Geen onderdeel van een categorie
De AVG: one size fits all, ook voor België en Nederland?
Door: Isabelle de Somviele, Roel Veugelers en Philip Nabben
Vanaf 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) rechtstreeks van toepassing in alle EU-lidstaten. Deze verordening regelt de verwerking en bescherming van persoonsgegevens en heeft een enorm bereik: patiëntendossiers in ziekenhuizen, klantgegevens bij online winkels, ledenbestanden van een sportvereniging en de persoonsgegevens die bedrijven als Facebook en Google op een enorme schaal van hun gebruikers verzamelen. Natuurlijk is de AVG ook van toepassing op persoonsgegevens die door pensioenuitvoerders worden verwerkt. Dit nieuwe kader is algemeen van aard en niet sectorspecifiek; daardoor is niet altijd duidelijk hoe de AVG op de pensioensector moet worden toegepast. In dit artikel lichten we enkele knelpunten toe. Daarbij bekijken we op welke wijze de AVG In Nederland en België wordt toegepast.
Verwerkingsverantwoordelijke of verwerker?
Twee basisbegrippen zijn cruciaal voor de toepassing van de AVG: enerzijds de ‘verwerkingsverantwoordelijke’ en anderzijds de ‘verwerker’. De verplichting van een pensioenuitvoerder of werkgever hangt af van diens kwalificatie als verwerker of verwerkingsverantwoordelijke onder de AVG. Een verwerkingsverantwoordelijke heeft namelijk andere verplichtingen en verantwoordelijkheden dan een verwerker. Verwerkingsverantwoordelijke doet het weliswaar heel goed bij scrabble, maar voor de leesbaarheid spreken we hierna van verantwoordelijke.
In de AVG wordt de volgende definitie gebruikt voor verantwoordelijke: ‘een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt’ (art 4, lid 7 AVG). De verwerker wordt gedefinieerd als degene ‘die ten behoeve van de verantwoordelijke persoonsgegevens verwerkt’ (art. 4, lid 8 AVG). Hij heeft met andere woorden een uitvoerende taak en verwerkt de persoonsgegevens volgens de instructies van de verantwoordelijke zonder hierbij echt zeggenschap te hebben over de wijze van verwerking. Volgens de AVG moet er in geval van een samenwerking tussen een verantwoordelijke en een verwerker een verwerkersovereenkomst worden gesloten. Art. 28 AVG bepaalt aan welke criteria zo’n verwerkersovereenkomst ten minste dient te voldoen.
Verder bestaat de mogelijkheid dat twee of meer partijen als gezamenlijke verantwoordelijken optreden. Hiervan is sprake als beide partijen het doel en de middelen van de verwerking (mede) bepalen. Ze moeten dan in een regeling op transparante wijze vaststellen wat de verantwoordelijkheden van ieder zijn (art. 26 AVG). Daarbij kan iedere verantwoordelijke worden aangesproken door een betrokkene (art 26, lid 3 AVG) en zijn ze gezamenlijk aansprakelijk bij een inbreuk, zoals een datalek.
Verantwoordelijke en verwerker in Nederland
In Nederland wordt in zijn algemeenheid aangenomen dat een pensioenuitvoerder moet worden aangemerkt als een zelfstandige verantwoordelijke. [1] Daarnaast wordt ook een werkgever doorgaans als zodanig aangemerkt. Over het algemeen wordt aangenomen dat werkgever en pensioenuitvoerder geen gezamenlijke verantwoordelijken ex art. 26 AVG zijn.
Verantwoordelijke en verwerker in België
In België is de situatie anders. Er zijn twee mogelijke inrichters van pensioenregelingen, met name de werkgever en de sector (het Belgische equivalent van een bedrijfstak). Daarnaast zijn er ook twee mogelijke pensioenuitvoerders (pensioeninstellingen genaamd). Dit zijn met name verzekeraars en pensioenfondsen; hun juridische benaming luidt: ‘Instelling voor Bedrijfspensioenvoorziening’ (IBP).
Om te beginnen bestaat er in België eensgezindheid binnen de pensioensector over de kwalificatie van de inrichter en de pensioeninstelling als verantwoordelijke in de zin van de AVG. De volgende vraag is dan of zij en de werkgever moeten worden beschouwd als zelfstandige, dan wel als gezamenlijke verantwoordelijken. In de praktijk zien we dat er in België niet steeds een mooie opsplitsing is tussen de verwerkingsactiviteiten van de inrichter en die van de pensioeninstelling. Deze verwevenheid komt het vaakst voor bij pensioenfondsen. De overgrote meerderheid van de Belgische pensioenfondsen beschikt niet over personeelsleden. In het bijzonder bij ondernemingspensioenfondsen wordt er vaak een gemeenschappelijke infrastructuur (software, servers, etc.) opgezet, waarbij de eigenlijke pensioenadministratie (deels) wordt uitgevoerd door personeelsleden van de inrichter (werkgever). Omwille van deze verwevenheid worden het pensioenfonds en de inrichter(s) in België in de meeste gevallen aangemerkt als gezamenlijke verantwoordelijken. Enkel wanneer er niet zo’n verwevenheid bestaat en de verwerkingsactiviteiten strikt gescheiden worden georganiseerd, wordt uitgegaan van zelfstandige verantwoordelijken. Wanneer wordt gewerkt met een verzekeraar in plaats van een pensioenfonds, is dit vrijwel steeds het geval.
Basis voor gegevensverwerking in Nederland
Persoonsgegevens mogen alleen worden verwerkt als daarvoor een verwerkingsgrond is. In art. 6 AVG worden de verwerkingsgronden limitatief opgesomd. Een van de mogelijke verwerkingsgronden is de toestemming van de betrokkenen. Daarbij is het wel van belang op te merken dat de AVG strikte voorwaarden oplegt aan die toestemming: het moet gaan om een uitdrukkelijke, geïnformeerde en vrijelijk gegeven toestemming. Bovendien heeft de betrokkene het recht om zijn toestemming op elk moment weer in te trekken.
Ook mogen persoonsgegevens worden verwerkt als dat noodzakelijk is voor de verantwoordelijke om aan een wettelijke verplichting te voldoen. Verder is verwerking toegestaan als dat noodzakelijk is voor de uitvoering van een overeenkomst waarbij de betrokkene partij is. Op basis hiervan zullen pensioenuitvoerders de gegevens van deelnemers kunnen verwerken. Zij hebben die gegevens immers nodig om de pensioenovereenkomst tussen werknemer en werkgever uit te voeren. De pensioenuitvoerder is geen partij bij die overeenkomst. Bij een strikte lezing moet de conclusie daarom luiden dat de AVG dat niet voorschrijft; het moet immers gaan om een overeenkomst waarbij de betrokkene, in dit geval de werknemer, partij is. Dit punt kan echter wel tot discussie leiden. Verder is een pensioenuitvoerder verplicht om de deelnemer jaarlijks te informeren over zijn pensioenaanspraken (art. 38 PW). Deze wettelijke verplichting kan natuurlijk ook worden gezien als de rechtsgrond voor het verwerken van de persoonsgegevens van de deelnemer.
Mag een pensioenuitvoerder de gegevens nu gebruiken om aan de deelnemer een aanvullende pensioenregeling aan te bieden? Wij denken dat dit niet zomaar mag. De gegevens zijn nodig om de bestaande pensioenovereenkomst na te komen. Er moet worden vastgesteld tot welk pensioen de deelnemer gerechtigd is. De gegevens zijn niet verstrekt om aanvullende producten aan te bieden. Als een pensioenuitvoerder dat wel wil doen, dient hij daarvoor expliciet toestemming te vragen. De situatie is natuurlijk anders als de bestaande pensioenregeling al een vrijwillige bijspaarregeling bevat. In die situatie hoeft de pensioenuitvoerder geen instemming aan de deelnemer te vragen voor het gebruik van de gegevens. Hij kan dan stellen dat hij gebruik maakt van de gegevens die noodzakelijk zijn voor de uitvoering van de bestaande pensioenovereenkomst. Vanuit dat oogpunt valt te overwegen om allerlei vrijwillige aanvullende regelingen zo veel mogelijk op te nemen in de bestaande pensioenregeling.
Basis voor gegevensverwerking in België
Voor zowel de inrichter als het pensioenfonds is de verwerking van persoonsgegevens noodzakelijk om te voldoen aan hun respectievelijke wettelijke verplichtingen. Dit standpunt werd in het verleden reeds door de Belgische Privacycommissie gevolgd, die dit begin 2018 ook bevestigde in het kader van de AVG. Volgens vaststaande Belgische rechtspraak en rechtsleer integreert de pensioentoezegging van de inrichter – en het daaraan verbonden pensioenreglement – zich in de arbeidsovereenkomst van de aangesloten werknemer. Voor de uitvoering hiervan is de verwerking van persoonsgegevens noodzakelijk.
De toestemming wordt in België niet gezien als een correcte rechtsgrond in het kader van pensioenregelingen. Er is immers geen sprake van een vrije keuze. Zodra een werknemer voldoet aan de aansluitingsvoorwaarden, is hij automatisch aangesloten. Bovendien bestaat er al langer discussie over de vraag of een werknemer überhaupt wel vrijelijk toestemming kan geven, vanwege de veronderstelde ongelijke machtsverhouding tussen werknemer en werkgever. Daarenboven mag niet worden vergeten dat de AVG de betrokkene het recht geeft om de toestemming op elk moment in te trekken. Dit lijkt een zeer redelijk principe wanneer we denken aan het gebruik van persoonsgegevens door Facebook, Google, online diensten en andere commerciële organisaties, maar hoe ga je hiermee om als inrichter en als pensioeninstelling? De aangeslotene maakt op grond van de wet immers aanspraak op de opgebouwde pensioenrechten die hem dan toch niet zomaar kunnen worden ontnomen omdat hij niet langer toestemming geeft om zijn persoonsgegevens te verwerken? Anderzijds kunnen deze pensioenrechten niet verder worden beheerd of uitbetaald als zijn persoonsgegevens niet langer mogen worden verwerkt. Dit toont volgens ons duidelijk aan dat toestemming hier inderdaad niet de juiste rechtsgrond kan zijn.
Wellicht zouden de inrichter en de pensioeninstelling zich er ook op kunnen beroepen dat de gegevensverwerking noodzakelijk is voor de behartiging van hun gerechtvaardigde belangen. Maar in dat geval moet steeds een afwegingstoets worden gedaan tussen de belangen van inrichter, respectievelijk pensioeninstelling enerzijds en die van de aangeslotenen, respectievelijk begunstigden anderzijds. Bovendien kunnen de betrokkenen hier bezwaar tegen maken.
De conclusie lijkt dan ook te zijn dat Belgische inrichters en pensioeninstellingen zich best beroepen op hun wettelijke verplichtingen als rechtsgrond voor de gegevensverwerking.
Informatie en rectificatie in Nederland
Als een verantwoordelijke persoonsgegevens verwerkt, dient hij de betrokkene daarvan op de hoogte te stellen en te informeren over diens rechten (art. 12 t/m 22 AVG). Dit moet hij doen binnen één maand na ontvangst van de gegevens van de werkgever (art. 14, lid 3 AVG). Op basis van art. 21 PW moet de deelnemer binnen drie maanden na de startdatum via het pensioen 1-2-3 worden geïnformeerd over zijn pensioenregeling. Het is het handigst om de door de Pensioenwet voorgeschreven informatie te combineren met die van de AVG. Dan moet die informatie dus binnen één maand aan de deelnemer worden gegeven. Het is echter de vraag of dat haalbaar is voor pensioenuitvoerders.
Een pensioenuitvoerder zal een deelnemer moeten informeren waarvoor de gegevens worden gebruikt (het administreren en uitkeren van de pensioen(aanspraken), aan welke partij gegevens worden doorgegeven (bijvoorbeeld de administratieve uitvoerder en het pensioenregister), waar de gegevens vandaan komen (van de werkgever) en waar een klacht kan worden ingediend. Een deelnemer heeft het recht op inzage in zijn gegevens en mag ook verzoeken om die te rectificeren (art 16 AVG).
Deze laatste bepaling kan in pensioenland nog tot de nodige complicaties leiden. Het komt regelmatig voor dat gegevens van deelnemers niet goed zijn verwerkt: een wijziging van een parttime percentage is niet juist doorgegeven, het pensioengevend salaris is niet goed berekend – er is bijvoorbeeld geen rekening gehouden met de bonus – en de diensttijd klopt niet. Op basis van de AVG heeft de deelnemer dan recht op onverwijlde rectificatie. Daar kan voor de werkgever echter wel een prijskaartje aan hangen. Leidt de rectificatie tot een verhoging van de pensioenaanspraak, dan zal hij waarschijnlijk nog een aanvullende premie moeten voldoen. Wij denken daarom dat het niet verstandig is dat de pensioenuitvoerder onverwijld tot rectificatie overgaat. Eerst zal bij de werkgever moeten worden geverifieerd of de gegevens daadwerkelijk onjuist zijn. Zo ja, dan moeten ze natuurlijk worden aangepast, met inbegrip van alle gevolgen die hieruit voortvloeien. De pensioenuitvoerder doet er dan ook goed aan de deelnemers op gezette tijden te verzoeken de gegevens nauwlettend te controleren en fouten zo spoedig mogelijk te melden. Dat vergroot de kans dat hij een eventuele nota tijdig bij de werkgever kan neerleggen.
Is de situatie in België anders?
Wanneer we voor België uitgaan van de (meest voorkomende) situatie dat pensioenfonds en inrichter worden aangemerkt als gezamenlijke verantwoordelijken, moeten ze in hun onderlinge regeling bepalen wie de aangeslotenen zal informeren. Aangezien de persoonsgegevens initieel in principe door de inrichter zelf bij de aangeslotene worden ingezameld, moet deze kennisgeving (‘privacy notice’) onmiddellijk bij de inzameling gebeuren (art. 13 AVG). In de praktijk zal dit vaak zijn op het moment van indiensttreding van de werknemer. Wordt hij niet onmiddellijk aangesloten bij de pensioenregeling, dan moet dit gebeuren op het moment van aansluiting.
De inrichter kan deze kennisgeving onderdeel maken van zijn bredere kennisgeving die hij op basis van de AVG ook moet doen voor andere verwerkingsactiviteiten in het kader van zijn personeelsbeheer. Momenteel bestaat er in België nog geen wettelijke verplichting voor pensioenfondsen om (andere) informatie te verstrekken aan de aangeslotenen op het moment van aansluiting. Omwille van de kennisgeving in het kader van de AVG zullen veel pensioenfondsen, wanneer ze met de inrichter afspreken dat ze hiervoor zullen instaan, de aangeslotenen toch een soort startbrief bezorgen. Naast een korte toelichting van de pensioenregeling wordt hierin dan ook de door de AVG vereiste informatie opgenomen.
Positie van de partner in Nederland
Voor de deelnemer is de situatie in Nederland en België dus redelijk duidelijk. Geldt dat ook voor de partner? Doorgaans wordt aangenomen dat de partner geen partij is bij de pensioenovereenkomst die de werknemer met de werkgever sluit; hij is daarin uitsluitend een begunstigde. Is dat feit nu voldoende rechtsgrond voor de pensioenuitvoerder om de gegevens van de partner te verwerken? Bij een strikte lezing concluderen wij dat er geen sprake is van een overeenkomst waarbij de betrokkene, hier dus de partner, partij is. De pensioenuitvoerder heeft diens gegevens echter wel nodig om de aanspraken op partnerpensioen goed vast te leggen. Kan dan nog een beroep worden gedaan op een andere verwerkingsgrond? Welnu, op het UPO moeten ook de aanspraken van de partner worden vermeld. Dat is een wettelijk vereiste, dat daarmee kan worden gezien als verwerkingsgrond.
Bij indiensttreding wordt de werknemer gevraagd of hij een partner heeft. Die gegevens worden doorgegeven aan de pensioenuitvoerder. Die moet de partner op grond van de AVG binnen een maand informeren over het feit dat zijn gegevens worden verwerkt. Moet hij hem nu een aparte brief sturen? Wellicht is het een optie om het pensioen 1-2-3 zowel aan de deelnemer als aan diens partner te sturen. Het is echter de vraag of dat wel altijd zo wenselijk is. Mogelijk valt een beroep te doen op art. 14, lid 5, onder b AVG, bedoeld voor situaties waarin het verstrekken van informatie onevenredig veel inspanning vergt (verderop bespreken we deze bepaling nog wat uitgebreider).
Vaak wordt ook met het systeem van de onbepaalde partner gewerkt. Dat houdt in dat de pensioenuitvoerder ervan uitgaat dat alle werknemers een partner hebben en daarbij een vast leeftijdsverschil hanteert. In die situatie hoeft hij niet te weten of de werknemer een partner heeft en hoe oud die is. Die gegevens heeft hij uitsluitend nodig om vast te stellen wie er recht op een partnerpensioen heeft bij het overlijden van de deelnemer of om de aanspraken vast te stellen bij het verbreken van de relatie. Hij kan er dus voor kiezen om de gegevens van de partner niet op te vragen. Dan worden ze uiteraard ook niet verwerkt en hoeft de partner daar ook niet over te worden geïnformeerd. Wel zullen er dan enige waarborgen moeten worden ingebouwd, zodat het bij overlijden van de deelnemer duidelijk is dat de partner recht op partnerpensioen heeft.
Is de positie van de partner in België anders?
In België zijn er mogelijk ook andere begunstigden dan de partner, zoals de kinderen of eender welke andere persoon die door de aangeslotene wordt aangeduid als begunstigde. Nu, zolang de aangeslotene niet is overleden, gaat het om potentiële begunstigden. Zij bouwen geen rechten of aanspraken op. Pas op het moment van overlijden van de aangeslotene maakt een begunstigde effectief aanspraak op een overlevingspensioen, een wezenpensioen of een overlijdenskapitaal. En pas dan is er sprake van een effectieve begunstigde. Toch zullen de inrichter en de pensioeninstelling ook van de potentiële begunstigden – partner, kinderen en/of aangeduide begunstigden – een zeer beperkt aantal persoonsgegevens bewaren. In principe beperkt zich dit tot de naam, het adres, de leeftijd en eventueel ook het geslacht. De pensioeninstelling moet op de jaarlijkse pensioenfiche immers vermelden wat de eventuele prestaties zijn die in geval van overlijden zullen worden uitbetaald. Daarnaast moet de pensioeninstelling, om na het overlijden van de aangeslotene tot uitbetaling te kunnen overgaan, de begunstigden ook kunnen contacteren. Vóór de AVG werd uitgegaan van de theorie van de ‘onrechtstreekse registratie’. De gegevens van de potentiële begunstigde worden louter geregistreerd in het kader van de registratie van de aangeslotene. Bijgevolg werd ook aanvaard dat de pensioeninstelling (en de inrichter) de potentiële begunstigden niet moest informeren over de verwerking van hun (beperkte) persoonsgegevens. Er werd aan de aangeslotene gevraagd om dit te doen, zoals ook uitdrukkelijk vermeld in het pensioenreglement.
Belgische inrichters en pensioenfondsen zijn vragende partij om deze werkwijze ook onder de AVG te kunnen voortzetten. Een kennisgeving moeten bezorgen aan de potentiële begunstigden zou immers gepaard gaan met een (te?) aanzienlijke verhoging van de administratieve last en kost, terwijl slechts een zeer beperkt aantal (niet-gevoelige) persoonsgegevens van hen worden bewaard. Er zou hiervoor eventueel kunnen worden teruggevallen op eerdergenoemde uitzondering in art. 14, lid 5, onder b AVG. De verantwoordelijke is dan vrijgesteld van de kennisgeving aan de betrokkenen – bij wie de persoonsgegevens niet rechtstreeks worden ingezameld – als:
- deze kennisgeving onmogelijk blijkt of onevenredig veel inspanning vraagt; en
- de verantwoordelijke passende maatregelen neemt om hun rechten en vrijheden te beschermen, zoals het openbaar maken van deze informatie; denk aan publicatie van de privacy policy op de website van het pensioenfonds, waar dan uitdrukkelijk melding wordt gemaakt van de verwerking van de gegevens van de potentiële begunstigden.
Als deze informatie niet publiek kan worden gemaakt, bijvoorbeeld omdat het pensioenfonds geen website heeft, zou er kunnen worden beargumenteerd dat de vraag aan de aangeslotene om zijn potentiële begunstigden te informeren over de beperkte gegevensverwerking, zo’n passende maatregel is. Momenteel is nog niet helemaal zeker of de opvolger van de Privacycommissie – de Gegevensbeschermingsautoriteit – deze werkwijze (verder) zal aanvaarden.
Zodra de aangeslotene overlijdt, zal de pensioeninstelling de effectieve begunstigde wel moeten informeren. Dit vormt echter geen probleem, aangezien er op dat moment hoe dan ook een communicatie wordt gestuurd aan de begunstigde over de aanspraak en de uitbetaling van het overlevingspensioen, de wezenrente of het overlijdenskapitaal. De kennisgeving op basis van de AVG kan hier dus makkelijk worden bijgevoegd.
Relatie werkgever-pensioenuitvoerder in Nederland
Zoals gezegd zijn in Nederland werkgever en pensioenuitvoerder elk zelfstandige verantwoordelijken. Er is dus geen verantwoordelijke-verwerkerrelatie. Strikt genomen hoeven werkgever en pensioenuitvoerder dus ook geen verwerkersovereenkomst af te sluiten conform art. 28, lid 3 AVG. Vervolgens zal moeten worden vastgesteld of er al dan niet sprake is van gezamenlijke verantwoordelijken. Als dat wel zo is, zullen ze conform art 26 AVG hun verantwoordelijkheden moeten vaststellen. Zo niet, dan doen beiden er toch goed aan een overeenkomst op te stellen waarin ze zo veel mogelijk ieders verantwoordelijkheden vastleggen, zodat bijvoorbeeld discussies over inbreuken worden voorkomen.
Situatie in België
In België zal het, zeker bij pensioenfondsen, vaak gaan om een situatie van gezamenlijke verantwoordelijken, in welk geval zij op basis van art. 26 AVG een onderlinge regeling moeten opstellen. Normaliter zal deze worden toegevoegd aan de beheersovereenkomst tussen inrichter(s) en pensioenfonds die de beheers- en verwerkingsregels vastlegt en ook voor de inwerkingtreding van de AVG doorgaans reeds een aantal bepalingen over gegevensverwerking en -bescherming bevatte. Maar ook wanneer het gaat om zelfstandige verantwoordelijken – vrijwel steeds in geval van verzekeraars – is het aan te raden om een aantal afspraken te maken. Er zal immers steeds een doorgifte van persoonsgegevens gebeuren van de inrichter naar de pensioeninstelling (en vaak ook vice versa). Duidelijke afspraken kunnen dus best worden gemaakt over het lot van de persoonsgegevens bij het einde van de samenwerking. Veel inrichters zullen graag ook uitdrukkelijk vastleggen dat de persoonsgegevens van de werknemers (en hun begunstigden) die zij aan de verzekeraar doorgeven, niet mogen worden gebruikt voor andere doeleinden dan de uitvoering van de pensioenregeling (en dus niet voor direct marketing).
Functionaris gegevensbescherming in Nederland
De AVG schrijft voor dat bij regelmatige en stelselmatige observaties op grote schaal van betrokkenen een functionaris voor gegevensbescherming moet worden aangesteld. In Nederland bestaat enige discussie over de vraag of pensioenuitvoerders dit dan ook moeten doen. De Pensioenfederatie is van mening dat dit niet automatisch het geval is, maar de Autoriteit Persoonsgegevens (AP) heeft pensioenfondsen aangeraden om wel zo’n functionaris te benoemen. Daarbij heeft ze aangegeven dat dit geen aparte functionaris hoeft te zijn, maar dat bijvoorbeeld ook een bestuurslid tot functionaris gegevensbescherming kan worden benoemd. Over deze opmerking bestaat veel discussie. Is een bestuurder wel voldoende onafhankelijk om als functionaris gegevensbescherming op te treden?
Pensioenuitvoerders kunnen er dus voor kiezen om geen functionaris gegevensbescherming te benoemen. Op grond van art. 82 Code Pensioenfondsen dienen ze echter wel te zorgen voor compliance, op grond waarvan het bestuur ervoor moet zorgen dat het pensioenfonds alle wet- en regelgeving naleeft. Is er geen functionaris gegevensbescherming, dan zal de compliance officer ervoor moeten zorgen dat de AVG correct wordt toegepast. Die heeft echter niet de rechten en verplichtingen die de AVG aan de functionaris gegevensbescherming toekent.
Functionaris gegevensbescherming in België
In België lijkt er eensgezindheid te bestaan over de opvatting dat pensioenfondsen niet hoofdzakelijk zijn belast met grootschalige verwerking van bijzondere of gevoelige gegevens (art. 37, lid 1, onder c AVG). Minder eensgezindheid bestaat er over de vraag of pensioenfondsen hoofdzakelijk zijn belast met verwerkingen die regelmatige en stelselmatige observatie op grote schaal van aangeslotenen en begunstigden vereisen. Als het antwoord hierop positief is, zijn pensioenfondsen verplicht om een functionaris voor de gegevensbescherming aan te stellen. Het is echter verre van duidelijk wat moet worden begrepen onder een ‘regelmatige en stelselmatige observatie op grote schaal’. In ieder geval dient elk pensioenfonds, op basis van de risicogebaseerde aanpak van de AVG en de verantwoordingsplicht (art. 5, lid 2 AVG), voor zichzelf deze analyse te maken en deze te documenteren, zoals het opnemen van de uitkomst hiervan in de notulen van de raad van bestuur.
Momenteel lijken de meeste pensioenfondsen de mening toegedaan dat hun verwerkingen hier niet onder vallen en zij dus niet de verplichting hebben om een functionaris voor de gegevensbescherming aan te stellen. Wel zal de naleving van de AVG verder worden opgevolgd door hun compliance officer (voor de juridische aspecten) en hun interne auditor (voor de operationele aspecten, zoals data flows en specifieke veiligheidsmaatregelen). Tijdens de besprekingen die PensioPlus – het Belgische equivalent van de Pensioenfederatie – begin 2018 had met de Privacycommissie over de implementatie van de AVG door pensioenfondsen, liet deze laatste weten dat ze eerder van mening is dat pensioenfondsen wel een functionaris voor de gegevensbescherming moeten aanduiden. Opnieuw moet worden afgewacht hoe de opvolger van de Privacycommissie – de Gegevensbeschermingsautoriteit – hiermee zal omgaan.
Conclusie
De bescherming van persoonsgegevens is uiteraard belangrijk en veel AVG-voorschriften vallen alleen maar toe te juichen. Toch is het de vraag of de one size fits all wel de beste aanpak is. Zo’n Europees confectiepak zit niet altijd even lekker, op sommige plekken knelt het. In ieder geval is het duidelijk dat de AVG niet is geschreven met pensioenuitvoerders in het achterhoofd, maar vooral met de Facebooks en Googles van deze wereld. Dit maakt dat het voor een pensioenuitvoerder vaak moeilijk te begrijpen is wat er nu precies wordt bedoeld met bepaalde beginselen en termen. De pensioenwereld worstelt daardoor met de vraag hoe vorm te geven aan de nieuwe privacyregels zonder zich daarbij een overkill aan nieuwe verplichtingen en dito bijkomende kosten en administratie op de hals te halen. Waarbij het ook nog de vraag is welke meerwaarde het betrokkenen zal opleveren. Het valt te hopen dat de privacyautoriteiten snel komen met beleidsregels die de pensioenpraktijk antwoord moeten geven op de vele vragen die de AVG nu nog open laat.
1. Zie bijvoorbeeld Reus en de Weerd in TPV 2017/34.
