De hele pensioenbranche siddert vanwege het nieuwe pensioenstelsel; sociale partners en pensioenuitvoerder moeten aan de bak om de nieuwe richtlijnen in te voeren en op tijd klaar te zijn met het omvormen van wat er is tot wat er zou moeten zijn. Consultants voorzien enkele topjaren en de toezichthouders staan op scherp. Maar wat gaan wij als compliance officer hier eigenlijk van merken? Worden onze wereld en ons werk echt helemaal nieuw en anders?
Ik houd ervan om dingen simpel te houden om het zo beter te kunnen begrijpen of beter te kunnen uitleggen. En als ik dan naar het nieuwe stelsel kijk zie ik dezelfde rollen als nu, dezelfde processen als nu en dezelfde betrokkenen als nu. Een “Integere Bedrijfsvoering” wordt niet geschrapt als leidraad. Simpel gesteld zou je dan kunnen concluderen dat er voor de compliance officer niets verandert. En omdat je met dezelfde gegevens dezelfde dingen doet zou er voor de privacy officer ook niets veranderen. Een geruststellende gedachte misschien, maar klopt het ook?
Want natuurlijk komen er op deze functies wel de nodige zaken af:
Diverse deskundigen en commerciële partijen informeren de sector over deze onderwerpen. Gelukkig maar. Wat ik me wel steeds afvraag is of er nu wezenlijk nieuwe zaken op ons afkomen, of dat de compliance functie eigenlijk dezelfde blijft. Dezelfde rol, maar dan wel bij een aantal actuele onderwerpen.
Ik noem een paar voorbeelden, zonder hier uitputtend te zijn.
Herinrichting of vervanging van systemen
De commerciële service providers voor pensioendiensten zijn allen druk bezig met het voorbereiden op de nieuwe ontwikkelingen. Wellicht gaan nieuwe partijen de markt betreden; ook nieuwe samenwerkingsverbanden kunnen gaan ontstaan.
De pensioenfondsen, de klanten van de service provider, zouden dit kunnen of wellicht zelfs moeten beschouwen als een reden om een DPIA te doen. En omdat in het nieuwe systeem ook de individuele beleggingskeuzes zullen worden vastgelegd (wat ook persoonsgegevens zijn) is dat mogelijk ook aanleiding om het verwerkingsregister te actualiseren en te controleren of het privacyreglement nog actueel en dekkend is.
Dit is meteen een mooie gelegenheid om te informeren hoe privacy by default en by design zijn geïmplementeerd en wat de effecten zijn van dataminimalisatie. En hoe bewaartermijnen van de ‘oude’ gegevens worden uitgevoerd, of overgaan op het nieuwe systeem.
De vraag is of een dergelijk traject voor pensioenfondsen aanleiding is of moet zijn om een ERB (eigen risico beoordeling) uit te voeren. Iets waar de compliance officer naar kan of moet vragen.
Op zich geen echt nieuwe taken voor de compliance & privacy officer, maar onderdeel van het bestaande, reguliere aandachtsgebied.
Informeren van de deelnemers
Het informeren van de deelnemers staat nu ook op de bestuursagenda en is deels verankerd in wet- en regelgeving. Met toezicht vanuit zowel DNB als de AFM is dit een serieus onderwerp, waar veel effort in wordt gestoken door de fondsen en hun uitvoeringsorganisaties.
De aard en scope van de informatie aan deelnemers verandert in het nieuwe pensioenstelsel, door de individualisering en de verschuiving van beleggingsrisico’s naar de deelnemers. Dus de compliance officer blijft kritische vragen stellen over de deelnemercommunicatie. En de vraag of de communicatie duidelijk genoeg is kan tot discussie gaan leiden. Maar het is geen nieuwe taak voor de compliance officer.
Invaren of niet
De opdracht voor wel of niet invaren is een belangrijke, met mogelijk verregaande gevolgen voor de deelnemers. De afweging die het bestuur maakt in deze strategische keuze staat natuurlijk onder ‘belangenafweging’ op de checklist van integere bedrijfsvoering.
Ook hier kan de vraag worden gesteld of dit vraagstuk onderwerp zou moeten zijn van een ERB.
Op zich belangrijke en ingrijpende keuzes, maar qua proces voor de compliance officer geen nieuwe taak.
Van collectief beleggingsbeleid naar (meer) individueel
Voor pensioenfondsen met alleen DB-regelingen betekent het nieuwe stelsel ook een overgang van collectief beleggingsbeleid naar een beleggingsbeleid per leeftijdsgroep. Van een beleid gebaseerd op een ALM studie waarin de diverse vormen van solidariteit zijn opgenomen naar een beleggingsbeleid met vormen of scenario’s waaruit de individuele deelnemer kan kiezen om invulling te geven aan de eigen keuzes die binnen het reglement mogelijk zijn. Fondsen met een DC-regeling hebben dit al (deels) beschikbaar.
De compliance functie is bekend met vraagstukken als ALM en beleggingsbeleid. Daarmee is dit onderdeel van het nieuwe stelsel m.i. ook geen nieuwe taak.
Verandert er dan niets voor compliance officer in het nieuwe stelsel?
De invoering van het nieuwe stelsel biedt voor de compliance rol en de privacy rol duidelijk een hoeveelheid werk, als ‘adviseur op integere bedrijfsvoering’. Nieuwe systemen, transities, communicatie en belangenafwegingen zullen de agenda van de CO en PO net zo domineren als die van de besturen van pensioenfondsen, pensioenuitvoerders en adviseurs.
Kern voor de compliance officer blijft om te vragen hoe de ontwikkelingen passen in de integere bedrijfsvoering en of besluitvorming en processen die toets der kritiek kunnen doorstaan. Vanuit het NCI helpen wij onze klanten focus te houden op zowel het proces van besluitvorming als op de aantoonbaarheid en uitlegbaarheid van de besluitvorming en deelnemer communicatie. Verder laten we de huidige compliance-monitoringtaken niet ondersneeuwen onder het nieuwe stelsel, omdat de integere bedrijfsvoering alleen kan (blijven) bestaan als de fundering stevig is en blijft.
Daarmee is volgens mij het nieuwe pensioenstelsel nieuwe wijn voor de compliance en privacy officers, maar wel in oude zakken…
