Geen onderdeel van een categorie

De AVG: one size fits all, ook voor België en Nederland?

Door: Isabelle de Somviele, Roel Veugelers en Philip Nabben

Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) rechtstreeks van toepassing in alle EU-lidstaten. Deze verordening regelt de verwerking en bescherming van persoonsgegevens en heeft een enorm bereik: patiëntendossiers in ziekenhuizen, klantgegevens bij online winkels, ledenbestanden van een sportvereniging en de persoonsgegevens die bedrijven als Facebook en Google op een enorme schaal van hun gebruikers verzamelen. Natuurlijk is de AVG ook van toepassing op persoonsgegevens die door pensioenuitvoerders worden verwerkt. Dit nieuwe kader is algemeen van aard en niet sectorspecifiek; daardoor is niet altijd duidelijk hoe de AVG op de pensioensector moet worden toegepast. In dit artikel lichten we enkele knelpunten toe. Daarbij bekijken we op welke wijze de AVG In Nederland en België wordt toegepast.

Verwerkingsverantwoordelijke of verwerker?

Twee basisbegrippen zijn cruciaal voor de toepassing van de AVG: enerzijds de ‘verwerkingsverantwoordelijke’ en anderzijds de ‘verwerker’. De verplichting van een pensioenuitvoerder of werkgever hangt af van diens kwalificatie als verwerker of verwerkingsverantwoordelijke onder de AVG. Een verwerkingsverantwoordelijke heeft namelijk andere verplichtingen en verantwoordelijkheden dan een verwerker. Verwerkingsverantwoordelijke doet het weliswaar heel goed bij scrabble, maar voor de leesbaarheid spreken we hierna van verantwoordelijke.

In de AVG wordt de volgende definitie gebruikt voor verantwoordelijke: ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’ (art 4, lid 7 AVG). De verwerker wordt gedefinieerd als degene ‘die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt’ (art. 4, lid 8 AVG). Hij heeft met andere woorden een uitvoerende taak en verwerkt de persoonsgegevens volgens de instructies van de verantwoordelijke zonder hierbij echt zeggenschap te hebben over de wijze van verwerking. Volgens de AVG moet er in geval van een samenwerking tussen een verantwoordelijke en een verwerker een verwerkersovereenkomst worden gesloten. Art. 28 AVG bepaalt aan welke criteria zo’n verwerkersovereenkomst ten minste dient te voldoen.

Verder bestaat de mogelijkheid dat twee of meer partijen als gezamenlijke verantwoordelijken optreden. Hiervan is sprake als beide partijen het doel en de middelen van de verwerking (mede) bepalen. Ze moeten dan in een regeling op transparante wijze vaststellen wat de verantwoordelijkheden van ieder zijn (art. 26 AVG). Daarbij kan iedere verantwoordelijke worden aangesproken door een betrokkene (art 26, lid 3 AVG) en zijn ze gezamenlijk aansprakelijk bij een inbreuk, zoals een datalek.

Verantwoordelijke en verwerker in Nederland

In Nederland wordt in zijn algemeenheid aangenomen dat een pensioenuitvoerder moet worden aangemerkt als een zelfstandige verantwoordelijke. [1] Daarnaast wordt ook een werkgever doorgaans als zodanig aangemerkt. Over het algemeen wordt aangenomen dat werkgever en pensioenuitvoerder geen gezamenlijke verantwoordelijken ex art. 26 AVG zijn.

Verantwoordelijke en verwerker in België

In België is de situatie anders. Er zijn twee mogelijke inrichters van pensioenregelingen, met name de werkgever en de sector (het Belgische equivalent van een bedrijfstak). Daarnaast zijn er ook twee mogelijke pensioenuitvoerders (pensioeninstellingen genaamd). Dit zijn met name verzekeraars en pensioenfondsen; hun juridische benaming luidt: ‘Instelling voor Bedrijfspensioenvoorziening’ (IBP).

Om te beginnen bestaat er in België eensgezindheid binnen de pensioensector over de kwalificatie van de inrichter en de pensioeninstelling als verantwoordelijke in de zin van de AVG. De volgende vraag is dan of zij en de werkgever moeten worden beschouwd als zelfstandige, dan wel als gezamenlijke verantwoordelijken. In de praktijk zien we dat er in België niet steeds een mooie opsplitsing is tussen de verwerkingsactiviteiten van de inrichter en die van de pensioeninstelling. Deze verwevenheid komt het vaakst voor bij pensioenfondsen. De overgrote meerderheid van de Belgische pensioenfondsen beschikt niet over personeelsleden. In het bijzonder bij ondernemingspensioenfondsen wordt er vaak een gemeenschappelijke infrastructuur (software, servers, etc.) opgezet, waarbij de eigenlijke pensioenadministratie (deels) wordt uitgevoerd door personeelsleden van de inrichter (werkgever). Omwille van deze verwevenheid worden het pensioenfonds en de inrichter(s) in België in de meeste gevallen aangemerkt als gezamenlijke verantwoordelijken. Enkel wanneer er niet zo’n verwevenheid bestaat en de verwerkingsactiviteiten strikt gescheiden worden georganiseerd, wordt uitgegaan van zelfstandige verantwoordelijken. Wanneer wordt gewerkt met een verzekeraar in plaats van een pensioenfonds, is dit vrijwel steeds het geval.

Basis voor gegevensverwerking in Nederland

Persoonsgegevens mogen alleen worden verwerkt als daarvoor een verwerkingsgrond is. In art. 6 AVG worden de verwerkingsgronden limitatief opgesomd. Een van de mogelijke verwerkingsgronden is de toestemming van de betrokkenen. Daarbij is het wel van belang op te merken dat de AVG strikte voorwaarden oplegt aan die toestemming: het moet gaan om een uitdrukkelijke, geïnformeerde en vrijelijk gegeven toestemming. Bovendien heeft de betrokkene het recht om zijn toestemming op elk moment weer in te trekken.

Ook mogen persoonsgegevens worden verwerkt als dat noodzakelijk is voor de verantwoordelijke om aan een wettelijke verplichting te voldoen. Verder is verwerking toegestaan als dat noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is. Op basis hiervan zullen pensioenuitvoerders de gegevens van deelnemers kunnen verwerken. Zij hebben die gegevens immers nodig om de pensioenovereenkomst tussen werknemer en werkgever uit te voeren. De pensioenuitvoerder is geen partij bij die overeenkomst. Bij een strikte lezing moet de conclusie daarom luiden dat de AVG dat niet voorschrijft; het moet immers gaan om een overeenkomst waarbij de betrokkene, in dit geval de werknemer, partij is. Dit punt kan echter wel tot discussie leiden. Verder is een pensioenuitvoerder verplicht om de deelnemer jaarlijks te informeren over zijn pensioenaanspraken (art. 38 PW). Deze wettelijke verplichting kan natuurlijk ook worden gezien als de rechtsgrond voor het verwerken van de persoonsgegevens van de deelnemer.

Mag een pensioenuitvoerder de gegevens nu gebruiken om aan de deelnemer een aanvullende pensioenregeling aan te bieden? Wij denken dat dit niet zomaar mag. De gegevens zijn nodig om de bestaande pensioenovereenkomst na te komen. Er moet worden vastgesteld tot welk pensioen de deelnemer gerechtigd is. De gegevens zijn niet verstrekt om aanvullende producten aan te bieden. Als een pensioenuitvoerder dat wel wil doen, dient hij daarvoor expliciet toestemming te vragen. De situatie is natuurlijk anders als de bestaande pensioenregeling al een vrijwillige bijspaarregeling bevat. In die situatie hoeft de pensioenuitvoerder geen instemming aan de deelnemer te vragen voor het gebruik van de gegevens. Hij kan dan stellen dat hij gebruik maakt van de gegevens die noodzakelijk zijn voor de uitvoering van de bestaande pensioenovereenkomst. Vanuit dat oogpunt valt te overwegen om allerlei vrijwillige aanvullende regelingen zo veel mogelijk op te nemen in de bestaande pensioenregeling.

Basis voor gegevensverwerking in België

Voor zowel de inrichter als het pensioenfonds is de verwerking van persoonsgegevens noodzakelijk om te voldoen aan hun respectievelijke wettelijke verplichtingen. Dit standpunt werd in het verleden reeds door de Belgische Privacycommissie gevolgd, die dit begin 2018 ook bevestigde in het kader van de AVG. Volgens vaststaande Belgische rechtspraak en rechtsleer integreert de pensioentoezegging van de inrichter – en het daaraan verbonden pensioenreglement – zich in de arbeidsovereenkomst van de aangesloten werknemer. Voor de uitvoering hiervan is de verwerking van persoonsgegevens noodzakelijk.

De toestemming wordt in België niet gezien als een correcte rechtsgrond in het kader van pensioenregelingen. Er is immers geen sprake van een vrije keuze. Zodra een werknemer voldoet aan de aansluitingsvoorwaarden, is hij automatisch aangesloten. Bovendien bestaat er al langer discussie over de vraag of een werknemer überhaupt wel vrijelijk toestemming kan geven, vanwege de veronderstelde ongelijke machtsverhouding tussen werknemer en werkgever. Daarenboven mag niet worden vergeten dat de AVG de betrokkene het recht geeft om de toestemming op elk moment in te trekken. Dit lijkt een zeer redelijk principe wanneer we denken aan het gebruik van persoonsgegevens door Facebook, Google, online diensten en andere commerciële organisaties, maar hoe ga je hiermee om als inrichter en als pensioeninstelling? De aangeslotene maakt op grond van de wet immers aanspraak op de opgebouwde pensioenrechten die hem dan toch niet zomaar kunnen worden ontnomen omdat hij niet langer toestemming geeft om zijn persoonsgegevens te verwerken? Anderzijds kunnen deze pensioenrechten niet verder worden beheerd of uitbetaald als zijn persoonsgegevens niet langer mogen worden verwerkt. Dit toont volgens ons duidelijk aan dat toestemming hier inderdaad niet de juiste rechtsgrond kan zijn.

Wellicht zouden de inrichter en de pensioeninstelling zich er ook op kunnen beroepen dat de gegevensverwerking noodzakelijk is voor de behartiging van hun gerechtvaardigde belangen. Maar in dat geval moet steeds een afwegingstoets worden gedaan tussen de belangen van inrichter, respectievelijk pensioeninstelling enerzijds en die van de aangeslotenen, respectievelijk begunstigden anderzijds. Bovendien kunnen de betrokkenen hier bezwaar tegen maken.

De conclusie lijkt dan ook te zijn dat Belgische inrichters en pensioeninstellingen zich best beroepen op hun wettelijke verplichtingen als rechtsgrond voor de gegevensverwerking.

Informatie en rectificatie in Nederland

Als een verantwoordelijke persoonsgegevens verwerkt, dient hij de betrokkene daarvan op de hoogte te stellen en te informeren over diens rechten (art. 12 t/m 22 AVG). Dit moet hij doen binnen één maand na ontvangst van de gegevens van de werkgever (art. 14, lid 3 AVG). Op basis van art. 21 PW moet de deelnemer binnen drie maanden na de startdatum via het pensioen 1-2-3 worden geïnformeerd over zijn pensioenregeling. Het is het handigst om de door de Pensioenwet voorgeschreven informatie te combineren met die van de AVG. Dan moet die informatie dus binnen één maand aan de deelnemer worden gegeven. Het is echter de vraag of dat haalbaar is voor pensioenuitvoerders.

Een pensioenuitvoerder zal een deelnemer moeten informeren waarvoor de gegevens worden gebruikt (het administreren en uitkeren van de pensioen(aanspraken), aan welke partij gegevens worden doorgegeven (bijvoorbeeld de administratieve uitvoerder en het pensioenregister), waar de gegevens vandaan komen (van de werkgever) en waar een klacht kan worden ingediend. Een deelnemer heeft het recht op inzage in zijn gegevens en mag ook verzoeken om die te rectificeren (art 16 AVG).

Deze laatste bepaling kan in pensioenland nog tot de nodige complicaties leiden. Het komt regelmatig voor dat gegevens van deelnemers niet goed zijn verwerkt: een wijziging van een parttime percentage is niet juist doorgegeven, het pensioengevend salaris is niet goed berekend – er is bijvoorbeeld geen rekening gehouden met de bonus – en de diensttijd klopt niet. Op basis van de AVG heeft de deelnemer dan recht op onverwijlde rectificatie. Daar kan voor de werkgever echter wel een prijskaartje aan hangen. Leidt de rectificatie tot een verhoging van de pensioenaanspraak, dan zal hij waarschijnlijk nog een aanvullende premie moeten voldoen. Wij denken daarom dat het niet verstandig is dat de pensioenuitvoerder onverwijld tot rectificatie overgaat. Eerst zal bij de werkgever moeten worden geverifieerd of de gegevens daadwerkelijk onjuist zijn. Zo ja, dan moeten ze natuurlijk worden aangepast, met inbegrip van alle gevolgen die hieruit voortvloeien. De pensioenuitvoerder doet er dan ook goed aan de deelnemers op gezette tijden te verzoeken de gegevens nauwlettend te controleren en fouten zo spoedig mogelijk te melden. Dat vergroot de kans dat hij een eventuele nota tijdig bij de werkgever kan neerleggen.

Is de situatie in België anders?

Wanneer we voor België uitgaan van de (meest voorkomende) situatie dat pensioenfonds en inrichter worden aangemerkt als gezamenlijke verantwoordelijken, moeten ze in hun onderlinge regeling bepalen wie de aangeslotenen zal informeren. Aangezien de persoonsgegevens initieel in principe door de inrichter zelf bij de aangeslotene worden ingezameld, moet deze kennisgeving (‘privacy notice’) onmiddellijk bij de inzameling gebeuren (art. 13 AVG). In de praktijk zal dit vaak zijn op het moment van indiensttreding van de werknemer. Wordt hij niet onmiddellijk aangesloten bij de pensioenregeling, dan moet dit gebeuren op het moment van aansluiting.

De inrichter kan deze kennisgeving onderdeel maken van zijn bredere kennisgeving die hij op basis van de AVG ook moet doen voor andere verwerkingsactiviteiten in het kader van zijn personeelsbeheer. Momenteel bestaat er in België nog geen wettelijke verplichting voor pensioenfondsen om (andere) informatie te verstrekken aan de aangeslotenen op het moment van aansluiting. Omwille van de kennisgeving in het kader van de AVG zullen veel pensioenfondsen, wanneer ze met de inrichter afspreken dat ze hiervoor zullen instaan, de aangeslotenen toch een soort startbrief bezorgen. Naast een korte toelichting van de pensioenregeling wordt hierin dan ook de door de AVG vereiste informatie opgenomen.

Positie van de partner in Nederland

Voor de deelnemer is de situatie in Nederland en België dus redelijk duidelijk. Geldt dat ook voor de partner? Doorgaans wordt aangenomen dat de partner geen partij is bij de pensioenovereenkomst die de werknemer met de werkgever sluit; hij is daarin uitsluitend een begunstigde. Is dat feit nu voldoende rechtsgrond voor de pensioenuitvoerder om de gegevens van de partner te verwerken? Bij een strikte lezing concluderen wij dat er geen sprake is van een overeenkomst waarbij de betrokkene, hier dus de partner, partij is. De pensioenuitvoerder heeft diens gegevens echter wel nodig om de aanspraken op partnerpensioen goed vast te leggen. Kan dan nog een beroep worden gedaan op een andere verwerkingsgrond? Welnu, op het UPO moeten ook de aanspraken van de partner worden vermeld. Dat is een wettelijk vereiste, dat daarmee kan worden gezien als verwerkingsgrond.

Bij indiensttreding wordt de werknemer gevraagd of hij een partner heeft. Die gegevens worden doorgegeven aan de pensioenuitvoerder. Die moet de partner op grond van de AVG binnen een maand informeren over het feit dat zijn gegevens worden verwerkt. Moet hij hem nu een aparte brief sturen? Wellicht is het een optie om het pensioen 1-2-3 zowel aan de deelnemer als aan diens partner te sturen. Het is echter de vraag of dat wel altijd zo wenselijk is. Mogelijk valt een beroep te doen op art. 14, lid 5, onder b AVG, bedoeld voor situaties waarin het verstrekken van informatie onevenredig veel inspanning vergt (verderop bespreken we deze bepaling nog wat uitgebreider).

Vaak wordt ook met het systeem van de onbepaalde partner gewerkt. Dat houdt in dat de pensioenuitvoerder ervan uitgaat dat alle werknemers een partner hebben en daarbij een vast leeftijdsverschil hanteert. In die situatie hoeft hij niet te weten of de werknemer een partner heeft en hoe oud die is. Die gegevens heeft hij uitsluitend nodig om vast te stellen wie er recht op een partnerpensioen heeft bij het overlijden van de deelnemer of om de aanspraken vast te stellen bij het verbreken van de relatie. Hij kan er dus voor kiezen om de gegevens van de partner niet op te vragen. Dan worden ze uiteraard ook niet verwerkt en hoeft de partner daar ook niet over te worden geïnformeerd. Wel zullen er dan enige waarborgen moeten worden ingebouwd, zodat het bij overlijden van de deelnemer duidelijk is dat de partner recht op partnerpensioen heeft.

Is de positie van de partner in België anders?

In België zijn er mogelijk ook andere begunstigden dan de partner, zoals de kinderen of eender welke andere persoon die door de aangeslotene wordt aangeduid als begunstigde. Nu, zolang de aangeslotene niet is overleden, gaat het om potentiële begunstigden. Zij bouwen geen rechten of aanspraken op. Pas op het moment van overlijden van de aangeslotene maakt een begunstigde effectief aanspraak op een overlevingspensioen, een wezenpensioen of een overlijdenskapitaal. En pas dan is er sprake van een effectieve begunstigde. Toch zullen de inrichter en de pensioeninstelling ook van de potentiële begunstigden – partner, kinderen en/of aangeduide begunstigden – een zeer beperkt aantal persoonsgegevens bewaren. In principe beperkt zich dit tot de naam, het adres, de leeftijd en eventueel ook het geslacht. De pensioeninstelling moet op de jaarlijkse pensioenfiche immers vermelden wat de eventuele prestaties zijn die in geval van overlijden zullen worden uitbetaald. Daarnaast moet de pensioeninstelling, om na het overlijden van de aangeslotene tot uitbetaling te kunnen overgaan, de begunstigden ook kunnen contacteren. Vóór de AVG werd uitgegaan van de theorie van de ‘onrechtstreekse registratie’. De gegevens van de potentiële begunstigde worden louter geregistreerd in het kader van de registratie van de aangeslotene. Bijgevolg werd ook aanvaard dat de pensioeninstelling (en de inrichter) de potentiële begunstigden niet moest informeren over de verwerking van hun (beperkte) persoonsgegevens. Er werd aan de aangeslotene gevraagd om dit te doen, zoals ook uitdrukkelijk vermeld in het pensioenreglement.

Belgische inrichters en pensioenfondsen zijn vragende partij om deze werkwijze ook onder de AVG te kunnen voortzetten. Een kennisgeving moeten bezorgen aan de potentiële begunstigden zou immers gepaard gaan met een (te?) aanzienlijke verhoging van de administratieve last en kost, terwijl slechts een zeer beperkt aantal (niet-gevoelige) persoonsgegevens van hen worden bewaard. Er zou hiervoor eventueel kunnen worden teruggevallen op eerdergenoemde uitzondering in art. 14, lid 5, onder b AVG. De verantwoordelijke is dan vrijgesteld van de kennisgeving aan de betrokkenen – bij wie de persoonsgegevens niet rechtstreeks worden ingezameld – als:

  • deze kennisgeving onmogelijk blijkt of onevenredig veel inspanning vraagt; en
  • de verantwoordelijke passende maatregelen neemt om hun rechten en vrijheden te beschermen, zoals het openbaar maken van deze informatie; denk aan publicatie van de privacy policy op de website van het pensioenfonds, waar dan uitdrukkelijk melding wordt gemaakt van de verwerking van de gegevens van de potentiële b