The General Data Protection Regulation (GDPR) is een Europese wet over de bescherming van de privacy van personen bij het verwerken van persoonsgegevens. In Nederland wordt de GDPR aangeduid als de AVG (Algemene Verordening Gegevensbescherming). We hebben er eerder al een kort artikel over gepubliceerd op de website. In dit artikel gaan we dieper in op wat deze wet, die vanaf 25 mei 2018 in de hele EU geldt, inhoudt. Ook beschrijven wij wat het DEPF doet om te voldoen aan de AVG/GDPR en wat jij er in de praktijk van merkt.
Bestaande wetgeving sloot niet meer aan op praktijk
Tot voor kort had elke EU lidstaat een eigen privacywet, dus ook België en Nederland. Die wetgeving was meest gebaseerd op een Europese privacyrichtlijn uit 1995, toen internet nog in de kinderschoenen stond. Die nationale wetten sloten niet meer aan op de dagelijkse praktijk, waarin steeds meer communicatie digitaal gaat. Daarnaast zijn er de laatste jaren diverse internationale schandalen geweest rond persoonsgegevens die door fouten of door hackers openbaar werden. Het was dus nodig dat er strengere regels kwamen voor de verwerking van persoonsgegevens. De EU vindt de nieuwe wet noodzakelijk om bij burgers het vertrouwen te kweken dat nodig is om de digitale economie verder te kunnen ontwikkelen. De nationale toezichthouders zullen naleving van de wet zorgvuldig toetsen. Bij overtredingen kunnen zij forse boetes opleggen.
Grote reikwijdte van AVG/GDPR
De reikwijdte van de AVG/GDPR is groot. De wet geldt niet alleen voor pensioenfondsen, andere financiële instellingen en bedrijven, maar bijvoorbeeld ook voor sportverenigingen die persoonlijke gegevens van hun leden gebruiken. De wet is er vooral op gericht dat er zorgvuldig wordt omgegaan met de persoonlijke gegevens van klanten, leden, of zoals in het geval van het DEPF, deelnemers, en dat die gegevens alleen worden gebruikt waarvoor zij zijn bedoeld.
Gegevens van bijna 780 deelnemers
Het DEPF heeft gegevens van bijna 780 actieve en gewezen deelnemers en pensioengerechtigden. Naast naam, adres en nationaal identificatienummer, registreren we onder andere salarisgegevens, het bankrekeningnummer en informatie over arbeids-ongeschiktheid en of er een (ex-)partner is. Die gegevens hebben we nodig om nauwkeurig je pensioen te kunnen berekenen en vast te leggen in de administratie van onze administrateurs (Aon Belgium voor België en RiskCo voor Nederland). Uiteraard dienen we die gegevens met de grootste zorgvuldigheid te behandelen. Dat deden we altijd al en dat blijven we doen.
Uitvoeringsoverkomst is legitimatie
Je pensioenregeling is een onderdeel van je arbeidsvoorwaarden. Daarvoor is de werkgever een beheersovereenkomst aangegaan met het DEPF. Die overeenkomst is de legitimatie voor het gebruik van de persoonsgegevens die nodig zijn voor het uitvoeren van de pensioenregeling die tussen jou en je werkgever is afgesproken.
Privacyverklaring
Onder de AVG/GDPR hebben wij de plicht je te informeren wat we met je persoonsgegevens doen. We hebben daarvoor een privacyverklaring opgesteld. Deze privacyverklaring hebben we in lagen gepubliceerd op onze website www.depf.eu. Daarin kun je zien van wie we gegevens van jou ontvangen, welke gegevens dat zijn, waarvoor we ze gebruiken, met welke partijen we ze delen en hoe lang we ze bewaren. Ook kun je lezen welke gegevens we verzamelen over het bezoek aan onze website.
Bij je jaarlijkse pensioenoverzicht dat je binnenkort ontvangt, vind je een bijlage waarin de informatie over de AVG/GDPR is samengevat.
Andere maatregelen
In het kader van de AVG/GDPR hebben we ook andere wettelijke maatregelen genomen zoals het opstellen van een register van verwerkingsactiviteiten waarin we vastleggen wat we met de persoonsgegevens van onze deelnemers doen. Verder hebben we verwerkersovereenkomsten gesloten met adviseurs en dienstverleners van het DEPF die ook werken met gegevens van onze deelnemers. Denk daarbij aan onze administrateurs Aon Belgium en RiskCo, de actuaris die pensioenberekeningen maakt en het bureau dat onze nieuwsbrieven verstuurt naar je e-mailadres. In die overeenkomsten leggen we vast dat zij net als het DEPF werken volgens de regels van de AVG/GDPR.
Meer rechten
Onder de AVG/GDPR hebben personen meer rechten als het gaat om de verwerking van hun persoonlijke gegevens. Een aantal van die rechten bestond al, zoals het recht om in te zien welke gegevens een organisatie van je heeft en het recht die informatie te rectificeren of aan te vullen. Ook heb je het recht om bezwaar te maken tegen de verwerking van je gegevens en het recht op beperking van de verwerking. Daarvoor moeten dan wel zwaarwegende redenen zijn.
Onder de AVG/GDPR zijn ook een paar nieuwe rechten, zoals het recht van dataportabiliteit. Dit houdt in dat je het recht hebt je gegevens op te vragen en die over te dragen of te laten overdragen aan een andere organisatie die soortgelijke gegevens verwerkt.
Een tweede nieuwe recht is het recht op vergetelheid. Dat betekent dat personen het recht hebben om hun gegevens te laten wissen. Dit kan in een aantal gevallen niet, zoals wanneer het verwerken van de gegevens dient om een wettelijk vastgelegde taak van algemeen belang uit te voeren. Het zou ook niet verstandig zijn je uit de administratie van het pensioenfonds te laten schrappen, want dan is er later geen pensioen voor jou.
Jij merkt er weinig van
In de praktijk zul je als deelnemer van het DEPF weinig merken van de AVG/GDPR. Je kunt op de website in de privacyverklaring lezen hoe wij gegevens verwerken. Soms zul je in bepaalde documenten een verwijzing naar de privacyverklaring aantreffen. Jij mag ervan uitgaan dat het DEPF zijn uiterste best doet om zorgvuldig met jouw persoonlijke gegevens om te gaan en die te gebruiken in overeenstemming met de AVG/GDPR.