Cloud computing en pensioenfondsen

Pensioenfondsen die voor hun bedrijfsvoering gebruik willen maken van een ‘cloud’ moeten dit melden aan De Nederlandsche Bank (hierna: ‘DNB’). Wat houdt deze meldplicht in en wat betekent dit voor pensioenfondsen? Wat zijn aandachtspunten met betrekking tot privacy?

Cloud computing

Wat is cloud computing eigenlijk? Er zijn diverse definities in omloop. DNB definieert cloud computing als “een on-demand service model voor de levering van IT diensten, welke vaak zijn gebaseerd op virtualisatie technieken en gedistribueerde computeromgevingen.” Het opslaan of verwerken van data door een derde partij is ook een vorm van cloud computing. Hiervan is bijvoorbeeld sprake wanneer het pensioenfonds gebruik maakt van servers van een hostingdienstverlener om daarop haar data op te slaan.

Melden initiatief cloud computing

Elk initiatief van een pensioenfonds om te gaan werken in de cloud moet worden gemeld aan DNB. Indien daar aanleiding toe bestaat kan DNB vervolgens nadere inlichtingen vragen bij het desbetreffende pensioenfonds. Melden kan eenvoudig via het speciaal daartoe geopende e-mailadres: cloud-computing@dnb.nl.

Toezicht DNB

DNB houdt toezicht op pensioenfondsen en controleert met name of zij hun organisaties zodanig hebben ingericht dat er een beheerste en integere bedrijfsvoering wordt gewaarborgd. Pensioenfondsen zijn immers wettelijk verplicht om hun bedrijfsprocessen en –risico’s te beheersen. Als een pensioenfonds haar werkzaamheden uitbesteedt aan derden, zal zij ervoor moeten zorgen dat ook die derden aan de op het pensioenfonds rustende verplichtingen, zoals de meldplicht voor cloudinitiatieven, voldoen. Ook die derden moeten alsdan een beheerste en integere bedrijfsvoering waarborgen. Uitbesteding van werkzaamheden mag er overigens niet toe leiden dat het DNB wordt belemmerd in de uitoefening van het toezicht.

Toezicht DNB: cloud computing

Cloud computing is volgens DNB een vorm van uitbesteding. Een pensioenfonds is daarom gehouden om aantoonbaar de risico’s van werken in de cloud te kennen en te beheersen. Het fonds dient een samenhangende risicoanalyse uit te voeren alvorens zij de cloud in mag. DNB kan, nadat het initiatief voor cloud computing is gemeld, bij het pensioenfonds deze risicoanalyse opvragen en beoordelen.

Het pensioenfonds dient in haar risicoanalyse minstens aandacht te besteden aan:

  • compliance met de bestaande wet- en regelgeving;
  • de gemaakte afspraken inzake de aangeboden diensten;
  • de stabiliteit en betrouwbaarheid van de service provider;
  • de locatie waar de diensten worden aangeboden;
  • het belang en afhankelijkheid van de IT diensten en/of IT componenten.

Voor cloud computing is hierbij expliciet aandacht vereist voor de risico’s die samenhangen met onder meer de integriteit, vertrouwelijkheid en beschikbaarheid van data. Ook moet duidelijk zijn op welke locatie de bedrijfsdata worden verwerkt en opgeslagen.

Privacy

Met het melden van cloud computing en het uitvoeren van een risicoanalyse is het pensioenfonds er nog niet. In het kader van cloud computing kunnen er persoonsgegevens worden verwerkt. In dat geval is de Wet bescherming persoonsgegevens (hierna: ‘de Wbp’) van toepassing. In deze wet wordt onderscheid gemaakt tussen de ‘verantwoordelijke’ en de ‘bewerker’. Eerstgenoemde is degene die het doel en de middelen van de persoonsgegevensverwerking bepaalt. De bewerker is de verantwoordelijke in zekere zin behulpzaam bij de uitvoering van de verwerking, maar bepaalt zelf niet het doel en de middelen. Het pensioenfonds zal veelal de verantwoordelijke voor de persoonsgegevensverwerking zijn. De derde waaraan de persoonsgegevensverwerking is uitbesteed – bijvoorbeeld de hostingdienstverlener – is dan aan te merken als bewerker.

Pensioenfondsen blijven verantwoordelijk voor de persoonsgegevensverwerking, ook als zij deze uitbesteden aan derden. Daarom is het noodzakelijk – en daartoe zijn zij ook wettelijk verplicht – om een goede (bewerkers)overeenkomst aan te gaan met die derde. In een bewerkersovereenkomst dient het pensioenfonds in ieder geval het volgende te regelen:

  • De verplichting voor de derde om voldoende waarborgen te treffen ten aanzien van de technische en organisatorische beveiliging van de persoonsgegevens. Hierbij geldt dat de beveiliging zwaarder moet zijn naar mate de persoonsgegevens gevoeliger zijn.
  • De verplichting voor de bewerker om inbreuken op de beveiliging, waaronder datalekken, onverwijld te melden aan het pensioenfonds. Het pensioenfonds dient zelf namelijk binnen 72 uur na ontdekking van een datalek dit lek te melden bij de Autoriteit Persoonsgegevens. Het pensioenfonds kan zich niet verschuilen achter een derde waaraan zij een deel van haar verwerking heeft uitbesteed. Goede afspraken ter zake zijn derhalve onontbeerlijk.
  • Afspraken met betrekking tot de geheimhouding en vertrouwelijkheid van de persoonsgegevensverwerking.
  • De verplichting voor de derde om de instructies van het pensioenfonds als verantwoordelijke te allen tijde nauwgezet op te volgen.

Conclusie

Kortom, wanneer pensioenfondsen gebruik willen maken van cloud computing is het van belang dat zij dat initiatief tot melden bij DNB. Verder  is een goede risicoanalyse noodzakelijk; DNB kan dit ter beoordeling opvragen. Tot slot dient er, voor zover er persoonsgegevens worden verwerkt, een bewerkersovereenkomst te worden opgesteld waarin nauwkeurig afspraken worden gemaakt over de verwerking van de persoonsgegevens.