1 Inleiding
Binnen Stichting Pensioenfonds Witteveen+Bos (hierna ‘het fonds’) wordt veel gewerkt met persoonsgegevens van deelnemers en gepensioneerden. Persoonsgegevens worden voornamelijk verzameld ten behoeve van het uitvoeren van de pensioenovereenkomst met Witteveen+Bos N.V. Onder het begrip ‘persoonsgegevens’ wordt alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon verstaan. Deelnemers en gepensioneerden moeten erop kunnen vertrouwen dat het fonds zorgvuldig en veilig met de persoonsgegevens omgaat.
Het fonds respecteert de privacy van zijn deelnemers en gepensioneerden en zorgt ervoor dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole.
Het bestuur speelt een cruciale rol bij het waarborgen van privacy. Het fonds geeft door middel van deze privacyverklaring een duidelijke richting aan privacy en laat zien dat het de privacy waarborgt, beschermt en handhaaft. Het is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van het fonds. De privacyverklaring van het fonds is in lijn met de relevante lokale, regionale, nationale en Europese wet- en regelgeving.
2 Wettelijke kaders voor de omgang met gegevens
Het fonds is verantwoordelijk voor het opstellen, uitvoeren en handhaven van de privacyverklaring. Hiervoor gelden onder andere de volgende wettelijke kaders:
3 Uitgangspunten
Het fonds gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenen. Het fonds houdt zich hierbij aan de volgende uitgangspunten:
Grondslag en doelbinding
Het fonds zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. De doeleinden zijn als volgt:
Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt. Het fonds verwerkt de persoonsgegevens van betrokkenen op basis van een of meer van de volgende juridische grondslagen:
Wanneer persoonsgegevens worden verwerkt op basis van toestemming, zal het fonds deze afzonderlijk aan betrokkenen vragen. Toestemming mag altijd weer worden ingetrokken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking van persoonsgegevens voor de intrekking van toestemming onverlet.
Dataminimalisatie
Het fonds verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. Het fonds streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.
Bewaartermijn
Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om de taken van het fonds goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven.
Integriteit en vertrouwelijkheid
Het fonds gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij neemt het fonds de bescherming van persoonsgegevens serieus en heeft passende technische en organisatorische maatregelen genomen om persoonsgegevens te beveiligen tegen ongeoorloofde of onrechtmatige verwerking en tegen verlies, vernietiging, schade, aanpassing of bekendmaking. Deze beveiliging is vastgelegd in het ICT beleid.
Mocht er desondanks een datalek plaatsvinden, dan zal het fonds dit indien nodig melden bij de Autoriteit Persoonsgegevens. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. In dit geval meldt het fonds dit aan de betrokkenen in eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen worden bestaande datalekken geëvalueerd.
Delen met derden
Het fonds verstrekt persoonsgegevens niet aan derden (‘ontvangers’ in de zin van de privacywetgeving), tenzij dit noodzakelijk is voor de goede uitvoering van de in deze Privacyverklaring omschreven doeleinden, wanneer dit wettelijk verplicht is of wanneer betrokkene hier toestemming voor heeft gegeven. De derden aan wie de persoonsgegevens ter beschikking worden gesteld, zijn verplicht om vertrouwelijk met deze persoonsgegevens om te gaan. Indien deze partijen als ‘verwerker’ in de zin van de privacywetgeving worden aangemerkt, zorgt het fonds ervoor dat met deze partijen een verwerkersovereenkomst wordt gesloten die aan de in de AVG omschreven vereisten voldoet. Door het fonds ingeschakelde derde partijen die als zelfstandige verwerkingsverantwoordelijke diensten aanbieden, zijn voor de (verdere) verwerking van persoonsgegevens zelf verantwoordelijk voor de naleving van de toepasselijke privacywetgeving. Hierbij kan bijvoorbeeld worden gedacht aan accountants en advocaten.
Het fonds houdt een register bij van alle verwerkingen waarvan het fonds de verwerkingsverantwoordelijke is.
Rechten van betrokkenen
Het fonds honoreert alle privacyrechten ten aanzien van de verwerking van persoonsgegevens van betrokkenen. Betrokkenen hebben daarbij ten minste de volgende rechten ten aanzien van de verwerking van hun persoonsgegevens:
Het fonds maakt geen gebruik van geautomatiseerde besluitvorming. De betrokkene kan zijn rechten uitoefenen door contact op te nemen met het bestuur via secretariaatpensioenfonds@witteveenbos.com.
4 Werking en termijn
Deze Privacyverklaring is vastgesteld op 3 september 2024 door het algemeen bestuur van het fonds. De Privacyverklaring wordt iedere vijf jaar geëvalueerd en indien nodig herzien. Aanpassingen van de Privacyverklaring worden aangekondigd via de website van het fonds, waar ook de meest actuele versie van de Privacyverklaring is te vinden.