Sinds 1 mei 2018 hebben wij een privacy officer. Sinds 1 januari 2020 een compliance officer. Met ingang van het vierde kwartaal 2022 werd Jurriaan Cornelisse benoemd als de compliance- en privacy officer van PME.

Compliance functie

De compliance functie rapporteert ieder kwartaal aan het uitvoerend bestuur en de ARC-commissie. De compliance officer rapporteert daarnaast ook jaarlijks aan het algemeen bestuur, organiseert awareness-bijeenkomsten voor het algemeen bestuur en werkt mee aan de jaarlijkse herijking van de SIRA.

De compliance functie is een onafhankelijke tweedelijns functie gericht op de naleving van relevante wet- en regelgeving, de interne regels van PME, zoals de gedragscode, en integer handelen. De compliance officer beoordeelt, monitort en rapporteert over het voorgaande.

De genoemde taken hebben ten doel om een integere bedrijfscultuur te bevorderen waarin de

professionele individuele verantwoordelijkheid wordt gestimuleerd voor zowel verbonden personen als ook de zakelijke relaties van PME. Wij hechten als PME grote waarde aan een ­integere bedrijfscultuur omdat die van belang is voor onder meer:

• consistent en evenwichtig handelen;

• tone at the top;

• zorgvuldigheid van processen en ­beheersmaatregelen;

• transparantie;

• bespreekbaarheid; en

• handhaving, waaronder het naleven van wet- en regelgeving.

Ook voert de compliance officer met zowel de eerste als tweede lijn van de uitvoerende organisaties van PME gesprekken om processen, rapportages en gebeurtenissen door te nemen en daar lering uit te trekken en ook om, indien nodig, nieuwe beheersmaatregelen te laten treffen of bestaande beheersmaatregelen te optimaliseren. Deze gesprekken vinden plaats op tactisch en bestuurlijk niveau samen met de andere disciplines van het bestuursbureau, zowel de eerste lijn als de tweede lijn.

Privacy functie

De meeste gegevensverwerkingen van PME vinden plaats in het kader van de uitvoering van de pensioenregeling van PME door de pensioenuitvoeringsorganisatie TKP. TKP is hierdoor een belangrijke verwerker van de persoonsgegevens. Datalekken die plaatsvinden worden door de privacy officer binnen PME geregistreerd, geanalyseerd en beoordeeld en, indien nodig op grond van de AVG, gemeld bij de Autoriteit Persoonsgegevens (AP). Ook voert de privacy officer met de uitvoerende organisaties van PME gesprekken om processen en privacyrisico’s door te nemen, te beoordelen en lering te trekken uit plaatsgevonden datalekken of uit risico­beoordelingen om nieuwe beheersmaatregelen te laten treffen of bestaande beheersmaat­regelen te optimaliseren.

Over het jaar 2023 verklaart de compliance- en privacy officer als volgt:

“Als compliance officer van PME heb ik in 2023 toegezien op de naleving van relevante wet- en regelgeving, de interne regels van PME, zoals de gedragscode, en integer handelen door de verbonden personen en insiders van PME. Hierop is per kwartaal en daar waar nodig tussentijds beoordeeld, gemonitord en gerapporteerd. Een belangrijke basis voor de uitvoering van de compliance functie is het jaarlijkse compliance programma waarin ook speerpunten per jaar worden verwerkt.

In 2023 was één van de speerpunten het laagdrempelig en toegankelijk maken van de com­pliance functie en doorlopende awareness bevordering in individuele en plenaire gesprekken en dialogen. Daarmee worden awareness en transparantie maximaal bevorderd en vindt ook onderling een optimale dialoog plaats over mogelijke compliance risico’s en de beheersing daarvan. Vanuit de compliance functie wordt op meldingen in het kader van de gedragscode gemotiveerd aangegeven hoe de beoordeling van een melding heeft plaatsgevonden en welke feiten, omstandigheden en afwegingen daarbij hebben plaatsgevonden waarbij de melder wordt meegenomen in de beeld-, oordeels- en besluitvorming- van de compliance functie. Daar waar relevant is bij beoordelingen van meldingen ook een aanvullend advies door de compliance officer gegeven aan de melder en/of aan het bestuur van PME ter mitigering van mogelijke risico’s.

In 2023 zijn voorts veelvuldig tweedelijns compliance opinies verstrekt op onderwerpen die op de bestuurlijke agenda’s aan de orde zijn geweest. Als compliance officer word ik nog nadrukkelijker dan voorheen om input en opinies gevraagd op onderwerpen in de dagelijkse uitvoering door het bestuursbureau en in de beeld-, oordeels- en besluitvormende fase in de bestuurlijke gremia. Hierdoor is de compliance functie nog sterker verankerd in de organisatie. Ook is in 2023 gestart met een doorlopende betrokkenheid van de compliance functie bij het project NPS. De tweedelijns compliance opinies worden zoveel als mogelijk en daar waar relevant gecombineerd met de opinies van de tweede­lijns risicobeheersfunctie in een integrale aanpak.

Eind 2023 is de uitvoering van de systematische integriteitrisicoanalyse (SIRA) gestart en deze wordt in 2024 afgerond. In 2022 is een uitgebreide variant uitgevoerd van de SIRA en de SIRA die in 2023 is gestart is een lichtere variant. In deze variant ligt met name de nadruk op de beoordeling van het risicobeheersingseffect van de doorgevoerde ontwikkelingen door PME in 2022 en 2023 rond IT-, cyberweerbaarheid met een significante impact qua verbetering van de risicobeheersing, stevigere borging en beheersing van de compliance- en integriteits­risico’s in de organi­satie.

In 2023 is geconstateerd dat alle verbonden personen en insiders van PME de gedragscode hebben nageleefd. Bij PME is een open cultuur aanwezig rond compliance en daaraan gerelateerde onderwerpen en ontwikkelingen en worden actief meldingen gedaan conform de regels van de gedragscode of de compliance officer om een oordeel, raad of advies gevraagd. Begin 2024 vindt de jaarlijkse uitvraag plaats onder alle verbonden personen en insiders inzake de nalevingsverklaring gedragscode.

Als privacy officer van PME heb ik in 2023 toegezien op de naleving van de Algemene Verordening Gegevensbescherming (AVG) door PME. PME beschikt over een in 2023 grondig geactualiseerd privacy beleid, een daarop gebaseerd nieuw privacy statement, een strakke procedure rondom datalekken, een verwerkingenregister en verwerkersovereenkomsten met alle partijen die, voor zover bekend, gegevens namens PME beheren en/of verwerken. Ook zijn in het privacy beleid de verwerkingen van persoonsgegevens van de eigen medewerkers, bestuursleden en andere aan het fonds verbonden personen duidelijker vastgelegd en onderbouwd.

PME geeft voorts met dit alles invulling aan de Gedragslijn Verwerking Persoonsgegevens Pensioenfondsen, zoals per 1 juli 2019 vastgesteld door de Pensioenfederatie. De gedragslijn is eind 2022 geactualiseerd door de Pensioen­federatie en PME voldoet aan de gedragslijn.

Het beleid en de procedures met betrekking tot AVG zijn ingericht in de praktijk en worden gevolgd door de uitvoeringsorganisaties die gegevens verwerken door PME.

Begin 2023 werd één van de subverwerkers van een marktonderzoeksbureau, dat voor PME een non respons onderzoek uitvoerde rond een eerder risicobereidheidsonderzoek, getroffen door een cyberincident. Deelnemers van PME werden hierdoor getroffen omdat bij dit incident sprake was van een datalek. Mogelijk zijn de gegevens van de deelnemers die voor het non respons onderzoek benaderd zouden worden in verkeerde handen terecht gekomen. Dit incident staat bekend als de ‘Nebu casus’ en door deze casus zijn naast PME ook vele andere Nederlandse organisaties getroffen en was dit één van de grootste datalekken tot nu toe op nationale schaal.

PME heeft, direct na het bekend worden bij PME van het incident bij Nebu, voor de afhandeling van dit incident een crisismanagement team (CMT) ingesteld. Het CMT van PME heeft dit incident behandeld ondersteund door experts van het bestuursbureau vanuit iedere relevante discipline en uiteraard ook de compliance- en privacy officer. Het CMT heeft rond dit incident de nodige stappen ondernomen voor de afhandeling ervan, mitigering van risico’s (voor zover mogelijk) en met name heldere en snelle communicatie richting de deelnemers waarvan de gegevens mogelijk in het datalek betrokken zijn geweest. Ook zijn de werkgevers van de getroffen deelnemers intensief geïnformeerd en ondersteund door PME met informatie en begeleiding. Dit alles naast een actieve rol voor de klantenservice van PME bij de uitvoerende organisatie als vraagbaak voor getroffen deelnemers en de werkgevers. PME heeft gedurende het incident ook de toezichthouders DNB, de Auto­riteit Persoonsgegevens en de AFM frequent geïnformeerd over het incident, de voortgang en de genomen stappen en maatregelen en is aangifte gedaan bij de speciale cybercrime eenheid van de politie. Voorafgaand aan de sluiting door PME van de afhandeling van het incident is een multidisciplinaire evaluatie uitgevoerd door alle intern betrokkenen bij het incident en zijn lessons learned gedefinieerd die vervolgens zijn toegepast en doorgevoerd in procedures en ­processen binnen PME om bestaande beheersmaatregelen aan te scherpen, nieuwe beheersmaatregelen te definiëren en ook de uitvoerende organisaties van verwerkingen hierbij te ­betrekken.”

Jurriaan Cornelisse

Compliance- en privacy officer PME