Pensioen Seminar · Uitdaging #2: Continuïteit bedrijfsvoering Potentiële bedreigingen: • Gebrekkige kwaliteit/performance leverancier of diensten • Vendorlock-in Oplossingen

11 februari 2016

Pensioen Seminar

IT & Privacy in de pensioen sector

Van Doorne | 2

Programma Pensioen Seminar14:30 uur Ontvangst

15:00 uur Welkomstwoord

15:05 – 16:00 uur Louis JonkerSenior advocaat IT-recht – Van DoorneIT-aspecten voor pensioenuitvoerders

16:00-16:10 uur Korte Pauze

16:10-17:00 uur Elisabeth TholePartner / Advocaat PrivacyrechtPrivacy aspecten voor pensioenuitvoerders

17:00 – 17:05 uur Afsluiting

17:05 uur Borrel

IT & Privacy in de pensioensector 11 februari 2016

11 februari 2016

IT-aspecten voor pensioenuitvoerders

Louis JonkerSenior Advocaat IT-recht

Waarom aandacht voor IT?

Van Doorne | 5

Enkele zekerheden

• We worden (gemiddeld genomen) ouder en ouder.

• De noodzaak van een adequate oudedagvoorziening wordt steeds belangrijker.

• Vrijwel elke Nederlander heeft een pensioenvoorziening. Die wordt echter steeds duurder.

• We wensen meer kostenefficiëntie en meer transparantie in de pensioensector.

• We zijn allemaal in meer of mindere mate gebruiker van IT-voorzieningen.

• We kunnen allemaal in meer of mindere mate niet meer zonder IT.

• … maar we blijven worstelen met de toepassing van IT in de pensioensector, het behalen van de beoogde voordelen en het beheersen van de bijbehorende risico’s.


Van Doorne | 6

DNB: IT-risico bij pensioenfondsen

Onderzoek DNB (juli 2015):

• Pensioenfondsen doen te weinig om hun risico’s op problemen met computersystemen te beheersen.

• Meer dan de helft is onvoldoende voorbereid op een calamiteit.

• Training voor afhandeling van beveiligingsincidenten is ondermaats.

• Controle op betrouwbaarheid van data 'kan beter'.

• Meeste fondsen zeggen dat hun IT niet geschikt is voor de toekomststrategie.

• Bestuurlijke aandacht voor het onderwerp is laag: veelal geen agenda-onderwerp, onder meer door weinig IT-kennis.

• Vaak geen IT-risicoanalyses en ook geen duidelijke afspraken met de uitvoerder over de kwaliteit van de IT.


Van Doorne | 7

DNB: IT-risico bij pensioenfondsen

• IT-risico’s:- uitval van systemen;- toegang door onbevoegden;- fouten in de informatie

• Extra risico’s door het toenemen van cybercrime en de grote IT-vernieuwingsprojecten die bij veel uitvoerders lopen (complexiteit).

• Er valt veel te verbeteren aan de beheersing van deze risico’s.

• DNB gaat ‘meer en indringend’ aandacht vragen voor (governance van) IT, met name waar sprake is van een vorm van uitbesteding.


IT: waar moet ik dan aan denken?

Van Doorne | 9IT-aspecten voor pensioenuitvoerders


Van Doorne | 11

Hardware contracten

Verkrijging van hardware

• Koop (eigendomsoverdracht)

• Lease/huur (geen eigendomsoverdracht)

Hardware diensten

• Ontwikkeling

• Installatie

• Onderhoud & ondersteuning (herstel & vervang)

Sourcing van hardware

• Housing


IaaS



Van Doorne | 14

Softwarecontracten

Softwarelicentie

• Eeuwigdurend vs. periodiek

• Koop?

Softwarediensten

• Ontwikkeling (waterval, agile)

• Installatie en implementatie

• Onderhoud en ondersteuning

• Broncode escrow

Sourcing van software

• Hosting, ASP


PaaS/SaaS

Van Doorne | 15

Systeembenadering


cloud

Van Doorne | 16

Procesbenadering: BPO


Juridische aspecten van IT

Van Doorne | 18

Bezint eer gij begint

Welke eisen en wensen stelt de business aan IT?

• Functionaliteit

• Beschikbaarheid

• Performance

• Planning

Wie zijn de relevante partijen?

• Afnemer (pensioenuitvoerder); andere gebruikers (uitvoeringsorganisatie?)

• Leverancier; onderaannemers?

Welke scenario’s zijn denkbaar?

• Wat als alles misgaat?

• Aard van de verplichtingen, formaliteiten, aansprakelijkheidsbeperkingen


Van Doorne | 19

Bezint eer gij begint

Welke eisen en wensen stelt de business aan IT?

• Functionaliteit

• Beschikbaarheid

• Performance

• Planning

Wie zijn de relevante partijen?

• Afnemer (pensioenuitvoerder); andere gebruikers (uitvoeringsorganisatie?)

• Leverancier; onderaannemers?

Welke scenario’s zijn denkbaar?

• Wat als alles misgaat?

• Aard van de verplichtingen, formaliteiten, aansprakelijkheidsbeperkingen


Ofwel:WIE doet WAT WANNEER

en ‘WHAT IF’?

Van Doorne | 20

Waar zitten zoal de uitdagingen?

Uitdaging #1: Corporate governance

Kan je aan je wettelijke verplichtingen voldoen?

• Wft, Pensioenwet, Code Tabaksblat, Code Pensioenfondsen (“deugdelijk ondernemingsbestuur”)

• Civielrechtelijke en fiscale bewaarplichten

• Bestuurdersverantwoordelijkheid (Ceteco; Landis); positie DNB

Oplossingen c.q. beheersingsmaatregelen:

• Continuïteitswaarborgen (zie hierna)

• Audit

• TPM (bijv. ISO27001-certificaat; ISAE3402 type I/II assurance report)


Van Doorne | 21


Uitdaging #2: Continuïteit bedrijfsvoering

Potentiële bedreigingen:

• Gebrekkige kwaliteit/performance leverancier of diensten

• Vendor lock-in


• Gedegen analyse (sourcingstrategie, eisen en wensen van de business)

• Gedegen review van SLA’s (meetperiode; gepland onderhoud; governance op laatste 1%)

• Toegang tot gegevens; datastandaardisatie

• Geclausuleerd opschortingsrecht leverancier bij betalingsgeschillen


Van Doorne | 22


Uitdaging #3: Verwachtingenmanagement

Potentiële bedreiging:

• Mismatch van verwachtingen en mogelijkheden


• Goede regieprocessen (communicatie, rapportage)

• Realisme over stand van zaken:- 100% betrouwbaarheid bestaat niet- mate van risico-aanvaarding leverancier is inherent aan prijsstelling- des te groter de eigen rol in een project (stuurgroep etc.), …- vertrekpunt is ook gebrekkig


IT-landschap toekomstvast?


Van Doorne | 25

Is er iets veranderd hoe wij als maatschappij kijken naar nieuwe technologieën en nieuwe IT-bedrijfsmodellen?

Meer dan 100 jaar later…


Van Doorne | 26

De wereld verandert

• De arbeidsmarkt wordt steeds flexibeler: men werkt niet meer bij een bedrijf, en krijgt daardoor te maken met verschillende pensioenpotjes.

• Pensioenrisico’s verschuiven steeds vaker van de werkgever naar de deelnemer: pensioen is aan het veranderen van een arbeidsvoorwaarde naar een financieel product.

• Deelnemers hebben door de opkomst van internet de beschikking over veel meer kennis dan tien jaar geleden: deelnemers willen niet meer moeten vertrouwen op hun pensioenuitvoerders, maar willen een eigen beeld vormen over hun pensioen opties.

• Deelnemers eisen meer en meer dat pensioenuitvoerders kunnen laten zien dat zij risico en rendement kunnen sturen en dat zij kunnen aantonen dat zij voldoende grip hebben op de kosten.

• Beleggingsstrategieën worden steeds complexer.


Van Doorne | 27

De wetgever helpt een handje

De nieuwe Wet Pensioencommunicatie:

• Deels al op 1 juli 2015 en 1 januari 2016 in werking getreden; de rest volgt de komende jaren.

• De Wet Pensioencommunicatie vergroot de nadruk op communicatie door pensioenuitvoerders met deelnemers in begrijpelijke taal. Denk aan niveau B1.

• De nieuwe wet vereist voorts dat de communicatie beter moet aansluiten op het profiel en de behoeftes van de ontvanger. Maatwerk dus!

• Dit vereist een switch van een compliar-centric naar een customer-centricdienstverlening.


Van Doorne | 28

FinTech als oplossing?

• IT-oplossingen die het mogelijk maken klantdata bij elkaar te brengen, te analyseren en op basis daarvan persoonlijk maatwerk te bieden.

• Datavisualisatie en games die klanten helpen te begrijpen hoe pensioenen werken en keuzes te maken voor hun oude dag.

• Robo Advisors die een kostenefficiënt, geautomatiseerd vermogensbeheer mogelijk maken door een portefeuille samen te stellen die continu wordt gemonitord en indien noodzakelijk automatisch wordt aangepast.

• Blockchaintechnologie (de technologie achter de Bitcoin) die kan worden ingezet om er zeker van te zijn dat pensioengeld conform het risicoprofiel van de deelnemer wordt geïnvesteerd.

• Etc.


Van Doorne | 29

Maar…

Grotere aansprakelijkheidsrisico’s jegens deelnemers?

• Weglaten van juridische nuances in pensioencommunicatie;

• Mate van waarschuwingsplicht bij grotere autonomie van de deelnemer?

Rechtsgevolgen van gerobotiseerde handelingen?

Grotere privacy compliance uitdagingen:

• Verdergaande profiling van deelnemers;

• Beveiliging & cybercriminaliteit.


Van Doorne | 30

Contact


Louis Jonker

Advocaat IT / FinTech

m +31 65 5790 509

[email protected]

t +31 20 6789 510

Elisabeth TholePartner / Advocaat Privacyrecht

Van Doorne

Van Doorne | 34

Waarom voldoet u aan de Privacy Regels?

Privacy in de pensioensector 11 februari 2016

Omdat Maar ook

Ethisch belang

Reputatie

• Wij hechten belang aan privacy compliance.

• Publicatie onderzoeken• Pensioenuitvoerder moet

handhavende maatregelen opnemen in bestuursverslag

• Risico management

o Last onder dwangsom

o boetes tot EUR 820.000 of 10% van de jaaromzet

o Na 2018: Boetes tot 20 miljoen of 4% van de wereldwijde jaaromzet

• Publicaties CBP/AP

Van Doorne | 35

1 januari 2016: Nieuwe Privacy Regels


- Meldplichten Datalekken

- Hoge boetes

- Nieuw naam & Nieuw Logo: Autoriteit Persoonsgegevens

Van Doorne | 36

Privacy Regels

- EU Privacyrichtlijn (1995)

- Toekomst: AVGB (2018)

- Wet bescherming persoonsgegevens (Wbp)

- Telecommunicatiewet

- “Privacy bepalingen” in de Pensioenwet

- Gedragscode Verwerking Persoonsgegevens Financiële Instellingen

- Autoriteit Persoonsgegevens

- Artikel 29 Werkgroep (Europees Comité voor Gegevensbescherming)


Van Doorne | 37

Persoonsgegevens


• Elk gegeven over een levende persoon

• Direct of indirect identificerend/identificeerbaar

• Zie Opinie Artikel 29 Werkgroep

Van Doorne | 38

Verwerken


Elke handeling of elk geheel van handelingen met betrekking tot persoonsgegevens:

• vastleggen - doorzenden

• ordenen - verspreiden

• bewaren - ter beschikking stellen

• bijwerken - samenbrengen/ verzamelen

• wijzigen - met elkaar in verband brengen

• opvragen - afschermen

• raadplegen - uitwissen

• gebruiken - vernietigen

• verstrekken - […]

Van Doorne | 39

Op wie is de Wbp van toepassing?


Verantwoordelijke Bewerker Betrokkene

• rechtspersoon• alleen of samen met anderen

• initiatief: o het doel eno de middelen o vaststelt voor de verwerking van

persoonsgegevens

• opdracht

• zonder rechtstreeks aan diens gezag onderworpen te zijn

• degene wiens gegevens worden verwerkt

Van Doorne | 40Privacy in de pensioensector 11 februari 2016

“de” Pensioendriehoek

werkgever

pensioenreglement

werknemer pensioenuitvoerder


Kwalificatie partijen in pensioendriehoek

Verantwoordelijke

Wie heeft de verwerking geïnitieerd?

Waarom vindt de verwerking plaats; wat is het doel?

Wie verwerkt daadwerkelijk en in welke mate de gegevens?

Wie heeft formeel zeggenschap over de verwerking?

Wie heeft daadwerkelijk zeggenschap over de verwerking?


Wie is wat?

Verantwoordelijke Bewerker Betrokkene

• Werkgever• Pensioenfonds• Sociale partners /

beroepspensioen-vereniging

• Uitvoeringsorganisatie?

• Uitvoeringsorganisatie?• Andere partijen• Pensioenregister

• (Gewezen) Deelnemer• Pensioengerechtigde• Werknemers van

pensioenuitvoerder• Zakelijke contacten van

pensioenuitvoerder• Overige

Van Doorne | 43

Wat is de rol van de uitvoeringsorganisatie?

• Stel een pensioenfonds heeft zijn helpdeskactiviteiten uitbesteed aan een uitvoeringsorganisatie. De SLA bepaalt welke KPI’s de uitvoeringsorganisatie moet behalen.

• Stel een pensioenfonds heeft de uitvoering van zijn geschillenregeling uitbesteed aan een uitvoeringsorganisatie. De uitbestedingsovereenkomst verwijst voor de uitvoering daarvan naar het van tijd tot tijd toepasselijke geschillenreglement.


Van Doorne | 44

Belangrijkste verplichtingen - Wbp

• Toereikend, ter zake dienend en niet bovenmatig

• Behoorlijk zorgvuldig en in overeenstemming met de wet

• Doelbinding

• Grondslag

• Informatieplicht

• Meldingsplicht

• Beveiliging / Meldplicht Datalekken

• Sluiten bewerkersovereenkomst

• Doorgifte naar derde landen


Van Doorne | 45

Melden

• Autoriteit Persoonsgegevens of Functionaris Gegevens-bescherming (FG)

• Vrijstellingen

• Gratis

• In het Nederlands

• Meldingsformulier


Van Doorne | 46

Grondslag – gegevensverwerking

• Toestemming betrokkene

• Uitvoering overeenkomst

• Gerechtvaardigd belang

• Wettelijke verplichting

• […]


Van Doorne | 47

Privacy Statement


Van Doorne | 48

Beveiliging

• Passende technische en organisatorische beveiliging

• CBP Richtsnoeren (2013)

• AP Beleidsregels Meldplicht Datalekken (2016)


Van Doorne | 49

Bewerkersovereenkomst

• Omschrijving Diensten / Verwerkingen / Toegang

• Betrouwbaarheidseisen

• Afspraken beveiligingsmaatregelen

• Inhoud en frequentie rapportages

• Beveiligingsincidenten en datalekken

• Subbewerkers

• Doorgifte naar derde landen

• Heronderhandeling / beëindiging / noodplan


Van Doorne | 50

Meldplichten Datalekken

“Either you have been data breached or you just do not know that you have been data breached”


Van Doorne | 51

Wat is een datalek?

• Een datalek is een inbreuk op de beveiliging van persoonsgegevens.

• Van een datalek is alleen sprake als er persoonsgegevens verloren zijn gegaan of onrechtmatig zijn verwerkt.

• Bijvoorbeeld een zoekgeraakte USB-stick, een gestolen laptop of een inbraak door een hacker.


Van Doorne | 52

Bij wie wanneer melden?

Autoriteit Persoonsgegevens: “onverwijld” = 72 uur• (Aanzienlijke kans op) op ernstige nadelige gevolgen voor de bescherming

van persoonsgegevens • Webformulier / fax

Betrokkenen: “onverwijld” = ??• De inbreuk waarschijnlijk ongunstige gevolgen zal hebben voor de

persoonlijke levenssfeer van de betrokken personen • Op website/per e-mail/ brief/krant of…. • Uitzonderingen

Logboek van datalekken

Let op: uitzonderingen / eigen meldplichten specifieke sectoren


Van Doorne | 53

Wat raden wij u aan?

• Roadmap – datalekken

Pre-incident maatregelen

Beveiligingsincident

Post-incident maatregelen

• Audits

• Cyberverzekering



Van Doorne | 55

AVGB

• Inwerkingtreding verwacht in 2018

• Eén set regels binnen de EU (uitzonderingen per lidstaat)

• “One-stop-shop”?

• Toenemende verplichtingen

• Meer rechten betrokkenen

• Sancties: 20 miljoen EUR of 4% wereldwijde jaaromzet


Van Doorne | 56

Mr. dr. Elisabeth P.M. Thole

Hoofd Van Doorne Privacy TeamLid Van Doorne Cyber Response Team

t +31 (0)20 6789 293f +31 (0)20 7954 293m + 31 (0)6 [email protected]

Volg ons op Twitter: VDprivacy

Check: Van Doorne Alert


Contact

AMSTERDAM

Van Doorne N.V.

Jachthavenweg 121

1081 KM Amsterdam

P.O. Box 75265

1070 AG Amsterdam

The Netherlands

t +31 (0)20 6789 123

[email protected]

www.vandoorne.com

ASSOCIATION WITH

VANEPS KUNNEMAN VANDOORNE

ARUBA I BONAIRE I CURACAO I ST. MAARTEN

DUTCH CARIBBEAN DESK (AMSTERDAM)

[email protected]

www.ekvandoorne.com

LONDON

Van Doorne UK B.V.

125 Old Broad Street

London EC2N 1AR

United Kingdom

t +44 20 7073 0465

[email protected]

www.vandoorne.com

Documents

Pensioen Seminar · Uitdaging #2: Continuïteit bedrijfsvoering Potentiële bedreigingen: • Gebrekkige kwaliteit/performance leverancier of diensten • Vendorlock-in Oplossingen