Stichting Pensioenfonds van de
ABN AMRO Bank N.V.
Inhoudsopgave
Inleiding ... 4
Definities ... 5
Hoofdstuk 1. Doel en Reikwijdte... 8
Hoofdstuk 2 Soorten Incidenten ... 9
1. (Informatie-) Beveiligingsincidenten / Voorvallen... 9
2. Integriteitsincidenten / Voorvallen ... 9
3. Operationele Incidenten / Voorvallen ... 10
Hoofdstuk 3 Proces Incidenten binnen AAPF ... 11
1. Melding ... 11
1.1 Melding van Integriteitsincidenten ... 11
1.2 Melding van een Datalek ... 12
1.3 Melding van Incidenten aan de toezichthouder ... 12
2. Registratie ... 13
3. Beoordeling ... 13
3.1 Beoordeling van een Integriteitsincident ... 13
3.2 Beoordeling of Incident aan Toezichthouder gemeld moet worden ... 14
4. Onderzoek ... 14
4.1 Persoonsgericht onderzoek ... 14
4.2 Bezwaar ... 15
5. Afhandeling ... 15
5.1 Afhandeling van Zware Incidenten ... 15
6. Communicatie ... 16
6.1 Communicatie over Zware Incidenten ... 16
7. Inwerkingtreding ... 16
Inleiding
Incidenten kunnen een gevaar vormen voor de beheerste en integere bedrijfsvoering van Stichting Pensioenfonds van de ABN AMRO Bank N.V. (hierna AAPF). Dit
Incidentenbeleid geeft aan welke stappen gevolgd dienen te worden als er sprake is van een (vermoeden van een) incident binnen AAPF of extern via haar
uitbestedingsrelaties. Doel van dit beleid is het voorkomen van schade aan de beheerste en integere bedrijfsvoering en goede naam van AAPF, alsmede het beperken van mogelijke gevolgschade.
De Pensioenwet (“PW”) schrijft voor dat een pensioenfonds zijn organisatie zodanig inricht dat deze een beheerste en integere bedrijfsvoering waarborgt. Onderdeel hiervan is het beheerst omgaan met incidenten en de bijbehorende risico’s. Omdat sommige incidenten een gevaar (kunnen) vormen voor de beheersing en de
integriteit van de bedrijfsvoering, is het van belang dat deze kunnen worden gemeld, zorgvuldig worden vastgelegd en afgehandeld.
Dit incidentenbeleid omvat alle soorten incidenten die zich binnen het fonds kunnen voordoen.
Met dit beleid beoogd AAPF o.a. invulling te geven aan:
- De PW inzake de beheerste en integere bedrijfsvoering;
- Het vereiste uit het Besluit Financieel Toetsingskader inzake het maken van een systematische analyse van integriteitrisico’s (SIRA) en het minimaal aanwezig zijn van beleid, procedures en maatregelen zijn ten aanzien van integriteitgevoelige functies en incidenten;
- De code Pensioenfondsen; en
- De good practices van DNB inzake informatiebeveiliging, specifiek controls 15.1 en 15.2 inzake beveiligingsincidenten.
Dit beleid wordt eens in de twee jaar geactualiseerd.
Definities
AAPF Stichting Pensioenfonds van de ABN AMRO Bank N.V.
Bestuur Het bestuur van AAPF, dan wel een onderdeel daarvan (de niet-uitvoerende bestuursleden of de uitvoerende
bestuursleden).
(Informatie-)
Beveiligingsincident Een gebeurtenis waarbij de mogelijkheid bestaat dat de beschikbaarheid, integriteit of vertrouwelijkheid van informatie of informatie verwerkende systemen in gevaar is of kan komen.
BIV BIV staat voor Beschikbaarheid, integriteit en Vertrouwelijkheid van data:
Beschikbaarheid: een kenmerk van iets dat toegankelijk en bruikbaar is op verzoek van een bevoegde entiteit.
Integriteit: nauwkeurigheid en volledigheid van de beveiliging van bedrijfsmiddelen.
Vertrouwelijkheid: informatie wordt niet beschikbaar gesteld of ontsloten aan onbevoegde personen, entiteiten of processen.
Compliance Officer De functionaris die als Compliance Officer door het Bestuur is benoemd conform het compliance charter.
Datalek Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens.
Incident Een Incident is een gebeurtenis met positieve of negatieve gevolgen voor AAPF op:
- de kwaliteit en/of continuïteit van reguliere dienstverlening; of
- het voldoen aan wet- en regelgeving; of - het imago; of
- het financieel resultaat.
Incidentenbeleid Het Incidentenbeleid van Stichting Pensioenfonds van de ABN AMRO Bank N.V.
Informatiebeveiliging Het treffen van maatregelen om de beschikbaarheid, exclusiviteit en integriteit van alle vormen van informatie binnen AAPF te waarborgen en de eventuele gevolgen van Incidenten te beperken tot een acceptabel, vooraf bepaald niveau.
Integriteitsincident Een gedraging of gebeurtenis die een ernstig gevaar vormt voor de integere uitoefening van het bedrijf van AAPF.
Integriteitsrisico Het risico dat de integriteit van AAPF dan wel het financiële stelsel wordt beïnvloed als gevolg van niet integere,
onethische gedragen van de organisatie, medewerkers dan wel van het Bestuur in het kader van wet- en regelgeving
en maatschappelijker en door de instelling opgelegde normen.
IT-incident Een verstoring in de dienstverlening waardoor de te verwachten service in zijn geheel of gedeeltelijk is verdwenen of dreigt te verminderen.
Melder - De Verbonden Persoon die melding doet van een Incident;
- De persoon, werkzaam bij een uitbestedingsrelatie van AAPF, maar niet als Verbonden Persoon is aan te merken en die melding doet van een Incident.
Misstand Er is sprake van een missstand als het maatschappelijk belang in het geding is bij:
- De (dreigende) schending van wet- of regelgeving;
- Een (dreigend) gevaar voor de volksgezondheid, veiligheid van personen of het milieu;
- Een (dreigend) gevaar voor het goed functioneren van AAPF als gevolg van onbehoorlijk handelen of nalaten;
- Een (dreiging van) bewust onjuist informeren van publieke organen;
- Een (dreigend) bewust achterhouden, manipuleren of vernietigen van informatie over het bovenstaande.
Onderzoekscommissie Een interne of externe commissie voor het uitvoeren van een Persoonsgericht onderzoek. De interne
onderzoekscommissie bestaat uit tenminste drie onafhankelijke personen:
- De onafhankelijk voorzitter van het Bestuur - De vicevoorzitter van het Bestuur
- De Compliance Officer.
Wanneer het onderzoek een van bovenstaande personen betreft, dan benoemen de overige twee leden een
onafhankelijke derde persoon.
Een externe onderzoekscommissie zal bestaan uit belanghebbenden en van ABN AMRO Bank N.V.
onafhankelijke personen.
Operationeel Incident Een Incident dat heeft plaatsgevonden in de dagelijkse uitvoering van de werkzaamheden (incl. uitbestede werkzaamheden) voor AAPF en waarbij er een inbreuk is geweest op de beheerste en integere bedrijfsvoering.
Persoonsgericht
onderzoek Een onderzoek naar verwijtbaar handelen of nalaten van een persoon, voor zover dit in het belang van het
incidentenonderzoek nodig is.
Toezichthouders DNB, AFM en AP of een andere toezichthoudende instantie indien wet- of regelgeving dit voorschrijft.
Toezichtincidenten DNB onderscheidt de volgende categorieën toezichtincidenten:
- Incidenten met betrekking tot een beheerste en integere bedrijfsvoering;
- IT-incidenten;
- Bestuurscrisis/governance;
- Relatie met de toezichthouder.
Verbonden Persoon - Medewerkers van AAPF, waaronder mensen die tijdelijk werken/inhuur;
- Leden van het Bestuur;
- Leden van het verantwoordingsorgaan;
- Externe leden van commissies die zijn ingesteld ter ondersteuning van het Bestuur;
- Andere (categorieën) personen aangewezen door het Bestuur.
(Operationeel) Voorval
Een voorval dat plaats heeft gevonden in de dagelijkse uitvoering van de werkzaamheden van het pensioenfonds en waarbij er geen inbreuk is gemaakt op de integere en/of beheerste bedrijfsvoering.
Zwaar Incident Een Incident kwalificeert zich als Zwaar Incident als er sprake is van:
- Een ernstig gevaar voor de integere bedrijfsuitoefening van AAPF;
- Een ernstige overschrijding van de beleggingsrichtlijnen - Een groot afbreukrisico in de media;
- Een belangrijke invloed op de bedrijfsvoering;
- De betrokkenheid van het Openbaar Ministerie;
- Een (dreigend) strafbaar feit gepleegd door een of meer personen in zijn/hun hoedanigheid van Verbonden Persoon, zoals fraude, misleiding, bedrog, verduistering of diefstal;
- Een aanwijzing van de toezichthouder, een last onder dwangsom of het voornemen om een bestuurlijke boete op te leggen;
- Een ander Incident dat een dusdanige impact heeft op AAPF dat afhandeling door een Onderzoekscommissie vereist is.
Een Incident kan ook als Zwaar Incident gekwalificeerd worden wanneer sprake is van herhaalde overtredingen door dezelfde (groep van) persoon (personen).
Gedefinieerde begrippen worden in dit beleid met hoofdletter geschreven.
Hoofdstuk 1. Doel en Reikwijdte
Het doel van dit Incidentenbeleid is het voorkomen van mogelijke schade aan de beheerste en integere bedrijfsvoering en goede naam van AAPF, alsmede het beperken van mogelijke gevolgschade. Daarnaast wil AAPF leren van Incidenten en Voorvallen om herhaling te voorkomen en risico’s in de bedrijfsvoering te mitigeren, en streeft AAPF er naar een betrouwbare, transparante en lerende organisatie te zijn.
Daarbij past een cultuur waarin medewerkers Incidenten kunnen melden en waarin helder is voor eenieder hoe met deze melding zal worden omgegaan.
Omdat sommige Incidenten een gevaar (kunnen) vormen voor de beheersing en de integriteit van de bedrijfsvoering, is het van belang dat deze kunnen worden gemeld, zorgvuldig vastgelegd en afgehandeld. Hiervoor kent AAPF de volgende stappen, die dienen te worden doorlopen voor elk Incident, ongeacht of het een Zwaar Incident betreft:
Deze stappen worden in hoofdstuk 3 verder uitgewerkt
Dit Incidentenbeleid heeft betrekking op alle Incidenten die binnen AAPF kunnen voorkomen, door eigen handelen van Verbonden Personen of door het handelen van partijen aan wie werkzaamheden uitbesteed zijn. Dit beleid gaat over:
- (Informatie-) Beveiligingsincidenten;
- Integriteitsincidenten;
- Operationele Incidenten.
Deze verschillende soorten Incidenten worden in het volgende hoofdstuk nader toegelicht.
Hoofdstuk 2 Soorten Incidenten
In dit hoofdstuk worden de verschillende soorten Incidenten nader omschreven. Een Incident hoeft niet per se financiële of reputationele schade tot gevolg te hebben.
Meestal gaat het om een proces dat niet goed is uitgevoerd (Operationeel Incident) of een verstoring in een IT-service. In dat geval spreken we van een Voorval. Het van belang dat ook dergelijke Voorvallen worden gemeld, zodat eventuele patronen hierin tijdig worden onderkend en er maatregelen kunnen worden getroffen.
1. (Informatie-) Beveiligingsincidenten / Voorvallen
Een Beveiligingsincident is een gebeurtenis waarbij de mogelijkheid bestaat dat de BIV van informatie of informatie verwerkende systemen in gevaar is of kan komen.
Enkele voorbeelden van Beveiligingsincidenten zijn:
- Verlies of diefstal van waardepapier (paspoorten, rijbewijzen), dossier, usb-stick, tablet of andere gegevensdragers
- Niet naleven van beleid of richtlijnen
- Inbreuk op fysieke beveiligingsvoorzieningen - Toegangsovertredingen
- Onzorgvuldig omgaan met persoonsgegevens - Cyberaanvallen of hacken
- Technisch falen van apparatuur.
Daarnaast kan een Beveiligingsincident ook een Datalek betreffen. Dit is het geval wanneer bij het Beveiligingsincident persoonsgegevens betrokken zijn. Ook hier is een verband met de BIV:
- (B) Er is sprake van een onbevoegd of onopzettelijk verlies van, toegang tot, of vernietiging van, persoonsgegevens.
- (I) Er is sprake van een onbevoegde of onopzettelijke wijziging van persoonsgegevens.
- (V) Er is sprake van een onbevoegde of onopzettelijke openbaring van, of toegang tot, persoonsgegevens.
2. Integriteitsincidenten / Voorvallen
Een Integriteitsincident is een gedraging of gebeurtenis die een ernstig gevaar vormt voor de integere uitoefening van het bedrijf. Onder een integere uitoefening van het bedrijf wordt verstaan dat:
- Belangenverstrengeling wordt tegengegaan;
- Er geen strafbare feiten worden gepleegd of wetsovertredingen worden begaan door medewerkers en bestuurders van AAPF;
- Het vertrouwen in de organisatie of in de financiële markten niet worden geschaad wegens de klanten van AAPF
- Wordt tegengegaan dat andere handelingen door AAPF of haar medewerkers en/of bestuurders worden verricht die op een dusdanige wijze ingaan tegen wat volgens het ongeschreven recht in het maatschappelijk verkeer betaamt, dat hierdoor het vertrouwen in AAPF of in de financiële markten kan worden geschaad.
Voorbeelden van Integriteitsincidenten zijn: fraude, misleiding, bedrog, verduistering of diefstal door een of meer personen in zijn/hun hoedanigheid van Verbonden Persoon maar ook onbetamelijk gedrag.
Bij Integriteitsincidenten moet ook worden gedacht aan maatschappelijk onbetamelijk handelen. Hierbij gaat het om handelingen van AAPF of aan haar Verbonden Personen die niet specifiek in relevante wet- en regelgeving als ge- of verbod zijn opgenomen, maar waarvan redelijkerwijs wel verwacht kan worden dat deze in het maatschappelijk verkeer tot ophef (kunnen) leiden. Voorbeelden hiervan
zijn (medewerking aan) belastingontwijkende constructies, dienstverlening aan (sterk) milieuvervuilende industrieën maar ook het relevante beloningsbeleid.
Om het risico op Integriteitsincidenten te mitigeren voert AAPF elk jaar een systematische integriteitsrisicoanalyse (SIRA) uit.
3. Operationele Incidenten / Voorvallen
Operationele Incidenten zijn Incidenten of fouten in de uitvoering van
werkzaamheden (inclusief uitbestede werkzaamheden) voor AAPF. Een voorbeeld van een Operationeel Incident is het versturen van een onjuiste brief naar een deelnemer, het starten van een verkeerd proces of het betalen van een factuur op een verkeerde rekening.
Onder Operationele Incidenten vallen ook Incidenten die hebben plaatsgevonden in de dagelijkse uitvoering van de werkzaamheden inzake vermogensbeheer (incl.
uitbestede werkzaamheden) voor AAPF en waarbij er een inbreuk is geweest op de beheerste en integere bedrijfsvoering.
Hoofdstuk 3 Proces Incidenten binnen AAPF
Dit hoofdstuk geeft richtlijnen hoe te handelen binnen de diverse stappen in het incidentenproces.
1. Melding
Elk Incident of Voorval dient direct aan de afdeling RM&C of de Compliance Officer te worden gemeld, ook als nog niet alle feiten of de impact van het Incident of Voorval bekend zijn. Dit is van belang zodat de afdeling RM&C tijdig melding kan doen van het Incident of Voorval in haar rapportages. De melding kan zowel schriftelijk, elektronisch als mondeling worden gedaan en bevat een zo duidelijk mogelijke omschrijving van het (vermoedelijke) Incident. Indien de Melder van mening is dat het een Zwaar Incident betreft, doet de Melder daarvan uitdrukkelijke mededeling in de melding.
De melding geeft, voor zover reeds bekend, een beschrijving van:
- het Incident of Voorval;
- de achterliggende oorzaak;
- de mogelijke impact op de bedrijfsvoering en reputatie van het fonds en de mogelijke risico’s;
- de verwachte hersteltijd;
- de getroffen beheersmaatregelen en/of tijdelijke oplossingen; en - de wijze van implementatie van de getroffen maatregelen.
Bij de melding worden er direct afspraken gemaakt over de voortgangsbewaking om de oplossing en de beheersing van het Incident of Voorval te kunnen monitoren en daar waar nodig bij te sturen.
Meldingen van een Incident kunnen anoniem gedaan worden. Indien aanvullende informatie benodigd is in het belang van het onderzoek, kan de Verbonden Persoon worden verzocht zijn medewerking hieraan te verlenen. De Verbonden Persoon is hiertoe niet verplicht.
Er geldt een uitzondering voor het melden van Integriteitsincidenten en een specifiek type Beveiligingsincident: Datalek.
1.1 Melding van Integriteitsincidenten
Iedere Melder die een (dreigend) Integriteitsincident constateert dient dit te melden aan de Compliance Officer. Voor Verbonden Personen die de functie van
sleutelfunctiehouder vervullen geldt deze meldingsplicht niet wanneer het
Integriteitsincident kwalificeert als een substantieel risico of een significante inbreuk als bedoeld in artikel 143a lid 3 van de PW en de sleutelfunctiehouder op grond daarvan gehouden is tot melding aan de toezichthouder.
Meldingen van een Integriteitsincident worden vertrouwelijk behandeld. De identificatiegegevens van de Melder worden niet opgenomen in de communicatie naar derden. Ook indien de Melder geen belang hecht aan anonimiteit zal zijn identiteit alleen dan worden vrijgegeven in communicatie, wanneer daartoe een wettelijke verplichting bestaat.
Voor meldingen van een Misstand wordt de Klokkenluidersregeling van AAPF gevolgd.
1.2 Melding van een Datalek
Indien de melding ziet op (het vermoeden van) een Datalek, dan wordt het Protocol Meldplicht Datalekken van AAPF gevolgd. Hierin is vermeld dat melding van het Datalek aan de Privacy Officer moet worden gedaan.
1.3 Melding van Incidenten aan de toezichthouder
Pensioenfondsen zijn wettelijk verplicht toezichtincidenten te melden bij DNB. Het gaat om Incidenten die het vertrouwen in de onderneming of financiële markten kunnen schaden. In geval van toezicht op pensioenfondsen bij Incidenten zijn prudentieel toezicht, gedragstoezicht en materieel toezicht belangrijke vormen.
Daarvan volgt hieronder een korte uiteenzetting.
a. Prudentieel toezicht
De Nederlandsche Bank (“DNB”) houdt overeenkomstig artikel 151 lid 3 PW
prudentieel toezicht op pensioenfondsen. Dit is gericht op de normen ten aanzien van de financiële soliditeit van pensioenfondsen en het bijdragen aan de financiële
stabiliteit van de pensioensector. DNB bekijkt onder andere of het pensioenfonds voldoende geld heeft om verliezen op te vangen. Het raamwerk voor prudentieel toezicht is verankerd in het financieel toetsingskader.
Voor Incidenten wat betreft prudentieel toezicht is artikel 19a van het Besluit
financieel toetsingskader pensioenfondsen (”Bftk”) van toepassing. Dat betekent, dat een fonds een Incident aan de Nederlandsche bank moet melden als er sprake is van een prudentiële kwestie, dat een ernstig gevaar vormt voor de integere uitoefening van het bedrijf van een fonds.
b. Gedragstoezicht
De Stichting Autoriteit Financiële Markten (“AFM”) voert op basis van artikel 151 lid 1 PW het gedragstoezicht uit. Dit is gericht op de naleving van de normen wat betreft informatieverstrekking door pensioenuitvoerders aan deelnemers, gewezen
deelnemers, gewezen partners en pensioengerechtigden. De AFM toetst de verstrekte informatie op toegankelijkheid, tijdigheid en juistheid. Zij controleert onder meer of pensioenfondsen duidelijk berichten over het voorwaardelijke karakter van de pensioenrechten.
Op grond van de Wet op het financiële toezicht (“Wft”) houdt de AFM effectentypisch gedragstoezicht op de financiële markt. Als beleggers op financiële markten, vallen pensioenfondsen onder dit toezicht. De wetgeving op het terrein van effectentypisch gedragstoezicht is vastgelegd in artikel 5:68 Wft en verder uitgewerkt in het Besluit Marktmisbruik Wft. Daarin staan regels omtrent:
- het omgaan met voorwetenschap/koersgevoelige informatie;
- het omgaan met privéhandelingen in financiële instrumenten door bestuurders en personeelsleden;
- het beheersen van belangenverstrengeling met betrekking tot transacties in financiële instrumenten, en
- het tegengaan van koersmanipulatie en misleiding.
Overeenkomstig artikel 19 van het Besluit gedragstoezicht financiële ondernemingen (“Bgfo”) is er een verplichting om Incidenten aan de AFM te melden. Het gaat daarbij om gedragstypische en effectentypische kwesties, die een ernstig gevaar vormen voor de integere uitoefening van het bedrijf van een pensioenfonds. Inhoudelijk is er dus overeenstemming tussen bepalingen uit het Bftk en het Bgfo.
c. Materieel toezicht
Naast gedragstoezicht en prudentieel toezicht bestaat materieel toezicht. Dit toezicht is op basis van artikel 151 lid 3 PW eveneens overgedragen aan DNB. Zij controleert of normen die niet onder het prudentieel of gedragstoezicht vallen door
pensioenfondsen worden nageleefd. Het gaat onder andere over normen ten aanzien van de pensioenovereenkomst, de uitvoeringsovereenkomst en de statuten en reglementen van pensioenfondsen. Het wettelijk kader voor het melden van Incidenten wat betreft materieel toezicht is ook vastgelegd in artikel 19a Bftk.
d. Bescherming persoonsgegevens
Naast deze vormen van toezicht door DNB en de AFM speelt ook de Autoriteit Persoonsgegevens (“AP”) als onafhankelijk toezichthouder in Nederland een belangrijke rol. Zij bewaakt en bevordert de bescherming van persoonsgegevens.
Na bekendwording, dient AAPF een Incident zo snel als mogelijk aan de toezichthouder melden als het Incident voldoet aan de volgende criteria:
- Het Incident betreft een Zwaar Toezichtincident, zoals door DNB gedefinieerd;
- Het Incident betreft een gedragstypische of effectentypische kwestie die een ernstig gevaar vormt voor de integriteit van AAPF;
- Er zal aangifte worden gedaan bij justitie;
- Het Incident leidt, gelet op verwachte publiciteit, tot een ernstige mate van reputatieschade voor AAPF; of
- Het betreft een Datalek.
2. Registratie
RM&C registreert alle Operationele Incidenten in Cerrix. Via deze registratie wordt tevens de afwikkeling van het Incident door RM&C gemonitord. De verantwoordelijke lijnmanager is verantwoordelijk voor de afhandeling van het Incident en het
bijhouden van de voortgang hiervan in Cerrix.
Beveiligings-incidenten volgen de procedure afhandelen IT-security incident.
De Compliance Officer registreert meldingen van Integriteitsincidenten in het incidentenregister van AAPF. Gedurende het verdere proces worden in het dossier relevante documenten opgenomen, zoals de communicatie tussen de verschillende betrokkenen, de rapportages en de resultaten van eventueel onderzoek.
Het dossier wordt in een beveiligde omgeving bewaard op het netwerk bij AAPF.
Identificatiegegevens van de Verbonden Persoon worden op zodanige wijze bewaard dat voldaan wordt aan Algemene Verordening Gegevensbescherming (AVG) en alleen de Compliance Officer en de onafhankelijk voorzitter van het Bestuur hebben
toegang tot deze gegevens. Is de onafhankelijk voorzitter het onderwerp van het Integriteitsonderzoek, dan beschikt de Compliance Officer over een separaat, alleen voor haar, toegankelijke schijf.
3. Beoordeling
De afdeling RM&C beoordeelt als vervuller van de sleutelfunctie Risicobeheer de melding o.b.v. het Incidentenbeleid. De afdeling RM&C zorgt dat de beoordeling, inclusief haar advies, wordt besproken met de verantwoordelijke lijnmanager. In de beoordeling wordt aangegeven of een melding aan DNB of AFM noodzakelijk is.
3.1 Beoordeling van een Integriteitsincident
De Compliance Officer beoordeelt de melding en bepaalt of er sprake is van een Integriteitsincident. Dit oordeel wordt vastgelegd en op schriftelijke wijze aan het Bestuur gemeld. Indien het Bestuur van mening is dat er geen sprake is van een Integriteitsincident meldt zij dit aan de Compliance Officer en verzoekt deze het dossier te sluiten.
Meldingen van Integriteitsincidenten en de beoordeling van de Compliance Officer van het Integriteitsincident worden geregistreerd in het incidentenregister.
Gedurende het verdere proces worden in het dossier de relevante documenten
opgenomen, zoals de communicatie tussen de verschillende betrokkenen, de
rapportages en de resultaten van eventueel onderzoek. De Compliance Officer brengt de Melder van de beoordeling op de hoogte. Dit kan zowel schriftelijk, elektronisch als mondeling worden gedaan.
3.2 Beoordeling of Incident aan Toezichthouder gemeld moet worden De afdeling RM&C of de Compliance Officer beoordelen of een Incident gemeld dient te worden aan de Toezichthouder. Hierover zal overleg worden gevoerd met de UB.
Het Bestuur wordt geïnformeerd over de melding aan de Toezichthouder.
De melding zal door de Compliance Officer aan de Toezichthouder worden gedaan.
De informatie die aan de Toezichthouder wordt verstrekt, omvat in elk geval:
- De feiten en omstandigheden van het (Zware) Incident;
- In geval van een Integriteitsincident, informatie over de functie, hoedanigheid en positie van degene of degenen die het (Zware) Incident heeft of hebben
bewerkstelligd;
- De maatregelen die naar aanleiding van het (Zware) Incident zijn of zullen worden genomen.
Een Incident dat gemeld moet worden aan DNB, wordt gericht aan de accounttoezichthouder van AAPF.
4. Onderzoek
Indien het Bestuur dit wenst kan er een onderzoek worden ingesteld door externen.
Tijdens het onderzoek naar een Incident of een Voorval worden, als een onderzoek naar een of meerdere Verbonden Personen deel uitmaakt van de werkzaamheden, de regels in acht genomen die gelden voor het doen van een Persoonsgericht onderzoek (zie 4.1).
De Compliance Officer bewaakt de voortgang van het meldproces, het onderzoek, alsmede de opvolging van acties.
4.1 Persoonsgericht onderzoek
Als er een redelijk vermoeden bestaat dat een Verbonden Persoon verantwoordelijk is voor/ zich schuldig heeft gemaakt aan een Incident, of als daar naar het oordeel van het Bestuur aanleiding toe bestaat, kan een Persoonsgericht onderzoek worden ingesteld. De persoon naar wie het Persoonsgericht onderzoek zich richt wordt onverwijld op de hoogte gebracht van het Persoonsgericht onderzoek.
Een Persoonsgericht onderzoek wordt ingesteld binnen een redelijke termijn, nadat er voldoende aanwijzingen bekend geworden zijn dat de betreffende Verbonden Persoon zich schuldig heeft gemaakt aan het Incident.
De Verbonden Persoon naar wie het Persoonsgericht onderzoek verricht wordt, wordt in de gelegenheid gesteld zijn zienswijze kenbaar te maken. Zijn zienswijze wordt schriftelijk vastgelegd.
Door of namens het Bestuur worden een of meerdere personen of organisaties aangewezen die het Persoonsgericht onderzoek verrichten.
Indien het onderzoek en/of het belang van AAPF dit vereist, kan, in overleg met het Bestuur, door de onderzoeker(s) opdracht gegeven worden om bepaalde gegevens of zaken veilig te stellen. Daartoe wordt een belangenafweging gemaakt. Voor het inzien van persoonlijke informatie is toestemming van het Bestuur vereist.
Een Persoonsgericht onderzoek vindt op een integere en zorgvuldige wijze plaats.
Toegezien wordt op de in acht te nemen zorgvuldigheid, waarbij de belangen van AAPF, het belang van de persoon dan wel de personen naar wie het onderzoek zich richt en de belangen van overige betrokkenen redelijkerwijs in acht worden
genomen. Het Persoonsgericht onderzoek wordt binnen een redelijke termijn uitgevoerd.
Na de uitvoering van een Persoonsgericht onderzoek, wordt een schriftelijk advies uitgebracht aan het Bestuur. Het op schrift gestelde advies wordt door de
Compliance Officer bewaard.
Alle relevante documenten, daaronder begrepen de zienswijze van de verschillende betrokkenen, rapportages en het op schrift gestelde advies worden opgenomen in een dossier.
4.2 Bezwaar
Tegen de uitspraak van de Compliance Officer kan de Melder of de Verbonden
Persoon waarnaar een persoonsgericht onderzoek is uitgevoerd bezwaar maken. Het maken van bezwaar heeft geen schorsende werking ten aanzien van de uitspraak van de Compliance Officer.
Tegen de uitspraak van de het Bestuur kan de Melder of de Verbonden Persoon waarnaar een persoonsgericht onderzoek is uitgevoerd in beroep gaan. Het maken van bezwaar heeft geen schorsende werking ten aanzien van de uitspraak waartegen bezwaar wordt gemaakt.
5. Afhandeling
Het Bestuur is verantwoordelijk voor de afhandeling van Incidenten en heeft deze toetsing of een Incident juist is afgehandeld gedelegeerd aan de afdeling RM&C en/of de Compliance Officer.
Voor de afhandeling van het Incident worden door de verantwoordelijke lijnmanagers maatregelen genomen die zijn gericht op het beheersen van het optredende risico, het bevestigen van geldende normen en het voorkomen van negatieve effecten – zowel intern als extern – van het Incident om herhaling in de toekomst te
voorkomen. Gepaste maatregelen kunnen onder meer bestaan uit het verbeteren van interne regelgeving, het aanpassen van beleid, het geven van openheid van zaken of het treffen van (arbeidsrechtelijke) maatregelen jegens degene die het Incident heeft veroorzaakt.
De voortgang van de afhandeling van Incidenten wordt in de vergadering van de UB en NUB geagendeerd. Het Bestuur is eindverantwoordelijk voor het toezien op de opvolging van de genomen maatregelen. Namens het Bestuur kan de afdeling RM&C of de Compliance Officer toezien op de daadwerkelijke opvolging.
In de rapportage(s), zoals die periodiek aan de UB en NUB worden aangeboden, wordt inzicht gegeven in het aantal Incidenten dat zich de betreffende periode heeft voorgedaan en de aard daarvan. Tevens bevat de rapportage informatie over de voortgang van de afhandeling van Incidenten en naar aanleiding van deze Incidenten genomen maatregelen.
5.1 Afhandeling van Zware Incidenten
Zware Incidenten worden afgehandeld door de (interne of externe)
Onderzoekscommissie. De onafhankelijk voorzitter van het Bestuur beslist of er een interne of externe Onderzoekscommissie wordt belast met de afhandeling en stelt de onderzoeksopdracht vast. Een externe Onderzoekscommissie wordt alleen ingesteld indien hiertoe zwaarwegende gronden aanwezig zijn. De samenstelling van de Onderzoekscommissie wordt binnen een week na de melding vastgesteld.
De Onderzoekscommissie bepaalt binnen twee weken nadat de Onderzoekscommissie definitief is vastgesteld de te nemen acties.
De Onderzoekscommissie houdt zich tijdens de uitvoering van zijn werkzaamheden aan de regels die gelden voor het doen van een Persoonsgericht onderzoek indien het gaat om een onderzoek naar een of meerdere personen.
De Onderzoekscommissie rapporteert regelmatig over de voortgang van de afhandeling van het Zware Incident aan het Bestuur.
Het Bestuur beslist, op advies van de Onderzoekscommissie, welke gevolgen er worden verbonden aan de uitkomsten van het onderzoek.
6. Communicatie
Na de behandeling van elk Incident worden, indien nodig, door AAPF maatregelen genomen. De genomen maatregelen zullen zijn gebaseerd op de aard van het
Incident en de daaruit voortvloeiende gevolgen. De maatregelen kunnen onder meer zijn gericht op het beheersen en beperken van het optredende risico, het bevestigen van geldende normen en het voorkomen van negatieve effecten – zowel intern als extern – van het Incident om herhaling in de toekomst te voorkomen. De
eindverantwoordelijkheid voor de afronding van het incident en de eventuele
getroffen maatregelen ligt bij het Bestuur. Over de genomen maatregelen zal worden gecommuniceerd binnen AAPF.
6.1 Communicatie over Zware Incidenten
De voorzitter van het Bestuur beslist over de communicatie, zowel intern als extern, met betrekking tot het Zware Incident. De onafhankelijk voorzitter van het Bestuur bepaalt of, in welke volgorde en op welk moment de volgende partijen op de hoogte dienen te worden gesteld en laat zich hierbij adviseren door de Compliance Officer:
- het Bestuur;
- de externe accountant;
- de Toezichthouders;
- de pers;
- het Openbaar Ministerie / de politie;
- het verantwoordingsorgaan;
- de belanghebbenden.
7. Inwerkingtreding
Dit beleid is door het Bestuur in de bestuursvergadering van 8 december 2020 vastgesteld en treedt in werking met ingang van 1 januari 2021 onder gelijktijdige intrekking van de bestaande Incidentenregeling.