Netherlands

Pensioenen ‘cyber-proof’: deze drie specialisten moet elk pensioenfonds hebben

 

Digitalisering biedt u als pensioenfondsbestuurder niet alleen kansen, maar vraagt ook om een scherpe blik: incidenten liggen constant op de loer. Hoe gaat u om met digitale risico’s zoals cybercriminaliteit, een datalek of een totale stilval van uw bedrijfsvoering bij een IT-storing? Uw privacy-beschermer, ketenregisseur en incidentmanager hebben de sleutel in handen. Een schets van hun belangrijkste taken.

1. De privacy-beschermer
Pensioenfondsen zelf, maar ook hun ketenpartners werken op steeds grotere schaal met privacygevoelige data – zowel van deelnemers als van eigen personeel. Daar is geen ontkomen aan: als fonds heeft u die data nu eenmaal nodig om uw werk goed te doen. Feit is dat vooral bijzondere gegevens, bijvoorbeeld medische informatie, extra privacygevoelig is. Daar komt bij dat zulke data steeds vaker met pensioenuitvoerders, vermogensbeheerders en payroll providers wordt gedeeld.

Volgens de Europese Privacyverordening (ook wel GDPR), die per 25 mei 2018 ingaat, is het aan u als fonds om aan te tonen dat uw deelnemers- en personeelsgegevens voldoende zijn beschermd. Het is aan uw privacy-beschermer om ervoor te waken dat:

  • alle risicovolle verwerkingen van persoonsgegevens zijn onderworpen aan een risicoanalyse (Data Privacy Impact Assessment, kortweg DPIA);
  • u als fonds een ‘verwerkingsregister’ heeft opgesteld dat inzicht geeft in alle persoonsgegevens die u en uw partners beheren.
In het verwerkingsregister moet onder andere zijn vermeld welke persoonsgegevens uw organisatie verwerkt, met welk doel, hoe lang u de gegevens bewaart en welke maatregelen zijn getroffen om privacyrisico’s te beperken.

 

2. De ketenregisseur
Het uitbesteden van IT-functies was ooit omstreden, maar is inmiddels aan de orde van de dag. Pensioenfondsen maken volop gebruik van clouddiensten en applicaties voor beleggingsdoeleinden, boekhoudpakketten of HR-systemen. Het zijn systemen die door externe partijen zijn ontwikkeld en worden beheerd. Als opdrachtgever blijft u in de meeste gevallen echter direct verantwoordelijkheid voor de verwerkte (persoons)gegevens. Dat vraagt om alertheid: ook pensioenuitvoerders, IT-leveranciers en databewerkers kunnen met cybercriminaliteit te maken krijgen of zélf de oorzaak zijn van een datalek.

Het is aan uw ketenregisseur om regie over de digitale keten te houden. Hij of zij waakt er onder meer voor dat:

  • digitale risico’s vast onderdeel zijn van het inkoop- en aanbestedingstraject;
  • dienstverleners kunnen aantonen dat het risicobeheer ook bij hen in goede handen is;
  • de gegeven garanties zijn vastgelegd in contracten en service level agreements;
  • dienstverleners in geval van incidenten afdoende financieel zijn gedekt, bijvoorbeeld in de vorm van een (cyber)verzekering.

 

3. De incidentmanager
Ook bij cyberrisico’s geldt: wat je niet kunt voorkomen, daar moet je alsnog van kunnen genezen. Maar hoe groot is de kans op een cyberincident en wat zijn de (potentiële) gevolgen? Lastig in dat kader is de beperkte historische data over hacks, datalekken en andere digitale incidenten. Het advies: ga er vanuit dat zo’n incident vroeg of laat een keer plaatsvindt. Op dat moment is het aan uw incidentmanager om de financiële schade te beperken en de continuïteit van uw fonds te waarborgen. Hij of zij is uw specialist als het op Business Continuity Management (BCM) aankomt.

Het is aan uw incidentmanager om:

  • de meest waarschijnlijke en gevoeligste scenario’s uit te denken;
  • voor elk scenario een plan op te stellen om snel en adequaat te kunnen handelen;
  • te oefenen met alle betrokken partijen, liefst ook externe;
  • niet alleen verzekeringen af te sluiten voor eigen schade, maar ook voor die aan derden als gevolg van bijvoorbeeld systeemuitval of cybercriminaliteit.
Bedenk goed dat verzekeringen meer zijn dan alleen een financiële dekking. Ze garanderen ook dat u bij een incident snel expertise op IT-, juridisch en communicatiegebied kunt inroepen. Zo heeft u als pensioenfonds steeds uw digitale EHBO-kit bij de hand.