25

mei

Compas is gecheckt en veilig bevonden (2021)

Delta Lloyd Pensioenfonds heeft, zoals al eerder aangekondigd, besloten om de pensioenadministratie over te brengen naar een ander administratiesysteem van AZL (Compas). In dit administratiesysteem worden, net als in ons huidige administratiesysteem, persoonsgegevens van onze deelnemers vastgelegd. Volgens het privacy beleid van het pensioenfonds dient het pensioenfonds bij overgang naar een nieuw administratiesysteem een Data Protection Impact Assessment (DPIA) (gegevensbeschermingseffecten beoordeling) uit te voeren. Met dit bericht laten wij weten dat dit assessment heeft plaatsgevonden, leggen wij uit wat het assessment inhoudt en delen wij de conclusies van het assessment.

 

Wat is een DPIA

Bij een DPIA wordt beoordeeld wat het effect is van verwerking van persoonsgegevens en worden eventuele risico’s gekwantificeerd. Een DPIA bestaat uit de volgende onderdelen:

  • De beoogde verwerkingen en verwerkingsdoelen worden systematisch beschreven;
  • De doeleinden van de verwerking worden getoetst op de noodzaak en de evenredigheid van de verwerking;
  • De gesignaleerde risico’s worden beoordeeld op de mate waarin zij een inbreuk vormen op de rechten en vrijheden van betrokkenen;
  • De risico’s worden voorzien van beoogde maatregelen om de risico’s te beperken tot het niveau waarmee kan worden aangetoond dat voldaan wordt aan de eisen uit de AVG.

 

Conclusies

Het pensioenfonds heeft de DPIA samen met de Privacy Officer van het pensioenfonds en AZL uitgevoerd. Hierbij zijn de volgende conclusies getrokken:

  • De DPIA is uitgevoerd volgens de wettelijke normen;
  • Voor de conversie van de data naar het nieuwe systeem zijn voldoende maatregelen getroffen om dit conform vigerende wet- en regelgeving te laten verlopen;
  • De getroffen technische- en organisatorische maatregelen die bij het nieuwe administratiesysteem zijn getroffen bieden voldoende waarborg dat conform de wettelijke normen wordt gehandeld;
  • De bewaartermijn van gegevens binnen het systeem zijn conform wettelijke richtlijnen en in lijn met het beleid van het pensioenfonds.

 

Oordeel Privacy Officer

De DPIA die op het systeem ‘Compas’ is uitgevoerd heeft conform de voorschriften van de AVG plaatsgevonden. De resultaten van de DPIA en de beoordeling van de aangeleverde documenten met betrekking tot de conversie, de technische- en organisatorische maatregelen en de bewaartermijnen geven voldoende aanleiding aan te kunnen nemen dat afdoende mitigerende maatregelen zijn genomen om de veiligheid van de persoonsgegevens bij de conversie en verwerking te waarborgen.