Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
11 februari 2016
Pensioen Seminar
IT & Privacy in de pensioen sector
Van Doorne | 2
Programma Pensioen Seminar14:30 uur Ontvangst
15:00 uur Welkomstwoord
15:05 – 16:00 uur Louis JonkerSenior advocaat IT-recht – Van DoorneIT-aspecten voor pensioenuitvoerders
16:00-16:10 uur Korte Pauze
16:10-17:00 uur Elisabeth TholePartner / Advocaat PrivacyrechtPrivacy aspecten voor pensioenuitvoerders
17:00 – 17:05 uur Afsluiting
17:05 uur Borrel
IT & Privacy in de pensioensector 11 februari 2016
11 februari 2016
IT-aspecten voor pensioenuitvoerders
Louis JonkerSenior Advocaat IT-recht
Waarom aandacht voor IT?
Van Doorne | 5
Enkele zekerheden
• We worden (gemiddeld genomen) ouder en ouder.
• De noodzaak van een adequate oudedagvoorziening wordt steeds belangrijker.
• Vrijwel elke Nederlander heeft een pensioenvoorziening. Die wordt echter steeds duurder.
• We wensen meer kostenefficiëntie en meer transparantie in de pensioensector.
• We zijn allemaal in meer of mindere mate gebruiker van IT-voorzieningen.
• We kunnen allemaal in meer of mindere mate niet meer zonder IT.
• … maar we blijven worstelen met de toepassing van IT in de pensioensector, het behalen van de beoogde voordelen en het beheersen van de bijbehorende risico’s.
IT-aspecten voor pensioenuitvoerders
Van Doorne | 6
DNB: IT-risico bij pensioenfondsen
Onderzoek DNB (juli 2015):
• Pensioenfondsen doen te weinig om hun risico’s op problemen met computersystemen te beheersen.
• Meer dan de helft is onvoldoende voorbereid op een calamiteit.
• Training voor afhandeling van beveiligingsincidenten is ondermaats.
• Controle op betrouwbaarheid van data 'kan beter'.
• Meeste fondsen zeggen dat hun IT niet geschikt is voor de toekomststrategie.
• Bestuurlijke aandacht voor het onderwerp is laag: veelal geen agenda-onderwerp, onder meer door weinig IT-kennis.
• Vaak geen IT-risicoanalyses en ook geen duidelijke afspraken met de uitvoerder over de kwaliteit van de IT.
IT-aspecten voor pensioenuitvoerders
Van Doorne | 7
DNB: IT-risico bij pensioenfondsen
• IT-risico’s:- uitval van systemen;- toegang door onbevoegden;- fouten in de informatie
• Extra risico’s door het toenemen van cybercrime en de grote IT-vernieuwingsprojecten die bij veel uitvoerders lopen (complexiteit).
• Er valt veel te verbeteren aan de beheersing van deze risico’s.
• DNB gaat ‘meer en indringend’ aandacht vragen voor (governance van) IT, met name waar sprake is van een vorm van uitbesteding.
IT-aspecten voor pensioenuitvoerders
IT: waar moet ik dan aan denken?
Van Doorne | 9IT-aspecten voor pensioenuitvoerders
Van Doorne | 10IT-aspecten voor pensioenuitvoerders
Van Doorne | 11
Hardware contracten
Verkrijging van hardware
• Koop (eigendomsoverdracht)
• Lease/huur (geen eigendomsoverdracht)
Hardware diensten
• Ontwikkeling
• Installatie
• Onderhoud & ondersteuning (herstel & vervang)
Sourcing van hardware
• Housing
IT-aspecten voor pensioenuitvoerders
IaaS
Van Doorne | 12IT-aspecten voor pensioenuitvoerders
Van Doorne | 13IT-aspecten voor pensioenuitvoerders
Van Doorne | 14
Softwarecontracten
Softwarelicentie
• Eeuwigdurend vs. periodiek
• Koop?
Softwarediensten
• Ontwikkeling (waterval, agile)
• Installatie en implementatie
• Onderhoud en ondersteuning
• Broncode escrow
Sourcing van software
• Hosting, ASP
IT-aspecten voor pensioenuitvoerders
PaaS/SaaS
Van Doorne | 15
Systeembenadering
IT-aspecten voor pensioenuitvoerders
cloud
Van Doorne | 16
Procesbenadering: BPO
IT-aspecten voor pensioenuitvoerders
Juridische aspecten van IT
Van Doorne | 18
Bezint eer gij begint
Welke eisen en wensen stelt de business aan IT?
• Functionaliteit
• Beschikbaarheid
• Performance
• Planning
Wie zijn de relevante partijen?
• Afnemer (pensioenuitvoerder); andere gebruikers (uitvoeringsorganisatie?)
• Leverancier; onderaannemers?
Welke scenario’s zijn denkbaar?
• Wat als alles misgaat?
• Aard van de verplichtingen, formaliteiten, aansprakelijkheidsbeperkingen
IT-aspecten voor pensioenuitvoerders
Van Doorne | 19
Bezint eer gij begint
Welke eisen en wensen stelt de business aan IT?
• Functionaliteit
• Beschikbaarheid
• Performance
• Planning
Wie zijn de relevante partijen?
• Afnemer (pensioenuitvoerder); andere gebruikers (uitvoeringsorganisatie?)
• Leverancier; onderaannemers?
Welke scenario’s zijn denkbaar?
• Wat als alles misgaat?
• Aard van de verplichtingen, formaliteiten, aansprakelijkheidsbeperkingen
IT-aspecten voor pensioenuitvoerders
Ofwel:WIE doet WAT WANNEER
en ‘WHAT IF’?
Van Doorne | 20
Waar zitten zoal de uitdagingen?
Uitdaging #1: Corporate governance
Kan je aan je wettelijke verplichtingen voldoen?
• Wft, Pensioenwet, Code Tabaksblat, Code Pensioenfondsen (“deugdelijk ondernemingsbestuur”)
• Civielrechtelijke en fiscale bewaarplichten
• Bestuurdersverantwoordelijkheid (Ceteco; Landis); positie DNB
Oplossingen c.q. beheersingsmaatregelen:
• Continuïteitswaarborgen (zie hierna)
• Audit
• TPM (bijv. ISO27001-certificaat; ISAE3402 type I/II assurance report)
IT-aspecten voor pensioenuitvoerders
Van Doorne | 21
Waar zitten zoal de uitdagingen?
Uitdaging #2: Continuïteit bedrijfsvoering
Potentiële bedreigingen:
• Gebrekkige kwaliteit/performance leverancier of diensten
• Vendor lock-in
Oplossingen c.q. beheersingsmaatregelen:
• Gedegen analyse (sourcingstrategie, eisen en wensen van de business)
• Gedegen review van SLA’s (meetperiode; gepland onderhoud; governance op laatste 1%)
• Toegang tot gegevens; datastandaardisatie
• Geclausuleerd opschortingsrecht leverancier bij betalingsgeschillen
IT-aspecten voor pensioenuitvoerders
Van Doorne | 22
Waar zitten zoal de uitdagingen?
Uitdaging #3: Verwachtingenmanagement
Potentiële bedreiging:
• Mismatch van verwachtingen en mogelijkheden
Oplossingen c.q. beheersingsmaatregelen:
• Goede regieprocessen (communicatie, rapportage)
• Realisme over stand van zaken:- 100% betrouwbaarheid bestaat niet- mate van risico-aanvaarding leverancier is inherent aan prijsstelling- des te groter de eigen rol in een project (stuurgroep etc.), …- vertrekpunt is ook gebrekkig
IT-aspecten voor pensioenuitvoerders
IT-landschap toekomstvast?
Van Doorne | 24IT-aspecten voor pensioenuitvoerders
Van Doorne | 25
Is er iets veranderd hoe wij als maatschappij kijken naar nieuwe technologieën en nieuwe IT-bedrijfsmodellen?
Meer dan 100 jaar later…
IT-aspecten voor pensioenuitvoerders
Van Doorne | 26
De wereld verandert
• De arbeidsmarkt wordt steeds flexibeler: men werkt niet meer bij een bedrijf, en krijgt daardoor te maken met verschillende pensioenpotjes.
• Pensioenrisico’s verschuiven steeds vaker van de werkgever naar de deelnemer: pensioen is aan het veranderen van een arbeidsvoorwaarde naar een financieel product.
• Deelnemers hebben door de opkomst van internet de beschikking over veel meer kennis dan tien jaar geleden: deelnemers willen niet meer moeten vertrouwen op hun pensioenuitvoerders, maar willen een eigen beeld vormen over hun pensioen opties.
• Deelnemers eisen meer en meer dat pensioenuitvoerders kunnen laten zien dat zij risico en rendement kunnen sturen en dat zij kunnen aantonen dat zij voldoende grip hebben op de kosten.
• Beleggingsstrategieën worden steeds complexer.
IT-aspecten voor pensioenuitvoerders
Van Doorne | 27
De wetgever helpt een handje
De nieuwe Wet Pensioencommunicatie:
• Deels al op 1 juli 2015 en 1 januari 2016 in werking getreden; de rest volgt de komende jaren.
• De Wet Pensioencommunicatie vergroot de nadruk op communicatie door pensioenuitvoerders met deelnemers in begrijpelijke taal. Denk aan niveau B1.
• De nieuwe wet vereist voorts dat de communicatie beter moet aansluiten op het profiel en de behoeftes van de ontvanger. Maatwerk dus!
• Dit vereist een switch van een compliar-centric naar een customer-centricdienstverlening.
IT-aspecten voor pensioenuitvoerders
Van Doorne | 28
FinTech als oplossing?
• IT-oplossingen die het mogelijk maken klantdata bij elkaar te brengen, te analyseren en op basis daarvan persoonlijk maatwerk te bieden.
• Datavisualisatie en games die klanten helpen te begrijpen hoe pensioenen werken en keuzes te maken voor hun oude dag.
• Robo Advisors die een kostenefficiënt, geautomatiseerd vermogensbeheer mogelijk maken door een portefeuille samen te stellen die continu wordt gemonitord en indien noodzakelijk automatisch wordt aangepast.
• Blockchaintechnologie (de technologie achter de Bitcoin) die kan worden ingezet om er zeker van te zijn dat pensioengeld conform het risicoprofiel van de deelnemer wordt geïnvesteerd.
• Etc.
IT-aspecten voor pensioenuitvoerders
Van Doorne | 29
Maar…
Grotere aansprakelijkheidsrisico’s jegens deelnemers?
• Weglaten van juridische nuances in pensioencommunicatie;
• Mate van waarschuwingsplicht bij grotere autonomie van de deelnemer?
Rechtsgevolgen van gerobotiseerde handelingen?
Grotere privacy compliance uitdagingen:
• Verdergaande profiling van deelnemers;
• Beveiliging & cybercriminaliteit.
IT-aspecten voor pensioenuitvoerders
Van Doorne | 30
Contact
IT-aspecten voor pensioenuitvoerders
Louis Jonker
Advocaat IT / FinTech
m +31 65 5790 509
t +31 20 6789 510
Elisabeth TholePartner / Advocaat Privacyrecht
Van Doorne
Van Doorne | 34
Waarom voldoet u aan de Privacy Regels?
Privacy in de pensioensector 11 februari 2016
Omdat Maar ook
Ethisch belang
Reputatie
• Wij hechten belang aan privacy compliance.
• Publicatie onderzoeken• Pensioenuitvoerder moet
handhavende maatregelen opnemen in bestuursverslag
• Risico management
o Last onder dwangsom
o boetes tot EUR 820.000 of 10% van de jaaromzet
o Na 2018: Boetes tot 20 miljoen of 4% van de wereldwijde jaaromzet
• Publicaties CBP/AP
Van Doorne | 35
1 januari 2016: Nieuwe Privacy Regels
Privacy in de pensioensector 11 februari 2016
- Meldplichten Datalekken
- Hoge boetes
- Nieuw naam & Nieuw Logo: Autoriteit Persoonsgegevens
Van Doorne | 36
Privacy Regels
- EU Privacyrichtlijn (1995)
- Toekomst: AVGB (2018)
- Wet bescherming persoonsgegevens (Wbp)
- Telecommunicatiewet
- “Privacy bepalingen” in de Pensioenwet
- Gedragscode Verwerking Persoonsgegevens Financiële Instellingen
- Autoriteit Persoonsgegevens
- Artikel 29 Werkgroep (Europees Comité voor Gegevensbescherming)
Privacy in de pensioensector 11 februari 2016
Van Doorne | 37
Persoonsgegevens
Privacy in de pensioensector 11 februari 2016
• Elk gegeven over een levende persoon
• Direct of indirect identificerend/identificeerbaar
• Zie Opinie Artikel 29 Werkgroep
Van Doorne | 38
Verwerken
Privacy in de pensioensector 11 februari 2016
Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens:
• vastleggen - doorzenden
• ordenen - verspreiden
• bewaren - ter beschikking stellen
• bijwerken - samenbrengen/ verzamelen
• wijzigen - met elkaar in verband brengen
• opvragen - afschermen
• raadplegen - uitwissen
• gebruiken - vernietigen
• verstrekken - […]
Van Doorne | 39
Op wie is de Wbp van toepassing?
Privacy in de pensioensector 11 februari 2016
Verantwoordelijke Bewerker Betrokkene
• rechtspersoon• alleen of samen met anderen
• initiatief: o het doel eno de middelen o vaststelt voor de verwerking van
persoonsgegevens
• opdracht
• zonder rechtstreeks aan diens gezag onderworpen te zijn
• degene wiens gegevens worden verwerkt
Van Doorne | 40Privacy in de pensioensector 11 februari 2016
“de” Pensioendriehoek
werkgever
pensioenreglement
werknemer pensioenuitvoerder
Van Doorne | 41Privacy in de pensioensector 11 februari 2016
Kwalificatie partijen in pensioendriehoek
Verantwoordelijke
Wie heeft de verwerking geïnitieerd?
Waarom vindt de verwerking plaats; wat is het doel?
Wie verwerkt daadwerkelijk en in welke mate de gegevens?
Wie heeft formeel zeggenschap over de verwerking?
Wie heeft daadwerkelijk zeggenschap over de verwerking?
Van Doorne | 42Privacy in de pensioensector 11 februari 2016
Wie is wat?
Verantwoordelijke Bewerker Betrokkene
• Werkgever• Pensioenfonds• Sociale partners /
beroepspensioen-vereniging
• Uitvoeringsorganisatie?
• Uitvoeringsorganisatie?• Andere partijen• Pensioenregister
• (Gewezen) Deelnemer• Pensioengerechtigde• Werknemers van
pensioenuitvoerder• Zakelijke contacten van
pensioenuitvoerder• Overige
Van Doorne | 43
Wat is de rol van de uitvoeringsorganisatie?
• Stel een pensioenfonds heeft zijn helpdeskactiviteiten uitbesteed aan een uitvoeringsorganisatie. De SLA bepaalt welke KPI’s de uitvoeringsorganisatie moet behalen.
• Stel een pensioenfonds heeft de uitvoering van zijn geschillenregeling uitbesteed aan een uitvoeringsorganisatie. De uitbestedingsovereenkomst verwijst voor de uitvoering daarvan naar het van tijd tot tijd toepasselijke geschillenreglement.
Privacy in de pensioensector 11 februari 2016
Van Doorne | 44
Belangrijkste verplichtingen - Wbp
• Toereikend, ter zake dienend en niet bovenmatig
• Behoorlijk zorgvuldig en in overeenstemming met de wet
• Doelbinding
• Grondslag
• Informatieplicht
• Meldingsplicht
• Beveiliging / Meldplicht Datalekken
• Sluiten bewerkersovereenkomst
• Doorgifte naar derde landen
Privacy in de pensioensector 11 februari 2016
Van Doorne | 45
Melden
• Autoriteit Persoonsgegevens of Functionaris Gegevens-bescherming (FG)
• Vrijstellingen
• Gratis
• In het Nederlands
• Meldingsformulier
Privacy in de pensioensector 11 februari 2016
Van Doorne | 46
Grondslag – gegevensverwerking
• Toestemming betrokkene
• Uitvoering overeenkomst
• Gerechtvaardigd belang
• Wettelijke verplichting
• […]
Privacy in de pensioensector 11 februari 2016
Van Doorne | 47
Privacy Statement
Privacy in de pensioensector 11 februari 2016
Van Doorne | 48
Beveiliging
• Passende technische en organisatorische beveiliging
• CBP Richtsnoeren (2013)
• AP Beleidsregels Meldplicht Datalekken (2016)
Privacy in de pensioensector 11 februari 2016
Van Doorne | 49
Bewerkersovereenkomst
• Omschrijving Diensten / Verwerkingen / Toegang
• Betrouwbaarheidseisen
• Afspraken beveiligingsmaatregelen
• Inhoud en frequentie rapportages
• Beveiligingsincidenten en datalekken
• Subbewerkers
• Doorgifte naar derde landen
• Heronderhandeling / beëindiging / noodplan
Privacy in de pensioensector 11 februari 2016
Van Doorne | 50
Meldplichten Datalekken
“Either you have been data breached or you just do not know that you have been data breached”
Privacy in de pensioensector 11 februari 2016
Van Doorne | 51
Wat is een datalek?
• Een datalek is een inbreuk op de beveiliging van persoonsgegevens.
• Van een datalek is alleen sprake als er persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt.
• Bijvoorbeeld een zoekgeraakte USB-stick, een gestolen laptop of een inbraak door een hacker.
Privacy in de pensioensector 11 februari 2016
Van Doorne | 52
Bij wie wanneer melden?
Autoriteit Persoonsgegevens: “onverwijld” = 72 uur• (Aanzienlijke kans op) op ernstige nadelige gevolgen voor de bescherming
van persoonsgegevens • Webformulier / fax
Betrokkenen: “onverwijld” = ??• De inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de
persoonlijke levenssfeer van de betrokken personen • Op website/per e-mail/ brief/krant of…. • Uitzonderingen
Logboek van datalekken
Let op: uitzonderingen / eigen meldplichten specifieke sectoren
Privacy in de pensioensector 11 februari 2016
Van Doorne | 53
Wat raden wij u aan?
• Roadmap – datalekken
Pre-incident maatregelen
Beveiligingsincident
Post-incident maatregelen
• Audits
• Cyberverzekering
Privacy in de pensioensector 11 februari 2016
Van Doorne | 54Privacy in de pensioensector 11 februari 2016
Van Doorne | 55
AVGB
• Inwerkingtreding verwacht in 2018
• Eén set regels binnen de EU (uitzonderingen per lidstaat)
• “One-stop-shop”?
• Toenemende verplichtingen
• Meer rechten betrokkenen
• Sancties: 20 miljoen EUR of 4% wereldwijde jaaromzet
Privacy in de pensioensector 11 februari 2016
Van Doorne | 56
Mr. dr. Elisabeth P.M. Thole
Hoofd Van Doorne Privacy TeamLid Van Doorne Cyber Response Team
t +31 (0)20 6789 293f +31 (0)20 7954 293m + 31 (0)6 [email protected]
Volg ons op Twitter: VDprivacy
Check: Van Doorne Alert
Privacy in de pensioensector 11 februari 2016
Contact
AMSTERDAM
Van Doorne N.V.
Jachthavenweg 121
1081 KM Amsterdam
P.O. Box 75265
1070 AG Amsterdam
The Netherlands
t +31 (0)20 6789 123
www.vandoorne.com
ASSOCIATION WITH
VANEPS KUNNEMAN VANDOORNE
ARUBA I BONAIRE I CURACAO I ST. MAARTEN
DUTCH CARIBBEAN DESK (AMSTERDAM)
www.ekvandoorne.com
LONDON
Van Doorne UK B.V.
125 Old Broad Street
London EC2N 1AR
United Kingdom
t +44 20 7073 0465
www.vandoorne.com