Overslaan en naar inhoud gaan

Privacy statement

Uw privacy is voor ons heel belangrijk. In ons privacy statement leest u hoe we omgaan met uw persoonlijke gegevens. 

A. Algemeen 
Bij de uitvoering van de bedrijfstakpensioenregeling verwerkt Bpf Particuliere Beveiliging persoonsgegevens zoals bedoeld in de Algemene Verordening 
Gegevensbescherming (AVG). De AVG is derhalve van toepassing op Bpf Particuliere Beveiliging. 

Bpf Particuliere Beveiliging heeft de privacybescherming van persoonsgegevens hoog in het vaandel. Daarnaast is een belangrijk uitgangspunt dat de verwerking van persoonsgegevens rechtmatig, behoorlijk én transparant is. Daarom wordt in dit reglement vastgelegd hoe Bpf Particuliere Beveiliging omgaat met zijn verplichtingen op grond van de AVG (privacybeleid).

Dit reglement wordt aangehaald als het privacyreglement van Bpf Particuliere Beveiliging. 

B. Bpf Particuliere Beveiliging en AVG 

Bpf Particuliere Beveiliging verwerkingsverantwoordelijke 
Bij de uitvoering van de bedrijfstakpensioenregeling stelt Bpf Particuliere Beveiliging het doel en de middelen vast voor de verwerking van de persoonsgegevens. Bpf Particuliere Beveiliging is daarom een verwerkings-verantwoordelijke volgens de AVG. Vanuit deze rol is Bpf Particuliere Beveiliging (eind)verantwoordelijk. Zij stelt in dit kader het privacybeleid vast. 

Daarnaast is de AVG als een separaat aandachtsgebied benoemd in de geschiktheidsprofiel van het uitvoerend bestuurslid. Door deze taakverdeling streeft Bpf Particuliere Beveiliging ernaar dat de bewustwording van de privacybescherming wordt vergroot en ingebed wordt in de bedrijfsvoering van 
het pensioenfonds.

Uitbesteding 
Bij uitbesteding van werkzaamheden waarbij persoonsgegevens worden verwerkt, geldt dat de uitbestedingspartij een verwerker is overeenkomstig de AVG. De uitbestedingspartij verwerkt de persoonsgegevens namelijk in opdracht van Bpf Particuliere Beveiliging. Ingevolge de AVG wordt een verwerkersovereenkomst gesloten tussen Bpf Particuliere Beveiliging en de uitbestedingspartij waarbij de overeenkomst voldoet aan de wettelijke eisen en de checklist Gedragslijn verwerking persoonsgegevens van de Pensioenfederatie. 

Onderuitbesteding 
Indien de uitbestedingspartij voor de uitbestede werkzaamheden een onderuitbestedingspartij wenst in te schakelen, dient Bpf Particuliere Beveiliging hieraan voorafgaand toestemming voor te verlenen. In dat geval wordt een subverwerkersovereenkomst gesloten tussen de uitbestedingspartij en 
de onderuitbestedingspartij. Hierbij geldt dat de uitbestedingspartij volledig verantwoordelijk blijft voor het nakomen van zijn verplichtingen als verwerker op grond van de AVG. 

Verwerkingsregister 
Bpf Particuliere Beveiliging houdt overeenkomstig de AVG een verwerkingsregister bij. In dit register is alle relevante informatie opgenomen over de wijze waarop de verwerking van persoonsgegevens plaatsvindt. 

Functionaris Gegevensbescherming (FG) 
Bpf Particuliere Beveiliging heeft een FG aangesteld. Deze functionaris heeft 
bovengemiddelde vakkennis van de privacyregelgeving en van de praktijk van 
gegevensbescherming. De FG informeert, ondersteunt en adviseert het bestuur bij alle (complexe) vraagstukken die betrekking hebben op privacybescherming. Daarnaast kunnen betrokkenen zich richten tot de FG met hun vragen of klachten over de verwerking van hun persoonsgegevens.  

Artikel 1 Definities 
In dit reglement worden overeenkomstig de AVG de volgende definities gehanteerd: 
1. Persoonsgegevens: 
- Alle informatie over Betrokkene, en 
- Alle informatie die Betrokkene direct of indirect kan identificeren 
2. Verwerken: 
Een bewerking of een geheel van bewerkingen met betrekking tot Persoonsgegevens of een geheel van Persoonsgegevens, al dan niet uitgevoerd via geautomatiseerde procedés, zoals het verzamelen, vastleggen, ordenen, structureren, opslaan, bijwerken of wijzigen, opvragen, raadplegen, gebruiken, verstrekken door middel van doorzending, verspreiden of op andere wijze 
ter beschikking stellen, aligneren of combineren, afschermen, wissen of vernietigen van gegevens 
3. Betrokkenen: 
De geïdentificeerde of identificeerbare natuurlijke personen zoals opgenomen onder artikel 6 in het privacyreglement; 
4. Privacyregelgeving: 
De wet- en regelgeving bij of krachtens de Algemene Verordening Gegevensbescherming EU 2016/679 (AVG) 
5. Verwerkingsverantwoordelijke: 
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat, alleen of samen met anderen, het doel van en de middelen voor de verwerking van persoonsgegevens vaststelt 
6. Verwerker: 
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die/dat ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt 
7. Ontvanger: 
Een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan, 
al dan niet een derde, aan wie/waaraan de persoonsgegevens worden verstrekt; 
8. Toestemming van de betrokkene: 
Elke vrije, specifieke, geïnformeerde en ondubbelzinnige wilsuiting waarmee de betrokkene door middel van een verklaring of een ondubbelzinnige actieve handeling hem betreffende verwerking van persoonsgegevens aanvaardt 
9. Inbreuk in verband met persoonsgegevens: 
Een inbreuk op de beveiliging die per ongeluk of op onrechtmatige wijze leidt tot de vernietiging, het verlies, de wijziging of de ongeoorloofde verstrekking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte gegevens 
10. Bestand: 
Elk gestructureerd geheel van persoonsgegevens die volgens bepaalde criteria toegankelijk zijn, ongeacht of dit geheel gecentraliseerd of gedecentraliseerd is dan wel op functionele of geografische gronden is verspreid. 

Artikel 2 Toepassing 
Dit privacyreglement is van toepassing op de geheel of gedeeltelijk geautomatiseerde verwerking van persoonsgegevens van betrokkenen, alsmede op de verwerking van persoonsgegevens van betrokkenen die in een bestand zijn opgenomen of die bestemd zijn om daarin te worden opgenomen. 

Artikel 3 Doel gegevensverwerking 
De verwerking van persoonsgegevens dient de volgende doelen: 
a. Uitvoering van de bedrijfstakpensioenregeling van Bpf Particuliere Beveiliging; en 
b. Het voldoen aan de wettelijke verplichtingen 
c. Het onderhouden van zakelijke relaties van Bpf Particuliere Beveiliging 

Deze doelstellingen liggen in lijn met het statutaire doel van Bpf Particuliere Beveiliging. 

Artikel 4 Grondslag gegevensverwerking 
De juridische grondslag voor de verwerking van de persoonsgegevens 
door Bpf Particuliere Beveiliging betreft: 

a. De uitvoering van de pensioenovereenkomst waarbij betrokkene partij is 
b. Het voldoen aan wettelijke verplichtingen 
c. Gerechtvaardigd belang 
d. De toestemming van betrokkene indien de onder a, b en c genoemde grondslagen niet van toepassing zijn voor de betreffende verwerking 

Artikel 5 Soorten persoonsgegevens 
Bpf Particuliere Beveiliging verwerkt onder meer de volgende soorten persoonsgegevens: 

a. Naam, adres- en woonplaatsgegevens 
b. Geboortedatum 
c. Geslacht 
d. Burgerlijke staat 
e. Dienstverband en financiële gegevens 
f. BSN 
g. Arbeidsongeschiktheidsgegevens 

Artikel 6 Categorieën betrokkenen 
Bpf Particuliere Beveiliging verwerkt persoonsgegevens van de volgende categorieën betrokkenen: 

a. (gewezen) deelnemers 
b. Pensioengerechtigden 
c. (ex-)partners en kinderen van betrokkenen onder a. en b. 
d. Bezoekers website van Bpf Particuliere Beveiliging 
e. Bestuursleden en leden van pensioenfondsorganen 
f. Contactpersonen van zakelijke relaties van Bpf Particuliere Beveiliging 

Artikel 7 Uitgangspunten gegevensverwerking 
Bij de verwerking van de persoonsgegevens worden de volgende uitgangspunten in acht genomen: 

a. De verwerking is rechtmatig, behoorlijk en transparant 
b. De persoonsgegevens worden uitsluitend verwerkt overeenkomstig het gestelde doel 
c. De verwerking van persoonsgegevens is toereikend, ter zake dienend en beperkt tot hetgeen noodzakelijk is om het gestelde doel te bereiken (minimale gegevensverwerking) 
d. Er worden juiste en passende beveiligingsmaatregelen getroffen om de (verwerking van de) persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging 
e. De privacyrechten van betrokkenen worden gewaarborgd 
f. Bpf Particuliere Beveiliging draagt er zorg voor dat betrokkenen in beginsel kosteloos zijn rechten kan uitoefenen 

Artikel 8 Verkrijging persoonsgegevens 
Bpf Particuliere Beveiliging ontvangt persoonsgegevens ter verwerking van de volgende partijen: 

a. Betrokkene of zijn wettelijke vertegenwoordiger 
b. (oud-)werkgever van betrokkene 
c. Basisregistratie Personen 
d. UWV 
e. Belastingdienst 
f. Stichting Pensioenregister 
g. Andere natuurlijke personen, instellingen en organisaties die door de betrokkene gemachtigd zijn tot het verstrekken van gegevens 

Indien persoonsgegevens worden verkregen van een derde dan informeert Bpf Particuliere Beveiliging de Betrokkenen binnen een maand na verkrijging. Deze informatieplicht geldt niet als betrokkene reeds geïnformeerd is of het informeren in de praktijk onmogelijk is of onevenredige inspanningen van Bpf Particuliere Beveiliging vergt. 

Deze gegevens analyseren we om inzicht te krijgen in de effectiviteit van onze communicatie. Op basis van dit inzicht optimaliseren we onze communicatie en zorgen we ervoor dat deze persoonlijk en relevant is voor ontvangers. We gebruiken het (door betrokkene/ontvanger zelf, op vrijwillige basis verstrekte) e-mailadres van de ontvanger om effectiviteit van onze communicatie aan een doelgroep te relateren. Daarnaast leggen het IP-adres drie weken vast om ongewenst verkeer te voorkomen. 

Artikel 9 Ontvanger persoonsgegevens 
Persoonsgegevens worden door Bpf Particuliere Beveiliging verstrekt aan de volgende ontvangers: 
a. (her)verzekeraars; 
b. Stichting Pensioenregister 
c. De pensioenuitvoerder die betrokken is bij een individuele of collectieve waardeoverdracht 
d. Datapartners* zoals omschreven in de verklaring uitwisseling persoonsgegevens 
e. Andere natuurlijke personen, instellingen en organisaties die door betrokkene zijn gemachtigd om namens hem op te treden 
f. Overige derden voor zover dit noodzakelijk voor de doelstelling, voortvloeit uit enige wettelijk voorschrift of betrokkene hiervoor toestemming heeft gegeven 

Artikel 10 Functionaris Gegevensbescherming 
1. Het pensioenfonds wijst een Functionaris Gegevensbescherming (FG) aan. Deze functionaris vervult een onafhankelijke rol binnen het pensioenfonds. De FG wordt benoemd door het bestuur van het pensioenfonds. De FG rapporteert aan de voorzitter van het bestuur, zowel over de dagelijkse gang van zaken, als in het geval zich een bijzondere omstandigheid heeft voorgedaan. 
2. Het bestuur legt de taken van de FG schriftelijk vast. Op hoofdlijnen omvatten de taken onder meer de volgende zaken: 
- informeren en adviseren (gevraagd en ongevraagd) over de privacyregelgeving; 
- toezien op naleving van de privacyregelgeving; 
- optreden als contactpersoon voor de Autoriteit Persoonsgegevens. 
3. Het bestuur waarborgt dat de FG over voldoende bevoegdheden beschikt om zijn taken uit te kunnen uitoefenen. 
4. De FG rapporteert ten minste jaarlijks over zijn werkzaamheden en doet aanbevelingen op basis van de resultaten van zijn werkzaamheden. De externe accountant ziet toe op de in het kader van de naleving van de gedragscode door de FG uitgevoerde werkzaamheden. 
5. Het bestuur legt vast welke acties zijn ondernomen naar aanleiding van de bevindingen van de FG. 

Artikel 11 Bewaartermijn persoonsgegevens en verwijdering gegevens 
De persoonsgegevens worden bewaard c.q. vernietigd overeenkomstig het archiefbeleid van Bpf Particuliere Beveiliging. 
Alsdan draagt Bpf Particuliere Beveiliging er zorg voor dat de betreffende persoonsgegevens uit de administratie worden verwijderd. Indien verwijdering technisch niet mogelijk is of slechts tegen hoge kosten, schermt Bpf Particuliere Beveiliging de gegevens afdoende af. 
* Pensioenuitvoerders die gebruik maken van de diensten van pensioenuitvoeringsorganisatie TKP Pensioen B.V.  

Artikel 12 Privacyrechten betrokkenen 
Iedere betrokkene heeft de volgende privacyrechten: 

a. recht op informatie en inzage 
b. recht op rectificatie en aanvulling 
c. recht op gegevenswissing, met inachtneming van het bepaalde onder d 
d. recht op het niet wissen van gegevens 
e. recht op beperking van de verstrekking 
f. recht op dataportabiliteit 
g. recht op bezwaar 

Deze privacyrechten betreffen geen absolute rechten. Maar worden beperkt door onder andere de rechtmatige grondslag en de noodzaak persoonsgegevens te verwerken overeenkomstig de gestelde doeleinden. 
De verzoeken van betrokkenen op een bovenstaand recht moeten door Bpf Particuliere Beveiliging binnen een maand worden afgehandeld. Deze termijn kan met twee maanden worden verlengd indien er sprake is van een complex verzoek dan wel een grote hoeveelheid verzoeken. Dit uitstel moet gecommuniceerd worden aan betrokkene. 
De termijn van een maand wordt opgeschort indien betrokkene niet heeft voldaan aan het verzoek tot levering van aanvullende informatie. 

Recht op informatie en inzage 
Betrokkene heeft het recht om te weten welke persoonsgegevens van hem worden verwerkt en alle informatie over hoe de verwerking precies plaatsvindt. Bpf Particuliere Beveiliging vraagt bij de betrokkene naar de reden van het recht op inzage om zodoende zijn belang beter te kunnen dienen. Bpf Particuliere Beveiliging kan om kostentechnische redenen ervoor kiezen de wijze van invulling van het inzagerecht vooraf af te stemmen met betrokkene om een zo optimaal mogelijke invulling te geven aan dit recht. 
Indien betrokkene alsnog in een later stadium inzage wil hebben in de betreffende gegevens heeft Bpf Particuliere Beveiliging de verplichting deze gegevens te leveren. 

Recht op rectificatie en aanvulling 
Betrokkene heeft het recht op rectificatie van indien persoonsgegevens van hem onjuist zijn geregistreerd of onvolledige persoonsgegevens aan te vullen. Rectificatie kan ook betrekking hebben op onjuiste gegevens die Bpf Particuliere Beveiliging krijgt van een werkgever. Voor zover nodig wordt de rectificatie van onjuiste persoonsgegevens gemeld aan de ontvangers van deze persoonsgegevens zoals bedoeld in artikel 9. Bpf Particuliere Beveiliging geeft geen uitvoering aan dit recht als de gegevens zijn verkregen uit de Basisregistratie Personen (BRP). 

Recht op gegevenswissing 
Betrokkene heeft het recht op wissing van zijn persoonsgegevens, indien: 
- de persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij verzameld of verwerkt worden 
- betrokkene zijn toestemming intrekt (bij grondslag toestemming) en er geen andere rechtsgrond is voor de verwerking 
- betrokkene bezwaar maakt tegen de verwerking (bij grondslag gerechtvaardigde belangen pensioenpensioenfonds) en dit bezwaar gegrond is verklaar op grond van het klachtenreglement en mits dit niet ingaat tegen de eerder genoemde noodzaak tot verwerking 
- de persoonsgegevens onrechtmatig worden verwerkt 
- dient te worden voldaan aan een in het Unierecht of Nederlandse recht neergelegde wettelijke verplichting die op Bpf Particuliere Beveiliging rust 

Recht op het niet wissen van gegevens 
Betrokkene heeft in ieder geval geen recht op het wissen van zijn persoonsgegevens: 
- indien dient te worden voldaan aan een in het Unierecht of Nederlandse recht neergelegde wettelijke verplichting die op Bpf Particuliere Beveiliging rust 
- in geval van (het voornemen van) de instelling, uitoefening of onderbouwing van een rechtsvordering 
- indien dit strijdig is met het oog op archivering in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden 
- indien door Bpf Particuliere Beveiliging uitvoering gegeven dient te worden aan een overeenkomst 

Recht op beperking van de verwerking 
Betrokkene heeft recht op beperking van de verwerking, indien: 
- de juistheid van de persoonsgegevens wordt betwist door betrokkene, gedurende een periode die de verwerkingsverantwoordelijke in staat stelt de juistheid van de persoonsgegevens te controleren 
- de verwerking is onrechtmatig en betrokkene verzet zich tegen het wissen van de persoonsgegevens en verzoekt in de plaats daarvan om beperking van het gebruik ervan 
- de verwerkingsverantwoordelijke heeft de persoonsgegevens niet meer nodig voor de verwerkingsdoeleinden, maar betrokkene heeft deze nodig voor de instelling, uitoefening of onderbouwing van een rechtsvordering; 
- de betrokkene heeft bezwaar gemaakt tegen de verwerking, in afwachting van het antwoord op de vraag of de gerechtvaardigde gronden van de verwerkingsverantwoordelijke zwaarder wegen dan die van de betrokkene

Recht op dataportabiliteit 
Betrokkene heeft het recht zijn persoonsgegevens die in het bezit is van de 
verwerkingsverantwoordelijke te ontvangen in gestructureerde, gangbare en machine leesbare vorm. Hij heeft het recht de gegevens aan een andere verwerkingsverantwoordelijke over te dragen zonder dat hij daarbij wordt gehinderd door Bpf Particuliere Beveiliging indien de verwerking berust op toestemmingen dat de verwerking geschiedt via geautomatiseerde systemen. Bpf Particuliere Beveiliging draagt er zorg voor dat indien dit technisch mogelijk is de gegevens rechtstreeks naar de andere verwerkingsverantwoordelijke worden doorgezonden.

Recht op bezwaar 
Betrokkene kan bezwaar maken tegen de verwerking van zijn persoonsgegevens in verband met zijn specifieke situatie. Dit recht kan alleen uitgeoefend worden bij de grondslag gerechtvaardigd belang van betrokkene.

Bpf Particuliere Beveiliging stelt partijen met wie de Persoonsgegevens gedeeld zijn en die worden gerectificeerd, gewist of beperkt, op de hoogte van de wijzigingen binnen redelijke termijn. Dit informeren blijft achterwege wanneer: 
- dit onmogelijk blijkt, of 
- een onevenredige inspanning vergt 

Indien Bpf Particuliere Beveiliging van mening is dat een verzoek van kennelijke ongegronde of buitensporige aard is, mag Bpf Particuliere Beveiliging weigeren het verzoek te behandelen of, na afstemming met Betrokkene, kosten in rekening brengen. Bpf Particuliere Beveiliging zal Betrokkene hierover schriftelijk informeren met toelichting op het besluit en de mogelijkheid voor Betrokkene om een klacht bij de Autoriteit Persoonsgegevens in te dienen of beroep bij de rechter in te stellen. 

Artikel 13 Klachtenprocedure 
1. Betrokkenen kunnen zich schriftelijk wenden tot de FG met een klacht die betrekking heeft op de verwerking van persoonsgegevens, met uitzondering van een datalek in de zin van de Procedure Datalekken. 
2. De FG informeert Betrokkene uiterlijk binnen 8 weken over zijn oordeel ten aanzien van de door hem afgehandelde klacht. 
3. De FG doet periodiek verslag van zijn bevindingen aan het bestuur. 

Artikel 14 Beveiliging en vertrouwelijkheid 
1. Er zijn de juiste en passende beveiligingsmaatregelen getroffen om de persoonsgegevens te beschermen tegen ongeoorloofde of onrechtmatige verwerking. 
2. Voorts zijn de maatregelen getroffen die waarborgen dat bij verlies of beschadiging van betrokkene gegevens vervanging of herstel kan plaatsvinden. 
3. Medewerkers voor wie niet reeds uit hoofde van ambt, beroep of wettelijk voorschrift een geheimhoudingsplicht geldt, zijn verplicht tot geheimhouding van de persoonsgegevens waarvan zij kennisnemen, tenzij zij op basis van een wettelijk voorschrift verplicht zijn tot of uit hun taak de noodzaak tot mededeling voortvloeit. 

Artikel 15 Slotbepaling 
1. Het pensioenfonds draagt te allen tijde zorg voor de naleving van de privacyregelgeving. 
2. Tenminste jaarlijks, of tussentijds indien zich een materiële wijziging in de AVG of de uitbesteding voordoet, wordt het privacy- en informatiebeveiligingsbeleid geëvalueerd. De uitkomsten van deze evaluatie kunnen aanleiding geven tot het aanpassen van het bestaande beleid en/of de processen en of dit privacyreglement. 

Artikel 16 Vaststelling 
Dit privacyreglement is vastgesteld op 14 april 2021 en vervangt het voordien geldende privacyreglement.