Bent u voorbereid op de Algemene Verordening Gegevensbescherming?
Kernbegrippen
De AVG kent een aantal kernbegrippen die we eerst kort zullen toelichten.
Verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke stelt het doel en de middelen voor verwerking van persoonsgegevens vast. Het pensioenfonds is “eigenaar” van de persoonsgegevens.
(sub)Verwerker
De (sub)verwerker verwerkt persoonsgegevens ten behoeve van de verwerkingsverantwoordelijke, maar valt niet onder rechtstreeks gezag van de verwerkingsverantwoordelijke.
Persoonsgegevens
Alle informatie betreffende een geïdentificeerde of identificeerbare natuurlijke (levende) persoon (betrokkene). Een betrokkene is bijvoorbeeld een deelnemer van een pensioenfonds.
Verwerking
Het al dan niet geautomatiseerd bewerken van persoonsgegevens. Bijvoorbeeld verzamelen, vastleggen, ordenen, bijwerken of wijzigen, raadplegen, doorsturen, combineren, afschermen, wissen, vernietigen enzovoort. In principe is dus alles wat u met persoonsgegevens kunt doen, een verwerking.
Voorbereiden op de AVG
Onderstaand een overzicht van de punten die de meeste gevolgen zullen hebben voor pensioenfondsen en TKP. Wellicht is niet elk punt voor u specifiek relevant.
1. Privacy op de bestuurstafel
Borg dat privacy binnen uw pensioenfonds wordt besproken. Sleutelfiguren en beleidsmakers binnen uw pensioenfonds zullen de gevolgen van de AVG moeten inschatten en zo nodig de juiste maatregelen moeten treffen. De implementatie kan op alle niveaus grote gevolgen hebben voor de werkzaamheden, middelen en de structuren binnen uw pensioenfonds.
2. Afdoende garanties verwerkers
Een pensioenfonds mag onder de AVG alleen (sub)verwerkers aanstellen die voldoende garanties kunnen geven omtrent de beveiliging van persoonsgegevens. Er is echter nog onduidelijkheid over hoe dit in de praktijk vormgegeven zal moeten worden. Mogelijk kunnen (sub)verwerkers aansluiten bij goedgekeurde gedragscodes of certificeringsmechanismen. Op dit gebied heeft TKP reeds veel beheersmaatregelen in plaats. Wij verwachten op dit punt aan de vereisten te kunnen voldoen. Daarnaast informeert TKP de subverwerkers over de AVG en de vereisten die voor hen gelden onder de AVG zodat ook zij zich voldoende voorbereiden op 25 mei 2018.
3. Verwerkingsregister
Onder de AVG zijn pensioenfondsen verplicht om een register van verwerkingsactiviteiten bij te houden. Ook verwerkingen van persoonsgegevens die TKP ten behoeve van uw pensioenfonds verricht, zullen in dit verwerkingsregister opgenomen moeten worden. Het is daarnaast van belang dat goede afspraken gemaakt worden over de uitwisseling van de benodigde gegevens. TKP zelf zal als verwerker ook een verwerkingsregister moeten aanleggen.
4. Aanstellen van (sub)verwerkers
De verwerkingsverantwoordelijke moet zicht hebben op de gehele keten van verwerkers. Daarom mag de verwerker geen subverwerker inschakelen zonder voorafgaande (algemene) schriftelijke toestemming van de verwerkingsverantwoordelijke. Als er sprake is van algemene schriftelijke toestemming dan moet de verwerker de verwerkingsverantwoordelijke inlichten over eventuele wijzigingen.
5. Gegevensbescherming door ontwerp en standaardinstellingen
Impliciet was gegevensbescherming door ontwerp en standaardinstellingen al onderdeel van databeschermingsprincipes. De AVG heeft hier een duidelijk wettelijk vereiste van gemaakt. Bij de ontwikkeling van nieuwe informatiesystemen moet direct met privacy rekening gehouden worden, dus niet pas als sluitstuk. In het ontwerp zal zo veel mogelijk aan dataminimalisatie gedaan moeten worden, alleen gebruik van persoonsgegevens die noodzakelijk zijn voor het doel zijn geoorloofd. Daarnaast dienen de standaardinstellingen op de stand met maximale privacy waarborgen te staan. Geen opt-out, maar opt-in regime als standaard.
6. Privacyverklaring
Als een organisatie persoonsgegevens verwerkt, dient hij de betrokkene bepaalde informatie te verschaffen, zoals de identiteit van de verwerker en de wijze waarop die de gegevens zal aanwenden. Dat gebeurt meestal in de vorm van een privacyverklaring. De tekst zal onder de AVG aangevuld moeten worden met onder andere de wettelijke grondslag van de gegevensverwerking, de gehanteerde bewaartermijn en de mogelijkheid om een klacht in te dienen bij de Autoriteit Persoonsgegevens indien betrokkene vermoedt dat zijn gegevens foutief worden verwerkt.
7. Rechten van betrokkenen
De AVG voorziet in aanvullende rechten voor de betrokkene. Over het algemeen geldt voor pensioenfondsen dat als u nu reeds voldoet aan de Wbp u op dit punt weinig aanvullende acties hoeft te ondernemen. Wel is het goed de bestaande procedures te evalueren.
8. Privacy Impact Assessment (PIA)
Een PIA is een soort audit om op gestructureerde wijze de stromen van persoonsgegevens en de daarmee verband houdende belangen van de verantwoordelijke en de privacy risico’s voor betrokkenen in kaart te brengen. De Autoriteit Persoonsgegevens zal een lijst opstellen van verwerkingen waarbij een PIA verplicht wordt. De impact voor uw pensioenfonds en hun uitbestedingspartners is derhalve nog niet bekend.
9. Functionaris voor Gegevensbescherming (FG)
In sommige gevallen is het verplicht om een FG aan te stellen. Bijvoorbeeld als u regelmatig en stelselmatig betrokkenen observeert op grote schaal. Het is nog niet duidelijk of deze verplichting gaat gelden voor pensioenfondsen. De verwachting is dat hier binnenkort duidelijkheid over komt. Uiteraard kunt u er voor kiezen vrijwillig een FG aan te stellen. Met het oog op de hoge boetes in de AVG, is dit het overwegen waard. TKP onderzoekt of zij zelf verplicht is een FG aan te stellen en zo niet, of zij vrijwillig een FG wil benoemen. Als u een FG benoemt, is het verstandig om dit af te stemmen met eventuele verwerkers zodat er een goede samenwerking wordt gewaarborgd en eventuele (onnodige) overlap van werkzaamheden worden voorkomen.
Een FG dient deskundig te zijn in het recht en de praktijk omtrent de bescherming van persoonsgegevens. Hij dient een prominente en onafhankelijke positie binnen de organisatie in te nemen en rapporteert rechtstreeks aan het hoogste managementniveau.
10. Meldplicht datalekken
De huidige meldplicht uit de Wbp komt in grote lijnen overeen met de meldplicht die straks vanuit de AVG zal gelden. Er zijn echter ook verschillen. Op grond van de Wbp moeten alleen ‘ernstige’ datalekken gemeld worden. Op grond van de AVG moeten alle datalekken gemeld worden waarbij het waarschijnlijk is dat de betrokkene enige vorm van schade zal leiden. Daarnaast heeft TKP als verwerker onder de AVG een eigen zelfstandige verplichting om u zonder onredelijke vertraging in te lichten over een mogelijk datalek. Op dit moment is die verplichting alleen van toepassing als dit contractueel is vastgelegd, zoals in een bewerkersovereenkomst.
11. Verwerkersovereenkomst
De vereisten ten aanzien van de verwerkersovereenkomst zijn uitgebreid. De bestaande verwerkersovereenkomsten zullen beoordeeld en aangepast moeten worden. TKP zal hiervoor het initiatief nemen.
Afronding
U heeft tot 25 mei 2018 om u voor te bereiden op de AVG. Dat lijkt nog ver weg, maar er moeten nog veel acties uitgevoerd worden. Wij adviseren u daarom om reeds nu daarmee te beginnen. TKP is hiermee al gestart en zal u de komende periode op de hoogte houden.
Eind 2016 heeft TKP een webinar gehouden over privacy waarbij ook de AVG aan de orde is gekomen. U kunt dit webinar terug zien via de website van TKP.
Mocht u nog vragen hebben dan kunt u contact opnemen met uw accountmanager.