GDPR: meer plichten voor beheerders dossiers aanvullend pensioen

Vanaf 25 mei 2018 moet iedereen die persoonsgegevens verwerkt zich houden aan de GDPR. Dat geldt ook voor wie de dossiers van de aanvullende pensioenen beheert. Dat bleek uit de presentatie die Isabelle de Somviele, attorney-counsel bij Claeys & Engels, gaf tijdens het Pensioencongres van Kluwer Opleidingen op 6 februari 2018.

Gepubliceerd op 14-03-2018

Johan Papen
privacy

Basisprincipes

De GDPR (General Data Protection Regulation, in het Nederlands ook wel eens AVG of Algemene Verordening Gegevensbescherming genoemd) moet er voor zorgen dat de persoonlijke gegevens die bewaard worden in databanken beter worden beschermd. Iedereen die dus persoonsgegevens verwerkt, zal moeten aangeven hoe deze worden verzameld, gebruikt en verwerkt. Dat geldt ook voor wie dossiers over aanvullende pensioenen beheert.

Over het algemeen bevestigt de Verordening de bestaande principes, een aantal rechten worden uitgebreid en versterkt en er komen bijkomende verplichtingen. Die basisprincipes zijn:

  1. Dataminimalisatie: de verwerker mag alleen die data bijgehouden die strikt noodzakelijk zijn. De bewaring van die gegevens is ook beperkt in duur. Dat wil dus zeggen dat beheerders van pensioenfondsen niet langer gegevens kunnen bewaren van bedragen die pakweg 20 jaar geleden al zijn uitbetaald. De termijn die hier gehanteerd wordt, is 5 jaar: 5 jaar nadat het pensioenkapitaal is uitbetaald, 5 jaar nadat de laatste rente is uitbetaald, 5 jaar na de pensioendatum…
  2. Doelbinding: de beheerder van de gegevens moet duidelijk aangeven waarvoor de gegevens worden gebruikt. Data die gebruikt worden voor de uitvoering van een pensioenplan of groepsverzekering, zullen niet gebruikt kunnen worden voor marketingdoeleinden, tenzij de klant daarvoor zijn uitdrukkelijke toestemming verleent.
  3. Beveiligingsmaatregelen: de beheerder moet duidelijk aangeven hoe de gegevens worden beveiligd. Inbreuken daarop moeten binnen de 72 uur worden gemeld bij de Privacycommissie.
  4. Dienstverleningsovereenkomst: verwerkers krijgen een grotere verantwoordelijkheid en meer verplichtingen dan nu het geval is.
  5. Transparantie: de informatie over de gegevensverwerking moet worden bezorgd aan de aangeslotene of de begunstigde.
  6. Er geldt een verantwoordingsplicht.

Bij een aanvullend pensioen zijn er altijd drie partijen betrokken: de aangeslotene, de inrichter (de werkgever of de sectorale inrichter) en de pensioeninstelling (verzekeraar of pensioenfonds). De inrichter en de pensioeninstelling wisselen gegevens met elkaar uit, in veel gevallen wordt er zelfs gebruik gemaakt van een gezamenlijke infrastructuur. Ze zullen dus duidelijk moeten afspreken wie verantwoordelijk is voor het beheer en de verwerking van de persoonsgegevens.

Verwerkingsverantwoordelijke

In veel gevallen is er sprake van een verwerkingsverantwoordelijke en een verwerker. De verwerkingsverantwoordelijke is degene die het doel (waarom worden de gegevens verzameld en verwerkt) en de middelen (hoe worden die gegevens verwerkt) bepaalt. De verwerker kan zijn taak louter in opdracht van de verantwoordelijke uitvoeren. In dat geval mag hij alleen de instructies uitvoeren.

In het geval van aanvullende pensioenen voorziet de WAP (Wet Aanvullende Pensioenen) dat zowel de pensioeninstelling als de inrichter verwerkingsverantwoordelijken zijn. Ze kunnen evenwel ook verwerker zijn voor de bijkomende taken die niet voortvloeien uit de WAP.

In principe zijn ze dus gezamenlijke verwerkingsverantwoordelijken. De GDPR voorziet daarvoor twee specifieke regels, art. 26 en art. 82. Die zijn er om de aangeslotenen te beschermen: wie schade lijdt door een inbreuk op de GDPR-regels moet immers weten tot welke van de twee verwerkingsverantwoordelijken hij zich moet richten.

In de regel zal er dus wel een gezamenlijke verwerkingsverantwoordelijke zijn. Maar, zegt de Privacycommissie, wanneer er in de praktijk een strikte afscheiding is tussen de twee verwerkingsactiviteiten, zullen er wel afzonderlijke verwerkingsverantwoordelijken zijn.

Kennisgeving

De verantwoordelijke moet de cliënt duidelijk informeren. In het geval er een gezamenlijke verantwoordelijke is, volstaat het dat die de aangeslotene of de begunstigde informeert. In het geval dat er twee aparte verantwoordelijken zijn, moeten ze dat allebei doen. De cliënt moet immers duidelijk weten tot wie hij zich moet wenden indien hij of zij oordeelt dat de regels niet worden nageleefd of indien hij of zij schade ondervindt.

De verwerkingsverantwoordelijke moet de informatie expliciet bezorgen via een brief. Een vermelding op de website is dus niet voldoende. Daarbij wordt wel een uitzondering gemaakt voor de zogenaamde slapende cliënten, op voorwaarde dat het voor hen duidelijk is dat de informatie op de website staat.

Register

Wie vandaag een databank met persoonsgegevens beheert, moet dat aangeven bij de Privacycommissie. Die aangifteplicht wordt vanaf 25 mei 2018 vervangen door een documentatieplicht: de verwerkingsverantwoordelijke en de verwerker moeten een register bijhouden van de verwerkingsactiviteiten.

  678