Pensioenfonds ABP is het pensioenfonds voor werknemers bij de overheid, in het onderwijs en bij meerdere andere organisaties zoals academische ziekenhuizen, de politie, defensie en verschillende energie- en waterbedrijven. We regelen de pensioenen voor alle werknemers in deze branches, én voor wie in het verleden bij een aangesloten werkgever heeft gewerkt. Om dit te kunnen doen en daarmee onze taken en diensten goed uit te kunnen voeren, verwerken wij persoonsgegevens.

De persoonsgegevens die wij verwerken, krijgen wij van iemand zelf of van anderen. Dit zijn gegevens van:

• iedereen voor wie wij het pensioen regelen. Dit kunnen ook uw (ex-)partner en kinderen zijn;
• iedereen die onze website bezoekt;
• iedereen met wie wij contact hebben. Dus ook werkgevers of contactpersonen hiervan. Denk hierbij aan contact via een brief, e-mail, de telefoon, de chatfunctie op de website en sociale media.

Wij krijgen uw persoonsgegevens:

• van uzelf;
• van uw werkgever;
• van uw gemeente;
• van de Sociale Verzekeringsbank (SVB);
• van het UWV, als u arbeidsongeschikt bent;
• uit openbare bronnen, als dit nodig is voor ons werk.

Daarnaast genereren wij zelf nieuwe persoonsgegevens. Dit betekent dat we bijvoorbeeld een klantnummer aanmaken. Of dat we een pensioen berekenen. Daarnaast gebruiken we een combinatie van persoonsgegevens om onze dienstverlening zo persoonlijk mogelijk te maken. Hierbij kunnen we algoritmen gebruiken die bepaalde kenmerken kunnen bepalen of voorspellen.

ABP kan onder andere de volgende persoonsgegevens verwerken:

Personalia

• Voornaam, achternaam en initialen
• Adresgegevens zoals woonplaats, straatnaam, postcode en huisnummer
• Geboorteplaats en geboortedatum
• Geslacht

Contactgegevens

• E-mailadres en telefoonnummer

Identificatiegegevens

• Klantnummer
• Handtekening
• Reguliere foto’s, alleen in uitzonderlijke gevallen
• Identiteitsbewijzen, alleen wanneer wij op geen enkele andere wijze uw identiteit vast kunnen stellen en dat wel nodig is
• Burgerservicenummer (bsn), alleen wanneer dit wettelijk voorgeschreven is
• Gegevens van een organisatie, zoals het KVK-nummer, bijvoorbeeld bij eenmanszaken

Gegevens over maatschappelijke status

• Burgerlijke staat
• Nationaliteit
• Land van verblijf

Gezinsgegevens

• Gegevens over en van kinderen
• Partnergegevens
• Juridische gezinssamenstelling

Gegevens over uw werkzaamheden

• Uw werkgever
• Deeltijdfactor, hoeveel uur u werkt
• Startdatum en einddatum

Financiële gegevens

• Betaalgegevens
• Inkomensgegevens, waaronder pensioengevend inkomen
• (Pensioen-)aanspraken, uitkeringen en premies
• Bankrekeningnummer
• Verzekeringstype of premietype
• Factuurnummer

Interactiegegevens en gedragsgegevens

• IP-adres
• Netwerkgegevens
• Besturingssysteem
• Cookie ID’s
• Browserhistorie op onze eigen website
• Klikgedrag op onze website of via mails van ons
• Onderzoekdata
• Gegevens over interacties via social media of onze klantenservice
• Voorkeurgegevens die u zelf kunt aanpassen, zoals het wel of niet krijgen van digitale post of nieuwsbrieven

Bijzondere persoonsgegevens

Wij verwerken ook bijzondere persoonsgegevens. Het gaat om extra gevoelige gegevens, zoals:

• Gegevens waaruit religieuze voorkeuren of levensbeschouwelijke overtuigingen blijken. Bijvoorbeeld gemoedsbezwaren.
• Gegevens over de gezondheid. Bijvoorbeeld arbeidsongeschiktheids-, invaliditeits- en ziektegegevens, of gezondheidsverklaringen.
• Genetische gegevens. Deze gegevens verwerken wij alleen als dit nodig is door de Anw-coulanceregeling waarvoor uitzonderlijke medische beoordelingen nodig zijn.
• Gegevens herleidbaar tot politieke voorkeur. Dit is het geval wanneer u politicus bent (geweest). En als zodanig openlijk voor een politieke partij actief bent (geweest).

Bij een aantal soorten dienstverlening vragen wij een gezondheidsverklaring. Heeft u een gezondheidsverklaring voor ons ingevuld en ondertekend? Over het verwerken van deze gegevens zijn extra afspraken gemaakt. Dit zijn de afspraken:

• Een medisch adviseur van ABP verwerkt uw medische gegevens. 
• Medisch adviseurs en leden van hun team hebben een geheimhoudingsplicht. Dit betekent dat zij uw gegevens niet aan anderen mogen geven of aan anderen mogen laten lezen. 
• De medisch adviseur mag uw medische gegevens alleen aan ons geven als wij de informatie nodig hebben om uw uitkering te regelen. Als wij uw medische gegevens krijgen, geldt de geheimhoudingsplicht ook voor ons. 
• De medisch adviseur bewaart uw gezondheidsverklaring en andere documenten over uw gezondheid in een medisch dossier. De adviseur die uw dossier beheert, moet zich houden aan de AVG.

Er zijn verschillende doelen waarvoor wij persoonsgegevens kunnen verwerken. Meestal doen we dit om de pensioenadministratie goed uit te kunnen voeren. Daarvoor verzamelen, combineren en onderzoeken wij persoonsgegevens. Denk daarbij aan uw eigen pensioen, dat van uw partner of het pensioen van uw werknemers bijvoorbeeld.

Specifiek verwerken we persoonsgegevens om:

• onze dienstverlening uit te kunnen voeren, uw pensioen of andere aanspraken en rechten te berekenen en op tijd uit te betalen.
• op tijd en juist te informatie te geven over uw rechten en bij uw keuzes.
• te voldoen aan wettelijke verplichtingen die voor ons gelden. Denk bijvoorbeeld aan pensioenwetgeving of belastingwetgeving. Iedere wettelijke verplichting heeft zijn eigen achterliggende doel. Zo moeten wij soms uw persoonsgegevens delen met de belastingdienst voor de belastingaangifte.
• afspraken volgens een contract na te kunnen komen.
• voor intern onderzoek en analyse onze dienstverlening te verbeteren en persoonlijker te maken.
• producten en diensten te ontwikkelen waarmee we de dienstverlening verbeteren, zowel op pensioenvlak als naar werkgevers toe. Hierbij kunt u denken aan het ontwikkelen van een product waarmee we onze berekeningen verbeteren.
• het gebruik van onze website te verbeteren.

Waarom wij profileren en op welke manier

Wat profileren is

Profileren is het beoordelen van personen door te kijken naar individuele kenmerken die een persoon wel of niet deelt met anderen. Door dit te doen kunnen wij bijvoorbeeld personen indelen in een doelgroep.

Waarom en wanneer wij profileren gebruiken

Wij gebruiken ‘profileren’ alleen:

• om beter en persoonlijker met u te communiceren en de dienstverlening te verbeteren. Bijvoorbeeld door te kijken naar uw interesses. Hiervoor doen wij onderzoek en voeren we analyses uit. Hierbij delen we personen in doelgroepen in. Wilt u niet dat wij uw persoonsgegevens hiervoor gebruiken? Dan heeft u het recht om hiertegen bezwaar te maken.
• wanneer dit vanuit wetgeving en regelgeving noodzakelijk is. Zo zijn wij bijvoorbeeld verplicht u hulp op maat te bieden. Dit noemen we keuzebegeleiding.

Wij mogen alleen uw persoonsgegevens gebruiken wanneer hier een grondslag voor is. Als fonds gebruiken wij de volgende grondslagen:

Wettelijke verplichtingen

De verwerking is noodzakelijk om te voldoen aan wettelijke verplichtingen waar wij ons aan moeten houden.

Uitvoering overeenkomsten

De verwerking is noodzakelijk voor het afsluiten en/of uitvoeren van een overeenkomst met u. Denk aan de pensioenovereenkomst. Of een overeenkomst tussen u als werkgever en ons.

Toestemming

Verwerken wij uw persoonsgegevens met uw toestemming? Dan betekent dat dat u toestemming heeft gegeven voor de verwerking van uw persoonsgegevens voor één of meer specifieke doelen. Uw toestemming kunt u op ieder moment ook weer intrekken. Hoe u dit doet, staat verderop in deze privacyverklaring.

Gerechtvaardigd belang

De verwerking is noodzakelijk voor een gerechtvaardigd belang van onszelf of anderen. Dit belang moet dan wel zwaarder wegen dan uw eigen belangen en fundamentele rechten, waaronder uw recht op gegevensbescherming en privacy. Om erachter te komen of wij gebruik mogen maken van de grondslag gerechtvaardigd belang , voeren wij een belangenafweging uit. Bent u het hier niet mee eens? Dan kunt u tegen deze verwerking bezwaar maken. Meer daarover leest u in het onderdeel ‘Welke privacyrechten u heeft’.

Voorbeelden van belangen waarvoor wij mogelijk persoonsgegevens kunnen verwerken, zijn:

• Het zo persoonlijk mogelijk maken van onze dienstverlening en communicatie.
• Het verbeteren van onze dienstverlening door het ontwikkelen van producten en diensten.
• Het zo goed en efficiënt mogelijk uitvoeren van onze dienstverlening verbeteren. Hier hoort ook bij dat wij dan nieuwe producten en diensten ontwikkelen.
• Het uitvoeren van statistische onderzoeken.

Wij bewaren persoonsgegevens niet langer dan nodig is voor de doelen waarvoor wij deze verwerken. Wanneer we persoonsgegevens niet langer nodig hebben, dan verwijderen of anonimiseren wij ze.

Om zo goed mogelijk om te gaan met het bewaren en op tijd verwijderen of anonimiseren van persoonsgegevens, hebben wij hierover afspraken gemaakt in ons bewaartermijnenbeleid.

Bewaartermijnen in de praktijk

Veel van de bewaartermijnen zijn wettelijk bepaald of voorgeschreven via richtlijnen van bijvoorbeeld de Pensioenfederatie. Zo zijn wij verplicht uw persoonsgegevens die nodig zijn voor het berekenen en uitkeren van uw aanspraken minimaal 7 jaar na het einde van uw relatie met ons te bewaren. Uw relatie met ons eindigt bijvoorbeeld op het moment dat u overstapt naar een ander pensioenfonds. Maximaal bewaren wij deze gegevens 55 jaar, op advies van de Pensioenfederatie. Daarbij zetten wij deze gegevens na de minimale termijn van 7 jaar in retentie. Dit betekent dat de gegevens in een afgesloten omgeving worden bewaard die beperkt toegankelijk is, zodat de persoonsgegevens extra veilig zijn.

Soms moeten we zelf de bewaartermijnen bepalen. Dit doen wij door te kijken naar het doel waarvoor wij de persoonsgegevens verwerken. Als u zich bijvoorbeeld aanmeldt voor onze nieuwsbrief, dan verwerken wij uw e-mailadres . Dit e-mailadres bewaren wij zo lang u aangemeld blijft voor de nieuwsbrief. Als u zich afmeldt, bewaren wij uw e-mailadres daarna nog maximaal 2 jaar.

Wij delen persoonsgegevens alleen wanneer dit nodig is. Hierbij delen we nooit meer dan nodig. Wij verkopen persoonsgegevens nooit. Wij kunnen persoonsgegevens delen binnen Nederland, binnen de EER en heel soms ook daarbuiten. Het gaat om de volgende gevallen:

Wanneer dat wettelijk verplicht voor ons is

Zo zijn we bijvoorbeeld verplicht om in specifieke gevallen persoonsgegevens te delen met:

• Belastingdienst
• UWV
• Sociale Verzekeringsbank (SVB)
• Stichting Pensioenregister
• Centraal Bureau voor de Statistiek (CBS)

Wanneer wij werk door een andere partij laten uitvoeren

ABP besteedt bepaalde werkzaamheden uit aan anderen. Hierbij worden soms persoonsgegevens gebruikt. In die gevallen verwerkt deze andere partij de persoonsgegevens als verwerker alléén op de manieren en voor de doelen zoals wij dit voorschrijven. Dit leggen we vast in verwerkersovereenkomsten. Denk hierbij aan:

• APG, omdat APG onze pensioenadministratie uitvoert.
• Onderzoeksbureaus die namens ons een specifiek onderzoek uitvoeren.

Wanneer wij daartoe van u een verzoek krijgen

U kunt ons ook vragen uw persoonsgegevens te delen met een ander. Dit kan bijvoorbeeld:

• in de vorm van een beroep op uw privacyrecht: dataportabiliteit;
• wanneer u een ander toestemming gaf uw persoonsgegevens te verwerken en ons vraagt uw persoonsgegevens te delen.

Wij zorgen ervoor dat persoonsgegevens zolang dit mogelijk is binnen Nederland en in ieder geval binnen de EER worden verwerkt. Zo kiezen we voor lokale opslagplaatsen of cloudopslag waarvan de servers binnen Nederland of de EER staan.

Daarnaast kan het heel beperkt voorkomen dat persoonsgegevens verwerkt worden in landen buiten de EER. Soms kan dit voor bepaalde ICT-systemen niet anders. Dit gebeurt zo min mogelijk en alleen als wij hebben vastgesteld dat de doorgifte past binnen de voorgeschreven wettelijke kaders. En de veiligheid, vertrouwelijkheid en integriteit van de persoonsgegevens gewaarborgd kan worden.

Zo beoordelen wij of er bijvoorbeeld:

• een adequaatheidsbesluit is genomen door de Europese Commissie voor doorgifte naar een land buiten de EER.

Alleen specifieke medewerkers mogen persoonsgegevens inzien. Deze medewerkers zijn hiervoor geautoriseerd volgens het autorisatiebeleid. Wanneer persoonsgegevens door een van onze verwerkers worden verwerkt, dan kunnen alleen geautoriseerde medewerkers daarvan de persoonsgegevens bekijken. Dat is een contractueel vereiste om voor ons gegevens te mogen verwerken. Het vloeit voort uit de AVG als verplichting voor de verwerker. Zo is dit ook bij APG, de grootste verwerker voor ABP, ingericht. Ook APG heeft hiervoor een autorisatiebeleid.

Hierbij zorgen wij en onze verwerkers ervoor dat:

• alleen medewerkers die persoonsgegevens nodig hebben voor hun werk geautoriseerd zijn en toegang krijgen tot deze persoonsgegevens;
• er regelmatig gecontroleerd wordt of de toegang bij de medewerker nog nodig is;
• zowel de medewerkers van ABP als die van onze verwerkers zich houden aan de geheimhoudingsplicht.

Wij nemen zowel technische maatregelen als organisatorische maatregelen om persoonsgegevens te beveiligen. Zodat deze gegevens bijvoorbeeld niet verloren raken. Hiervoor hebben we een gegevensbeveiligingsbeleid.

Omdat APG onze pensioenuitvoering uitvoert, verwerken zij de meeste persoonsgegevens voor ons. Daarom benoemen wij kort ook de situatie bij APG. APG neemt in opdracht van ons en zelfstandig ook technische maatregelen en organisatorische maatregelen.

Voorbeelden van technische maatregelen die zowel wij als APG inzetten, zijn:

• Verzenden van persoonsgegevens via beveiligde verbindingen.
• Versleutelen van persoonsgegevens tijdens verzending, waardoor persoonsgegevens onleesbaar zijn, mochten ze in verkeerde handen terechtkomen.

Voorbeelden van organisatorische maatregelen die zowel wij als APG inzetten, zijn:

• Alleen daartoe geautoriseerde medewerkers persoonsgegevens mogen inzien.

De beveiliging van persoonsgegevens wordt regelmatig getest en gecontroleerd. Dat doen wij samen met andere specialisten in de pensioensector en met professionele externe partijen. Ook wordt ons beleid over veiligheid en hoe wij hiermee omgaan, regelmatig door onze toezichthouders getest.

Als wij uw persoonsgegevens verwerken, heeft u een aantal privacyrechten:

Recht op inzage

U kunt vragen welke persoonsgegevens wij van u gebruiken. Zo kunt u controleren of wij dat goed doen volgens de privacywet, de AVG.

Recht op rectificatie

Kloppen de persoonsgegevens die wij van u hebben niet, of ontbreken er gegevens? Dan kunt u ons vragen de gegevens aan te passen of aan te vullen.

Recht op verwijdering

In sommige gevallen kunt u ons vragen uw persoonsgegevens te verwijderen. Het gaat om de volgende gevallen:

• Uw persoonsgegevens zijn niet langer nodig voor het oorspronkelijke doel.
• U trekt uw toestemming in voor het verwerken van uw persoonsgegevens.
• U maakt terecht bezwaar tegen de verwerking van uw persoonsgegevens, zoals hieronder beschreven. En er is geen andere rechtsgrond voor de verwerking.
• Uw persoonsgegevens zijn onrechtmatig verwerkt.
• De Nederlandse wetgeving of Europese wetgeving schrijft voor dat uw persoonsgegevens moeten worden verwijderd.

Recht op beperking van de verwerking

U kunt ons vragen tijdelijk te stoppen met het gebruik van uw persoonsgegevens. Bijvoorbeeld:

• Omdat u twijfelt aan de juistheid van de persoonsgegevens die wij van u hebben.
• Omdat de verwerking van uw persoonsgegevens onrechtmatig is, maar u niet wil dat we ze verwijderen, omdat u deze gegevens nog nodig heeft.
• Omdat u bezwaar maakt tegen de verwerking van uw persoonsgegevens, zoals hieronder omschreven. Wij stoppen dan met het gebruiken van uw persoonsgegevens, tenzij wij heel goede redenen hebben om de gegevens te blijven verwerken. Die redenen moeten dan zwaarder wegen dan uw belangen. Zolang nog niet duidelijk is wat zwaarder weegt, gebruiken wij uw persoonsgegevens niet.

Wij stoppen dan met het gebruik van uw persoonsgegevens, tenzij:

• U toestemming geeft om deze te gebruiken.
• De gegevens nodig zijn voor een rechtsvordering.
• De belangen om uw persoonsgegevens te verwerken zwaarder wegen, bijvoorbeeld om rechten van uzelf of anderen te beschermen.

Recht op dataportabiliteit

U kunt ons vragen uw digitale persoonsgegevens over te dragen aan een andere partij. Dit geldt alleen voor persoonsgegevens die wij verwerken met uw toestemming. Of door een overeenkomst. Dit geldt alleen voor digitale persoonsgegevens. Papieren dossiers vallen niet onder het recht op dataportabiliteit.

Recht van bezwaar

U kunt soms bezwaar maken tegen de verwerking van uw persoonsgegevens door uw specifieke situatie. Het recht van bezwaar bij specifieke situaties geldt wanneer:

• Wij uw persoonsgegevens verwerken voor een gerechtvaardigd belang, zoals hierboven omschreven.
• Wij uw persoonsgegevens gebruiken voor profileren, zoals hierboven omschreven.

Recht op een menselijke blik bij besluiten

Krijgt u een geautomatiseerd besluit van ons? Dan kunt u ons vragen een nieuw besluit te nemen dat door een persoon is genomen.

Recht om uw toestemming in te trekken

U heeft ook het recht uw toestemming in te trekken. Gaf u ons eerder toestemming uw persoonsgegevens te gebruiken, maar heeft u zich bedacht? Dan kunt u uw toestemming weer intrekken. Dit kunt u doen waar u uw toestemming gegeven heeft. Vanaf dat moment verwerken wij uw persoonsgegevens niet meer. Tenzij er (ook) een andere grondslag is uw persoonsgegevens te verwerken.

Wilt u een van uw privacyrechten gebruiken? U kunt dit doen via ons contactformulier. Of stuur een brief naar ons postadres. Wij verwerken uw verzoek zo snel mogelijk en uiterlijk binnen 1 maand. Hierbij houden wij ons aan de wettelijke termijn.

Heeft u een klacht over onze afhandeling van uw verzoek? Dan kunt u bij ons uw klacht indienen.

Als u het na de behandeling van uw klacht nog steeds oneens met ons bent, heeft u het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Heeft u nog vragen of wilt u nog meer weten over de manier waarop wij met uw persoonsgegevens omgaan? Neem dan contact op met onze Functionaris Gegevensbescherming door een e-mail te sturen aan: functionarisgegevensbescherming@apg.nl.

De Functionaris Gegevensbescherming ziet erop toe dat ABP bij de verwerking van persoonsgegevens de privacy wet- en regelgeving naleeft. De FG kan dit goed doen omdat deze onafhankelijk is. Voor ABP wordt die functie vervuld door de Functionaris Gegevensbescherming van APG.

De privacyverklaring kan veranderen, bijvoorbeeld wanneer er nieuwe gegevensverwerkingen zijn, of wanneer wetgeving verandert, en dit voor u belangrijk is. De nieuwste versie van onze privacyverklaring vindt u altijd op deze pagina.

Onze privacyverklaring is voor het laatst opgemaakt op 7 november 2025.