Nieuwe privacy verordening raakt ook de pensioensector

Vergelijkbare documenten
De website van de Autoriteit Persoonsgegevens geeft uitgebreide ondersteuning.

Algemene verordening gegevensbescherming

Onderwerp : de Algemene Verordening Gegevensverwerking. Deze wet start op 25 mei 2018

Is uw bibliotheek klaar voor de nieuwe privacywetgeving?

Algemene Verordening Gegevensbescherming. NVVB Congres Noordwijkerhout 19 april 2018

Algemene verordening gegevensbescherming en veranderingen voor gemeenten. Alex Commandeur 21 april 2017

Voorbereid op de nieuwe privacywet in 10 stappen

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

Algemene verordening gegevensbescherming. Udo Oelen LWV, VNO-NCW in Limburg, Geleen 5 oktober 2017

checklist in 10 stappen voorbereid op de AVG. human forward.

Privacy wetgeving: Wat verandert er in 2018?

Boels Zanders. Privacy. De kracht van ambitie. Implementatie van de AVG. Rens Jan Kramer

In 10 stappen voorbereid op de AVG

Praktische uitwerking van de nieuwe Europese Privacy regels

Handvatten bij de implementatie van de AVG

Privacy Maturity Scan (PMS)

Privacy in de afvalbranche

Autoriteit Persoonsgegevens. De Algemene Verordening Gegevensbescherming. Studiekeuze 123, 27 maart Sofie van der Meulen

De grootste veranderingen in hoofdlijnen

De Algemene Verordening Gegevensverwerking. Jurgen van der Baan

Belangrijke begrippen. Persoonsgegevens Verwerking Verwerkingsverantwoordelijke Verwerker Betrokkene

AVG in de praktijk, tips!

Algemene Verordening Gegevensbescherming. Waarom nieuwe privacywetgeving Europese privacyrichtlijn

In 15 stappen op weg naar 2018

De AVG in vogelvlucht Wat moeten organisaties doen?

Agenda. De AVG: wat nu?

Algemene Verordening Gegevensbescherming. Skipr Masterclass 3 april 2018 Sofie van der Meulen

Wat u echt móet weten over de AVG

Bescherming Persoonsgegevens. Presentatie LAC Zuid

De Algemene Verordening Gegevensbescherming

Blockchain Smart Contracts AVG

Wat betekent de AVG voor jouw vereniging?

Algemene Verordening Gegevensbescherming (AVG)

Algemene Verordening Gegevensbescherming

De nieuwe privacywetgeving:

Auteurs: Edwin Adams Tangram

Speciale AVG-nieuwsbrief

Veranderingen privacy wet- en regelgeving

Privacy & Cloud. een juridisch perspectief


Data Protection Officer

25 mei a.s. een nieuwe privacyverordening. Privacyrecht & de AVG mei Rob Tijdink

Privacy en de meldplicht datalekken

Dinsdag 13 december 2016, uur. Rowena van den Boogert (Eldermans Geerts)

Algemene Verordening Gegevensbescherming. Alex Commandeur Den Haag 6 juni 2017

Deze checklist is beschikbaar voor (proef)abonnees van Sdu Arbeidsrecht. Interesse in een demo of proef? Kijk op

Wat precies? Focus AVG voor de retail Klantgegevens. NAW gegevens (ook social media), e.d.

NEN-7510 een praktisch hulpmiddel voor implementatie van de AVG / GDPR

Speciale AVG-nieuwsbrief

Algemene Verordening Gegevensbescherming (AVG)

Vita Zwaan, 16 november 2017

AVG EN DE IMPACT OP UW BUSINESS

Aanpak AVG. Rob Hendriks Hoofd ICT. 23 januari 2018

ALGEMENE VERORDENING GEGEVENSBESCHERMING DE GEVOLGEN VAN AVG VOOR HET MIDDEN EN KLEIN BEDRIJF.

Algemene Verordening Gegevensbescherming (AVG)

Gegevensbescherming/Privacy

PRIVACY GOED GEREGELD. Voorjaar 2018

GDPR: Voorbereid op weg naar compliancy

Servicedocument Gegevensbescherming

RiskTransparant, deel 7. Hoe implementeert u als pensioenfonds de Algemene Verordening Gegevensbescherming (AVG)?

Algemene Verordening Gegevensbescherming

1AFSPRAAK.NL 1KAPPER.NL 1BEAUTYAFSPRAAK.NL

Accountant en AVG 3 december 2018

Cursus privacyrecht Jeroen Naves 7 september 2017

Privacybescherming in Nederland: van Koopmans naar AVG. dr. Jan Holvast

Algemene Verordening Gegevensbescherming

Stappenplan naar GDPR compliance

Checklist voorbereiding op de AVG

Algemene Verordening Gegevensbescherming. Sjoera Nas Amsterdam 28 maart 2018

FOBID Informatie. 13 November Mr.dr. Mirjam Elferink

LWV Masterclass 2 Cybercrime Roermond 2 februari Rens Jan Kramer

DE ALGEMENE VERORDENING GEGEVENSBESCHERMING DPO

De AVG in vogelvlucht Wat moeten organisaties doen?

Stappenplan naar GDPR compliance

De Master spreekt Privacywetgeving 2018 (AVG)

GDPR voor providers. Woensdag 28 maart uur mr. Michelle Wijnant ICTRecht CIPP/E

PRIVACY Inleiding. De Verordening in vogelvlucht. Kennismaking. Bescherming grondrecht

Deze whitepaper geeft op hoofdlijnen een toelichting op de Algemene verordening persoonsgegevens (AVG) voor de zorgsector.

Privacy & online. 9iC9I

Vandaag Zorgvernieuwing

Samen werken aan privacy. Special AVG voor itour 24 april Pieter de Groot & Henk-Jan van der Molen

Privacybeleid gemeente Wierden

Medische gegevens zijn geclassificeerd als bijzondere persoonsgegevens en vragen extra aandacht!

JURIDISCH KADER PERSONALISED FOOD EN DATA

Privacywetgeving. 8 februari 2018 / Emiel de Joode BTN ledenbijeenkomst / Marta Stephanian

AVG en meer... geen privacy zonder informatieveiligheid. Theater -7 Powered by ActiZ. Woensdag 18 april 15:00

E-book 17 vragen over de AVG

Wat moet je weten over... privacy en passend onderwijs?

De gevolgen van de AVG

Vraag 1 Kan aangegeven worden welke acties tot nu toe zijn ondernomen en welke acties nog op de planning staan om aan de AVG te voldoen?

Agenda 10:00 Korte terugblik afgelopen half jaar - Presentatie 22 juni 2017 en diverse workshops - Nieuwe wet- en regelgeving van kracht

Stappenplan Algemene Verordening Gegevensbescherming (AVG)

De Meldplicht Datalekken. mr. N. Falot 8 oktober 2015

Wat betekent de AVG voor mij als ondernemer? Juni 2018

In 10 stappen voorbereid op de nieuwe privacywet (AVG)

De Clercq Advocaten Notariaat

Checklist basisprincipes privacyregelgeving. Checklist basisprincipes privacyregelgeving

Gegevensbescherming? Regel het zelf!

Aandacht voor privacy en datarisico s is niet meer iets wat je erbij doet. Privacy en datarisico s

De Algemene Verordening Gegevensbescherming

Transcriptie:

Tekst Monique Harmsen 14 september 2017 Nieuwe privacy verordening raakt ook de pensioensector De nieuwe Europese privacy verordening die eind mei 2018 van kracht wordt, heeft ook impact op pensioenfondsen. De Autoriteit Persoonsgegevens waarschuwt dat de pensioensector haast moet maken. 'Van uitstel kan geen sprake zijn.' De pensioensector, die beschikt over veel persoonsgegevens, valt onder de Algemene Verordening Gegevensbescherming (AVG). Dat brengt een aantal nieuwe eisen mee. Om persoonsgegevens te mogen gebruiken moet een duidelijke rechtsgrond aanwezig zijn, bijvoorbeeld een wettelijke of contractuele verplichting. Daarnaast komt er een documentatieplicht om aan te tonen dat de wet wordt nageleefd. Op niet-naleving staan hoge boetes die kunnen oplopen tot 20 miljoen of 4% van de omzet. Aleid Wolfsen, voorzitter Autoriteit Persoonsgegevens.

Aleid Wolfsen, voorzitter van de toezichthouder Autoriteit Persoonsgegevens (AP) waarschuwt de pensioensector dat zij hun zaakjes in mei 2018 echt op ordemoeten hebben en dat van uitstelgeen sprake kan zijn. Pensioenfondsen zijn grote professionele partijen die heel goed volgen wat er aan nieuwewetgeving komt. Er wordt in Europa al vanaf 2012 gesproken over deze verordening. In 2016 is onder Nederlands voorzitterschap de verordening in werking getreden en zij is van toepassing in 2018. We geven vanaf die tijdboetes. Het is echt ernst. Ik wil vooral waarschuwen. Ik leg liever geen boetes op. Het mooiste zou zijn dat we de AVG niet naleven omdat het moet of omdat je een boete kunt krijgen, maar omdat je het van wezenlijk belang vindt om zorgvuldig om te gaan met persoonsgegevens. Speciale functionaris Een belangrijk verschil met de huidige Wet bescherming persoonsgegevens (Wbp) is de verplichting om in bepaalde gevallen een functionaris voor de gegevensbescherming (FG) aan te stellen. Deze FG ziet toe of een organisatie zich aan de regels houdt. Verder moeten contracten worden aangepast, maar dat is volgens Joost Damen, compliance en privacy officer van TKP Pensioen, meer het formeel vastleggen van bestaande en nieuwe afspraken. Joost Damen Daarnaast moeten organisaties een verwerkingsregister bijhouden. In dit register staat welke verwerking je met de persoonsgegevens doet, wie het doet, op basis van welke grondslag en met welk doel. Een lastig punt in de nieuwe verordening is volgens Damen de omgekeerde bewijslast waarbij organisaties moeten aantonen dat ze voldoen aan de AVG. Pensioenuitvoerders moeten ook rekening houden met de begrippen privacy by design en privacy by default van belang. Damen: Wie nadenkt over een nieuw systeem, om bijvoorbeeld aanspraken te berekenen, moet vooraf in kaart brengen welke privacyrisico s daarbij horen en maatregelen nemen om die afdoende te beheersen. Dat is privacy by design. Privacy by default houdt bijvoorbeeld in dat alleen naar die persoonsgegevens mag worden gevraagd die nodig zijn voor de uitvoering van de taak. Wanneer iemand zich bijvoorbeeld abonneert op een nieuwbrief van een pensioenfonds mag alleen het e-mailadres worden gevraagd en geen andere gegevens die niet nodig zijn om de nieuwsbrief te ontvangen. Regels soms onduidelijk Over de verplichte aanstelling van een FG door pensioenfondsen en pensioenuitvoerders en de verplichting tot het uitvoeren van een Privacy Impact Assessment (PIA), om vooraf de

privacyrisico s van een gegevensbewerking in kaart te brengen, bestaan nog veel vragen. Het is niet zeker wie wel en wie niet zo n functionaris moet hebben of wanneer een PIA verplicht is. AP-voorzitter Wolfsen: De richtlijn zegt dat een organisatie met een publieke taak en organisaties die periodiek op grote schaal persoonsgegevens verwerken een FG moeten hebben. Pensioen uitvoeren is geen publieke taak, maar pensioenfondsen verwerken wel op grote schaal persoonsgegevens. De Pensioenfederatie heeft geconcludeerd dat er geen verplichte FG nodig is bij pensioenfondsen. Wolfsen snapt deze interpretatie van de AVG, maar acht het wel wenselijk dat pensioenfondsen een FG aanwijzen gelet de grote hoeveelheid gevoelige gegevens die ze verwerken. Ten aanzien van de PIA grijpt Wolfsen terug naar de verordening die stelt dat voor verwerkingen die de privacy raken een PIA moet worden uitgevoerd. Als uit de PIA blijkt dat een systeem binnen de wet valt maar het risico ondanks aanpassingen hoog blijft, moeten ze bij ons komen om toestemming te vragen om met het systeem te gaan werken. Verantwoordelijkheid Bij alle veranderingen is een belangrijke rol voor de pensioenfondsen weggelegd. Zij zijn eindverantwoordelijk volgens de AVG omdat zij bepalen wat er gebeurt met de persoonsgegevens, aldus Damen. Zij moeten vooral in grote lijnen nadenken over privacy. Dat betekent dat zij er onder meer op moeten letten dat de uitvoeringsorganisatie met wie ze zaken doen voldoet aan de AVG. Pensioenfondsen moeten de naleving van die afspraken monitoren. Alles draait om inzicht in de gehele keten. TKP besteedt op zijn beurt bijvoorbeeld het drukken van mailingen uit. De drukker is een zogeheten subverwerker. Damen: Je moet als pensioenfonds zorgen dat je inzicht hebt in die gelaagdheid. De afspraken die wij met een pensioenfonds hebben, gelden ook voor onze subverwerkers. Het kan niet zo zijn dat wij met het pensioenfonds afspreken dat we een datalek binnen 48 uur aan hen melden en we met een subverwerker afspreken dat we binnen 72 uur op de hoogte worden gesteld als daar wat gebeurt. Deadline Het is de vraag of pensioenfondsen, pensioenuitvoerders en andere partijen op tijd klaar zijn met het aanpassen van hun organisatie aan de nieuwe vereisten. Elisabeth Thole, partner en hoofd van het Privacy Team bij Van Doorne, heeft haar twijfels. Zij zijn zich wel steeds meer bewust van de risico's, maar roeren zich nog te weinig. Vooral met de komst van de meldplicht datalekken zie je dat de aandacht voor privacy sterk is toegenomen, maar er moet vaak nog veel gebeuren om de organisatie ook echt privacy-compliant te maken. Het gaat veelal om vragen over de inhoud van privacy statements, de grondslag van de gegevensverwerking en of alle contracten wel op orde zijn. Met het oog op de AVG is het vooral verstandig dat zij nu ook snel beginnen met het in kaart brengen van hun gegevensverwerkingen, zodat zij op tijd voldoen aan hun documentatieplicht.

Elisabeth Thole In haar praktijk merkt Thole dat de pensioensector zich vooral bij haar meldt bij datalekken. Fondsen vragen hoe en aan wie ze het datalek moeten melden. Dat datalek is dan de aanleiding om verder te laten kijken naar het privacyvraagstuk. De aandacht hiervoor mag best een tandje hoger. Vergeleken andere sectoren is de pensioensector zeker niet het beste jongetje van de klas. Niet klaar Nicolette Opdam, pensioen, - en financieel recht advocaat en partner bij HVG Law, ziet in de praktijk eveneens dat pensioenfondsen nog niet klaar zijn. Grotere uitvoerders en fondsen zijn wel wakker geschud, maar de kleinere bedrijven zijn er nog niet echt mee bezig. Pensioenfondsen moeten in kaart brengen met wie ze zaken doen en hoe ze kunnen zorgen dat deze verwerkende partijen er mee aan de slag gaan. Vraag is ook wie de kosten draagt. In tegenstelling tot Damen is Opdam van mening dat er nog bijna geen goede verwerkersovereenkomsten zijn. Je ziet wel service-level agreements (sla s) en KPI s, maar die voldoen vaak niet voor de beveiliging van persoonsgegevens. Nicolette Opdam Toch ziet Opdam de toekomst niet somber in. Het is nog niet zover. De wet is zo opgezet dat je aan de AP moet kunnen aantonen dat je alles hebt gedaan, dat geeft wel wat ruimte. Bewustwording Om de bewustwording in de pensioensector te vergroten heeft de Pensioenfederatie een servicedocument Gegevensbescherming opgesteld waarin staat wat de veranderingen zijn en wat er van pensioenfondsen en pensioenuitvoerders wordt verwacht. Eind september

publiceert de Pensioenfederatie een tweede document waarin, aan de hand van best practices, handen en voeten wordt gegeven aan de eisen van de AVG. Er is een werkgroep van pensioenuitvoeringsorganisaties en fondsen aan de slag gegaan die op basis van ervaringen in de eigen organisaties is gekomen tot dit hoe document, stelt een woordvoerder van de Pensioenfederatie. Dit nieuwe document, dat tijdens een themamiddag wordt toegelicht, is voorgelegd aan de Autoriteit Persoonsgegevens. Daar kwamen positieve geluiden terug met wat suggesties die we meenemen in het uiteindelijke document. Wij hebben het idee dat met deze aanpak de eindstreep goed wordt gehaald. Boetes Er staat veel op het spel voor instellingen die te maken krijgen met de AVG. Pensioenfondsen en uitvoerders die niet op tijd klaar zijn voor de AVG kunnen rekenen op zware sancties. Wolfsen: Je handelt onrechtmatig, je overtreedt de wet en je bent beboetbaar. Primair geldt voor kleine overtredingen een maximum van 10 miljoen. Voor grote overtredingen, op onrechtmatige wijze gegevens verwerken van iemand, staat een maximumboete 20 miljoen. Ik heb sterk de indruk dat dit hoog genoeg is om het gedrag te veranderen en ervoor te zorgen dat de omzetdiscussie, een boete van 4% van de jaaromzet, niet aan de orde komt. Kosten Op dit moment zijn er veel mensen bezig om de pensioensector aan te passen aan de eisen van de AVG. Over de kosten zijn alleen maar schattingen te maken. Joost Damen van TKP denkt dat deze kosten hoog zijn onder meer doordat veel moet worden uitgezocht. Zo moeten pensioenfondsen uitzoeken of zij een FG moeten of willen aanstellen. In Nederland alleen al zijn honderden verplichte FG s nodig. Deze FG s zijn vanwege de vereiste deskundigheid schaars. Nu de deadline nadert neemt de druk toe. Thole adviseert pensioenuitvoerders de grootste risico s te inventariseren en aan de slag te gaan. Maak mensen verantwoordelijk, zorg dat intern helder is wie wat moet doen, deel het project op in stukken, stel prioriteiten en zorg voor tussentijdse deadlines en gespecialiseerd advies. Er is veel verkeerd advies over privacyregelgeving, bijvoorbeeld dat je altijd toestemming moet hebben van de betrokkenen. Dat is niet waar. Thole raadt aan de blogs van de Engelse toezichthouder over de AVG bij te houden. 'Geen fabeltjes, maar goed advies. Dat is wat pensioenfondsen en uitvoerders nodig hebben', aldus Thole.

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback