Privacy

PSO-Nederland en TNO hechten veel waarde aan het waarborgen van privacy. Hoe wij dat doen, leest u in dit onderdeel.

Algemene verordening gegevensbescherming (AVG) 

Met de Algemene verordening gegevensbescherming (AVG) geldt in de Europese Unie dezelfde privacywetgeving. Voor gebruikers van de PSO, de MijnPSO-omgeving en voor klanten van PSO-Nederland staan voor uw privacy de volgende zaken centraal:

  1. Bij het aanmaken van een MijnPSO-account moet de Accounthouder – dus de medewerker die de PSO-aanvraag indient- akkoord gaan met onze gebruikersvoorwaarden
  2. De Accounthouder van een MijnPSO-account moet (formeel) bevoegd zijn om namens de Aanvragende organisatie gegevens in MijnPSO in te voeren.
  3. MijnPSO maakt gebruik van een verplichte extra beveiligingslaag: 'Two-Factor Authentication' .
  4. In opdracht van TNO is de Handreiking Privacy-compliance opgesteld om nadere informatie te geven over hoe u privacycompliant gebruikmaakt van de PSO-norm.
  5. Daarnaast hebben we een privacystatement opgesteld, waarin we toelichten uit hoe wij omgaan met uw (persoons)gegevens. Daarover leest u hierna meer.

MijnPSO als monitorings- en aanvraagomgeving rondom de PSO

MijnPSO is de zakelijk online meet- een aanvraagomgeving van de PSO, bedoeld voor  organisaties die het PSO-keurmerk van TNO aanvragen, de zogenoemde Aanvragende organisaties. De aanvraag voor het PSO-keurmerk of het PSO 30+certificaat begint altijd met het aanmaken van een account in MijnPSO. Een medewerker (contactpersoon) maakt namens de Aanvragende organisatie een account aan om de gevraagde organisatiegegevens in te vullen, waaronder persoonsgegevens van de Accounthouder zoals hieronder omschreven in vraag 3. Deze medewerker noemen we de Accounthouder.

De Accounthouder moet (formeel) bevoegd zijn om namens de Aanvragende organisatie gegevens in MijnPSO in te voeren. Het e-mailadres dat hij of zij gebruikt, moet bovendien direct herleidbaar zijn tot de Aanvragende organisatie. In MijnPSO doorloopt de Accounthouder zes stappen om een PSO-keurmerk aan te vragen. Daarvan zijn de eerste vijf stappen vrijblijvend. De Accounthouder vult geanonimiseerde (organisatie)gegevens in die nodig zijn om het PSO-prestatieniveau volgens de PSO-handleiding van TNO uit te rekenen en aan te vragen.

Privacystatement

Hier lichten wij toe hoe wij omgaan met uw (persoons)gegevens. Wij verwerken hoofdzakelijk gegevens van contactpersonen die werken bij partijen met wie wij samenwerken en van bezoekers van onze website MijnPSO.nl. Daarop richten wij ons daarom met ons privacystatement. Wij kunnen ons privacystatement van tijd tot tijd aanpassen. Wij adviseren u daarom om dit statement regelmatig te raadplegen, zodat u van alle wijzigingen op de hoogte bent; de laatste update was op 22 februari 2022.

We gaan in op deze vragen:

1. Op wie is dit Privacy Statement van toepassing?
2. Wie is de verwerkingsverantwoordelijke voor de verwerking van uw persoonsgegevens?
3. Welke persoonsgegevens verwerken wij van u?
4. Voor welke doeleinden gebruiken wij uw persoonsgegevens?
5. Wat is de grondslag voor de verwerking van uw persoonsgegevens?
6. Hoe komen wij aan uw persoonsgegevens?
7. Hoe lang bewaren wij uw persoonsgegevens?
8. Ontvangers van uw gegevens en doorgifte van persoonsgegevens naar derde landen
9. Hoe beveiligen wij uw persoonsgegevens?
10. Geautomatiseerde besluitvorming - waaronder profilering
11. Rechten die u heeft
12. Contact                                                                                                                                        

 

1.     Op wie is dit Privacy Statement van toepassing?

Dit privacystatement is voor iedereen van wie PSO-Nederland persoonsgegevens verwerkt om zijn doelstelling te realiseren: het aanbieden van de PSO. PSO-Nederland verwerkt daarbij persoonsgegevens van de volgende betrokkenen:

  1. Websitebezoekers: Bezoekers en gebruikers van de websites MijnPSO.nl en pso-nederland.nl van PSO-Nederland. 
  2. Contactpersonen: Personen die werkzaam zijn bij partijen met wie PSO-Nederland samenwerkt of van wie wij anderszins over contactgegevens beschikken. De Accounthouder wordt na het indienen van een definitieve PSO-aanvraag tevens contactpersoon namens de Aanvragende organisatie.

 

2.     Wie is de verwerkingsverantwoordelijke voor de verwerking van uw persoonsgegevens?

PSO-Nederland is de verwerkingsverantwoordelijke voor de verwerking van uw persoonsgegevens in de zin van het toepasselijke recht. Voor zover naast PSO-Nederland ook een andere partij verantwoordelijk is voor verwerking van uw persoonsgegevens in het kader van de PSO, zijn PSO en deze andere partij elk zelfstandig verwerkingsverantwoordelijken voor de verwerking van de persoonsgegevens waarvoor zij zelf de doeleinden en de middelen bepalen. Dit is bijvoorbeeld het geval wanneer een auditor persoonsgegevens van personen binnen uw organisatie verwerkt, voor een audit die plaatsvindt in het kader van de PSO. PSO-Nederland is niet verantwoordelijk voor het privacy- of cookiebeleid dat wordt gevoerd door andere partijen.

 

3.     Welke persoonsgegevens verwerkt PSO-Nederland van u?

Wij verwerken deze persoonsgegevens: (volledige) namen, functietitel, geslacht, (mobiel) zakelijk telefoonnummer, zakelijk e-mailadres. Zie ook ons cookiebeleid voor bezoeker aan onze websites: :Cookie Policy

 

4.     Voor welke doeleinden gebruiken wij uw persoonsgegevens?

 In algemene zin verwerken wij persoonsgegevens voor de volgende doeleinden:

  • Het aanbieden en uitvoeren van onze diensten bij het nastreven van onze doeleinden, kort gezegd: het aanbieden van de PSO. 
  • Het afnemen van de diensten van uw organisatie;
  • Het onderhouden van contact met u, waaronder voor direct marketing doeleinden;
  • Doorontwikkeling van de PSO, onderzoek en analyse;
  • Intern beheer en uitgifte van de PSO;
  • Het verbeteren van onze dienstverlening en het samenstellen van gebruikersstatistieken en andere analyses;
  • Onderhouden, beveiligen en optimaliseren van onze dienstverlening, waaronder het (doen) uitvoeren van controles/audits;
  • De afhandeling van vragen, klachten en geschillen;
  • Ter voldoening aan toepasselijke wet- en regelgeving.

 

5.     Wat is de grondslag voor de verwerking van uw persoonsgegevens?

Wij kunnen persoonsgegevens van u verwerken indien u daar zelf toestemming voor heeft gegeven, bijvoorbeeld wanneer u zich als 'Accounthouder' namens de 'Aanvragende organisatie' aanmeldt voor een MijnPSO klantaccount of indien u zich aanmeldt voor onze nieuwsbrief. In dat geval kunt u op elk moment uw toestemming ook weer intrekken, bijvoorbeeld via de contactgegevens die onderaan dit Privacy Statement staan. Wanneer u kenbaar maakt uw toestemming in te trekken, dragen wij er zorg voor dat wij zo snel mogelijk niet meer op basis van deze grondslag persoonsgegevens over u verwerken. Dit laat onze eerdere verwerking op basis van deze grondslag onverlet. Ook kunnen wij persoonsgegevens verwerken omdat wij daartoe een wettelijke verplichting hebben of omdat wij daarvoor gerechtvaardigde belangen hebben. In alle gevallen controleren wij steeds zorgvuldig of uw privacybelang niet zwaarder weegt. Onze gerechtvaardigde belangen vallen deels samen met de doeleinden zoals uiteengezet onder het kopje "Voor welke doeleinden gebruiken wij uw persoonsgegevens?" hierboven.

 

6.     Hoe komen wij aan uw persoonsgegevens? 

  1. Websitebezoekers. Wij verwerken persoonsgegevens die wij van uzelf verkrijgen, bijvoorbeeld wanneer u via www.mijnpso.nl een MijnPSO account aanmaakt namens de 'Aanvragende organisatie' waarbij u werkt en wanneer u de MijnPSO klantomgeving invult namens de 'Aanvragende organisatie'. Daarnaast verkrijgen wij persoonsgegevens van u via cookies en vergelijkbare technieken die via onze website www.pso-nederland.nl worden gebruikt. Zie daarover verder onze Cookie Policy.
  2. Contactpersonen. Wij verwerken persoonsgegevens die wij van uzelf verkrijgen, bijvoorbeeld wanneer wij een overeenkomst sluiten met de 'Aanvragende organisatie' waarbij u werkzaam bent, zoals het geval is bij het sluiten van de Deelnameovereenkomst voor de aanvraag van een PSO certificering, en wij in dat kader contact met u hebben. Daarnaast kunnen wij persoonsgegevens hebben verkregen van de organisatie waarmee wij samenwerken, en waarvan u onze contactpersoon bent.   

 

7.     Hoe lang bewaren wij uw persoonsgegevens?

Wij bewaren uw persoonsgegevens niet langer dan noodzakelijk is voor de doeleinden waarvoor zij worden verwerkt. In principe bewaren wij uw gegevens niet langer dan hieronder is aangegeven, tenzij wij in verband met wettelijke verplichtingen uw persoonsgegevens langer moeten bewaren. Ook kunnen wij uw persoonsgegevens langer bewaren voor zover dit noodzakelijk is voor de vaststelling, uitoefening of onderbouwing van een rechtsvordering.

  • Bewaartermijn websitebezoekers: We verwijderen het MijnPSO-klantaccount na twee jaar inactiviteit uit de MijnPSO-klantomgeving. Het account is daarna niet meer toegankelijk voor de Accounthouder. Vijf jaar na deze verwijdering verwijderen we ook de gegevens die Accounthouder heeft ingevuld.
  • Bewaartermijn Contactpersonen: De gegevens, waaronder die uit vraag 3, bewaren we niet langer dan nodig is voor het doel dat in vraag 4 hiervoor staat. Daarnaast wordt er bij het aanmaken van een MijnPSO account expliciet om toestemming gevraagd aan de Accounthouder om akkoord te gaan met het volgende: De ingevulde (organisatie)gegevens worden in het kader van de PSO-doorontwikkeling en het Onderzoek/project: ‘Longitudinaal PSO Databestand’ nog bewaard voor archiveringsdoeleinden en om de resultaten van het onderzoek/project. De (organisatie)gegevens worden nadat het onderzoek/ project is afgerond nog bewaard voor archiveringsdoeleinden en om de resultaten van het onderzoek/ project op later moment te kunnen staven. Het longitudinale databestand wordt na einde van het onderzoek in lijn met de TNO selectielijst voor 10 jaar bewaard. De Accounthouder geeft hier expliciet toestemming voor. 

 

8.     Ontvangers van uw gegevens en doorgifte van persoonsgegevens naar derde landen

Wij kunnen externe dienstverleners inschakelen die voor ons als verwerker in de zin van het toepasselijke recht diensten verrichten in het kader waarvan uw persoonsgegevens worden verwerkt. Zo hebben wij bijvoorbeeld dienstverleners ingeschakeld voor onze website en voor het datamanagementsysteem waarin wij uw persoonsgegevens opslaan. Dienstverleners mogen uw persoonsgegevens uitsluitend verwerken in onze opdracht en volgens onze instructies. Met elke dienstverlener sluiten wij daartoe een verwerkersovereenkomst. Uw persoonsgegevens zijn alleen op een "need  to know" basis toegankelijk voor daartoe geautoriseerde personen bij PSO-Nederland, onze dienstverleners of dienstverleners van onze dienstverleners, die betrokken zijn bij de verwerking van uw persoonsgegevens. Buiten de in dit Privacy Statement genoemde situaties, zullen wij uw persoonsgegevens niet aan anderen bekendmaken, tenzij wij dat nodig achten om te voldoen aan onze wettelijke verplichtingen, om onze of andermans rechten te beschermen of om de nakoming af te dwingen van dit Privacy Statement of ons Cookie Policy. Onze dienstverleners kunnen gevestigd zijn in landen buiten de Europese Economische Ruimte. De wetgeving in dergelijke landen biedt niet altijd een gelijk niveau van gegevensbescherming in vergelijking tot Nederland. Wij hebben daarom gepaste (contractuele) maatregelen genomen c.q. laten nemen zodat voldaan wordt aan de ter zake geldende wettelijke eisen.

 

9.     Hoe beveiligen wij uw persoonsgegevens?

Wij doen ons uiterste best om passende technische en organisatorische beveiligingsmaatregelen te nemen ter bescherming tegen verlies, misbruik en wijziging van uw persoonsgegevens die onder onze zeggenschap vallen. Zo wordt er door PSO-Nederland gebruik gemaakt van extra beveiligingsmaatregelen die datagebruik, verwerking en opslag van data ondersteunen. Een voorbeeld hiervan is een verplichte extra beveiligingslaag bij het gebruik van MijnPSO: 'Two-Factor Authentication'.  Hoewel wij alle redelijkerwijs vereiste zorg betrachten voor een veilige gegevensverwerking, kunnen wij niet garanderen dat de gegevensverwerking steeds veilig is. Wij aanvaarden geen aansprakelijkheid voor door u of derden geleden schade als gevolg van ongeautoriseerde toegang tot uw (persoons)gegevens, tenzij deze schade is veroorzaakt door opzet of grove schuld aan onze zijde. Als u vermoedt dat onbevoegd door anderen gebruik is gemaakt van persoonsgegevens die wij over u verwerken, verzoeken wij u ons hierover onmiddellijk per e-mail te informeren.

 

10.     Geautomatiseerde besluitvorming - waaronder profilering

 In het kader van de PSO past PSO-Nederland geen geautomatiseerde besluitvorming toe, waaronder profilering.

 

11.     Rechten die u heeft

U heeft diverse privacyrechten. Dit zijn het: recht van inzage, recht op rectificatie, recht op gegevenswissing (“right to be forgotten”), recht op beperking van de verwerking, recht op overdraagbaarheid van de gegevens, en recht van bezwaar. Daarnaast heeft u het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens. Voor meer informatie over de rechten die u kunt uitoefenen op basis van de privacyregelgeving verwijzen we u graag naar de website van de Autoriteit Persoonsgegevens. Zie deze webpagina voor een overzicht van uw rechten onder de Algemene Verordening Gegevensbescherming.

12.     Contact

Indien u vragen heeft over de manier waarop wij omgaan met uw persoonsgegevens, kunt u contact met ons opnemen via info@pso-nederland.nl. Ook kunt hiervoor contact opnemen met onze functionaris gegevensbescherming (FG), Marian Knuijsting, via dit emailadres: marian@pso-nederland.nl 


Direct naar: