Privacyverklaring Stichting Pensioenfonds Witteveen+Bos
1 Inleiding
Binnen Stichting Pensioenfonds Witteveen+Bos (hierna ‘het fonds’) wordt veel gewerkt met persoonsgegevens van deelnemers en gepensioneerden. Persoonsgegevens worden voornamelijk verzameld ten behoeve van het uitvoeren van de pensioenovereenkomst met Witteveen+Bos N.V. Onder het begrip ‘persoonsgegevens’ wordt alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon verstaan. Deelnemers en gepensioneerden moeten erop kunnen vertrouwen dat het fonds zorgvuldig en veilig met de persoonsgegevens omgaat.
Het fonds respecteert de privacy van zijn deelnemers en gepensioneerden en zorgt ervoor dat de privacy gewaarborgd blijft, onder andere door maatregelen op het gebied van informatiebeveiliging, dataminimalisatie, transparantie en gebruikerscontrole.
Het bestuur speelt een cruciale rol bij het waarborgen van privacy. Het fonds geeft door middel van deze privacyverklaring een duidelijke richting aan privacy en laat zien dat het de privacy waarborgt, beschermt en handhaaft. Het is van toepassing op de gehele organisatie, alle processen, onderdelen, objecten en gegevensverzamelingen van het fonds. De privacyverklaring van het fonds is in lijn met de relevante lokale, regionale, nationale en Europese wet- en regelgeving.
2 Wettelijke kaders voor de omgang met gegevens
Het fonds is verantwoordelijk voor het opstellen, uitvoeren en handhaven van de privacyverklaring. Hiervoor gelden onder andere de volgende wettelijke kaders:
- de Algemene Verordening Gegevensbescherming (AVG);
- Uitvoeringswet Algemene Verordening Gegevensbescherming (UAVG).
3 Uitgangspunten
Het fonds gaat op een veilige manier met persoonsgegevens om en respecteert de privacy van betrokkenen. Het fonds houdt zich hierbij aan de volgende uitgangspunten:
Grondslag en doelbinding
Het fonds zorgt ervoor dat persoonsgegevens alleen voor welbepaalde, uitdrukkelijk omschreven en gerechtvaardigde doelen worden verzameld en verwerkt. De doeleinden zijn als volgt:
- (administratieve) werkzaamheden die nodig zijn voor een goede uitvoering van de statuten en de pensioenregeling. Daar hoort ook bij dat het fonds over actuele persoons- en relatiegegevens beschikt zodat het contact met de betrokkene en eventueel zijn partner, gezinsleden of werkgever kan onderhouden;
- de betrokkene tijdig van juiste informatie voorzien;
- het nakomen van wettelijke verplichtingen, bijvoorbeeld het versturen van het jaarlijkse pensioenoverzicht;
- verzenden van (gepersonaliseerde) informatie zoals nieuwsbrieven.
Persoonsgegevens worden alleen met een rechtvaardige grondslag verwerkt. Het fonds verwerkt de persoonsgegevens van betrokkenen op basis van een of meer van de volgende juridische grondslagen:
- wanneer dit noodzakelijk is voor de uitvoering van een overeenkomst het op verzoek van de betrokkene verrichten van precontractuele handelingen;
- wanneer dit noodzakelijk is om aan een wettelijke verplichting te voldoen;
- wanneer dit noodzakelijk is ter behartiging van gerechtvaardigde belangen van het fonds of de belangen van een derde;
- met toestemming van de betrokkene.
Wanneer persoonsgegevens worden verwerkt op basis van toestemming, zal het fonds deze afzonderlijk aan betrokkenen vragen. Toestemming mag altijd weer worden ingetrokken. Het intrekken van de toestemming laat de rechtmatigheid van de verwerking van persoonsgegevens voor de intrekking van toestemming onverlet.
Dataminimalisatie
Het fonds verwerkt alleen de persoonsgegevens die minimaal noodzakelijk zijn voor het vooraf bepaalde doel. Het fonds streeft naar minimale gegevensverwerking. Waar mogelijk worden minder of geen persoonsgegevens verwerkt.
Bewaartermijn
Persoonsgegevens worden niet langer bewaard dan nodig is. Het bewaren van persoonsgegevens kan nodig zijn om de taken van het fonds goed uit te kunnen oefenen of om wettelijke verplichtingen te kunnen naleven.
Integriteit en vertrouwelijkheid
Het fonds gaat zorgvuldig om met persoonsgegevens en behandelt deze vertrouwelijk. Zo worden persoonsgegevens alleen verwerkt door personen met een geheimhoudingsplicht en voor het doel waarvoor deze gegevens zijn verzameld. Daarbij neemt het fonds de bescherming van persoonsgegevens serieus en heeft passende technische en organisatorische maatregelen genomen om persoonsgegevens te beveiligen tegen ongeoorloofde of onrechtmatige verwerking en tegen verlies, vernietiging, schade, aanpassing of bekendmaking. Deze beveiliging is vastgelegd in het ICT beleid.
Mocht er desondanks een datalek plaatsvinden, dan zal het fonds dit indien nodig melden bij de Autoriteit Persoonsgegevens. Het kan zijn dat de inbreuk een hoog risico met zich meebrengt voor de rechten en vrijheden van de betrokkenen. In dit geval meldt het fonds dit aan de betrokkenen in eenvoudige en duidelijke taal. Om toekomstige datalekken te voorkomen worden bestaande datalekken geëvalueerd.
Delen met derden
Het fonds verstrekt persoonsgegevens niet aan derden (‘ontvangers’ in de zin van de privacywetgeving), tenzij dit noodzakelijk is voor de goede uitvoering van de in deze Privacyverklaring omschreven doeleinden, wanneer dit wettelijk verplicht is of wanneer betrokkene hier toestemming voor heeft gegeven. De derden aan wie de persoonsgegevens ter beschikking worden gesteld, zijn verplicht om vertrouwelijk met deze persoonsgegevens om te gaan. Indien deze partijen als ‘verwerker’ in de zin van de privacywetgeving worden aangemerkt, zorgt het fonds ervoor dat met deze partijen een verwerkersovereenkomst wordt gesloten die aan de in de AVG omschreven vereisten voldoet. Door het fonds ingeschakelde derde partijen die als zelfstandige verwerkingsverantwoordelijke diensten aanbieden, zijn voor de (verdere) verwerking van persoonsgegevens zelf verantwoordelijk voor de naleving van de toepasselijke privacywetgeving. Hierbij kan bijvoorbeeld worden gedacht aan accountants en advocaten.
Het fonds houdt een register bij van alle verwerkingen waarvan het fonds de verwerkingsverantwoordelijke is.
Rechten van betrokkenen
Het fonds honoreert alle privacyrechten ten aanzien van de verwerking van persoonsgegevens van betrokkenen. Betrokkenen hebben daarbij ten minste de volgende rechten ten aanzien van de verwerking van hun persoonsgegevens:
- het recht om te verzoeken of het fonds persoonsgegevens van betrokkene verwerkt en indien dit het geval is, op inzage in persoonsgegevens en bepaalde informatie over de verwerking van persoonsgegevens;
- het recht op rectificatie van persoonsgegevens indien deze onjuist of onvolledig zijn;
- het recht om persoonsgegevens te laten wissen (‘recht op vergetelheid’);
- het recht om bezwaar te maken tegen de verwerking van persoonsgegevens of om de verwerking van persoonsgegevens te beperken;
- het recht om toestemming voor de verwerking van persoonsgegevens in te trekken, indien de verwerking op toestemming van betrokkene is gebaseerd;
- het recht op ontvangst of afgifte van persoonsgegevens aan een door betrokkene aangewezen derde in een gestructureerde, gangbare en machine leesbare vorm (‘recht op dataportabiliteit’).
Het fonds maakt geen gebruik van geautomatiseerde besluitvorming. De betrokkene kan zijn rechten uitoefenen door contact op te nemen met het bestuur via secretariaatpensioenfonds@witteveenbos.com.
4 Werking en termijn
Deze Privacyverklaring is vastgesteld op 3 september 2024 door het algemeen bestuur van het fonds. De Privacyverklaring wordt iedere vijf jaar geëvalueerd en indien nodig herzien. Aanpassingen van de Privacyverklaring worden aangekondigd via de website van het fonds, waar ook de meest actuele versie van de Privacyverklaring is te vinden.
Vragen of een klacht
Heeft u een vraag of een klacht over ons privacybeleid of cookies? Of wilt u een verzoek indienen? Dan kunt u contact opnemen met de persoon die zich bezighoudt met privacy bij Pensioenfonds Witteveen+Bos door een email te sturen aan secretariaatpensioenfonds@witteveenbos.com
Als u ontevreden bent over de manier waarop wij omgaan met uw klacht, heeft u het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.