Dit hoofdstuk geeft richtlijnen hoe te handelen binnen de diverse stappen in het incidentenproces.
1. Melding
Elk Incident of Voorval dient direct aan de afdeling RM&C of de Compliance Officer te worden gemeld, ook als nog niet alle feiten of de impact van het Incident of Voorval bekend zijn. Dit is van belang zodat de afdeling RM&C tijdig melding kan doen van het Incident of Voorval in haar rapportages. De melding kan zowel schriftelijk, elektronisch als mondeling worden gedaan en bevat een zo duidelijk mogelijke omschrijving van het (vermoedelijke) Incident. Indien de Melder van mening is dat het een Zwaar Incident betreft, doet de Melder daarvan uitdrukkelijke mededeling in de melding.
De melding geeft, voor zover reeds bekend, een beschrijving van:
- het Incident of Voorval;
- de achterliggende oorzaak;
- de mogelijke impact op de bedrijfsvoering en reputatie van het fonds en de mogelijke risico’s;
- de verwachte hersteltijd;
- de getroffen beheersmaatregelen en/of tijdelijke oplossingen; en - de wijze van implementatie van de getroffen maatregelen.
Bij de melding worden er direct afspraken gemaakt over de voortgangsbewaking om de oplossing en de beheersing van het Incident of Voorval te kunnen monitoren en daar waar nodig bij te sturen.
Meldingen van een Incident kunnen anoniem gedaan worden. Indien aanvullende informatie benodigd is in het belang van het onderzoek, kan de Verbonden Persoon worden verzocht zijn medewerking hieraan te verlenen. De Verbonden Persoon is hiertoe niet verplicht.
Er geldt een uitzondering voor het melden van Integriteitsincidenten en een specifiek type Beveiligingsincident: Datalek.
1.1 Melding van Integriteitsincidenten
Iedere Melder die een (dreigend) Integriteitsincident constateert dient dit te melden aan de Compliance Officer. Voor Verbonden Personen die de functie van
sleutelfunctiehouder vervullen geldt deze meldingsplicht niet wanneer het
Integriteitsincident kwalificeert als een substantieel risico of een significante inbreuk als bedoeld in artikel 143a lid 3 van de PW en de sleutelfunctiehouder op grond daarvan gehouden is tot melding aan de toezichthouder.
Meldingen van een Integriteitsincident worden vertrouwelijk behandeld. De identificatiegegevens van de Melder worden niet opgenomen in de communicatie naar derden. Ook indien de Melder geen belang hecht aan anonimiteit zal zijn identiteit alleen dan worden vrijgegeven in communicatie, wanneer daartoe een wettelijke verplichting bestaat.
Voor meldingen van een Misstand wordt de Klokkenluidersregeling van AAPF gevolgd.
1.2 Melding van een Datalek
Indien de melding ziet op (het vermoeden van) een Datalek, dan wordt het Protocol Meldplicht Datalekken van AAPF gevolgd. Hierin is vermeld dat melding van het Datalek aan de Privacy Officer moet worden gedaan.
1.3 Melding van Incidenten aan de toezichthouder
Pensioenfondsen zijn wettelijk verplicht toezichtincidenten te melden bij DNB. Het gaat om Incidenten die het vertrouwen in de onderneming of financiële markten kunnen schaden. In geval van toezicht op pensioenfondsen bij Incidenten zijn prudentieel toezicht, gedragstoezicht en materieel toezicht belangrijke vormen.
Daarvan volgt hieronder een korte uiteenzetting.
a. Prudentieel toezicht
De Nederlandsche Bank (“DNB”) houdt overeenkomstig artikel 151 lid 3 PW
prudentieel toezicht op pensioenfondsen. Dit is gericht op de normen ten aanzien van de financiële soliditeit van pensioenfondsen en het bijdragen aan de financiële
stabiliteit van de pensioensector. DNB bekijkt onder andere of het pensioenfonds voldoende geld heeft om verliezen op te vangen. Het raamwerk voor prudentieel toezicht is verankerd in het financieel toetsingskader.
Voor Incidenten wat betreft prudentieel toezicht is artikel 19a van het Besluit
financieel toetsingskader pensioenfondsen (”Bftk”) van toepassing. Dat betekent, dat een fonds een Incident aan de Nederlandsche bank moet melden als er sprake is van een prudentiële kwestie, dat een ernstig gevaar vormt voor de integere uitoefening van het bedrijf van een fonds.
b. Gedragstoezicht
De Stichting Autoriteit Financiële Markten (“AFM”) voert op basis van artikel 151 lid 1 PW het gedragstoezicht uit. Dit is gericht op de naleving van de normen wat betreft informatieverstrekking door pensioenuitvoerders aan deelnemers, gewezen
deelnemers, gewezen partners en pensioengerechtigden. De AFM toetst de verstrekte informatie op toegankelijkheid, tijdigheid en juistheid. Zij controleert onder meer of pensioenfondsen duidelijk berichten over het voorwaardelijke karakter van de pensioenrechten.
Op grond van de Wet op het financiële toezicht (“Wft”) houdt de AFM effectentypisch gedragstoezicht op de financiële markt. Als beleggers op financiële markten, vallen pensioenfondsen onder dit toezicht. De wetgeving op het terrein van effectentypisch gedragstoezicht is vastgelegd in artikel 5:68 Wft en verder uitgewerkt in het Besluit Marktmisbruik Wft. Daarin staan regels omtrent:
- het omgaan met voorwetenschap/koersgevoelige informatie;
- het omgaan met privéhandelingen in financiële instrumenten door bestuurders en personeelsleden;
- het beheersen van belangenverstrengeling met betrekking tot transacties in financiële instrumenten, en
- het tegengaan van koersmanipulatie en misleiding.
Overeenkomstig artikel 19 van het Besluit gedragstoezicht financiële ondernemingen (“Bgfo”) is er een verplichting om Incidenten aan de AFM te melden. Het gaat daarbij om gedragstypische en effectentypische kwesties, die een ernstig gevaar vormen voor de integere uitoefening van het bedrijf van een pensioenfonds. Inhoudelijk is er dus overeenstemming tussen bepalingen uit het Bftk en het Bgfo.
c. Materieel toezicht
Naast gedragstoezicht en prudentieel toezicht bestaat materieel toezicht. Dit toezicht is op basis van artikel 151 lid 3 PW eveneens overgedragen aan DNB. Zij controleert of normen die niet onder het prudentieel of gedragstoezicht vallen door
pensioenfondsen worden nageleefd. Het gaat onder andere over normen ten aanzien van de pensioenovereenkomst, de uitvoeringsovereenkomst en de statuten en reglementen van pensioenfondsen. Het wettelijk kader voor het melden van Incidenten wat betreft materieel toezicht is ook vastgelegd in artikel 19a Bftk.
d. Bescherming persoonsgegevens
Naast deze vormen van toezicht door DNB en de AFM speelt ook de Autoriteit Persoonsgegevens (“AP”) als onafhankelijk toezichthouder in Nederland een belangrijke rol. Zij bewaakt en bevordert de bescherming van persoonsgegevens.
Na bekendwording, dient AAPF een Incident zo snel als mogelijk aan de toezichthouder melden als het Incident voldoet aan de volgende criteria:
- Het Incident betreft een Zwaar Toezichtincident, zoals door DNB gedefinieerd;
- Het Incident betreft een gedragstypische of effectentypische kwestie die een ernstig gevaar vormt voor de integriteit van AAPF;
- Er zal aangifte worden gedaan bij justitie;
- Het Incident leidt, gelet op verwachte publiciteit, tot een ernstige mate van reputatieschade voor AAPF; of
- Het betreft een Datalek.
2. Registratie
RM&C registreert alle Operationele Incidenten in Cerrix. Via deze registratie wordt tevens de afwikkeling van het Incident door RM&C gemonitord. De verantwoordelijke lijnmanager is verantwoordelijk voor de afhandeling van het Incident en het
bijhouden van de voortgang hiervan in Cerrix.
Beveiligings-incidenten volgen de procedure afhandelen IT-security incident.
De Compliance Officer registreert meldingen van Integriteitsincidenten in het incidentenregister van AAPF. Gedurende het verdere proces worden in het dossier relevante documenten opgenomen, zoals de communicatie tussen de verschillende betrokkenen, de rapportages en de resultaten van eventueel onderzoek.
Het dossier wordt in een beveiligde omgeving bewaard op het netwerk bij AAPF.
Identificatiegegevens van de Verbonden Persoon worden op zodanige wijze bewaard dat voldaan wordt aan Algemene Verordening Gegevensbescherming (AVG) en alleen de Compliance Officer en de onafhankelijk voorzitter van het Bestuur hebben
toegang tot deze gegevens. Is de onafhankelijk voorzitter het onderwerp van het Integriteitsonderzoek, dan beschikt de Compliance Officer over een separaat, alleen voor haar, toegankelijke schijf.
3. Beoordeling
De afdeling RM&C beoordeelt als vervuller van de sleutelfunctie Risicobeheer de melding o.b.v. het Incidentenbeleid. De afdeling RM&C zorgt dat de beoordeling, inclusief haar advies, wordt besproken met de verantwoordelijke lijnmanager. In de beoordeling wordt aangegeven of een melding aan DNB of AFM noodzakelijk is.
3.1 Beoordeling van een Integriteitsincident
De Compliance Officer beoordeelt de melding en bepaalt of er sprake is van een Integriteitsincident. Dit oordeel wordt vastgelegd en op schriftelijke wijze aan het Bestuur gemeld. Indien het Bestuur van mening is dat er geen sprake is van een Integriteitsincident meldt zij dit aan de Compliance Officer en verzoekt deze het dossier te sluiten.
Meldingen van Integriteitsincidenten en de beoordeling van de Compliance Officer van het Integriteitsincident worden geregistreerd in het incidentenregister.
Gedurende het verdere proces worden in het dossier de relevante documenten
opgenomen, zoals de communicatie tussen de verschillende betrokkenen, de
rapportages en de resultaten van eventueel onderzoek. De Compliance Officer brengt de Melder van de beoordeling op de hoogte. Dit kan zowel schriftelijk, elektronisch als mondeling worden gedaan.
3.2 Beoordeling of Incident aan Toezichthouder gemeld moet worden De afdeling RM&C of de Compliance Officer beoordelen of een Incident gemeld dient te worden aan de Toezichthouder. Hierover zal overleg worden gevoerd met de UB.
Het Bestuur wordt geïnformeerd over de melding aan de Toezichthouder.
De melding zal door de Compliance Officer aan de Toezichthouder worden gedaan.
De informatie die aan de Toezichthouder wordt verstrekt, omvat in elk geval:
- De feiten en omstandigheden van het (Zware) Incident;
- In geval van een Integriteitsincident, informatie over de functie, hoedanigheid en positie van degene of degenen die het (Zware) Incident heeft of hebben
bewerkstelligd;
- De maatregelen die naar aanleiding van het (Zware) Incident zijn of zullen worden genomen.
Een Incident dat gemeld moet worden aan DNB, wordt gericht aan de accounttoezichthouder van AAPF.
4. Onderzoek
Indien het Bestuur dit wenst kan er een onderzoek worden ingesteld door externen.
Tijdens het onderzoek naar een Incident of een Voorval worden, als een onderzoek naar een of meerdere Verbonden Personen deel uitmaakt van de werkzaamheden, de regels in acht genomen die gelden voor het doen van een Persoonsgericht onderzoek (zie 4.1).
De Compliance Officer bewaakt de voortgang van het meldproces, het onderzoek, alsmede de opvolging van acties.
4.1 Persoonsgericht onderzoek
Als er een redelijk vermoeden bestaat dat een Verbonden Persoon verantwoordelijk is voor/ zich schuldig heeft gemaakt aan een Incident, of als daar naar het oordeel van het Bestuur aanleiding toe bestaat, kan een Persoonsgericht onderzoek worden ingesteld. De persoon naar wie het Persoonsgericht onderzoek zich richt wordt onverwijld op de hoogte gebracht van het Persoonsgericht onderzoek.
Een Persoonsgericht onderzoek wordt ingesteld binnen een redelijke termijn, nadat er voldoende aanwijzingen bekend geworden zijn dat de betreffende Verbonden Persoon zich schuldig heeft gemaakt aan het Incident.
De Verbonden Persoon naar wie het Persoonsgericht onderzoek verricht wordt, wordt in de gelegenheid gesteld zijn zienswijze kenbaar te maken. Zijn zienswijze wordt schriftelijk vastgelegd.
Door of namens het Bestuur worden een of meerdere personen of organisaties aangewezen die het Persoonsgericht onderzoek verrichten.
Indien het onderzoek en/of het belang van AAPF dit vereist, kan, in overleg met het Bestuur, door de onderzoeker(s) opdracht gegeven worden om bepaalde gegevens of zaken veilig te stellen. Daartoe wordt een belangenafweging gemaakt. Voor het inzien van persoonlijke informatie is toestemming van het Bestuur vereist.
Een Persoonsgericht onderzoek vindt op een integere en zorgvuldige wijze plaats.
Toegezien wordt op de in acht te nemen zorgvuldigheid, waarbij de belangen van AAPF, het belang van de persoon dan wel de personen naar wie het onderzoek zich richt en de belangen van overige betrokkenen redelijkerwijs in acht worden
genomen. Het Persoonsgericht onderzoek wordt binnen een redelijke termijn uitgevoerd.
Na de uitvoering van een Persoonsgericht onderzoek, wordt een schriftelijk advies uitgebracht aan het Bestuur. Het op schrift gestelde advies wordt door de
Compliance Officer bewaard.
Alle relevante documenten, daaronder begrepen de zienswijze van de verschillende betrokkenen, rapportages en het op schrift gestelde advies worden opgenomen in een dossier.
4.2 Bezwaar
Tegen de uitspraak van de Compliance Officer kan de Melder of de Verbonden
Persoon waarnaar een persoonsgericht onderzoek is uitgevoerd bezwaar maken. Het maken van bezwaar heeft geen schorsende werking ten aanzien van de uitspraak van de Compliance Officer.
Tegen de uitspraak van de het Bestuur kan de Melder of de Verbonden Persoon waarnaar een persoonsgericht onderzoek is uitgevoerd in beroep gaan. Het maken van bezwaar heeft geen schorsende werking ten aanzien van de uitspraak waartegen bezwaar wordt gemaakt.
5. Afhandeling
Het Bestuur is verantwoordelijk voor de afhandeling van Incidenten en heeft deze toetsing of een Incident juist is afgehandeld gedelegeerd aan de afdeling RM&C en/of de Compliance Officer.
Voor de afhandeling van het Incident worden door de verantwoordelijke lijnmanagers maatregelen genomen die zijn gericht op het beheersen van het optredende risico, het bevestigen van geldende normen en het voorkomen van negatieve effecten – zowel intern als extern – van het Incident om herhaling in de toekomst te
voorkomen. Gepaste maatregelen kunnen onder meer bestaan uit het verbeteren van interne regelgeving, het aanpassen van beleid, het geven van openheid van zaken of het treffen van (arbeidsrechtelijke) maatregelen jegens degene die het Incident heeft veroorzaakt.
De voortgang van de afhandeling van Incidenten wordt in de vergadering van de UB en NUB geagendeerd. Het Bestuur is eindverantwoordelijk voor het toezien op de opvolging van de genomen maatregelen. Namens het Bestuur kan de afdeling RM&C of de Compliance Officer toezien op de daadwerkelijke opvolging.
In de rapportage(s), zoals die periodiek aan de UB en NUB worden aangeboden, wordt inzicht gegeven in het aantal Incidenten dat zich de betreffende periode heeft voorgedaan en de aard daarvan. Tevens bevat de rapportage informatie over de voortgang van de afhandeling van Incidenten en naar aanleiding van deze Incidenten genomen maatregelen.
5.1 Afhandeling van Zware Incidenten
Zware Incidenten worden afgehandeld door de (interne of externe)
Onderzoekscommissie. De onafhankelijk voorzitter van het Bestuur beslist of er een interne of externe Onderzoekscommissie wordt belast met de afhandeling en stelt de onderzoeksopdracht vast. Een externe Onderzoekscommissie wordt alleen ingesteld indien hiertoe zwaarwegende gronden aanwezig zijn. De samenstelling van de Onderzoekscommissie wordt binnen een week na de melding vastgesteld.
De Onderzoekscommissie bepaalt binnen twee weken nadat de Onderzoekscommissie definitief is vastgesteld de te nemen acties.
De Onderzoekscommissie houdt zich tijdens de uitvoering van zijn werkzaamheden aan de regels die gelden voor het doen van een Persoonsgericht onderzoek indien het gaat om een onderzoek naar een of meerdere personen.
De Onderzoekscommissie rapporteert regelmatig over de voortgang van de afhandeling van het Zware Incident aan het Bestuur.
Het Bestuur beslist, op advies van de Onderzoekscommissie, welke gevolgen er worden verbonden aan de uitkomsten van het onderzoek.
6. Communicatie
Na de behandeling van elk Incident worden, indien nodig, door AAPF maatregelen genomen. De genomen maatregelen zullen zijn gebaseerd op de aard van het
Incident en de daaruit voortvloeiende gevolgen. De maatregelen kunnen onder meer zijn gericht op het beheersen en beperken van het optredende risico, het bevestigen van geldende normen en het voorkomen van negatieve effecten – zowel intern als extern – van het Incident om herhaling in de toekomst te voorkomen. De
eindverantwoordelijkheid voor de afronding van het incident en de eventuele
getroffen maatregelen ligt bij het Bestuur. Over de genomen maatregelen zal worden gecommuniceerd binnen AAPF.
6.1 Communicatie over Zware Incidenten
De voorzitter van het Bestuur beslist over de communicatie, zowel intern als extern, met betrekking tot het Zware Incident. De onafhankelijk voorzitter van het Bestuur bepaalt of, in welke volgorde en op welk moment de volgende partijen op de hoogte dienen te worden gesteld en laat zich hierbij adviseren door de Compliance Officer:
- het Bestuur;
- de externe accountant;
- de Toezichthouders;
- de pers;
- het Openbaar Ministerie / de politie;
- het verantwoordingsorgaan;
- de belanghebbenden.
7. Inwerkingtreding
Dit beleid is door het Bestuur in de bestuursvergadering van 8 december 2020 vastgesteld en treedt in werking met ingang van 1 januari 2021 onder gelijktijdige intrekking van de bestaande Incidentenregeling.