Voor PPF APG is de bescherming van persoonsgegevens ontzettend belangrijk. Wij respecteren uw privacy en zorgen er daarom voor dat wij uw persoonsgegevens altijd vertrouwelijk behandelen. Wij houden ons hierbij aan de privacywetgeving.
Om dit zo goed mogelijk te doen willen wij u daar ook duidelijk en transparant over te informeren. In deze privacyverklaring informeren wij u daarom over wat wij doen met uw persoonsgegevens.
PPF APG is een zelfstandig ondernemingspensioenfonds voor APG en enkele andere aangesloten werkgevers. We regelen de pensioenen voor alle werknemers van deze organisaties, én voor wie in het verleden bij deze werkgevers heeft gewerkt. Om dit te kunnen doen en daarmee onze taken en diensten goed uit te kunnen voeren, verwerken wij persoonsgegevens.
De persoonsgegevens die PPF APG verwerkt krijgen wij van uzelf of van anderen. Dit zijn gegevens van de volgende natuurlijke personen:
Wij ontvangen uw persoonsgegevens direct van u:
Ook ontvangen wij persoonsgegevens van u van anderen, bijvoorbeeld omdat dit nodig is voor de berekening van uw pensioen. Wij ontvangen persoonsgegevens dus ook van:
Daarnaast kunnen wij ook informatie uit openbare bronnen halen en vastleggen wanneer dit noodzakelijk is voor ons werk.
Tot slot komt het ook voor dat wij zelf nieuwe gegevens van u genereren. Hierbij kunt u denken aan iets simpels zoals uw pensioenaanspraken die wij zelf berekenen of uw klantnummer dat wij voor u genereren. Ook kan u hierbij denken aan analyses waarbij algoritmen gebruikt worden om bepaalde kenmerken te bepalen of voorspellen, bijvoorbeeld om de dienstverlening te personaliseren.
PPF APG kan onder andere de volgende persoonsgegevens van u verwerken:
PPF APG kan bijzondere persoonsgegevens van u verwerken. Deze gegevens zijn extra gevoelig. Het gaat hierbij voor PPF APG om:
Er zijn verschillende doelen waarvoor PPF APG uw persoonsgegevens kan verwerken. Het merendeel van deze doelen heeft echter te maken met het generieke doel om de pensioenadministratie uit te voeren. Daarvoor verzamelen, combineren en analyseren wij persoonsgegevens. Denk daarbij aan uw eigen pensioen, dat van uw partner of het pensioen van uw werknemers bijvoorbeeld.
De meer specifieke doelen waarvoor we persoonsgegevens kunnen verwerken zijn:
Profileren is het beoordelen van personen op basis van individuele kenmerken die de persoon wel of niet deelt met andere personen. Door dit te doen kan een persoon ingedeeld worden in een doelgroep bijvoorbeeld.
PPF APG gebruikt ‘profileren’ alleen:
PPF APG mag alleen uw persoonsgegevens gebruiken wanneer hier een grondslag voor is. Als fonds gebruiken wij alleen persoonsgegevens op basis van de volgende grondslagen:
De verwerking is noodzakelijk om te voldoen aan wettelijke verplichtingen waar PPF APG zich aan moet houden.
De verwerking is noodzakelijk voor het afsluiten en/of uitvoeren van een overeenkomst met u. Denk aan de pensioenovereenkomst of een overeenkomst tussen u als werkgever en PPF APG.
Verwerken wij uw persoonsgegevens op basis van toestemming, dan betekent dit dat u toestemming heeft gegeven voor verwerking van uw gegevens voor één of meer specifieke doelen. Uw toestemming kunt u op ieder moment ook weer intrekken. Hoe u dit doet staat verderop in deze privacyverklaring.
Het verwerken van uw persoonsgegevens is noodzakelijk om een 'gerechtvaardigd belang' van PPF APG of anderen te behartigen. Dit belang moet dan wel zwaarder wegen dan uw eigen belangen en uw fundamentele rechten waaronder uw recht op gegevensbescherming en privacy. Om te achterhalen of wij gebruik mogen maken van de grondslag 'gerechtvaardigd belang' voeren wij een belangenafweging uit.
Wij bewaren uw persoonsgegevens niet langer dan nodig is en alleen voor de doelen waarvoor wij uw gegevens verwerken. Hebben wij uw persoonsgegevens niet langer nodig, dan verwijderen of anonimiseren wij uw persoonsgegevens.
Om zo goed mogelijk om te gaan met het bewaren en tijdig verwijderen of anonimiseren van uw persoonsgegevens hebben wij een bewaartermijnen beleid.
Voor veel van onze verwerkingen zijn de bewaartermijnen wettelijk bepaald of voorgeschreven via richtlijnen van bijvoorbeeld de Pensioenfederatie. Zo zijn wij verplicht uw persoonsgegevens die nodig zijn voor het berekenen en uitkeren van uw aanspraken minimaal 7 jaar na het einde van uw relatie met ons te bewaren. Uw relatie eindigt met ons op het moment dat u overstapt naar een ander pensioenfonds bijvoorbeeld. Wij bewaren deze gegevens maximaal 55 jaar, op advies van de Pensioenfederatie. Daarbij zetten wij deze gegevens na de minimale termijn van 7 jaar in retentie. Dit betekent dat de gegevens in een afgesloten omgeving worden bewaard die beperkt toegankelijk is, zodat uw gegevens extra veilig zijn.
Ook kan het aan onszelf zijn om de termijn vast te stellen. Dit doen wij op basis van het doel waarvoor wij uw gegevens verwerken. Als u zich aanmeldt voor onze nieuwsbrief dan verwerken wij uw e-mailadres daarvoor bijvoorbeeld. Dit bewaren wij zo lang u aangemeld bent om de nieuwsbrief te kunnen versturen. Zodra u zich afmeldt bewaren wij uw e-mailadres nog maximaal 2 jaar.
PPF APG verkoopt uw persoonsgegevens nooit. Wel deelt PPF APG uw persoonsgegevens in enkele gevallen wanneer dit noodzakelijk is. In dit soort gevallen kunnen wij persoonsgegevens delen binnen Nederland, binnen de EER en heel soms ook daarbuiten. Het gaat om de volgende gevallen:
Zo is PPF APG bijvoorbeeld verplicht om in specifieke gevallen persoonsgegevens te delen met:
PPF APG besteedt bepaalde werkzaamheden waarbij persoonsgegevens gebruikt worden uit aan anderen. In die gevallen verwerkt deze andere instantie uw gegevens als verwerker alleen op de manieren en voor de doelen zoals PPF APG hen voorschrijft. Dit leggen we vast in verwerkersovereenkomsten. Denk hierbij aan:
U kunt PPF APG ook verzoeken om uw persoonsgegevens te delen met een ander. Een dergelijk verzoek kan bijvoorbeeld:
PPF APG zorgt ervoor dat uw persoonsgegevens zolang dit mogelijk is binnen Nederland en in ieder geval binnen de EER worden verwerkt. Zo kiest PPF APG voor lokale opslagplaatsen of cloudopslag waarvan de servers binnen Nederland of de EER staan.
Daarnaast kan het heel beperkt voorkomen dat persoonsgegevens verwerkt worden in landen buiten de EER doordat dit voor bepaalde ICT-systemen niet anders kan.
Dit gebeurt zo min mogelijk en alleen als PPF APG heeft vastgesteld dat de doorgifte past binnen de voorgeschreven wettelijke kaders en de veiligheid, vertrouwelijkheid en integriteit van de persoonsgegevens gewaarborgd kan worden.
Zo beoordeelt PPF APG of er bijvoorbeeld:
Wanneer PPF APG uw gegevens verwerkt kunnen alleen geautoriseerde medewerkers van PPF APG uw persoonsgegevens inzien. Hiervoor heeft PPF APG een autorisatiebeleid. Wanneer uw persoonsgegevens door een verwerker van PPF APG worden verwerkt dan kunnen ook alleen geautoriseerde medewerkers daarvan uw persoonsgegevens inzien. Dit is vastgelegd in de overeenkomst tussen PPF APG en de verwerker. Het is ook een verplichting voor de verwerker vanuit de AVG. Zo is dit ook bij APG, de grootste verwerker voor PPF APG ingericht. Ook APG heeft hiervoor een autorisatiebeleid.
Hierbij zorgen PPF APG en haar verwerkers ervoor dat alleen medewerkers die uw persoonsgegevens nodig hebben voor hun werk geautoriseerd zijn en toegang krijgen. Er wordt regelmatig gecontroleerd of de toegang bij die medewerker nog nodig is. Daarnaast hebben zowel de medewerkers van PPF APG als die van haar verwerkers een geheimhoudingsplicht.
PPF APG neemt zowel technische als organisatorische maatregelen om uw persoonsgegevens te beveiligen, zodat deze gegevens bijvoorbeeld niet verloren raken. Hiervoor hebben we een gegevensbeveiligingsbeleid.
Omdat het merendeel van de verwerkingen van uw persoonsgegevens door APG gebeurt als pensioenuitvoeringsorganisatie voor PPF APG, benoemen wij kort ook de situatie bij APG. APG neemt in opdracht van PPF APG en ook zelfstandig technische en organisatorische maatregelen om de bescherming en beveiliging van persoonsgegevens te borgen.
Voorbeelden van technische maatregelen die zowel PPF APG als APG inzetten zijn:
Voorbeelden van organisatorische maatregelen bij zowel PPF APG als APG zijn:
De beveiliging van uw persoonsgegevens wordt regelmatig getest en gecontroleerd op zwakheden, waarna deze als dat nodig is wordt versterkt. Dat doet PPF APG samen met andere specialisten in de pensioensector en met professionele externe partijen. Ook wordt ons beleid over veiligheid en hoe wij hiermee omgaan, regelmatig door onze toezichthouders getest.
Als PPF APG uw persoonsgegevens verwerkt, heeft u een aantal privacyrechten:
U kunt vragen welke persoonsgegevens wij van u gebruiken. Zo kunt u controleren of wij dat goed doen volgens de privacywet, de AVG.
Kloppen de persoonsgegevens die wij van u hebben niet of ontbreken er gegevens? Dan kunt u ons vragen om de gegevens te wijzigen of aan te vullen.
In sommige gevallen kunt u ons vragen om uw persoonsgegevens te verwijderen. Het gaat om de volgende gevallen:
U kunt ons vragen om tijdelijk te stoppen met het gebruik van uw persoonsgegevens. Bijvoorbeeld:
Wij stoppen dan met het gebruik van uw gegevens:
U kunt ons vragen om uw persoonsgegevens die wij verwerken op basis van uw toestemming of op basis van een overeenkomst over te dragen aan een andere organisatie. Dit geldt alleen voor digitale persoonsgegevens, die kunt u in een gestructureerde, gangbare en digitale vorm van ons ontvangen of direct laten doorsturen. Papieren dossiers vallen niet onder het recht op dataportabiliteit.
U kunt soms bezwaar maken tegen de verwerking van uw persoonsgegevens vanwege uw specifieke situatie. Het recht van bezwaar bij specifieke situaties geldt wanneer:
Ontvangt u een geautomatiseerd besluit van ons, dan kunt u ons vragen een nieuw besluit te nemen dat door een persoon is beoordeeld.
U heeft ook het recht om uw toestemming in te trekken. Gaf u ons eerder toestemming om uw persoonsgegevens te gebruiken, maar heeft u zich bedacht? Dan kunt u uw toestemming weer intrekken. Dit kunt u doen waar u uw toestemming gegeven heeft. Vanaf dat moment verwerken wij uw persoonsgegevens niet meer. Tenzij er (ook) een andere grondslag is om uw persoonsgegevens te verwerken.
Dien dan een verzoek in via ons contactformulier of stuur een brief naar ons postadres. Wij verwerken uw verzoek zo snel mogelijk en uiterlijk binnen een maand. Hierbij houden wij ons aan de wettelijke termijn.
Heeft u een klacht over de afhandeling door PPF APG van uw verzoek? Dan kunt u bij ons uw klacht indienen.
Bent u het dan nog steeds oneens met ons, dan heeft u het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.
Heeft u nog vragen of wilt u meer weten over de manier waarop wij met uw persoonsgegevens omgaan? Neem dan contact op met onze Functionaris Gegevensbescherming door een e-mail te sturen aan: functionarisgegevensbescherming@apg.nl.
De functionaris gegevensbescherming (FG) ziet erop toe dat PPF APG bij de verwerking van persoonsgegevens de privacy wet- en regelgeving naleeft. De FG kan dit goed doen omdat deze onafhankelijk is. Voor PPF APG wordt die functie vervuld door de Functionaris Gegevensbescherming van APG.
Ja, onze privacyverklaring kan wijzigen. Dit gebeurt af en toe, bijvoorbeeld wanneer er nieuwe gegevensverwerkingen zijn en deze wijzigingen voor u van belang zijn. De meest actuele versie van onze privacyverklaring vindt u altijd op deze pagina.
Onze privacyverklaring is voor het laatst opgemaakt op 31 december 2024.