Voor het pensioenfonds heeft het beheersen van risico’s topprioriteit. Het bekendst zijn natuurlijk beleggingsrisico’s: het zoeken naar een verstandige balans tussen het maken van winst op de beleggingen en de gewenste zekerheid. Maar er is meer, vertelt bestuurslid Hanneke Niekus. Twee ‘niet-financiële’ risico’s licht ze eruit: cybercriminaliteit en de nieuwe pensioenwetgeving. Sinds 1 juli gelden er namelijk nieuwe regels voor pensioen in Nederland. Ze vertelt hoe het fonds ermee omgaat.
Om met dat laatste te beginnen: wat is het risico van de nieuwe regels voor pensioen?
In het algemeen moet je zeker weten dat je nieuwe wetgeving in de praktijk goed kunt uitvoeren, inclusief de afspraken die sociale partners maken. En ook niet te ingewikkeld en te duur. Want anders kan het een risico zijn voor het fonds én voor deelnemers. Dat willen we absoluut niet.
De Wet toekomst pensioenen (Wtp) is voor de pensioenwereld met afstand de meest ingrijpende operatie waar we ooit mee te maken hebben gehad. Het gaat dan niet eens zozeer om de nieuwe wet zelf, die is uitvoerbaar. De grootste uitdaging is de overgang van de bestaande naar de nieuwe situatie.
Kun je daarvan een voorbeeld noemen?
We hebben nu een groot pensioenvermogen. Daarvan betalen we de pensioenen. Straks heeft iedereen een eigen pensioenpotje. En dus moet dat grote vermogen over al die potjes worden verdeeld. Zodat al opgebouwde pensioenen op een eerlijke manier worden overgezet naar de nieuwe situatie.
Dat klinkt vrij eenvoudig.
Ja, maar dat is het zeker niet. De herverdeling is in de praktijk een zeer ingewikkelde berekening. Het nieuwe stelsel pakt voor sommige groepen relatief gunstig uit en voor andere groepen wat minder. En in werkelijkheid heb je straks niet alléén persoonlijke pensioenpotjes. Als pensioenfonds hebben we ook straks nog steeds mogelijkheden om goede en slechte tijden met elkaar te delen, er blijft een vorm van solidariteit. Daar willen we dus zeer zorgvuldig mee omgaan. Want elke deelnemer is ons even lief.
Wat zijn de komende tijd de mijlpalen?
Eerste mijlpaal is de keuze die de sociale partners maken; er zijn verschillende pensioencontracten mogelijk en die hebben weer gevolgen voor de transitie. Eind dit jaar weten we welke kant het opgaat. Op basis daarvan moet er een transitieplan worden ingediend bij De Nederlandsche Bank, onze toezichthouder. Daar gaan we in de eerste helft van 2024 veel tijd in steken. En de allergrootste mijlpaal is natuurlijk de overgang zelf. Uiteindelijk moeten alle pensioenfondsen uiterlijk op 1 januari 2028 zijn overgestapt. Nog ruim vier jaar dus. Dat lijkt ver weg, maar er is ook nog heel veel werk aan de winkel. Een voordeel hebben we wel: onze regeling is al heel uniform en strak, dat is bij zo’n ingewikkelde transitie erg prettig.
Hoe neemt het pensioenfonds de deelnemers mee in het hele proces?
Ik gaf al aan: de manier waarop het geld moet worden herverdeeld is heel ingewikkeld. Het is een illusie om te denken dat je straks als deelnemer even kunt narekenen of je krijgt waar je recht op hebt. Dus moet elke deelnemer erop kunnen vertrouwen dat wij het goed uitrekenen. We gaan straks natuurlijk wel ons uiterste best doen om het straks toch zo helder en duidelijk mogelijk uit te leggen.
Dan cybercriminaliteit. Waarom geeft het pensioenfonds daar prioriteit aan?
Pensioenfondsen zijn aantrekkelijk voor mensen met slechte bedoelingen. We hebben veel adressen, persoonsgegevens, we weten bankrekeningnummers en we keren elke maand veel geld uit, uit ons grote vermogen. Dus we staan hoog op de ‘hitlist’ van cybercriminelen. Heel vroeger hadden we kaartenbakken, dan moest je ergens naar toe en echt fysiek inbreken. Nu kun je vanuit de hele wereld als het ware met een paar muisklikken proberen binnen te dringen.
Over welke vormen van cybercriminaliteit kan het gaan?
Het komt voor dat cybercriminelen met zogenoemde ‘gijzelsoftware’ werken. Hackers breken dan digitaal in en schakelen het hele systeem van een organisatie uit totdat er losgeld is betaald. Bijvoorbeeld de Universiteit Maastricht heeft ermee te maken gehad.
Een andere mogelijkheid is dat hackers inbreken om persoonsgegevens buit te maken en daarvan misbruik te maken.
Hoe zorg je voor een stevig slot op de deur?
Je wilt voorkomen dat hackers binnenkomen. En mocht dat onverhoopt toch gebeuren, dan wil je dat er zo weinig mogelijk schade kan worden aangericht. Blue Sky Group, onze uitvoerder, heeft een paar jaar geleden te maken gehad met een datalek. Dat leverde voor ons gelukkig geen echte schade op maar het onderstreepte nog maar eens de noodzaak van een goede bescherming.
Dat doe je op twee manieren. Ten eerste door samen systemen zo waterdicht mogelijk te maken. En ten tweede door te werken aan bewustwording bij mensen. Want de praktijk leert dat zij de zwakste schakel vormen. Cybercriminelen komen bijvoorbeeld binnen via phishing-mails en daar moet je dus niet op klikken. En we kennen de verhalen van mensen die per ongeluk een usb-stick in de trein hebben laten liggen.
Het is nooit klaar: aan de beveiliging van de systemen en aan de bewustwording van medewerkers moet je continu werken. De Nederlandsche Bank, toezichthouder van de pensioenfondsen, verlangt dat ook van ons. We moeten aantonen dat we onze beveiliging op orde hebben, en dat doen we.