Privacybeleid
Onze privacytoezegging aan u
Wanneer u gebruikt maakt van onze producten en diensten, vertrouwt u ons uw persoonsgegevens toe. Wij vinden deze relatie extreem belangrijk en beloven u het volgende:
- Wij verwerken uw persoonsgegevens volgens de Europese wet- en regelgeving voor gegevensbescherming en andere privacywetgeving die van toepassing is om uw persoonsgegevens te beschermen tegen onbevoegde toegang en om veilige gegevensoverdrachten te garanderen.
- Wij zijn transparant over hoe wij uw verzamelde persoonsgegevens gebruiken.
- Wij maken vooraf duidelijk wat het voordeel van het delen van uw persoonsgegevens is en sluiten onze communicatie aan op uw behoeften en voorkeuren.
- Wij doen dit in begrijpbare taal en gedurende de hele klantreis met KLM en partnermaatschappijen.
- Wij zorgen dat u controle heeft over uw persoonsgegevens en gebruiken uw feedback om onszelf continue te verbeteren.
- Wij zorgen dat uw persoonsgegevens veilig zijn bij ons. In het onwaarschijnlijke geval dat uw persoonsgegevens zijn gelekt, zorgen wij ervoor dat het lek zo snel mogelijk wordt gestopt en u onmiddellijk op de hoogte wordt gesteld.
- Als wij uw persoonsgegevens buiten onze organisatie moeten vrijgeven, beschrijven wij dit expliciet in ons privacybeleid. Wij delen, verkopen of geven uw persoonsgegevens niet aan een externe organisatie zonder uw nadrukkelijke toestemming.
- Wij gaan betrouwbaar met uw persoonsgegevens om en streven naar internationale certificeringen (zoals ISO-27001).
Over dit privacybeleid
2.1. Algemeen Wij kunnen de volgende categorieën persoonsgegevens verzamelen en verwerken: (A) Naam, paspoortnummer en overige identiteitsgegevens Als u een reservering plaatst of een vlucht bij ons boekt, registreren wij uw naam, titel, geslacht, geboortedatum, nationaliteit, woonland en paspoortgegevens. Als u een reservering plaatst of een vlucht boekt voor andere personen, registreren wij ook hun identiteitsgegevens. U dient ervoor te zorgen dat zij weten dat wij hun persoonsgegevens verzamelen en op welke wijze wij van die gegevens gebruikmaken. (B) Uw contactgegevens en gegevens over uw persoonlijke account of registratie Wij kunnen uw adres, telefoonnummer en e-mailadres verzamelen. Als u zich voor een dienst, evenement, prijsvraag of actie registreert of een persoonlijke account aanmaakt, kunnen we ook uw inloggegevens en andere informatie vastleggen die u bij het registreren of op het accountformulier invult. Reist u voor zaken, dan registreren wij ook gegevens over uw organisatie, zoals naam en adres.
(G) Als u overlast veroorzaakt verzamelen wij bepaalde informatie ten behoeve van de vliegveiligheid Als u voor of tijdens een vlucht overlast veroorzaakt, maakt KLM daarvan een rapport op. Dat rapport kan, behalve de gegevens die reeds aan ons zijn verstrekt in het kader van uw boeking of reservering (bijvoorbeeld naam en geboortedatum), ook informatie bevatten die afkomstig is van personen die betrokken zijn bij het incident en/of belast zijn met de afhandeling ervan. Zie ook paragraaf 2.1. (J) hiervoor.
Om u relevante informatie en gepersonaliseerde advertenties via diverse kanalen te kunnen tonen, kunnen we bepaalde identifiers (zoals bijvoorbeeld uw e-mailadres, telefoonnummer, IP-adres of uw passenger name record (PNR)) in gepseudonimiseerde (‘gehashte’) vorm met derden delen.
5.1. Algemeen Wij kunnen uw persoonsgegevens in de volgende gevallen aan derden verstrekken: (A) Voor het faciliteren van uw boekingen en reizen Om uw reserveringen en boekingen af te handelen en uw reizen en aankopen mogelijk te maken, moeten wij uw persoonsgegevens in veel gevallen uitwisselen met onze partnerairlines, luchthavenexploitanten en andere bedrijven die bij uw reis betrokken zijn (zie 3.1 (B) hierboven, ‘Hoe wij uw gegevens verzamelen’). (B) Ten behoeve van ons zakelijke loyaliteitsprogramma bluebiz Zie voor meer informatie de paragraaf ‘Wie wij zijn’ en 3.1 (C) onder ‘Hoe wij uw gegevens verzamelen’. (C) Zakelijke accounts Als u een vlucht boekt via de zakelijke account van uw werkgever, heeft uw werkgever toegang tot bepaalde boekingsgegevens, zoals de prijs van het ticket, de reisdata en uw bestemming. Uw werkgever is zelfstandig verantwoordelijk voor de wijze waarop hij uw persoonsgegevens verwerkt en u daarover informeert. (D) Voor ondersteunende of aanvullende diensten Om onze diensten te leveren, maken wij gebruik van ondersteunende of aanvullende diensten van derden, zoals IT-leveranciers, sociale-media-providers en marketing- en screeningbureaus. Al deze derden zijn verplicht uw persoonsgegevens afdoende te beschermen en deze alleen te verwerken overeenkomstig onze instructies. Binnen de Air France-KLM Groep wordt voor de bedrijfsvoering gebruikgemaakt van gecentraliseerde databases en systemen. Deze centrale databases en systemen kunnen door een van de groepsmaatschappijen worden gehost of beheerd voor de andere groepsmaatschappijen. Daarnaast kunnen bepaalde operationele functies ten behoeve van de efficiency door een van de groepsmaatschappijen worden uitgevoerd voor de andere groepsmaatschappijen. Dit betekent dat onze groepsmaatschappijen in dat kader toegang kunnen hebben tot uw persoonsgegevens. Onze groepsmaatschappijen mogen uw persoonsgegevens alleen verwerken wanneer dat nodig is voor de betreffende bedrijfsfunctie en overeenkomstig dit privacybeleid. (E) Betaaldiensten Om de betaling van uw reizen en aankopen te verwerken, kunnen wij samenwerken met derden die betaaldiensten aanbieden. Deze aanbieders controleren in veel gevallen ook op fraude. Zij hanteren een eigen privacybeleid wat betreft de wijze waarop zij van uw persoonsgegevens gebruikmaken. (F) Gepersonaliseerde marketing via sociale-mediaplatformen Zie voor meer informatie paragraaf 4.1 (E) onder ‘De doeleinden waarvoor wij uw gegevens gebruiken’. (G) Zodat onze partners hun aanbod kunnen afstemmen op uw reis Wij kunnen uw niet-persoonlijke gegevens (bestemming, reisdatum en reisduur) uitwisselen met partners die aanvullende diensten aanbieden (zoals hotelovernachtingen, autoverhuur) zodat zij hun aanbod kunnen afstemmen op uw reis. Zij hanteren een eigen privacybeleid wat betreft de wijze waarop zij van uw persoonsgegevens gebruikmaken. 5.2. Specifieke diensten, apps, evenementen, prijsvragen of acties Voor specifieke diensten, apps, evenementen, prijsvragen of acties kunnen wij uw gegevens uitwisselen met andere derden dan beschreven in dit privacybeleid. Bijvoorbeeld als we een actie of evenement samen met een partner organiseren of wij hun diensten integreren in onze apps. Wij informeren u hierover op het moment dat u zich voor de dienst, het evenement, de prijsvraag of de actie aanmeldt of als u de app downloadt. 5.3. Uitwisseling van gegevens met Transavia Op luchtvaartmaatschappijen rust een verplichting om de vliegveiligheid te waarborgen. Ten behoeve hiervan treft KLM bepaalde (noodzakelijke) veiligheidsmaatregelen. Zo houdt KLM een lijst bij van passagiers die overlast hebben veroorzaakt op de grond of aan boord (zie paragraaf 2.1. (J) en 4.2 (G) hierboven). Op basis van deze lijst kan KLM die passagiers (i) gedurende een periode van drie jaar uitsluitend onder bepaalde voorwaarden toelaten aan boord of (ii) voor een bepaalde periode weigeren aan boord. Transavia, de dochtermaatschappij van KLM, houdt eenzelfde soort lijst bij. Om de reikwijdte van de getroffen interne veiligheidsmaatregelen te vergroten, wisselen KLM en Transavia de persoonsgegevens van passagiers van wie besloten is dat zij voor een bepaalde periode geweigerd worden met elkaar uit (zie paragraaf 4.1. (G) hierboven). Een persoon die door KLM geweigerd wordt, wordt nu ook geweigerd aan boord van vluchten van Transavia (en andersom). Heeft u overlast veroorzaakt en heeft dit geleid tot plaatsing op de lijst, dan wordt u hierover persoonlijk geïnformeerd door de luchtvaartmaatschappij waar de overlast heeft plaatsgevonden. 5.4. Overheidsinstanties (A) Algemeen We kunnen wettelijk verplicht zijn om uw persoonsgegevens te verzamelen voordat u naar een ander land reist en deze gegevens te verstrekken aan de overheidsinstanties in de landen van uw reisschema. Zo kunnen we wettelijk verplicht zijn om uw identiteitsgegevens en uw boekings- en reisgegevens aan deze overheidsinstanties door te geven ten behoeve van grenscontroles, immigratieformaliteiten, het betreden van het grondgebied van het betreffende land of de bestrijding van terrorisme en andere zware misdrijven (zie 5.4 (B) hierna). Ook kunnen wij wettelijk verplicht zijn om uw gezondheidsgegevens door te geven aan de overheidsinstanties in de landen van uw reisschema om redenen van volksgezondheid (zie 2.1 (D) hierboven).
(B) PNR- en API-gegevens i. Algemeen: ingevolge de Europese verordeningen 2016/679 en 2004/82 en de toepasselijke lokale wet- en regelgeving zijn wij verplicht om PNR- en API-gegevens door te geven aan overheidsorganen, zoals de Passenger Information Units (PIU’s) in diverse landen. API (Advance Passenger Information) betreft informatie over uw vlucht en uw paspoortgegevens. PNR (Passenger Name Record) betreft alle informatie over uw boekingen, zoals vluchtgegevens, passagiers in de boeking en betaalgegevens. Wij geven deze PNR-gegevens voor alle vluchten door aan de Nederlandse PIU (Pi-NL). Als dit vereist is, geven we de API- en PNR-gegevens ook door aan de instanties in landen buiten Nederland. ii. Landenspecifiek: - Frankrijk: ingevolge artikel L 237 -7 van de Franse binnenlandse veiligheidswet kan KLM verplicht zijn om uw reserverings-, incheck- en boardinggegevens (API/PNR) door te geven aan de bevoegde nationale instanties in Frankrijk voor de doeleinden en onder de voorwaarden als beschreven in Besluit nr. 2014-1095 van 26 september 2014, zoals nadien gewijzigd bij Besluit nr. 2018/714 van 3 augustus 2018.
5.5. Websites van derden Onze websites en mobiele apps bevatten links naar websites van derden. Als u deze links volgt, verlaat u onze websites of mobiele apps. Dit privacybeleid is niet van toepassing op de websites van derden. Meer informatie over hoe derden met uw persoonsgegevens omgaan, vindt u in hun privacy- en/of cookiebeleid (indien beschikbaar).
6.1. Veiligheid (A) Onze inzet Borging van de veiligheid en vertrouwelijkheid van uw persoonsgegevens heeft bij ons prioriteit. Rekening houdend met de aard van uw persoonsgegevens en de risico's van verwerking, hebben wij alle passende technische en organisatorische maatregelen getroffen die vereist zijn op grond van de geldende wettelijke voorschriften (met name artikel 32 van de Algemene Verordening Gegevensbescherming (AVG)), zodat een passend veiligheidsniveau is geborgd en met name ter voorkoming van onbedoelde of onrechtmatige vernietiging, verlies, wijziging of verstrekking van, inbreuk op of onbevoegde toegang tot deze gegevens. (B) De veiligheidsmaatregelen die wij hebben getroffen i. Banktransacties: wij zijn verplicht om te voldoen aan het bepaalde in de Data Security Standard for the Payment Card Industry (de PCI DSS-standaard) van de PCI Security Standards Council (PCI SSC). Deze standaard is ontwikkeld om meer controle te krijgen over de gegevens van pashouders en om fraude met betaalinstrumenten aan te pakken. Alle dienstverleners van KLM die bankpasgegevens verwerken, dienen aan deze PCI DSS-standaard te voldoen. We willen identiteitsdiefstal op internet zo veel mogelijk tegengaan. Om die reden maken we bijvoorbeeld gebruik van apparatuur om frauduleuze betalingen te signaleren, zodat u in geval van verlies of diefstal van uw bankpas bent beschermd. ii. Organisatorische maatregelen: wij hebben diverse organisatorische maatregelen getroffen ter vergroting van de alertheid bij onze medewerkers en ten behoeve van de verantwoording. Er zijn programma's geïntroduceerd die zorgen voor een groter bewustzijn en tegelijk de uitwisseling van ‘good practices’ en veiligheidsstandaarden bevorderen. In dat kader hebben onze medewerkers toegang tot een breed scala aan documenten over informatiebeveiliging en privacybescherming en alles wat daarbij komt kijken. iii. Technische maatregelen: we houden streng toezicht op de fysieke en logische toegang tot de interne servers waarop uw persoonsgegevens gehost of verwerkt worden. We beveiligen ons netwerk met de nieuwste hardware (Firewall, IDS, DLP etc.) en architectuur (met inbegrip van veiligheidsprotocollen zoals TLS 1.2) om de risico's van cybercriminaliteit te voorkomen en te beperken. (C) De ontwikkeling van onze beveiligingssystemen Om een passend veiligheidsniveau te handhaven, beschikken wij over interne processen volgens de beste standaarden (met name de ISO 27000-standaarden). We maken gebruik van ter zake kundige professionals om een zo hoog mogelijk beschermingsniveau te borgen. In dat kader onderhouden wij een speciale relatie met het NCSC (National Cyber Security Centre). (D) Wat u zelf kunt doen Bij de beveiliging en geheimhouding van persoonsgegevens draait het om een optimale inzet van alle betrokkenen. Wanneer u een reservering maakt, ontvangt u bestandsreferenties. Deze boekingsreferenties dienen te allen tijde geheim te blijven. Als deze referenties bij andere passagiers terechtkomen, kunnen zij uw boekingsgegevens inzien via onze systemen of die van derden die bij de uitvoering van uw reis zijn betrokken (zoals reisbureaus en online zoek- en boekingssites). Als u samen reist en niet wilt dat uw reisgenoten inzage hebben in uw persoonsgegevens, raden wij u aan om apart te boeken. Ook adviseren wij u om de wachtwoorden die u voor onze diensten gebruikt, niet aan derden te verstrekken, om systematisch uit uw profiel en sociale account uit te loggen (zeker bij gekoppelde accounts) en om het browserscherm na afloop van uw sessie te sluiten, met name als u vanaf een openbare computer van internet gebruikmaakt. Zo voorkomt u dat andere gebruikers uw persoonsgegevens kunnen inzien. Om het risico van hacking te voorkomen, raden wij aan om voor elke online dienst waarvan u gebruikmaakt, een ander wachtwoord te gebruiken. Wij zijn niet verantwoordelijk voor diefstal van uw gegevens op een platform dat niet door ons wordt beheerd. Daarnaast adviseren wij u met klem om door KLM verstrekte bescheiden waarin uw persoonsgegevens (uw boardingpass, ticketnummer etc.) of andere gegevens over uw reis zijn opgenomen, niet aan derden te verstrekken en ook niet op een sociaal netwerk te publiceren. Als u deze bescheiden toch op sociale media plaatst, dient u bekend te zijn met de algemene gebruiksvoorwaarden, de informatiebeveiliging en het privacybeleid van de betreffende netwerkaanbieders. Wij zijn niet verantwoordelijk voor de wijze waarop uw gegevens op een dergelijk platform worden verwerkt, opgeslagen of doorgegeven. Meer informatie over onze IT-beveiliging is te vinden in onze IT-beveiligingsportal. (E) Beheersing van veiligheidsincidenten 'Nul risico' bestaat niet en zelfs als we alle passende veiligheidsmaatregelen treffen, kunnen er nog onvoorziene dingen gebeuren. Wij beschikken over specifieke procedures en middelen om veiligheidsincidenten zo goed mogelijk te beheersen.Daarnaast hanteren we een specifieke procedure voor het beoordelen van potentiële datalekken die kunnen resulteren in onbedoelde of onrechtmatige vernietiging, verlies, wijziging of onbevoegde verstrekking van of toegang tot uw persoonsgegevens, voor het tijdig melden van datalekken bij de bevoegde toezichthouder en aan u als we denken dat het datalek een hoog risico inhoudt voor uw rechten en vrijheden. We testen periodiek of de veiligheidsinstallaties functioneren en of de gehanteerde procedures en apparatuur afdoende zijn. 6.2. Bewaring Wij bewaren uw persoonsgegevens niet langer dan noodzakelijk is. Hoe lang uw persoonsgegevens worden bewaard, hangt af van de doeleinden waarvoor deze gegevens worden verwerkt en van de geldende wettelijke bewaartermijn.
9.1. Dit privacybeleid treedt in werking op 15 september 2022 en vervangt ons privacybeleid d.d. 20 augustus 2020. Dit privacybeleid wordt van tijd tot tijd herzien. Wij informeren u over eventuele wijzigingen voordat deze in werking treden.