Vanaf 25 mei 2018 moet iedereen die persoonsgegevens verwerkt zich houden aan de GDPR. Dat geldt ook voor wie de dossiers van de aanvullende pensioenen beheert.
Basisprincipes
De GDPR (General Data Protection Regulation, in het Nederlands ook wel eens AVG of Algemene Verordening Gegevensbescherming genoemd) moet er voor zorgen dat de persoonlijke gegevens die bewaard worden in databanken beter worden beschermd. Iedereen die dus persoonsgegevens verwerkt, zal moeten aangeven hoe deze worden verzameld, gebruikt en verwerkt. Dat geldt dus ook voor wie dossiers over aanvullende pensioenen beheert.
Over het algemeen bevestigt GDPR de bestaande principes, een aantal rechten worden uitgebreid en versterkt én er komen bijkomende verplichtingen. Die basisprincipes zijn:
- Dataminimalisatie: de verwerker mag alleen die data bijhouden die strikt noodzakelijk zijn. De bewaring van die gegevens is ook beperkt in duur. Dat wil dus zeggen dat beheerders van pensioenfondsen niet langer gegevens kunnen bewaren van bedragen die pakweg 20 jaar geleden al zijn uitbetaald. De termijn die hier gehanteerd wordt, is 5 jaar: 5 jaar nadat het pensioenkapitaal is uitbetaald, 5 jaar nadat de laatste rente is uitbetaald, 5 jaar na de pensioendatum…
- Doelbinding: de beheerder van de gegevens moet duidelijk aangeven waarvoor de gegevens worden gebruikt. Data die gebruikt worden voor de uitvoering van een pensioenplan of groepsverzekering, zullen niet gebruikt kunnen worden voor marketingdoeleinden. Tenzij de klant daarvoor zijn uitdrukkelijke toestemming verleent.
- Beveiligingsmaatregelen: de beheerder moet duidelijk aangeven hoe de gegevens worden beveiligd. Inbreuken daarop moeten binnen de 72 uur worden gemeld bij de Privacycommissie.
- Dienstverleningsovereenkomst: verwerkers krijgen een grotere verantwoordelijkheid en meer verplichtingen dan nu het geval is.
- Transparantie: de informatie over de gegevensverwerking moet worden bezorgd aan de aangeslotene of de begunstigde.
- Er geldt een verantwoordingsplicht.
Bij een aanvullend pensioen zijn er altijd drie partijen betrokken: de aangeslotene, de inrichter (de werkgever of de sectorale inrichter) en de pensioeninstelling (verzekeraar of pensioenfonds). De inrichter en de pensioeninstelling wisselen gegevens met elkaar uit, in veel gevallen wordt er zelfs gebruik gemaakt van een gezamenlijke infrastructuur. Ze zullen dus duidelijk moeten afspreken wie verantwoordelijk is voor het beheer en de verwerking van de persoonsgegevens.
Wie is verantwoordelijk?
In veel gevallen is er sprake van een verwerkingsverantwoordelijke en een verwerker. De verwerkingsverantwoordelijke is degene die het doel (waarom worden de gegevens verzameld en verwerkt) en de middelen (hoe worden die gegevens verwerkt) bepaalt. De verwerker kan zijn taak louter in opdracht van de verantwoordelijke uitvoeren. In dat geval mag hij alleen de instructies uitvoeren.
In het geval van aanvullende pensioenen voorziet de WAP (Wet Aanvullende Pensioenen) dat zowel de pensioeninstelling als de inrichter verwerkingsverantwoordelijken zijn. Ze kunnen evenwel ook verwerker zijn voor de bijkomende taken die niet voortvloeien uit de WAP.
In principe zijn ze dus gezamenlijke verwerkingsverantwoordelijken. De GDPR voorziet daarvoor twee specifieke regels, art. 26 en art. 82. Die zijn er om de aangeslotenen te beschermen: wie schade lijdt door een inbreuk op de GDPR-regels moet immers weten tot welke van de twee verwerkingsverantwoordelijken hij of zij zich moet richten.
In de regel zal er dus wel een gezamenlijke verwerkingsverantwoordelijke zijn. Maar, zegt de Privacycommissie, wanneer er in de praktijk een strikte afscheiding is tussen de twee verwerkingsactiviteiten, zullen er wel afzonderlijke verwerkingsverantwoordelijken zijn.
Wie informeert wie?
De verantwoordelijke moet de cliënt duidelijk informeren. Als er een gezamenlijke verantwoordelijke is, volstaat het dat die de aangeslotene of de begunstigde informeert. In het geval dat er twee aparte verantwoordelijken zijn, moeten ze dat allebei doen. De cliënt moet immers duidelijk weten tot wie hij zich moet wenden indien hij of zij oordeelt dat de regels niet worden nageleefd of indien hij of zij schade ondervindt.
De verwerkingsverantwoordelijke moet deze informatie expliciet bezorgen via een brief. Een vermelding op de website is dus niet voldoende. Daarbij wordt wel een uitzondering gemaakt voor de zogenaamde slapende cliënten, op voorwaarde dat het voor hen duidelijk is dat de informatie op de website staat.
Register
Wie vandaag een databank met persoonsgegevens beheert, moet dat aangeven bij de Privacycommissie. Die aangifteplicht wordt vanaf 25 mei 2018 vervangen door een documentatieplicht: de verwerkingsverantwoordelijke en de verwerker moeten een register bijhouden van de verwerkingsactiviteiten.
Zin in meer?
Wilt u meer informatie rond de impact van GDPR op hr, bekijk dan de opleiding ‘Nieuwigheden in privacy: wat is de impact ervan op hr?’
Ook de hervormingen van de pensioen zullen een impact hebben op beleid voor aanvullende pensioenen in uw bedrijf. Meer eten? Check dan zeker de opleiding ‘Aanvullende bedrijfspensioenen (de groepsverzekering): volledige reeks’
