Inloggen MijnPSO Contact Zoeken TNO logo Ga naar TNO site

Privacy policy

PSO-Nederland en TNO hechten veel waarde aan het waarborgen van privacy. Hoe wij dat doen, lees je op deze pagina. Dit beleid geldt zowel voor (de website van) PSO, als de MijnPSO applicatie.

Algemene verordening gegevensbescherming (AVG)

Met de Algemene verordening gegevensbescherming (AVG) geldt in de Europese Unie dezelfde privacywetgeving. Voor gebruikers van de PSO, de MijnPSO-omgeving en voor klanten van PSO-Nederland staan voor jouw privacy de volgende zaken centraal:

  • Bij het aanmaken van een MijnPSO-account moet de Accounthouder – dus de medewerker die de PSO-aanvraag indient- akkoord gaan met onze MijnPSO gebruikersvoorwaarden.
  • De Accounthouder van een MijnPSO-account moet (formeel) bevoegd zijn om namens de Aanvragende organisatie gegevens in MijnPSO in te voeren.
  • MijnPSO maakt gebruik van een verplichte extra beveiligingslaag: Two-Factor Authentication (2FA).
  • In opdracht van TNO is de Handreiking Privacy-compliance opgesteld om nadere informatie te geven over hoe je privacycompliant gebruikmaakt van de PSO-norm.
  • Daarnaast hebben we dit privacystatement opgesteld, waarin we toelichten uit hoe wij omgaan met jouw (persoons)gegevens.

MijnPSO als monitorings- en aanvraagomgeving rondom de PSO

MijnPSO is de zakelijk online meet- een aanvraagomgeving van de PSO, bedoeld voor organisaties die het PSO-keurmerk van TNO aanvragen: de zogenoemde Aanvragende organisaties. De aanvraag voor het PSO-keurmerk of het PSO 30+certificaat begint altijd met het aanmaken van een account in MijnPSO. Een medewerker (contactpersoon) maakt namens de Aanvragende organisatie een account aan om de gevraagde organisatiegegevens in te vullen, waaronder persoonsgegevens van de Accounthouder, zoals hieronder omschreven in vraag 3. Deze medewerker noemen we de Accounthouder.

De Accounthouder moet (formeel) bevoegd zijn om namens de Aanvragende organisatie gegevens in MijnPSO in te voeren. Het e-mailadres dat hij of zij gebruikt, moet bovendien direct herleidbaar zijn tot de Aanvragende organisatie. In MijnPSO doorloopt de Accounthouder zes stappen om een PSO-keurmerk aan te vragen. Daarvan zijn de eerste vijf stappen vrijblijvend. De Accounthouder vult geanonimiseerde (organisatie)gegevens in die nodig zijn om het PSO-prestatieniveau volgens de PSO-handleiding van TNO uit te rekenen en aan te vragen.

Privacy statement

Wij verwerken hoofdzakelijk gegevens van contactpersonen die werken bij partijen met wie wij samenwerken en van bezoekers van onze website MijnPSO.nl. Dit privacy statement is voor deze personen opgesteld. Wij kunnen ons statement van tijd tot tijd aanpassen en adviseren je daarom om dit statement regelmatig te raadplegen, zodat je van alle wijzigingen op de hoogte bent. De laatste update was op 9 maart 2025.

We gaan in op deze vragen:

1. Op wie is dit Privacy Statement van toepassing?
2. Wie is de verwerkingsverantwoordelijke voor de verwerking van jouw persoonsgegevens?
3. Welke persoonsgegevens verwerken wij?
4. Voor welke doeleinden gebruiken wij persoonsgegevens?
5. Wat is de grondslag voor de verwerking van persoonsgegevens?
6. Hoe komen wij aan persoonsgegevens?
7. Hoe lang bewaren wij persoonsgegevens?
8. Ontvangers van gegevens en doorgifte van persoonsgegevens naar derde landen
9. Hoe beveiligen wij persoonsgegevens?
10. Geautomatiseerde besluitvorming – waaronder profilering
11. Jouw rechten
12. Contact

1.     Op wie is dit Privacy Statement van toepassing?

Dit privacystatement is voor iedereen van wie PSO-Nederland persoonsgegevens verwerkt om zijn doelstelling te realiseren: het aanbieden van de PSO. PSO-Nederland verwerkt daarbij persoonsgegevens van de volgende betrokkenen:

  • Website bezoekers: Bezoekers en gebruikers van de website pso-nederland.nl
  • Applicatie gebruikers: Bezoekers en gebruikers van de applicatie MijnPSO
  • Contactpersonen: Personen die werkzaam zijn bij partijen met wie PSO-Nederland samenwerkt of van wie wij anderszins over contactgegevens beschikken. De Accounthouder wordt na het indienen van een definitieve PSO-aanvraag tevens contactpersoon namens de Aanvragende organisatie.

2.     Wie is de verwerkingsverantwoordelijke voor de verwerking van uw persoonsgegevens?

PSO-Nederland is de verwerkingsverantwoordelijke voor de verwerking van persoonsgegevens in de zin van het toepasselijke recht. Voor zover naast PSO-Nederland ook een andere partij verantwoordelijk is voor verwerking van uw persoonsgegevens in het kader van de PSO, zijn PSO en deze andere partij elk zelfstandig verwerkingsverantwoordelijken voor de verwerking van de persoonsgegevens waarvoor zij zelf de doeleinden en de middelen bepalen. Dit is bijvoorbeeld het geval wanneer een auditor persoonsgegevens van personen binnen een organisatie verwerkt, voor een audit die plaatsvindt in het kader van de PSO.

PSO-Nederland is niet verantwoordelijk voor het privacy- of cookiebeleid dat wordt gevoerd door andere partijen.

3.     Welke persoonsgegevens verwerkt PSO-Nederland?

Wij verwerken deze persoonsgegevens: (volledige) namen, functietitel, geslacht, (mobiel) zakelijk telefoonnummer, zakelijk e-mailadres. Zie ook ons cookiebeleid voor bezoeker aan onze websites: Cookie Policy.

4.     Voor welke doeleinden gebruiken wij persoonsgegevens?

In algemene zin verwerken wij persoonsgegevens voor de volgende doeleinden:

  • Het aanbieden en uitvoeren van onze diensten bij het nastreven van onze doeleinden, kort gezegd: het aanbieden van de PSO.
  • Het afnemen van de diensten van een organisatie;
  • Het onderhouden van contact met betrokkenen, waaronder voor direct marketing doeleinden;
  • Doorontwikkeling van de PSO, onderzoek en analyse;
  • Intern beheer en uitgifte van de PSO;
  • Het verbeteren van onze dienstverlening en het samenstellen van gebruikersstatistieken en andere analyses;
  • Onderhouden, beveiligen en optimaliseren van onze dienstverlening, waaronder het (doen) uitvoeren van controles/audits;
  • De afhandeling van vragen, klachten en geschillen;
  • Ter voldoening aan toepasselijke wet- en regelgeving.

5.     Wat is de grondslag voor de verwerking van persoonsgegevens?

Wij kunnen persoonsgegevens verwerken indien daar toestemming voor is gegeven, bijvoorbeeld wanneer een persoon zich als ‘Accounthouder’ namens de ‘Aanvragende organisatie’ aanmeldt voor een MijnPSO klantaccount, of indien iemand zich aanmeldt voor onze nieuwsbrief.

In dat geval kan op elk moment de toestemming ook weer worden ingetrokken, bijvoorbeeld via de contactgegevens die onderaan dit Privacy Statement staan. Wanneer kenbaar wordt gemaakt dat toestemming wordt ingetrokken, dragen wij er zorg voor dat wij zo snel mogelijk niet meer op basis van deze grondslag persoonsgegevens verwerken.

Dit laat onze eerdere verwerking op basis van deze grondslag onverlet. Ook kunnen wij persoonsgegevens verwerken omdat wij daartoe een wettelijke verplichting hebben of omdat wij daarvoor gerechtvaardigde belangen hebben. In alle gevallen controleren wij steeds zorgvuldig of privacybelang niet zwaarder weegt. Onze gerechtvaardigde belangen vallen deels samen met de doeleinden zoals uiteengezet onder het kopje “Voor welke doeleinden gebruiken wij uw persoonsgegevens?” hierboven.

6.     Hoe komen wij aan persoonsgegevens?

Website- en applicatiebezoekers

Wij verwerken persoonsgegevens die wij van bezoekers verkrijgen, bijvoorbeeld wanneer via www.mijnpso.nl een MijnPSO account aanmaakt namens de ‘Aanvragende organisatie’ of wanneer de MijnPSO klantomgeving wordt invult namens de ‘Aanvragende organisatie’.

Daarnaast verkrijgen wij persoonsgegevens via cookies en vergelijkbare technieken die via onze website www.pso-nederland.nl worden gebruikt. Zie daarover verder onze Cookie Policy.

Contactpersonen

Wij verwerken persoonsgegevens die wij van betrokkenen verkrijgen, bijvoorbeeld wanneer wij een overeenkomst sluiten met een ‘Aanvragende organisatie’, zoals het geval is bij het sluiten van de Deelnameovereenkomst voor de aanvraag van een PSO certificering, en wij in dat kader contact met een of meerdere personen hebben.

Daarnaast kunnen wij persoonsgegevens hebben verkregen contactpersonen van de organisatie waarmee wij samenwerken.

7.     Hoe lang bewaren wij uw persoonsgegevens?

Wij bewaren uw persoonsgegevens niet langer dan noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt.

In principe bewaren wij uw gegevens niet langer dan hieronder is aangegeven, tenzij wij in verband met wettelijke verplichtingen uw persoonsgegevens langer moeten bewaren. Ook kunnen wij uw persoonsgegevens langer bewaren voor zover dit noodzakelijk is voor de vaststelling, uitoefening of onderbouwing van een rechtsvordering.

Bewaartermijn gebruikers en bezoekers MijnPSO

We verwijderen het MijnPSO-klantaccount na twee jaar inactiviteit uit de MijnPSO-klantomgeving. Het account is daarna niet meer toegankelijk voor de Accounthouder. Vijf jaar na deze verwijdering verwijderen we ook de gegevens die Accounthouder heeft ingevuld.

Bewaartermijn contactpersonen

De gegevens, waaronder die uit vraag 3, bewaren we niet langer dan nodig is voor het doel dat in vraag 4 hiervoor staat. Daarnaast wordt er bij het aanmaken van een MijnPSO account expliciet om toestemming gevraagd aan de Accounthouder om akkoord te gaan met het volgende: De ingevulde (organisatie)gegevens worden in het kader van de PSO-doorontwikkeling en het Onderzoek/project: ‘Longitudinaal PSO Databestand’ nog bewaard voor archiveringsdoeleinden en om de resultaten van het onderzoek/project.

De (organisatie)gegevens worden nadat het onderzoek/ project is afgerond nog bewaard voor archiveringsdoeleinden en om de resultaten van het onderzoek/ project op later moment te kunnen staven. Het longitudinale databestand wordt na einde van het onderzoek in lijn met de TNO selectielijst voor 10 jaar bewaard. De Accounthouder geeft hier expliciet toestemming voor.

8.     Ontvangers van uw gegevens en doorgifte van persoonsgegevens naar derde landen

Wij kunnen externe dienstverleners inschakelen die voor ons als verwerker in de zin van het toepasselijke recht diensten verrichten in het kader waarvan persoonsgegevens worden verwerkt. Zo hebben wij bijvoorbeeld dienstverleners ingeschakeld voor onze website en voor het datamanagementsysteem waarin wij persoonsgegevens opslaan.

Dienstverleners mogen persoonsgegevens uitsluitend verwerken in onze opdracht en volgens onze instructies. Met elke dienstverlener sluiten wij daartoe een verwerkersovereenkomst. Persoonsgegevens zijn alleen op een need to know basis toegankelijk voor daartoe geautoriseerde personen bij PSO-Nederland, onze dienstverleners of dienstverleners van onze dienstverleners, die betrokken zijn bij de verwerking van persoonsgegevens.

Buiten de in dit Privacy Statement genoemde situaties, zullen wij persoonsgegevens niet aan anderen bekendmaken, tenzij wij dat nodig achten om te voldoen aan onze wettelijke verplichtingen, om onze of andermans rechten te beschermen of om de nakoming af te dwingen van dit Privacy Statement of ons Cookie Policy.

Onze dienstverleners kunnen gevestigd zijn in landen buiten de Europese Economische Ruimte. De wetgeving in dergelijke landen biedt niet altijd een gelijk niveau van gegevensbescherming in vergelijking tot Nederland. Wij hebben daarom gepaste (contractuele) maatregelen genomen c.q. laten nemen zodat voldaan wordt aan de ter zake geldende wettelijke eisen.

9.     Hoe beveiligen wij persoonsgegevens?

Wij doen ons uiterste best om passende technische en organisatorische beveiligingsmaatregelen te nemen ter bescherming tegen verlies, misbruik en wijziging van persoonsgegevens die onder onze zeggenschap vallen.

Er wordt door PSO-Nederland gebruik gemaakt van extra beveiligingsmaatregelen die datagebruik, verwerking en opslag van data ondersteunen. Een voorbeeld hiervan is een verplichte extra beveiligingslaag bij het gebruik van MijnPSO: Two-Factor Authentication.

Hoewel wij alle redelijkerwijs vereiste zorg betrachten voor een veilige gegevensverwerking, kunnen wij niet garanderen dat de gegevensverwerking steeds veilig is. Wij aanvaarden geen aansprakelijkheid voor door u of derden geleden schade als gevolg van ongeautoriseerde toegang tot uw (persoons)gegevens, tenzij deze schade is veroorzaakt door opzet of grove schuld aan onze zijde. Bij het vermoeden dat er onbevoegd door anderen gebruik is gemaakt van persoonsgegevens die wij verwerken, verzoeken wij dat eventuele betrokkenen ons hierover onmiddellijk informeren.

10.     Geautomatiseerde besluitvorming – waaronder profilering

In het kader van de PSO past PSO-Nederland geen geautomatiseerde besluitvorming toe, waaronder profilering.

11.     Rechten

Betrokkenen hebben diverse privacyrechten. Dit zijn het; recht van inzage, recht op rectificatie, recht op gegevenswissing (right to be forgotten), recht op beperking van de verwerking, recht op overdraagbaarheid van de gegevens, en recht van bezwaar.

Daarnaast hebben betrokkenen het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Voor meer informatie over de rechten die kunnen worden uitgeoefend op basis van de privacyregelgeving, verwijzen we graag naar de website van de Autoriteit Persoonsgegevens, voor onder andere een overzicht van uw rechten onder de Algemene Verordening Gegevensbescherming.

12.     Contact

Bij vragen over de manier waarop wij omgaan met persoonsgegevens, kun je contact met ons opnemen.