Privacy

Algemene Verordening Gegevensbescherming (AVG) / Privacywetgeving

Per 25 mei 2018 is de Algemene Verordening Gegevensbescherming (AVG) van toepassing. Dat betekent dat er vanaf die datum dezelfde privacywetgeving geldt in de hele Europese Unie (EU). De Wet bescherming persoonsgegevens (Wbp) geldt dan niet meer. Lees hier meer over de AVG.

PSO-Nederland en TNO hechten veel waarde aan het borgen van uw Privacy in relatie tot de PSO. Voor gebruikers van de PSO, de MijnPSO omgeving en voor klanten van PSO-Nederland staan daarbij de volgende zaken centraal:

  1. Bij het aanmaken van een MijnPSO account dient u als gebruiker akkoord te gaan met (het lezen van) onze gebruikersvoorwaarden
    Hierbij is het van belang dat de accounthouder van een MijnPSO account  (formeel) bevoegd is om namens de 'Aanvragende organisatie' gegevens in MijnPSO in te voeren.
  2. MijnPSO maakt gebruik van een verplichte extra beveiligingslaag: 'Two-Factor Authentication' .
  3. Daarnaast is er een Handreiking Privacy compliance tot stand gekomen om nadere informatie te geven over hoe u privacy compliant gebruik kunt maken van de PSO. Hier treft u de PSO TNO Handreiking privacy compliance 2018 aan voor PSO-klanten en gebruikers van MijnPSO. Deze handreiking is in opdracht van TNO en PSO-Nederland opgesteld door Van Doorne advocaten te Amsterdam, de specialisten in dit werkveld. 
  4. Daarnaast is er een Privacystatement opgesteld. In ons Privacystatement leggen wij uit hoe wij omgaan met uw (persoons)gegevens. Onderstaand leest u ons Privacystatement. 

PSO Privacy Statement PSO-Nederland

De Prestatieladder Socialer Ondernemen (PSO) is een wetenschappelijk onderbouwd kwaliteitskeurmerk van de Nederlandse Organisatie voor toegepast-natuurwetenschappelijk onderzoek (TNO). TNO is de houder/ eigenaar van de PSO en verantwoordelijk voor de inhoudelijke doorontwikkeling van de PSO en aanpalende systematieken. PSO-Nederland B.V. is de (uitvoerende) beheerorganisatie van de PSO. PSO-Nederland is verantwoordelijk voor het beheer, de uitgifte en de positionering van de PSO. Onder het beheer valt het volledige proces van aanvraag via MijnPSO tot en met de uitgifte van PSO-certificaten, inclusief het communicatieproces, het auditproces, de harmonisatie van de auditoren en het adviseursproces. Hier leest u meer over de organisaties en toezicht rondom de PSO. 

MijnPSO als monitorings- en aanvraagomgeving rondom de PSO

De MijnPSO omgeving is de zakelijk online meet- een aanvraagomgeving van de PSO, bedoeld voor een zogenoemde 'Aanvragende organisatie'. Om het PSO-keurmerk en/ of het PSO 30+ certificaat aan te vragen start een 'Aanvragende organisatie' altijd met het aanmaken van een account in MijnPSO. Een medewerker maakt namens de 'Aanvragende organisatie' een account aan om de benodigde (organisatie)gegevens in te vullen waarvan de persoonsgegevens zoals omschreven in 'vraag 3' onderdeel uitmaken. Deze medewerker wordt ook wel de 'Accounthouder' genoemd. Hierbij is het van belang dat de accounthouder van een MijnPSO account (formeel) bevoegd is om namens de 'Aanvragende organisatie' gegevens in MijnPSO in te voeren. Het is enkel mogelijk om een PSO-aanvraag in te dienen met een zakelijk e-mailadres dat direct te herleiden is naar de 'Aanvragende organisatie'. In deze online omgeving volgt de 'Accounthouder' de zes online stappen om te komen tot een aanvraag voor het PSO-keurmerk namens de 'Aanvragende organisatie'. De eerste vijf online stappen zijn geheel vrijblijvend en kunnen gebruikt worden om het voorlopige PSO-prestatieniveau van de 'Aanvragende organisatie' o.b.v. eigen invoer te bepalen en te monitoren. Iedere 'Aanvragende organisatie' kan zichzelf vrijblijvend langs de PSO meetlat leggen, maar voor een daadwerkelijke PSO-certificering vormen de (ingevulde) gegevens in MijnPSO het formele kader voor de audit (toetsing).

Privacy

PSO-Nederland hecht waarde aan het waarborgen van uw privacy. In dit Privacy Statement leggen wij uit hoe wij omgaan met uw (persoons)gegevens. In het kader van onze werkzaamheden verwerken wij hoofdzakelijk persoonsgegevens van contactpersonen die werkzaam zijn bij partijen met wie wij samenwerken en van bezoekers van onze website MijnPSO.nl. Daarom richten wij ons met dit Privacy Statement op deze groepen betrokkenen. Wij kunnen dit Privacy Statement van tijd tot tijd aanpassen. Wij adviseren u daarom om dit regelmatig te raadplegen, zodat u van alle wijzigingen op de hoogte bent. Laatste update van dit Privacy Statement van PSO-Nederland: 2 maart 2021. 

1. Op wie is dit Privacy Statement van toepassing?
2. Wie is de verwerkingsverantwoordelijke voor de verwerking van uw persoonsgegevens?
3. Welke persoonsgegevens verwerkt PSO-Nederland van u?
4. Voor welke doeleinden gebruiken wij uw persoonsgegevens?
5. Wat is de grondslag voor de verwerking van uw persoonsgegevens?
6. Hoe komen wij aan uw persoonsgegevens?
7. Hoe lang bewaren wij uw persoonsgegevens?
8. Ontvangers van uw gegevens en doorgifte van persoonsgegevens naar derde landen
9. Hoe beveiligen wij uw persoonsgegevens?
10. Geautomatiseerde besluitvorming - waaronder profilering
11. Rechten die u heeft
12. Contact                                                                                                                                        

 

1.     Op wie is dit Privacy Statement van toepassing?

Dit Privacy Statement richt zich tot personen van wie PSO-Nederland persoonsgegevens verwerkt in het kader van haar doelstellingen, kort gezegd het aanbieden van de PSO. PSO-Nederland verwerkt daarbij persoonsgegevens van de volgende groepen betrokkenen:

  1. Websitebezoekers: Bezoekers en gebruikers, van de websites www.MijnPSO.nl en www.pso-nederland.nl van PSO-Nederland. De (zakelijke) gebruiker van MijnPSO worden ook wel 'Accounthouder' genoemd;
  2. Contactpersonen: Personen die werkzaam zijn bij partijen met wie PSO-Nederland samenwerkt of van wie wij anderszins over de contactgegevens beschikken.

 

2.     Wie is de verwerkingsverantwoordelijke voor de verwerking van uw persoonsgegevens?

PSO-Nederland is de verwerkingsverantwoordelijke voor de verwerking van uw persoonsgegevens in de zin van het toepasselijke recht. Voor zover naast PSO-Nederland ook een andere partij verantwoordelijk is voor verwerking van uw persoonsgegevens in het kader van de PSO, zijn PSO en deze andere partij elk zelfstandig verwerkingsverantwoordelijken voor de verwerking van de persoonsgegevens waarvoor zij zelf de doeleinden en de middelen bepalen. Dit is bijvoorbeeld het geval wanneer een auditor persoonsgegevens van personen binnen uw organisatie verwerkt, voor een audit die plaatsvindt in het kader van de PSO. PSO-Nederland is niet verantwoordelijk voor het privacy- of cookiebeleid dat wordt gevoerd door andere partijen.

 

3.     Welke persoonsgegevens verwerkt PSO-Nederland van u?

Hieronder staat per categorie personen/ betrokkenen over wie wij persoonsgegevens verwerken, aangegeven wat voor soort persoonsgegevens het betreft:

  1. Websitebezoekers van www.mijnpso.nl en www.pso-nederland.nl: (Volledige) namen, titels, functietitel, geslacht,  (Mobiel) telefoonnummer, e-mailadres, werkadres, faxnummer (allemaal zakelijk). Zie verder ook onze Cookie Policy
  2. Contactpersonen: (Volledige) namen, titels, functietitel, geslacht, (mobiel) telefoonnummer, e-mailadres, werkadres, faxnummer (allemaal zakelijk).

 

4.     Voor welke doeleinden gebruiken wij uw persoonsgegevens?

 In algemene zin verwerken wij persoonsgegevens voor de volgende doeleinden:

  • Het aanbieden en uitvoeren van onze diensten bij het nastreven van onze doeleinden, kort gezegd: het aanbieden van de PSO. 
  • Het afnemen van de diensten van u/ uw organisatie;
  • Het onderhouden van contact met u, waaronder voor direct marketing doeleinden;
  • Doorontwikkeling van de PSO, onderzoek en analyse;
  • Intern beheer;
  • Het verbeteren van onze dienstverlening en het samenstellen van gebruikersstatistieken en andere analyses;
  • Onderhouden, beveiligen en optimaliseren van onze dienstverlening, waaronder het (doen) uitvoeren van controles/audits;
  • De afhandeling van vragen, klachten en geschillen en;
  • Ter voldoening aan toepasselijke wet- en regelgeving.

 

5.     Wat is de grondslag voor de verwerking van uw persoonsgegevens?

Wij kunnen persoonsgegevens van u verwerken indien u daar zelf toestemming voor heeft gegeven, bijvoorbeeld wanneer u zich als 'Accounthouder' namens de 'Aanvragende organisatie' aanmeldt voor een MijnPSO klantaccount of indien u zich aanmeldt voor onze nieuwsbrief. In dat geval kunt u op elk moment uw toestemming ook weer intrekken, bijvoorbeeld via de contactgegevens die onderaan dit Privacy Statement staan. Wanneer u kenbaar maakt uw toestemming in te trekken, dragen wij er zorg voor dat wij zo snel mogelijk niet meer op basis van deze grondslag persoonsgegevens over u verwerken. Dit laat onze eerdere verwerking op basis van deze grondslag onverlet. Ook kunnen wij persoonsgegevens verwerken omdat wij daartoe een wettelijke verplichting hebben of omdat wij daarvoor gerechtvaardigde belangen hebben. In alle gevallen controleren wij steeds zorgvuldig of uw privacybelang niet zwaarder weegt. Onze gerechtvaardigde belangen vallen deels samen met de doeleinden zoals uiteengezet onder het kopje "Voor welke doeleinden gebruiken wij uw persoonsgegevens?" hierboven.

 

6.     Hoe komen wij aan uw persoonsgegevens? 

  1. Websitebezoekers. Wij verwerken persoonsgegevens die wij van uzelf verkrijgen, bijvoorbeeld wanneer u via www.mijnpso.nl een MijnPSO account aanmaakt namens de 'Aanvragende organisatie' waarbij u werkt en wanneer u de MijnPSO klantomgeving invult namens de 'Aanvragende organisatie'. Daarnaast verkrijgen wij persoonsgegevens van u via cookies en vergelijkbare technieken die via onze website www.pso-nederland.nl worden gebruikt. Zie daarover verder onze Cookie Policy.
  2. Contactpersonen. Wij verwerken persoonsgegevens die wij van uzelf verkrijgen, bijvoorbeeld wanneer wij een overeenkomst sluiten met de 'Aanvragende organisatie' waarbij u werkzaam bent, zoals het geval is bij het sluiten van de Deelnameovereenkomst voor de aanvraag van een PSO certificering, en wij in dat kader contact met u hebben. Daarnaast kunnen wij persoonsgegevens hebben verkregen van de organisatie waarmee wij samenwerken, en waarvan u onze contactpersoon bent.   

 

7.     Hoe lang bewaren wij uw persoonsgegevens?

Wij bewaren uw persoonsgegevens niet langer dan noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. In principe bewaren wij uw gegevens niet langer dan hieronder is aangegeven, tenzij wij in verband met wettelijke verplichtingen uw persoonsgegevens langer moeten bewaren. Ook kunnen wij uw persoonsgegevens langer bewaren voor zover dit noodzakelijk is voor de vaststelling, uitoefening of onderbouwing van een rechtsvordering.

 

Categorie personen/ betrokkenen: Websitebezoekers (subcategorieën A.1, A.2 en A.3)

  • Subcategorie A.1: Het aanmaken van een MijnPSO klantaccount is de eerste stap om de prestaties t.a.v. de PSO van de 'Aanvragende organisatie' te meten en om deze te monitoren. Het aanmaken van een MijnPSO klantaccount dient door een daartoe bevoegde medewerker van de 'Aanvragende organisatie' te gebeuren. Via dit MijnPSO klant account is het ook mogelijk om een PSO-keurmerk aan te vragen namens de 'Aanvragende organisatie'.  In het kader van de 'categorie personen/ betrokkenen' wordt de 'Accounthouder' ingeschaald in de categorie: 'Websitebezoekers' zolang er nog geen sprake is van een actieve PSO-certificering.
  • Type gegevens: De door de 'Accounthouder' in te vullen (organisatie)gegevens in MijnPSO. De persoonsgegevens  zoals omschreven in 'vraag 3' maken hier onderdeel van uit.
  • Bewaartermijn: Het MijnPSO klantaccount wordt na twee jaar inactiviteit verwijderd uit de MijnPSO Klantomgeving en is daarmee niet meer toegankelijk voor de 'Accounthouder'. Vijf jaar na deze verwijdering worden de, door de 'Accounthouder' ingevulde gegevens niet meer bewaard.  

 

  • Subcategorie A.2: Het aanvragen van een offerte voor het uitvoeren van de PSO-audit door een Certificerende instellingen via MijnPSO. In het kader van de 'categorie personen/ betrokkenen' wordt de 'Accounthouder' (nog steeds) ingeschaald in de categorie: 'Websitebezoekers' zolang er nog geen sprake is van een actieve PSO-certificering. De in deze categorie omschreven benodigde (en daarmee beperkte) gegevens worden na expliciet akkoord en op  aanvraag van de 'Accounthouder', verstrekt richting de (door de Accounthouder) gekozen Certificerende instelling(en) voor het kunnen opmaken van de offerte voor het kunnen uitvoeren van een PSO-audit.
  • Type gegevens: Een selectie van de door de 'Accounthouder' ingevulde (organisatie)gegevens in MijnPSO worden verstuurd richting de, door de Accounthouder gekozen, Certificerende instelling(en). De persoonsgegevens zoals omschreven in 'vraag 3' maken onderdeel uit van deze (benodigde) gegevens voor het kunnen opstellen en uitbrengen van een offerte t.b.v. de PSo-audit.
  • Bewaartermijn: Het MijnPSO klantaccount wordt na twee jaar inactiviteit verwijderd uit de MijnPSO Klantomgeving en de ingevulde gegevens in de offerte status zijn daarmee niet meer bewerkelijk voor de 'Accounthouder' tenzij de 'Accounthouder' aangeeft dat de offerte geen doorgang krijgt. De 'Accounthouder' kan dan het verzoek indienen om de MijnPSO klantaccount weer terug te zetten richting Subcategorie A.1. In dat geval geldt de bewaartermijn van Subcategorie 1.A weer.

 

 

Categorie personen/ betrokkenen: Contactpersonen (subcategorie B.1)

  • Subcategorie B.1 : Voor het aanvragen van de PSO erkenning voor de 'Aanvragende organisatie' via MijnPSO door de 'Accounthouder', sluit de 'Accounthouder' namens de 'Aanvragende organisatie' een Deelnameovereenkomst met PSO-Nederland (via stap 6 van MijnPSO). In het kader  van de 'categorie personen/ betrokkenen' wordt de 'Accounthouder' vanaf dit moment ingeschaald in de categorie: 'Contactpersonen'. De in deze categorie omschreven (benodigde) gegevens worden, na expliciet akkoord en op aanvraag van de 'Accounthouder', verstrekt richting de Certificerende instelling waarmee de 'Aanvragende organisatie' reeds een Overeenkomst heeft gesloten voor het mogen uitvoeren van de PSO-audit. Alle, door de 'Accounthouder' ingevoerde, gegevens in MijnPSO zijn noodzakelijk voor het kunnen uitvoeren van de PSO-audit.
  • Type gegevens: Alle van de door de 'Accounthouder' ingevulde (organisatie)gegevens in MijnPSO. De persoonsgegevens  zoals omschreven in 'vraag 3'  maken hier onderdeel van uit. De verwerking en controle van de (organisatie)gegevens door de auditor gebeurt binnen de MIJNPSO auditor omgeving. Na toekenning van het PSO-certificaat wordt de (actieve) PSO-gecertificeerde organisatie op de websites van PSO-Nederland vermeld als PSO-gecertificeerde organisatie. Gegevens die vermeld worden op website van www.pso-nederland en www.MijnPSO.nl na/ bij een PSO-Certificering betreffen de hiervoor bedoelde openbare contactgegevens mogen worden vermeld op de online markplaats van PSO-gecertificeerde organisaties van PSO-Nederland. Dit zijn bijvoorbeeld de volgende gegevens: het info@ e-mailadres, de organisatienaam en het behaalde PSO-prestatieniveau, 
  • Bewaartermijn: Het MijnPSO klantaccount wordt na het indienen van een definitieve PSO-aanvraag op niet-actief gezet in de MijnPSO Klantomgeving en wordt bij geen verdere activiteit, uiterlijk binnen 1 jaar verwijderd uit de MijnPSO omgeving. Zodra er sprake is van een definitieve PSO-aanvraag en of toekenning van het PSO-certificaat, worden de gegevens overgezet richting ons klantvolgsysteem en ontvangt de 'Accounthouder' een kopie van de door hem/ haar ingevulde organisatiegegevens via het e-mailadres dat gekoppeld is aan dit MijnPSO account. De (organisatie)gegevens, waar de persoonsgegevens zoals omschreven in 'vraag 3' onderdeel van uitmaken,  worden niet langer bewaard dan noodzakelijk voor het uitoefenen van onze doeleinden zoals benoemde in 'vraag 4'. Deze (organisatie)gegevens worden in het kader van de PSO-doorontwikkeling en het Onderzoek/ project: ‘Longitudinaal PSO Databestand’ nog bewaard voor archiveringsdoeleinden en om de resultaten van het onderzoek/ project.  De (organisatie)gegevens worden nadat het onderzoek/ project is afgerond nog bewaard voor archiveringsdoeleinden en om de resultaten van het onderzoek/ project op later moment te kunnen staven. Het longitudinale databestand wordt na einde van het onderzoek in lijn met de TNO selectielijst voor 10 jaar bewaard. 

 

8.     Ontvangers van uw gegevens en doorgifte van persoonsgegevens naar derde landen

Wij kunnen externe dienstverleners inschakelen die voor ons als verwerker in de zin van het toepasselijke recht diensten verrichten in het kader waarvan uw persoonsgegevens worden verwerkt. Zo hebben wij bijvoorbeeld dienstverleners ingeschakeld voor onze website en voor het datamanagementsysteem waarin wij uw persoonsgegevens opslaan. Dienstverleners mogen uw persoonsgegevens uitsluitend verwerken in onze opdracht en volgens onze instructies. Met elke dienstverlener sluiten wij daartoe een verwerkersovereenkomst. Uw persoonsgegevens zijn alleen op een "need  to know" basis toegankelijk voor daartoe geautoriseerde personen bij PSO-Nederland, onze dienstverleners of dienstverleners van onze dienstverleners, die betrokken zijn bij de verwerking van uw persoonsgegevens. Buiten de in dit Privacy Statement genoemde situaties, zullen wij uw persoonsgegevens niet aan anderen bekendmaken, tenzij wij dat nodig achten om te voldoen aan onze wettelijke verplichtingen, om onze of andermans rechten te beschermen of om de nakoming af te dwingen van dit Privacy Statement of ons Cookie Policy. Onze dienstverleners kunnen gevestigd zijn in landen buiten de Europese Economische Ruimte. De wetgeving in dergelijke landen biedt niet altijd een gelijk niveau van gegevensbescherming in vergelijking tot Nederland. Wij hebben daarom gepaste (contractuele) maatregelen genomen c.q. laten nemen zodat voldaan wordt aan de ter zake geldende wettelijke eisen.

 

9.     Hoe beveiligen wij uw persoonsgegevens?

Wij doen ons uiterste best om passende technische en organisatorische beveiligingsmaatregelen te nemen ter bescherming tegen verlies, misbruik en wijziging van uw persoonsgegevens die onder onze zeggenschap vallen. Zo wordt er door PSO-Nederland gebruik gemaakt van extra beveiligingsmaatregelen die datagebruik, verwerking en opslag van data ondersteunen. Een voorbeeld hiervan is een verplichte extra beveiligingslaag bij het gebruik van MijnPSO: 'Two-Factor Authentication'.  Hoewel wij alle redelijkerwijs vereiste zorg betrachten voor een veilige gegevensverwerking, kunnen wij niet garanderen dat de gegevensverwerking steeds veilig is. Wij aanvaarden geen aansprakelijkheid voor door u of derden geleden schade als gevolg van ongeautoriseerde toegang tot uw (persoons)gegevens, tenzij deze schade is veroorzaakt door opzet of grove schuld aan onze zijde. Als u vermoedt dat onbevoegd door anderen gebruik is gemaakt van persoonsgegevens die wij over u verwerken, verzoeken wij u ons hierover onmiddellijk per e-mail te informeren.

 

10.     Geautomatiseerde besluitvorming - waaronder profilering

 In het kader van de PSO past PSO-Nederland geen geautomatiseerde besluitvorming toe, waaronder profilering.

 

11.     Rechten die u heeft

 U heeft diverse privacyrechten. Dit zijn het: recht van inzage, recht op rectificatie, recht op gegevenswissing (“right to be forgotten”), recht op beperking van de verwerking, recht op overdraagbaarheid van de gegevens, en recht van bezwaar. Daarnaast heeft u het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Voor meer informatie over de rechten die u kunt uitoefenen op basis van de privacyregelgeving verwijzen we u graag naar de website van de Autoriteit Persoonsgegevens. Zie deze webpagina voor een overzicht van uw rechten onder de Algemene Verordening Gegevensbescherming.

12.     Contact

Indien u vragen heeft over de manier waarop wij omgaan met uw persoonsgegevens, kunt u contact met ons opnemen via info@pso-nederland.nl. Ook kunt hiervoor contact opnemen met onze functionaris gegevensbescherming (FG), Marian Knuijsting, via dit emailadres: marian@pso-nederland.nl 


Direct naar: