3 jaar na de AVG

3 jaar na de AVG

27/5/2021

Ruim voordat de Europese Algemene Verordening Gegevensbescherming (AVG) in mei 2018 van kracht werd, organiseerde Montae & Partners speciale sessies om pensioenfondsbesturen bewust te maken van de gevolgen van de invoering van deze nieuwe Europese privacywet. Nu 3 jaar later is privacy een onderwerp dat doorlopend op de bestuurstafel besproken wordt.

Montae & Partners heeft een team geformeerd met specialisten uit verschillende disciplines die de klanten helpen met raad en daad op het gebied van de bescherming van persoonsgegevens. Stefan van de Giessen en Kah Yee Tang zijn als Privacy Officer of Functionaris Gegevensbescherming werkzaam bij pensioenfondsen.

Neem ons even mee terug in de tijd, welke herinnering heb je aan de aanloop naar de implementatie van de AVG (25 mei 2018)?

“Ruim drie jaar geleden hebben wij aan de hand van een duidelijk stappenplan pensioenfondsen laten zien wat er moest gebeuren om te voldoen aan de nieuwe privacywetgeving en ook privacy als vast onderwerp op de bestuurstafel te behandelen”, vertelt Stefan. “En dat is gelukt. Veel organisaties hebben in de laatste maanden voorafgaand aan de inwerkingtreding van de AVG samen met ons een succesvolle eindsprint ingezet om tijdig te kunnen voldoen aan de AVG. Na 25 mei 2018 was er echter geen reden om stil te zitten” vult Kah Yee aan. Integendeel zelfs, ook drie jaar later gaan de ontwikkelingen nog steeds zo snel dat blijvende aandacht is vereist. Op technisch vlak maar ook jurisprudentie en richtlijnen van de toezichthouder, de Autoriteit Persoonsgegevens, dragen hieraan bij.

“De AVG is er voor de deelnemers en betrokkenen bij de Pensioenfondsen en staat als vast onderwerp op de bestuurlijke agenda”

Stefan legt verder uit dat alle pensioenfondsen zich vanaf 25 mei 2018 moeten houden aan de AVG. De komst van de AVG zorgde onder meer voor (duidelijke) verplichtingen voor verwerkingsverantwoordelijken en verwerkers om de persoonsgegevens te beschermen bij gegevensverwerking, informatieverplichtingen voor verwerkingsverantwoordelijken over de gegevensverwerking (transparantie), stevige handhavingsbevoegdheden voor de toezichthouder en natuurlijk het belangrijkste van dit alles: meer privacy rechten voor de deelnemers  en betrokkenen van het pensioenfonds. Privacy is daarom ook een onderwerp geworden wat vast op de bestuurlijke agenda staat.

Volgens Kah Yee is dit voor sommige besturen nog steeds lastig. Zij worden regelmatig verzocht om data te delen met bijvoorbeeld sociale partners. Zij werken hier veelal aan mee vanuit de goede intenties. Maar onder de AVG is dit geen vanzelfsprekendheid. En dat is voor hen moeilijk uit te leggen aan de sociale partners of de onderneming als opdrachtgever van het pensioenfonds. De AVG heeft dan ook impact op de onderlinge relatie. Dit vraagt blijvend aandacht.

Klopt het dat de toepassing van de AVG een uitdaging was voor de Pensioenfondsen en privacy juristen?

Kah Yee vertelt dat er sinds de ‘start’ van de AVG veel is gepubliceerd over de manier waarop de AVG toegepast (zou) moet(en) worden. Belangrijke bronnen van informatie zijn de wetgevers en toezichthouders, zowel op Europees als op nationaal niveau, denk hierbij aan:

  • Richtlijnen op diverse onderwerpen, gepubliceerd door de European Data Protection Board (EDPB) of het Europese Comité voor gegevensbescherming;
  • Publicaties artikelen van de European Data Protection Supervisor (EDPS), de Europese toezichthouder voor gegevensbescherming;
  • Publicaties artikelen van de Autoriteit Persoonsgegevens (AP), de Nederlandse toezichthouder voor gegevensbescherming.

Maar sommige zaken bleven lang vaag voor pensioenfondsen. Is een Functionaris Gegevensbescherming bijvoorbeeld nu wel of niet verplicht voor pensioenfondsen? De pensioensector was verdeeld op sommige punten. De AVG is een open norm en geeft ruimte voor interpretatie en een eigen invulling.

“Daarom was de belangrijkste publicatie misschien wel de in 2019 door de Pensioenfederatie gepubliceerde Gedragslijn ‘Verwerking persoonsgegevens pensioenfondsen’”, aldus Kah Yee.

Stefan vult hierop aan dat de open normen van de AVG de besturen niet ontslaat van het stilstaan bij ‘wat is onze eigen visie?’ Zo zijn er pensioenfondsen die de AVG mogelijk steviger hebben geïmplementeerd dan wellicht noodzakelijk is. De toekomst gaat dit uitwijzen.

Wat heeft die Gedragslijn ‘Verwerking persoonsgegevenspensioenfondsen’ dan precies gebracht?

Met de Gedragslijn beschikken de aangesloten pensioenfondsen zelf over een concreet kader voor de wijze van verwerking van persoonsgegevens van o.a. hun deelnemers, slapers en pensioengerechtigden en de eisen die gesteld worden aan de organisatorische en technische maatregelen die van een pensioenfonds worden verwacht, waaronder het aanstellen van minimaal een Privacy Officer.

Stefan vult aan: “Van leden van de Pensioenfederatie wordt naleving van de Gedragslijn verwacht, maar ook niet-leden kunnen zich op vrijwillige basis aan de Gedragslijn conformeren. De Gedragslijn is in nauw overleg met de pensioenfondsen opgesteld en sluit aan bij de dagelijkse praktijk binnen de sector. De Gedragslijn is dus een praktische invulling / uitwerking van de  AVG.  

De Gedragslijn vraagt altijd om een consistente gedraging bij het verwerken van persoonsgegevens en gaat uit van het ‘pas toe of leg uit’-beginsel. Van pensioenfondsen wordt dus verwacht dat zij deze naleven en hierover verantwoording afleggen.  Per 1 januari 2020 dient deze Gedragslijn door Pensioenfondsen nageleefd te worden.”

En toen was er de Schrems II uitspraak…

Buiten de EU (derde landen) gelden andere privacywet- en regelgeving. Op grond van de AVG kan doorgifte van persoonsgegevens naar derde landen om verwerkt te worden daarom alleen plaatsvinden als het derde land een passend beschermingsniveau biedt. Dit kan op de volgende wijze geregeld worden:

  • Via een privacy shield (adequaatheidsbesluit); of
  • Op basis van modelcontracten of standaardbepalingen

Het privacy shield EU-US is in juli 2020 door het Europese Hof van Justitie ongeldig verklaard. Kah Yee geeft aan dat hierdoor doorgifte van persoonsgegevens naar de Verenigde Staten op basis van het privacy shield dan ook niet meer is toegestaan. Organisaties die persoonsgegevens verwerken moeten dus zorgen voor aanvullende maatregelen om de doorgifte van persoonsgegevens naar de Verenigde Staten alsnog mogelijk te maken. Stefan bevestigt desgevraagd “wij zien dat veel organisaties en pensioenfondsen zich hier nog steeds niet van bewust zijn en de privacy risico’s van deze onwettige doorgiftes onderschatten”.

Breng het nieuwe pensioenakkoord nog aanvullende privacy risico’s met zich mee?

“Innovatie en privacy zijn actuele onderwerpen mede gedreven door het Nieuwe Pensioenakkoord.” aldus Stefan. “Met het nieuwe pensioenakkoord wordt veel gesproken over innovatie. Hierbij is het belangrijk dat er vanaf het ontwerpen van de nieuwe systemen en processen, passend bij de contractkeuze, rekening wordt gehouden met het beschermen van de privacy van betrokkenen.

Het voldoen aan de AVG is daarom ook geen eenmalige toetsing maar een continu proces, waarbij de privacy risico’s telkens inzichtelijk moeten zijn en aandacht moeten krijgen aan de bestuurstafel.”

Het nieuwe pensioenakkoord stimuleert innovatie, maar ook aandacht voor privacy”

Gezien alle ontwikkelingen en de toenemende complexiteit in (nieuwe) technologieën is het steeds meer van belang dat het pensioenfonds inzicht krijgt in alle gegevensverwerking, de privacy risico’s die hiermee samenhangen en welke maatregelen er genomen moeten worden om deze risico’s te beheersen. Dit geldt te meer nu betrokkenen steeds meer waarden hechten aan hun privacy rechten én de toezichthouder steviger handhaaft dan voorheen.

Nog een laatste praktische tip?

Met een Data Protection Impact Assessment (DPIA) worden verwerkingen van persoonsgegevens van betrokkenen systematisch beschreven. Dit met als doel om de privacy risico’s van de gegevensverwerking in kaart te brengen en eventuele beheersmaatregelen vast te stellen wanneer u de risico’s te groot acht.

Een DPIA is onder andere verplicht wanneer:

  • Een verwerking van persoonsgegevens verandert en dit waarschijnlijk een hoog privacy risico oplevert voor betrokkenen;
  • De omgeving verandert waardoor er een hoog privacy risico ontstaat bij de gegevensverwerking;
  • Grootschalige verwerking van bijzondere categorieën persoonsgegevens

Vanwege de hierboven genoemde veranderingen is het sowieso aan te raden om minimaal een keer per drie jaar een DPIA uit te voeren. Ook als de gegevensverwerking zelf niet is veranderd. Dit is dus het moment om daar nu mee te beginnen zeker met het nieuwe pensioenakkoord in het vooruitzicht! Maar daar komen wij later nog een keer uitgebreid op terug.

Meer weten?

Stefan van de Giessen | stefan.van.de.giessen@montaepartners.nl | +31 (0)6 11 24 28 70

Kah Yee Tang | kah.yee.tang@montaepartners.nl | +31 (0)6 15 36 49 18