1. Waarom is informatiebeveiliging zo belangrijk voor de pensioensector?
Omdat de risico’s van inadequate informatiebeveiliging groot zijn. Anders dan bijvoorbeeld bij banken is er in de praktijk minder frequent sprake van kwaadwillenden die beslag proberen te leggen op financiële middelen van pensioenfondsen. Maar áls zij in hun opzet slagen, kunnen de financiële schade en het reputatieverlies gigantisch zijn. Daarnaast beschikken pensioenfondsen over enorme hoeveelheden data waar criminelen in toenemende mate belangstelling voor hebben. Op de zwarte markt wordt voor een setje NAW-gegevens inclusief BSN-nummer zomaar vijftien tot twintig euro betaald. Vanuit die optiek vormt een pensioenfonds met duizenden deelnemers een zeer aantrekkelijk doelwit voor criminelen.
2. Hebben bestuurders van pensioenfondsen voldoende oog voor het thema informatiebeveiliging?
De komst van de privacywetgeving AVG heeft het thema wel nadrukkelijker op de kaart gezet, maar informatiebeveiliging is nog niet onder alle bestuurders top of mind. Het is niet raar dat de AVG dat wel is, want niet voldoen aan de AVG kan leiden tot hoge boetes. Gelukkig zien we wel dat de tijd dat bijvoorbeeld een datalek met schouderophalen werd begroet inmiddels achter ons ligt. Bovendien is het bewustzijn rond reputatierisico’s in pensioenorganisaties onder druk van de publieke opinie sterk gegroeid. Het is belangrijk dat deelnemers erop kunnen vertrouwen dat hun data veilig zijn bij de pensioenuitvoerder en het uiteindelijk verantwoordelijke pensioenfonds.
3. Zouden DNB en AFM meer aandacht voor informatiebeveiliging in de pensioensector moeten hebben?
Een datalek kan forse impact hebben op de reputatie van de sector, dus zullen toezichthouders meer controle willen uitvoeren. DNB heeft het afgelopen jaar al meer aandacht voor de pensioensector op het gebied van informatiebeveiliging getoond en we verwachten dat dit alleen maar zal toenemen.
4. Technologisch gaan de ontwikkelingen snel. Hoe weten pensioenfondsbestuurders dat de informatiebeveiliging aan de laatste eisen voldoet?
Het gebruik van nieuwe technologieën is aan de orde van de dag. Het is van belang om dit op een gecontroleerde, vertrouwde en veilige manier te doen. Om erachter te komen of deze nieuwe technologieën voldoen aan de informatiebeveiligingseisen moeten pensioenfondsbestuurders professionals inschakelen met de juiste expertise op het gebied van die technologieën en informatiebeveiliging. Zij kunnen zich verdiepen in de gehanteerde systemen en beveiligingsmethodieken en ervoor zorgen dat additioneel benodigde beheersing en maatregelen worden geïmplementeerd.
5. Hoe houdt het fonds zicht op informatiebeveiliging in de keten?
De hoeveelheid data bij pensioenfondsen zelf is verwaarloosbaar klein in vergelijking met de data die zij aan pensioenuitvoerders hebben toevertrouwd. Het is daarom ook van belang dat het fonds toezicht houdt op de keten door middel van hun uitbestedingsproces. Voor fondsen kan het een hele opgave zijn om zelf na te gaan of uitvoerders hun informatiebeveiliging op orde hebben. In dat verband zouden pensioenfondsen met dezelfde uitvoeringsorganisatie bijvoorbeeld samen op kunnen trekken door gezamenlijk onderzoek door deskundigen te laten doen bij de uitvoeringsorganisatie.
6. Ligt er een rol voor internal audit en accountants op het gebied van informatiebeveiliging in de pensioensector?
Er is zeker een rol weggelegd voor internal audit en accountants. Informatiebeveiliging is één van de toprisico’s voor organisaties en hierdoor wordt het ook vaker een onderdeel van de audit agenda. Niet alleen vanuit een perspectief van de internal audit, maar ook vanuit de externe audit. Steeds vaker wordt aan de accountant gevraagd om te kijken naar informatiebeveiliging en dit mee te nemen in ISAE3402-rapportages danwel andere SOC-rapporten, bijvoorbeeld SOC voor Cyber.
7. De pensioenfondsen geven informatie door aan het Pensioenregister, maar waar eindigt de verantwoordelijkheid van het fonds en waar begint de verantwoordelijkheid van het NPR?
Het fonds blijft te allen tijde volledig verantwoordelijk en aansprakelijk voor de data van deelnemers. Als er tekortkomingen in de beveiliging worden geconstateerd bij het pensioenfonds of diens ketenpartners, dan kan het fonds daarvoor worden beboet. Het is daarom van belang voor de fondsen om bewust te zijn van hun aansprakelijkheid en maatregelen te treffen. Te denken valt aan het herzien van de huidige contracten met ketenpartners om te bepalen of de gewenste maatregelen contractueel zijn vastgelegd.
