt van de service van de derde dient zij alle data veilig te stellen en zich ervan te vergewissen dat alle data is verwijderd van de systemen van de derde. 75

71 Stappenplan om te komen tot een IT beleid Begin met het nadenken over je IT doelstelling en IT strategie passend bij jouw identiteit. Identificeer je belangrijkste (uitbestedingspartners) keyplayers die werken met IT. Welke normen vind je belangrijk aan software die zij gebruiken? Wat zijn je meest belangrijke datastromen en van welke IT middelen gebruiken ze? Beveiligen deze IT middelen deze datastromen conform jouw norm en die van de toezichthouder? Denk aan de 5 a s. Begin met een document op te stellen en ontwikkel deze stap voor stap door. Stem je beleid af met je keyplayers. Verzamel feedback en pas je beleid hierop aan. Zorg voor sturingsmiddelen om je beleid operationeel te toetsen. Via sla s of DVO s. Zet IT periodiek op je managementagenda, benader vanuit Risico Perspectief. 76

72 Tips voor een goed stappenplan Denk vanuit procesbeschrijvingen en datastromen. Maak de informatiestromen inzichtelijk. Begin planmatig en stapsgewijs. Maak een basis en ontwikkel het verder door. Privacy by default Privacy by design Maak gebruik van aanwezige documentatie en aanwezige risicoanalyses De vijf A s zijn een handig startpunt (Awareness, Availability, Access, Accuracy and Agility) Ga met IT-partners het gesprek aan over het IT-beleid. Houd het IT-beleid praktisch en uitvoerbaar 77