Privacybeleid
In ons privacybeleid leggen we uit hoe we uw persoonlijke gegevens verzamelen en gebruiken wanneer u met ons reist, onze website bezoekt, onze mobiele app gebruikt of op een andere manier met ons communiceert. Zorg ervoor dat u het beleid zorgvuldig leest.
Over dit privacybeleid
1. Wie wij zijn
2. De soorten persoonsgegevens die wij verwerken
2.1. Algemeen Wij kunnen de volgende categorieën persoonsgegevens verzamelen en verwerken: (A) Naam, paspoortnummer en overige identiteitsgegevens Als u een reservering plaatst of een vlucht bij ons boekt, registreren wij uw naam, titel, geslacht, geboortedatum, nationaliteit, woonland en paspoortgegevens. Als u een reservering plaatst of een vlucht boekt voor andere personen, registreren wij ook hun identiteitsgegevens. U dient ervoor te zorgen dat zij weten dat wij hun persoonsgegevens verzamelen en op welke wijze wij van die gegevens gebruikmaken. (B) Uw contactgegevens en gegevens over uw persoonlijke account of registratie Wij kunnen uw adres, telefoonnummer en e-mailadres verzamelen. Als u zich voor een dienst, evenement, prijsvraag of actie registreert of een persoonlijke account aanmaakt, kunnen we ook uw inloggegevens en andere informatie vastleggen die u bij het registreren of op het accountformulier invult. Reist u voor zaken, dan registreren wij ook gegevens over uw organisatie, zoals naam en adres.
3. Hoe wij uw gegevens verzamelen
4. De doeleinden waarvoor wij uw gegevens gebruiken
5. Verlenen van inzage aan of uitwisseling van gegevens met derden
5.1. Algemeen Wij kunnen uw persoonsgegevens in de volgende gevallen aan derden verstrekken: (A) Voor het faciliteren van uw boekingen en reizen Om uw reserveringen en boekingen af te handelen en uw reizen en aankopen mogelijk te maken, moeten wij uw persoonsgegevens in veel gevallen uitwisselen met onze partnerairlines, luchthavenexploitanten en andere bedrijven die bij uw reis betrokken zijn (zie 3.1 (B) hierboven, ‘Hoe wij uw gegevens verzamelen’). (B) Ten behoeve van ons zakelijke loyaliteitsprogramma bluebiz Zie voor meer informatie de paragraaf ‘Wie wij zijn’ en 3.1 (C) onder ‘Hoe wij uw gegevens verzamelen’. (C) Zakelijke accounts Als u een vlucht boekt via de zakelijke account van uw werkgever, heeft uw werkgever toegang tot bepaalde boekingsgegevens, zoals de prijs van het ticket, de reisdata en uw bestemming. Uw werkgever is zelfstandig verantwoordelijk voor de wijze waarop hij uw persoonsgegevens verwerkt en u daarover informeert. (D) Voor ondersteunende of aanvullende diensten Om onze diensten te leveren, maken wij gebruik van ondersteunende of aanvullende diensten van derden, zoals IT-leveranciers, sociale-media-providers en marketing- en screeningbureaus. Al deze derden zijn verplicht uw persoonsgegevens afdoende te beschermen en deze alleen te verwerken overeenkomstig onze instructies. Binnen de Air France-KLM Groep wordt voor de bedrijfsvoering gebruikgemaakt van gecentraliseerde databases en systemen. Deze centrale databases en systemen kunnen door een van de groepsmaatschappijen worden gehost of beheerd voor de andere groepsmaatschappijen. Daarnaast kunnen bepaalde operationele functies ten behoeve van de efficiency door een van de groepsmaatschappijen worden uitgevoerd voor de andere groepsmaatschappijen. Dit betekent dat onze groepsmaatschappijen in dat kader toegang kunnen hebben tot uw persoonsgegevens. Onze groepsmaatschappijen mogen uw persoonsgegevens alleen verwerken wanneer dat nodig is voor de betreffende bedrijfsfunctie en overeenkomstig dit privacybeleid. (E) Betaaldiensten Om de betaling van uw reizen en aankopen te verwerken, kunnen wij samenwerken met derden die betaaldiensten aanbieden. Deze aanbieders controleren in veel gevallen ook op fraude. Zij hanteren een eigen privacybeleid wat betreft de wijze waarop zij van uw persoonsgegevens gebruikmaken. (F) Gepersonaliseerde marketing via sociale-mediaplatformen Zie voor meer informatie paragraaf 4.1 (E) onder ‘De doeleinden waarvoor wij uw gegevens gebruiken’. (G) Zodat onze partners hun aanbod kunnen afstemmen op uw reis Wij kunnen uw niet-persoonlijke gegevens (bestemming, reisdatum en reisduur) uitwisselen met partners die aanvullende diensten aanbieden (zoals hotelovernachtingen, autoverhuur) zodat zij hun aanbod kunnen afstemmen op uw reis. Zij hanteren een eigen privacybeleid wat betreft de wijze waarop zij van uw persoonsgegevens gebruikmaken. 5.2. Specifieke diensten, apps, evenementen, prijsvragen of acties Voor specifieke diensten, apps, evenementen, prijsvragen of acties kunnen wij uw gegevens uitwisselen met andere derden dan beschreven in dit privacybeleid. Bijvoorbeeld als we een actie of evenement samen met een partner organiseren of wij hun diensten integreren in onze apps. Wij informeren u hierover op het moment dat u zich voor de dienst, het evenement, de prijsvraag of de actie aanmeldt of als u de app downloadt. 5.3. Overheidsinstanties (A) Algemeen We kunnen wettelijk verplicht zijn om uw persoonsgegevens te verzamelen voordat u naar een ander land reist en deze gegevens te verstrekken aan de overheidsinstanties in de landen van uw reisschema. Zo kunnen we wettelijk verplicht zijn om uw identiteitsgegevens en uw boekings- en reisgegevens aan deze overheidsinstanties door te geven ten behoeve van grenscontroles, immigratieformaliteiten, het betreden van het grondgebied van het betreffende land of de bestrijding van terrorisme en andere zware misdrijven (zie 5.3 (B) hierna). Ook kunnen wij wettelijk verplicht zijn om uw gezondheidsgegevens door te geven aan de overheidsinstanties in de landen van uw reisschema om redenen van volksgezondheid (zie 2.1 (D) hierboven).
(B) PNR- en API-gegevens i. Algemeen: ingevolge de Europese verordeningen 2016/679 en 2004/82 en de toepasselijke lokale wet- en regelgeving zijn wij verplicht om PNR- en API-gegevens door te geven aan overheidsorganen, zoals de Passenger Information Units (PIU’s) in diverse landen. API (Advance Passenger Information) betreft informatie over uw vlucht en uw paspoortgegevens. PNR (Passenger Name Record) betreft alle informatie over uw boekingen, zoals vluchtgegevens, passagiers in de boeking en betaalgegevens. Wij geven deze PNR-gegevens voor alle vluchten door aan de Nederlandse PIU (Pi-NL). Als dit vereist is, geven we de API- en PNR-gegevens ook door aan de instanties in landen buiten Nederland. ii. Landenspecifiek: - Frankrijk: ingevolge artikel L 237 -7 van de Franse binnenlandse veiligheidswet kan KLM verplicht zijn om uw reserverings-, incheck- en boardinggegevens (API/PNR) door te geven aan de bevoegde nationale instanties in Frankrijk voor de doeleinden en onder de voorwaarden als beschreven in Besluit nr. 2014-1095 van 26 september 2014, zoals nadien gewijzigd bij Besluit nr. 2018/714 van 3 augustus 2018.
5.4. Websites van derden Onze websites en mobiele apps bevatten links naar websites van derden. Als u deze links volgt, verlaat u onze websites of mobiele apps. Dit privacybeleid is niet van toepassing op de websites van derden. Meer informatie over hoe derden met uw persoonsgegevens omgaan, vindt u in hun privacy- en/of cookiebeleid (indien beschikbaar).
6. Veiligheid en bewaring
6.1. Veiligheid (A) Onze inzet Borging van de veiligheid en vertrouwelijkheid van uw persoonsgegevens heeft bij ons prioriteit. Rekening houdend met de aard van uw persoonsgegevens en de risico's van verwerking, hebben wij alle passende technische en organisatorische maatregelen getroffen die vereist zijn op grond van de geldende wettelijke voorschriften (met name artikel 32 van de Algemene Verordening Gegevensbescherming (AVG)), zodat een passend veiligheidsniveau is geborgd en met name ter voorkoming van onbedoelde of onrechtmatige vernietiging, verlies, wijziging of verstrekking van, inbreuk op of onbevoegde toegang tot deze gegevens. (B) De veiligheidsmaatregelen die wij hebben getroffen i. Banktransacties: wij zijn verplicht om te voldoen aan het bepaalde in de Data Security Standard for the Payment Card Industry (de PCI DSS-standaard) van de PCI Security Standards Council (PCI SSC). Deze standaard is ontwikkeld om meer controle te krijgen over de gegevens van pashouders en om fraude met betaalinstrumenten aan te pakken. Alle dienstverleners van KLM die bankpasgegevens verwerken, dienen aan deze PCI DSS-standaard te voldoen. We willen identiteitsdiefstal op internet zo veel mogelijk tegengaan. Om die reden maken we bijvoorbeeld gebruik van apparatuur om frauduleuze betalingen te signaleren, zodat u in geval van verlies of diefstal van uw bankpas bent beschermd. ii. Organisatorische maatregelen: wij hebben diverse organisatorische maatregelen getroffen ter vergroting van de alertheid bij onze medewerkers en ten behoeve van de verantwoording. Er zijn programma's geïntroduceerd die zorgen voor een groter bewustzijn en tegelijk de uitwisseling van ‘good practices’ en veiligheidsstandaarden bevorderen. In dat kader hebben onze medewerkers toegang tot een breed scala aan documenten over informatiebeveiliging en privacybescherming en alles wat daarbij komt kijken. iii. Technische maatregelen: we houden streng toezicht op de fysieke en logische toegang tot de interne servers waarop uw persoonsgegevens gehost of verwerkt worden. We beveiligen ons netwerk met de nieuwste hardware (Firewall, IDS, DLP etc.) en architectuur (met inbegrip van veiligheidsprotocollen zoals TLS 1.2) om de risico's van cybercriminaliteit te voorkomen en te beperken. (C) De ontwikkeling van onze beveiligingssystemen Om een passend veiligheidsniveau te handhaven, beschikken wij over interne processen volgens de beste standaarden (met name de ISO 27000-standaarden). We maken gebruik van ter zake kundige professionals om een zo hoog mogelijk beschermingsniveau te borgen. In dat kader onderhouden wij een speciale relatie met het NCSC (National Cyber Security Centre). (D) Wat u zelf kunt doen Bij de beveiliging en geheimhouding van persoonsgegevens draait het om een optimale inzet van alle betrokkenen. Wanneer u een reservering maakt, ontvangt u bestandsreferenties. Deze boekingsreferenties dienen te allen tijde geheim te blijven. Als deze referenties bij andere passagiers terechtkomen, kunnen zij uw boekingsgegevens inzien via onze systemen of die van derden die bij de uitvoering van uw reis zijn betrokken (zoals reisbureaus en online zoek- en boekingssites). Als u samen reist en niet wilt dat uw reisgenoten inzage hebben in uw persoonsgegevens, raden wij u aan om apart te boeken. Ook adviseren wij u om de wachtwoorden die u voor onze diensten gebruikt, niet aan derden te verstrekken, om systematisch uit uw profiel en sociale account uit te loggen (zeker bij gekoppelde accounts) en om het browserscherm na afloop van uw sessie te sluiten, met name als u vanaf een openbare computer van internet gebruikmaakt. Zo voorkomt u dat andere gebruikers uw persoonsgegevens kunnen inzien. Om het risico van hacking te voorkomen, raden wij aan om voor elke online dienst waarvan u gebruikmaakt, een ander wachtwoord te gebruiken. Wij zijn niet verantwoordelijk voor diefstal van uw gegevens op een platform dat niet door ons wordt beheerd. Daarnaast adviseren wij u met klem om door KLM verstrekte bescheiden waarin uw persoonsgegevens (uw boarding pass, ticketnummer etc.) of andere gegevens over uw reis zijn opgenomen, niet aan derden te verstrekken en ook niet op een sociaal netwerk te publiceren. Als u deze bescheiden toch op sociale media plaatst, dient u bekend te zijn met de algemene gebruiksvoorwaarden, de informatiebeveiliging en het privacybeleid van de betreffende netwerkaanbieders. Wij zijn niet verantwoordelijk voor de wijze waarop uw gegevens op een dergelijk platform worden verwerkt, opgeslagen of doorgegeven. Meer informatie over onze IT-beveiliging is te vinden in onze IT-beveiligingsportal. (E) Beheersing van veiligheidsincidenten 'Nul risico' bestaat niet en zelfs als we alle passende veiligheidsmaatregelen treffen, kunnen er nog onvoorziene dingen gebeuren. Wij beschikken over specifieke procedures en middelen om veiligheidsincidenten zo goed mogelijk te beheersen.Daarnaast hanteren we een specifieke procedure voor het beoordelen van potentiële datalekken die kunnen resulteren in onbedoelde of onrechtmatige vernietiging, verlies, wijziging of onbevoegde verstrekking van of toegang tot uw persoonsgegevens, voor het tijdig melden van datalekken bij de bevoegde toezichthouder en aan u als we denken dat het datalek een hoog risico inhoudt voor uw rechten en vrijheden. We testen periodiek of de veiligheidsinstallaties functioneren en of de gehanteerde procedures en apparatuur afdoende zijn. 6.2. Bewaring Wij bewaren uw persoonsgegevens niet langer dan noodzakelijk is. Hoe lang uw persoonsgegevens worden bewaard, hangt af van de doeleinden waarvoor deze gegevens worden verwerkt en van de geldende wettelijke bewaartermijn.
7. Internationale doorgifte van gegevens
8. Uw rechten
9. Actualisatie van dit privacybeleid
9.1. Dit privacybeleid treedt in werking op 20 augustus 2020 en vervangt ons privacybeleid d.d. 20 september 2019. Dit privacybeleid wordt van tijd tot tijd herzien. Wij informeren u over eventuele wijzigingen voordat deze in werking treden.