Introductie:
In ‘Federatie: nieuwe Europese ict-regels te streng voor pensioenfondsen’ zijn de inzichten van onder andere de Pensioenfederatie op DORA (Digital Operational Resilience Act) samengevat. Pensioenfondsen zouden verschillen van andere financiële instellingen omdat ze een lager ICT-risico kennen. De maatregelen in DORA zouden niet passend zijn en teveel uitgaan van ‘one size fits all’. Als gevolg daarvan zou implementatie kostenverhogend werken voor fonds en daarmee deelnemer.
Hyfen ziet implementatie van de eisen uit DORA echter als logische milestone in de digitale transformatie van de pensioensector. Geharmoniseerde wetgeving voor IT-beheersing vormt juist een solide basis waarop de toekomstige Europese financiële infrastructuur kan worden gebouwd. En dat is een infrastructuur waar de Nederlandse pensioenfondsen een volwaardig onderdeel van uit zouden moeten willen maken.
DORA: een fundament om op te bouwen
Op 24 September 2020 presenteerde de Europese Commissie haar ‘Digital Finance Package’. Doelstelling is het veilig en digitaal-toegankelijk maken van de financiële sector zodat innovatieve startups en gevestigde financiële instellingen voordelen kunnen realiseren en consumenten toegang krijgen tot nieuwe financiële producten.
De strategie is opgedeeld in vier prioriteiten:
Aanpakken van de versnippering van de digitale eengemaakte markt voor financiële diensten, zodat de Europese consument toegang krijgt tot grensoverschrijdende diensten en Europese financiële ondernemingen worden geholpen hun digitale activiteiten op te schalen;
Zorgen dat het regelgevingskader van de EU digitale innovatie bevordert in het belang van de consument en de marktefficiëntie;
Totstandbrenging van een Europese ruimte voor financiële data om datagestuurde innovatie te bevorderen, voort te bouwen op de Europese datastrategie, inclusief betere toegang tot en uitwisseling van gegevens binnen de financiële sector;
Ingaan op nieuwe uitdagingen en risico’s in verband met de digitale transformatie.
De Europese Commissie voorziet dus een financiële sector met daarin een hoge mate van interactie tussen partijen en veelvuldige uitwisseling van data en (persoons)gegevens. Om dit te bewerkstelligen is een veilig en goed werkend fundament noodzakelijk:
‘De EU kan het zich niet veroorloven dat de operationele veerkracht en beveiliging van haar digitale financiële infrastructuur en diensten in twijfel worden getrokken. Ook moet het risico dat geld van cliënten wordt gestolen of hun gegevens in gevaar worden gebracht, zo veel mogelijk worden beperkt.’
Als gevolg trad op 16 Januari 2023 de hoeksteen van deze toekomstvisie in werking: DORA. Onder DORA wordt de basis op orde gebracht: risicobeheer, incidentmanagement, melding aan toezichthouders door gereguleerde entiteiten, toetsen van weerbaarheid, uitwisselen van informatie, ketenbeheer en handhaving, alle belangrijke onderwerpen vanuit IT beheersingsperspectief komen aan bod en worden geharmoniseerd over verschillende financiële entiteiten. Dat de verplichting verder is geformaliseerd staat daarmee vast. Maar deze versteviging van wet- en regelgeving moet niet beschouwd worden in de context van vandaag, maar juist in de context van morgen.
De context van morgen
Waar de eerste contouren dus in het digital finance package werden geschetst, gaat de Europese Commissie met de voorgestelde Financial Data Access Regulation (FDAR) nog een stap verder. Onder FDAR wil de Europese Commissie dat gegevens over personen onder beheer van financiële partijen, waaronder pensioenfondsen, met toestemming van de betrokkene deelbaar worden met andere partijen en vice versa.
Met de komst van FDAR zal de hoeveelheid te beheren en uit te wisselen persoonsgegevens door pensioenpartijen dus sterk toenemen. Op basis van deze gegevensuitwisseling kunnen nieuwe diensten worden ontwikkeld en bestaande klantreizen verder gepersonaliseerd, bijvoorbeeld in het kader van zorgplicht. Zekerheid omtrent de betrouwbaarheid, integriteit, veiligheid en privacy van die gegevensuitwisseling is daarom straks van nog groter belang.
Dichter bij huis begint de context voor ‘data-delen’, de verhoogde mate van informatieverzameling en de rol voor pensioenfondsen zich ook af te tekenen. De komst van de nieuwe Wet Toekomst Pensioenen geeft extra keuzeruimte aan deelnemers, en daarmee extra verantwoordelijkheid omtrent informatievoorziening en keuzebegeleiding aan pensioenfondsen. Toezichthouders verwachten in dit kader meer en meer van pensioenfondsen.
Daarbij gebruik maken van gegevens uit externe bronnen wordt door de AFM in de leidraad keuzebegeleiding zelfs vandaag de dag al aangemoedigd:
AFM, Leidraad keuzebegeleiding: ‘…Uiteraard mag de pensioenuitvoerder nog een stap verder gaan en wel informatie over de financiële situatie van de deelnemer inwinnen en meenemen in de keuzebegeleiding.’
Daarnaast ontwikkelen zowel de markt voor financiële dienstverlening als technologie zich in een razend tempo. Er ontstaan continu nieuwe producten en diensten in de financiële sector, onder andere door toepassing van AI of het combineren van gegevens vanuit verschillende bronnen. Vanwege de huidige focus van de pensioensector op de implementatie van het nieuwe pensioenstelsel ontstaat het risico dat deze ontwikkelingen uit het oog worden verloren.
In de praktijk wordt compliance met DORA, keuzebegeleiding en andere nieuwe wetgeving (bijvoorbeeld de AI-act) al gevraagd. Bij Hyfen houden we daarom bij het ontwikkelen van het Hyfen Compliant Cloud platform en nieuwe diensten ook al rekening met deze ontwikkelingen. De basis op orde hebben met een goed beveiligde, robuuste en efficiënte IT-omgeving die gelijkwaardig is aan die van andere financiële partijen is daarom, ook voor pensioenfondsen, een must.
Meer weten?
Wil je meer weten over dit onderwerp, neem dan contact op met Dante van Grafhorst, General Counsel bij Hyfen via Dante@hyfen.nl