Ruud van der Mast
In juli heeft de Pensioenfederatie het Servicedocument Incidentenregeling aangepast. Het Servicedocument betreft een model; er is geen (wettelijke) verplichting om dit over te nemen. Doel van deze regeling is aldus het beschrijven van de procedure omtrent het melden, vastleggen en afhandelen van incidenten zodat eventuele schade kan worden voorkomen of beperkt en herhaling van het incident wordt voorkomen. In de nieuwe versie zijn enkele (kleine) wijzigingen doorgevoerd.
In het document worden vier typen incidenten geïdentificeerd: Integriteits-, Beveiligings-, Operationele- en Overige incidenten. Ten opzichte van het vorige model is het onderscheid in de verschillende type incidenten verduidelijkt. Het type ‘Beveiligingsincident’ is toegevoegd omdat de toezichthouder hier meer aandacht voor heeft gekregen. Wat niet is gewijzigd is het onderscheid tussen de Incidentenregeling voor integriteitsincidenten en een aparte Klokkenluidersregeling voor Misstanden. Ik vraag me af of het overzichtelijk is voor medewerkers/verbonden personen om met twee verschillende regelingen te werken. Daarbij blijft het ook na het nieuwe model de vraag of een Misstand ook niet moet worden gezien als Integriteitsincident. Mijns inziens valt deze wel degelijk binnen de definitie.
In de modelregeling is een belangrijke rol voor de compliance officer weggelegd als meldportaal en voor de beoordeling van meldingen. De compliance officer bepaalt de vorm van het incident en zet operationele of beveiligingsincidenten door naar de leidinggevende van de afdeling waar het incident zich heeft voorgedaan. De leidinggevende handelt deze vervolgens af. Bij integriteitsincidenten informeert de compliance officer de voorzitter van het bestuur. De compliance officer draagt, volgens het model, in principe zorg voor de afhandeling van het integriteitsincident en bewaakt de voortgang van het meldproces. In mijn beoordeling kan hier een belangenconflict ontstaan en zou de initiatie tot onderzoek en afhandeling van integriteitsincidenten beter bij het bestuur belegd kunnen worden zodat de compliance officer onafhankelijk kan monitoren. Overigens laat de modelregeling vrij om hier andere functionarissen aan te wijzen.
In de model Incidentenregeling wordt ook aandacht besteed aan het melden van incidenten aan de toezichthouder. Waar de modelregeling geen aandacht voor heeft is een escalatiemogelijkheid wanneer de voorzitter of het bestuur betrokken is bij de melding Integriteitsincident. In dat geval is het, mijns inziens, wenselijk om een escalatie naar bijvoorbeeld de RvT in de procedure op te nemen zodat duidelijk is hoe te handelen.
Samenvattend ben ik blij dat de Pensioenfederatie modellen ontwerpt die input kunnen leveren voor de eigen regelingen van de Pensioenfondsen. Tegelijkertijd onderstreep ik dat het om een model gaat en dat het fonds dat altijd nog zal moeten aanpassen naar de eigen situatie en vervolgens bekend moet maken in de eigen organisatie. Er is geen sprake van printen en in de kast leggen. Wanneer er een incident is wil je de procedure zo goed mogelijk dichtgetimmerd hebben zodat er geen discussie kan ontstaan over de afhandeling. Met name bij Integriteitsincidenten is dit een veel voorkomende valkuil.
