Privacyverklaring
Onze privacytoezegging aan u
Wanneer u gebruiktmaakt van onze producten en diensten, vertrouwt u ons uw persoonsgegevens toe. Wij vinden deze relatie extreem belangrijk en beloven u het volgende:
- Wij verwerken uw persoonsgegevens volgens de Europese wet- en regelgeving voor gegevensbescherming en andere privacywetgeving die van toepassing is om uw persoonsgegevens te beschermen tegen onbevoegde toegang en om veilige gegevensoverdrachten te garanderen.
- Wij zijn transparant over hoe wij uw verzamelde persoonsgegevens gebruiken.
- Wij maken vooraf duidelijk wat het voordeel van het delen van uw persoonsgegevens is en sluiten onze communicatie aan op uw behoeften en voorkeuren.
- Wij doen dit in begrijpbare taal en gedurende de hele klantreis met KLM en partnermaatschappijen.
- Wij zorgen dat u controle heeft over uw persoonsgegevens en gebruiken uw feedback om onszelf continu te verbeteren.
- Wij zorgen dat uw persoonsgegevens veilig zijn bij ons. In het onwaarschijnlijke geval dat uw persoonsgegevens zijn gelekt, zorgen wij ervoor dat het lek zo snel mogelijk wordt gestopt en u onmiddellijk op de hoogte wordt gesteld.
- Als wij uw persoonsgegevens buiten onze organisatie moeten vrijgeven, beschrijven wij dit expliciet in onze privacyverklaring. Wij delen, verkopen of geven uw persoonsgegevens niet aan een externe organisatie zonder uw nadrukkelijke toestemming.
- Wij gaan betrouwbaar met uw persoonsgegevens om en streven naar internationale certificeringen (zoals ISO-27001).
Over deze privacyverklaring
Deze privacyverklaring is van toepassing op alle persoonsgegevens die KLM verwerkt wanneer u als klant onze websites of mobiele apps gebruikt of contact met ons opneemt. Wij verwerken uw persoonsgegevens primair om uw boeking af te handelen, uw reis en aankopen te verzorgen en uw vragen te beantwoorden. Wij gebruiken uw gegevens ook om u aanbiedingen te doen die zijn afgestemd op uw interesses en voorkeuren. In deze privacyverklaring vindt u meer informatie over de persoonsgegevens die wij verzamelen en verwerken en welke rechten u heeft. Voor meer informatie, klik hieronder op de betreffende paragraaf.
Op de verwerking van persoonsgegevens door KLM van inwoners of ingezetenen van onderstaande landen zijn aanvullende bepalingen van toepassing. Deze bepalingen kunnen afwijken van de bepalingen in deze privacyverklaring, bijvoorbeeld in het kader van bewaartermijnen of uw rechten. Voor zover de aanvullende bepalingen tegenstrijdigheden bevatten ten opzichte van de bepalingen in deze privacyverklaring, hebben de aanvullende bepalingen voorrang. Via onderstaande links kunt u de aanvullende bepalingen raadplegen:
China (beschikbaar in het Engels en Chinees)
Met onze dochtermaatschappij Transavia Airlines CV (‘Transavia’, eveneens onderdeel van de Air France-KLM Groep) wisselen wij persoonsgegevens uit van passagiers die (ernstige) overlast veroorzaakt hebben en van wie besloten is dat zij geweigerd worden aan boord (zie ook 2.1 (J), 4.1 (G) en 5.3 hieronder). Transavia is een luchtvaartmaatschappij gevestigd aan de Piet Guilonardweg 15, 1117 EE Schiphol, Nederland. Wij zijn samen met Transavia verantwoordelijk voor de verwerking van uw persoonsgegevens die in het kader van de uitwisseling plaatsvindt. Een onderlinge regeling bepaalt onze wederzijdse verantwoordelijkheden voor de naleving van de toepasselijke privacywetgeving waaronder de uitoefening van uw rechten (zie 8 ‘Uw rechten hieronder’).
2.1. Algemeen
Wij kunnen de volgende categorieën persoonsgegevens verzamelen en verwerken:
(A) Naam, paspoortnummer en overige identiteitsgegevens Als u een reservering plaatst of een vlucht bij ons boekt, registreren wij uw naam, titel, geslacht, geboortedatum, nationaliteit, woonland en paspoortgegevens. Als u een reservering plaatst of een vlucht boekt voor andere personen, registreren wij ook hun identiteitsgegevens. U dient ervoor te zorgen dat zij weten dat wij hun persoonsgegevens verzamelen en op welke wijze wij van die gegevens gebruikmaken.
(B) Uw contactgegevens en gegevens over uw persoonlijke account of registratie Wij kunnen uw adres, telefoonnummer en e-mailadres verzamelen. Als u zich voor een dienst, evenement, prijsvraag of actie registreert of een persoonlijk account aanmaakt, kunnen we ook uw inloggegevens en andere informatie vastleggen die u bij het registreren of op het accountformulier invult. Reist u voor zaken, dan registreren wij ook gegevens over uw organisatie, zoals naam en adres.
(C) Informatie over uw reserveringen, boekingen en aankopen Als u een reservering plaatst of een vlucht bij ons boekt, verwerken wij uw reserverings- en boekingsgegevens, zoals gegevens over uw vlucht, de prijzen en de datum van uw reservering of boeking. Daarnaast verwerken wij gegevens over de aankoop van aanvullende diensten (zoals extra bagage, upgrades, WiFi aan boord) en producten.
(D) Informatie met betrekking tot uw reis Als u met ons reist, verwerken wij informatie over uw reis zoals uw reisschema, online of op de luchthaven inchecken, mobiele of geprinte boardingpass, en informatie over uw reisgenoten. Ook kunnen we uw specifieke medische behoeften of dieetwensen en eventueel benodigde aanvullende hulp vastleggen.
Vóór het boarden of uitstappen, kunnen wij ook gezondheidscontroles uitvoeren of uw gezondheidsgegevens verzamelen of gebruiken omdat wij hiertoe wettelijk verplicht zijn, om redenen van algemeen belang op het gebied van de volksgezondheid, of met uw uitdrukkelijke toestemming.
Wanneer zich tijdens uw reis een incident voordoet, bijvoorbeeld met betrekking tot uw gezondheid of fysieke toestand, kan onze crew bepaalde informatie verwerken over dit incident. Dit kan nodig zijn voor uw eigen gezondheid of veiligheid of om te voldoen aan toepasselijke voorschriften, codes of richtlijnen, bijvoorbeeld van hulpverleners.
Op sommige luchthavens kan uw identiteit als onderdeel van toegangscontroles, veiligheidsmaatregelen en beveiligingsprocedures (zoals koppeling van ingecheckte bagage aan de juiste passagier) worden geverifieerd aan de hand van biometrische kenmerken, bijvoorbeeld via gezichtsherkenning. Van de externe organisatie die deze controles of procedures verzorgt, ontvangen wij normaliter een bevestiging dat uw identiteit is geverifieerd (een identiteitsbevestiging). Tenzij anders aangegeven, ontvangen wij geen andere persoonsgegevens over u dan die waarover wij al beschikken (zoals gegevens op uw boardingpass). Wij ontvangen geen biometrische gegevens (zoals een gezichtsafbeelding). De externe organisatie die de biometrische identificatie verzorgt is verantwoordelijke voor de verwerking van uw biometrische gegevens. Voor meer informatie over de verwerking van uw persoonsgegevens door deze organisatie, verwijzen wij naar het privacybeleid van de desbetreffende organisatie. Voor meer informatie over de doeleinden waarvoor wij de identiteitsbevestiging gebruiken verwijzen we naar 4.1 (H).
We kunnen wettelijk verplicht zijn om een kopie van uw identiteitsbewijs te maken (zie 5.4 (A) hierna voor meer informatie).
Wij hechten groot belang aan veiligheid. Daarom maken wij in bepaalde gevallen gebruik van cameratoezicht in en rond gebouwen en terreinen, aan boord van onze vluchten en op bepaalde plaatsen in luchthavens waar wij actief zijn (zie 4.1 (H) hierna voor meer informatie).
(F) Onze communicatie met u Als u ons een e-mail stuurt, met ons chat via de website, of contact met ons opneemt online of via sociale media met ons chat, registreren wij uw berichten. Als u ons belt, legt onze klantenservice uw vragen of klachten vast in onze database. Ook kunnen we telefoongesprekken opnemen voor trainingsdoeleinden of ter preventie en bestrijding van fraude. Wij registreren uw communicatievoorkeuren, bijvoorbeeld wanneer u zich aan- of afmeldt voor één van onze nieuwsbrieven, de nieuwsbrieven die we versturen in het kader van onze loyaliteitsprogramma’s of voor onze partners, of als u ervoor kiest om informatie of alerts over uw boeking te ontvangen (zoals uw boardingpass en updates over uw vluchtstatus) via andere kanalen dan e-mail (zoals WhatsApp, Messenger of WeChat).
(H) Gegevens met betrekking tot sociale media en zoekmachineplatformen Afhankelijk van uw instellingen kunnen wij gegevens ontvangen van uw sociale-netwerkprovider en het zoekmachineplatform dat u gebruikt. Als u bijvoorbeeld via een social media-account inlogt op onze diensten, kunnen wij uw social media-profiel ontvangen, met uw contactgegevens, interesses en contactpersonen. Daarnaast ontvangen we bezoekersstatistieken van Meta in verband met onze Facebook-fanpagina. KLM is samen met Meta verantwoordelijk voor deze bezoekersstatistieken. U kunt contact opnemen met Meta of het Privacy Office van KLM (zie 8 hierna) als u uw rechten wilt uitoefenen of als u een klacht heeft over de verwerking van uw persoonsgegevens. Meta behandelt uw verzoeken tot uitoefening van uw rechten en eventuele klachten. Wij helpen Meta zo nodig bij de behandeling van uw verzoek of klacht. Meer informatie over de persoonsgegevens die wij van sociale-netwerkproviders en zoekmachineplatforms ontvangen en over het wijzigen van uw instellingen, vindt u op de website en in het privacybeleid van deze partijen.
(I) Informatie die u met ons wilt delen Wij verwerken de informatie die u op eigen initiatief met ons deelt, bijvoorbeeld als u uw interesses en voorkeuren kenbaar maakt op onze website, een reactie plaatst op onze Facebookpagina, meedoet aan een klantenonderzoek of zich inschrijft voor een prijsvraag. Ook verwerken wij informatie die u zelf aanvullend in het kader van uw boeking aan ons verstrekt, bijvoorbeeld specifieke wensen of behoeften.
(J) Passagiers die overlast veroorzaken of misbruik maken van onze diensten KLM houdt een lijst bij van passagiers die overlast hebben veroorzaakt op de grond of aan boord. Onder overlast wordt onder meer verstaan: handelen in strijd met de veiligheid, verstoring van de openbare orde, toebrengen van letsel aan grondpersoneel, crew of passagiers en toebrengen van schade aan onze eigendommen. Ten behoeve van deze lijst verwerken wij de namen van de passagiers, hun geslacht, geboortedatum, e-mailadres, vluchtgegevens, het gespreksverslag (hoor en wederhoor), een korte feitelijke beschrijving van het incident en de ernst van de overlast, het soort en de duur van de genomen veiligheidsmaatregelen en indien van toepassing een kopie van het proces-verbaal. Wij kunnen een beperkt deel van deze gegevens (voor- en achternaam, geboortedatum en de duur van de opgelegde veiligheidsmaatregel) delen met onze dochtermaatschappij Transavia (zie ook 1 hiervoor en 3 (G), 4.1. (G) en 5.3. hieronder). KLM houdt ook een lijst bij van passagiers die misbruik maken van onze diensten (met inbegrip van de loyaliteitsprogramma’s Flying Blue en Bluebiz). Hiervoor verwerken wij de namen van de passagiers, hun geboortedatum en ticketnummer en een korte feitelijke beschrijving van het incident en de ernst van het misbruik. Zie voor meer informatie 4.1 (G) hieronder.
2.2 Speciale categorieën persoonsgegevens
2.3 Kinderen onder de 16 jaar
Wanneer u gegevens over kinderen aan ons verstrekt in het kader van het boeken van een vlucht of de aankoop van een dienst of product, verzamelen wij deze gegevens. Als een kind alleen reist, registreren wij niet alleen de contactgegevens van de ouder(s) of wettelijk vertegenwoordiger(s), maar ook de contactgegevens van degene die het kind naar de luchthaven brengt of daar ophaalt.
2.4 Specifieke diensten, mobiele apps, evenementen, prijsvragen of acties
Voor specifieke diensten, mobiele apps, evenementen, prijsvragen of acties kunnen wij andere soorten gegevens verzamelen dan beschreven in deze privacyverklaring. Wij informeren u hierover op het moment dat u zich voor de dienst, het evenement, de prijsvraag of de actie aanmeldt of als u de app downloadt.
Wij verzamelen de hiervoor genoemde categorieën van persoonsgegevens als volgt:
(A) Door u verstrekte persoonsgegevens Wanneer u een vlucht bij ons boekt, een online account aanmaakt, zich aanmeldt voor ons zakelijke loyaliteitsprogramma Bluebiz, via sociale media contact met ons opneemt, deelneemt aan een klantenonderzoek, contact opneemt met onze klantenservice, zich inschrijft voor onze e-mails of mobiele pushberichten of zich aanmeldt voor een van onze evenementen of acties.
(B) Persoonsgegevens die wij ontvangen van uw reisagent, onze airline partners en overige bedrijven die betrokken zijn bij uw reis Wij ontvangen uw gegevens van deze partijen om uw reserveringen en boekingen af te handelen en uw reizen en aankopen mogelijk te maken. Als u bijvoorbeeld een vlucht boekt via een reisagent of online platform, ontvangen wij uw identiteits-, contact- en boekingsgegevens van deze derden.
(E) Als u gebruikmaakt van een sociaal netwerk of van een zoekmachineplatform, kunnen wij ook gegevens van deze partijen ontvangen Zie voor meer informatie 2.1 (H) hierboven.
(F) Wij ontvangen bepaalde informatie ten behoeve van de veiligheid aan boord van het vliegtuig van de overheid, overheidsinstanties, de luchthaven of hieraan gelieerde organisaties KLM ontvangt de namen van personen die door de Staat der Nederlanden of een overheidsinstantie op een zwarte lijst zijn geplaatst. Dit gebeurt bijvoorbeeld bij passagiers die uitstappen op Schiphol en bij wie door de Koninklijke Marechaussee drugs zijn aangetroffen. Zie voor meer informatie 4.1 (G) hierna. Op sommige luchthavens kan uw identiteit als onderdeel van toepasselijke toegangscontroles, veiligheidsmaatregelen en beveiligingsprocedures (zoals koppeling van ingecheckte bagage aan de juiste passagier) worden geverifieerd aan de hand van biometrische kenmerken. Zie voor meer informatie 2(D) hiervoor.
(G) Als u overlast veroorzaakt verzamelen wij bepaalde informatie ten behoeve van de vliegveiligheid Als u voor of tijdens een vlucht overlast veroorzaakt, maakt KLM daarvan een rapport op. Dat rapport kan, behalve de gegevens die reeds aan ons zijn verstrekt in het kader van uw boeking of reservering (bijvoorbeeld naam en geboortedatum), ook informatie bevatten die afkomstig is van personen die betrokken zijn bij het incident en/of belast zijn met de afhandeling ervan. Zie ook 2.1 (J) hiervoor.
4.1. De belangrijkste doeleinden waarvoor wij uw gegevens gebruiken
(A) Om onze diensten aan u te leveren Wij gebruiken de onder 2.1 (A) tot en met (G) beschreven informatie om uw reserveringen en boekingen af te handelen en uw reizen en aankopen mogelijk te maken. We maken bijvoorbeeld gebruik van uw naam, paspoortnummer en andere identiteitsgegevens om uw ticket te kunnen verstrekken. Wij gebruiken uw contactgegevens om wijzigingen in de vluchtstatus aan u door te geven. Als de personen in uw boeking deelnemen aan ons loyaliteitsprogramma Flying Blue, gebruiken wij de door hen verstrekte contactgegevens om hen te informeren over hun vlucht en over eventuele wijzigingen in de vluchtstatus. Informatie over uw specifieke medische behoeften hebben wij nodig en gebruiken wij alleen om ervoor te kunnen zorgen dat u de juiste zorg ontvangt.
(B) Om ons zakelijke loyaliteitsprogramma Bluebiz uit te voeren
(C) Om onze online diensten en mobiele apps aan u te leveren en te zorgen voor een prettige digitale ervaring i. Wij gebruiken uw naam en vluchtgegevens bijvoorbeeld als u met onze app incheckt voor uw vlucht. ii. Bij onze online diensten en apps wordt soms gebruikgemaakt van uw locatie, bijvoorbeeld om u de dichtstbijzijnde bezienswaardigheid te laten zien. iii. Om u een optimale digitale ervaring te bieden, analyseren wij uw digitale-mediagebruik. Zo stemmen we bijvoorbeeld onze communicatie af op het digitale kanaal of apparaat dat u het meest gebruikt (zie 2.1 (G)). iv. Als u uw boekingsprocedure afbreekt op onze website, sturen wij u een e-mail met een link naar uw boekingsprocedure, zodat u kunt doorgaan waar u was gebleven. U ontvangt een vergelijkbare mail als u de boekingsprocedure afbreekt op de website van onze partner Airtrade, die package deals aanbiedt. We sturen deze e-mails alleen op uw verzoek of als u akkoord bent gegaan met het per e-mail ontvangen van updates en speciale aanbiedingen (zie 4.1 (E)). U kunt uw toestemming voor deze e-mails op elk moment intrekken door op de afmeldlink in de e-mail te klikken, door uw communicatievoorkeuren in uw account aan te passen (indien beschikbaar) of door contact met ons op te nemen (zie 8 ‘Uw rechten’ hieronder).
(F) Om met u te communiceren Wij gebruiken uw contactgegevens om met u te communiceren over onze diensten of het loyaliteitsprogramma, om uw vragen te beantwoorden of om uw klachten te behandelen.
(G) Passagiers die overlast veroorzaken of misbruik maken van onze diensten i.Algemeen: KLM houdt lijsten bij van passagiers die overlast hebben veroorzaakt of misbruik hebben gemaakt van onze diensten (zie 2.1 (J) hierboven). KLM kan deze passagiers afhankelijk van de ernst van de gedraging in beginsel (i) gedurende een periode van drie jaar uitsluitend onder bepaalde voorwaarden toelaten aan boord of (ii) voor vijf jaar weigeren op onze vluchten. In geval van verzwarende omstandigheden (zoals bij herhaalde misdragingen) kan KLM in een concreet geval besluiten om een passagier langer dan vijf jaar te weigeren op vluchten. In zeer ernstige gevallen kan KLM zelfs besluiten om een passagier levenslang te weigeren. Voor het verwerken van deze bijzondere informatie ten aanzien van kinderen hanteren wij andere richtlijnen. Kinderen onder de 15 jaar die overlast veroorzaken worden door KLM niet op de lijst geplaatst. Ten aanzien van kinderen van 15 en 16 jaar kan KLM besluiten dat zij voor een periode van maximaal één jaar uitsluitend onder bepaalde voorwaarden worden toegelaten aan boord. De passagiers op de lijsten die voor 5 jaar of langer geweigerd worden, worden persoonlijk (zo mogelijk per e-mail) geïnformeerd over het feit dat zij op de lijst zijn geplaatst, de reden voor plaatsing, welke veiligheidsmaatregelen jegens hen zijn genomen, hoe lang deze op hen van toepassing zijn en waar zij een klacht of bezwaar kunnen indienen tegen de plaatsing. Meer informatie over inzage in of correctie van deze gegevens vindt u hieronder in 8 ‘Uw rechten’. ii. Illegale drugs: KLM ontvangt van de Staat der Nederlanden de namen van passagiers die op Schiphol zijn uitgestapt en bij wie door de Koninklijke Marechaussee illegale drugs zijn aangetroffen. KLM kan gedurende een periode van 3 jaar weigeren om deze personen te vervoeren op rechtstreekse vluchten vanaf Schiphol naar Suriname, Aruba, Bonaire, St. Maarten of Curaçao en op rechtstreekse vluchten vanuit deze landen naar Schiphol. U kunt inzage in of correctie van deze gegevens aanvragen door een schriftelijk verzoek daartoe in te dienen bij de Koninklijke Marechaussee, Postbus 90615, 2509 LP Den Haag. Indien u woonachtig bent op Aruba, Curaçao, Sint-Maarten, in Suriname of in Venezuela dient u bij dit schriftelijke verzoek een kopie van uw paspoort mee te sturen.
(H) Voor onze bedrijfsvoering of om aan wettelijke verplichtingen te voldoen Wij verzamelen, gebruiken en bewaren uw persoonsgegevens zoals beschreven onder 2 om onze diensten te kunnen leveren. Dit omvat het uitvoeren van vluchten, het waarborgen van de vliegveiligheid, beveiliging en het bijhouden van onze administratie.
In bepaalde gevallen maken wij gebruik van cameratoezicht. We beogen daarmee onder meer een veilige werkomgeving voor ons personeel te waarborgen, de eigendommen van passagiers en KLM te beveiligen en ongewenste activiteiten, zoals diefstal of fraude, te voorkomen of op te sporen.
Wij controleren op basis van de boekingsinformatie en bijbehorende gegevens of er redenen zijn waarom we passagiers niet mee kunnen nemen op een vlucht, rekening houdend met mogelijke inreisbeperkingen op de bestemming en een en ander conform de KLM Algemene Vervoersvoorwaarden. Voor deze controle wordt een deels geautomatiseerd proces gebruikt. Het besluit om een passagier niet mee te nemen wordt altijd door een medewerker genomen en indien dit gevolgen heeft voor uw geplande reis, ontvangt u daarover bericht van ons.
We verwerken uw gegevens ook om onze bedrijfsvoering te verbeteren. Zo gebruiken we opnames van telefoongesprekken om onze medewerkers van de klantenservice te trainen (zie 2.1 (F)).
Verder verwerken wij uw persoonsgegevens om onze wettelijke en fiscale verplichtingen na te leven en ten behoeve van fraudepreventie en -bestrijding en geschillenbeslechting. Bij fraude of misbruik van onze diensten kunnen wij uw persoonsgegevens opnemen in onze interne fraudebeheersings- en waarschuwingssystemen (zie 4.1 (G) hierboven).
4.2 Specifieke diensten, apps, evenementen, prijsvragen of acties
Voor specifieke diensten, apps, evenementen, prijsvragen of acties kunnen wij gebruikmaken van andere soorten gegevens dan beschreven in deze privacyverklaring. Wij informeren u hierover op het moment dat u zich voor de dienst, het evenement, de prijsvraag of de actie registreert of als u de app downloadt.
4.3 Wettelijke grondslag
We kunnen uw persoonsgegevens uitsluitend verwerken als wij daarvoor een wettelijke grondslag hebben. In veel gevallen hebben wij uw persoonsgegevens nodig om uw boeking in ontvangst te nemen en te verwerken, uw vlucht of aankopen te verzorgen, uw deelname aan onze loyaliteitsprogramma’s mogelijk te maken of om uw vragen te beantwoorden (zie 4.1 (A), (B) en (G) hierboven). Wij verwerken uw gegevens dan op de rechtsgrond ‘noodzakelijk voor de uitvoering van een overeenkomst’. Als u toestemming heeft gegeven voor de verwerking van uw persoonsgegevens (welke toestemming u te allen tijde weer kunt intrekken, zie 8 ‘Uw rechten’ hieronder), verwerken wij uw gegevens op basis van die toestemming. In bepaalde gevallen kunnen wij uw persoonsgegevens gebruiken als wij of derden daarbij een gerechtvaardigd belang hebben. Wij maken altijd een zorgvuldige afweging van alle belangen: uw belangen, die van anderen en die van KLM. Op deze laatste grondslag van gerechtvaardigd belang verwerken wij uw gegevens bijvoorbeeld voor vliegveiligheidsdoeleinden, beveiliging, statistisch onderzoek, direct marketing of gepersonaliseerde kortingen en aanbiedingen (zie 4.1 (C), (D), (E), (G) en (H) hierboven voor meer informatie). Wij kunnen een wettelijke plicht hebben om uw gegevens te verwerken, bijvoorbeeld om te voldoen aan immigratieformaliteiten (zie 4.1 (H)). Indien u weigert om de persoonsgegevens te verstrekken die we nodig hebben voor de uitvoering van de overeenkomst die we met u hebben gesloten of voor de naleving van een wettelijke verplichting, kunnen we mogelijk niet alle diensten leveren waarom u heeft verzocht. In dat geval moeten we bijvoorbeeld uw boeking annuleren of kunnen we de door u gewenste aanvullende diensten niet leveren. Als u onvolledige of onjuiste gegevens heeft verstrekt, kunnen wij ons genoodzaakt zien om u de toegang tot uw vlucht te ontzeggen of het betreden van buitenlands grondgebied te weigeren.
5.1. Algemeen
Wij kunnen uw persoonsgegevens in de volgende gevallen aan derden verstrekken:
(A) Voor het faciliteren van uw boekingen en reizen Om uw reserveringen en boekingen af te handelen en uw reizen en aankopen mogelijk te maken, moeten wij uw persoonsgegevens in veel gevallen uitwisselen met onze partnerairlines, luchthavenexploitanten en andere bedrijven die bij uw reis betrokken zijn (zie 3.1 (B) hierboven, ‘Hoe wij uw gegevens verzamelen’). Daarnaast wisselen we uw gegevens uit met SkyTeam en de leden van de SkyTeam Alliance om u een meer naadloze reiservaring te bieden (zie 1 hierboven).
(B) Ten behoeve van ons zakelijke loyaliteitsprogramma Bluebiz Zie voor meer informatie ‘Wie wij zijn’ en 3.1 (C) onder ‘Hoe wij uw gegevens verzamelen’.
(C) Met betrekking tot zakelijke accounts Als u een vlucht boekt via de zakelijke account van uw werkgever, heeft uw werkgever toegang tot bepaalde boekingsgegevens, zoals de prijs van het ticket, de reisdata en uw bestemming. Uw werkgever is zelfstandig verantwoordelijk voor de wijze waarop hij uw persoonsgegevens verwerkt en u daarover informeert.
(D) Voor ondersteunende of aanvullende diensten Om onze diensten te leveren, maken wij gebruik van ondersteunende of aanvullende diensten van derden, zoals IT-leveranciers, sociale-mediaproviders en marketing- en screeningbureaus. Al deze derden zijn verplicht uw persoonsgegevens afdoende te beschermen en deze alleen te verwerken overeenkomstig onze instructies. Binnen de Air France-KLM Groep wordt voor de bedrijfsvoering gebruikgemaakt van gecentraliseerde databases en systemen. Deze centrale databases en systemen kunnen door een van de groepsmaatschappijen worden gehost of beheerd voor de andere groepsmaatschappijen. Daarnaast kunnen bepaalde operationele functies ten behoeve van de efficiëntie door een van de groepsmaatschappijen worden uitgevoerd voor de andere groepsmaatschappijen. Dit betekent dat onze groepsmaatschappijen in dat kader toegang kunnen hebben tot uw persoonsgegevens. Onze groepsmaatschappijen mogen uw persoonsgegevens alleen verwerken wanneer dat nodig is voor de betreffende bedrijfsfunctie en overeenkomstig deze privacyverklaring.
(E) Met betrekking tot betaaldiensten
Om de betaling van uw reizen en aankopen te verwerken, kunnen wij samenwerken met derden die betaaldiensten aanbieden. Deze aanbieders controleren in veel gevallen ook op fraude. Voor meer informatie over de verwerking van uw persoonsgegevens door deze aanbieders, verwijzen wij naar het privacybeleid van de desbetreffende aanbieders.
(F) Gepersonaliseerde marketing via sociale-mediaplatformen
Zie voor meer informatie 4.1 (E) onder ‘De doeleinden waarvoor wij uw gegevens gebruiken’.
(G) Zodat onze partners hun aanbod kunnen afstemmen op uw reis
Wij kunnen uw niet-persoonlijke gegevens (bestemming, reisdatum en reisduur) uitwisselen met partners die aanvullende diensten aanbieden (zoals hotelovernachtingen en autoverhuur) zodat zij hun aanbod kunnen afstemmen op uw reis. Voor meer informatie over de verwerking van uw persoonsgegevens door deze partners, verwijzen wij naar het privacybeleid van de desbetreffende partners.
5.2. Specifieke diensten, apps, evenementen, prijsvragen of acties
Voor specifieke diensten, apps, evenementen, prijsvragen of acties kunnen wij uw gegevens uitwisselen met andere derden dan beschreven in deze privacyverklaring. Bijvoorbeeld als we een actie of evenement samen met een partner organiseren of wij hun diensten integreren in onze apps. Wij informeren u hierover op het moment dat u zich voor de dienst, het evenement, de prijsvraag of de actie aanmeldt of als u de app downloadt.
5.3. Uitwisseling van gegevens met Transavia
Op luchtvaartmaatschappijen rust een verplichting om de vliegveiligheid te waarborgen. Ten behoeve hiervan treft KLM bepaalde (noodzakelijke) veiligheidsmaatregelen. Zo houdt KLM een lijst bij van passagiers die overlast hebben veroorzaakt op de grond of aan boord (zie 2.1. (J) en 4.2 (G) hierboven). Op basis van deze lijst kan KLM die passagiers (i) gedurende een periode van drie jaar uitsluitend onder bepaalde voorwaarden toelaten aan boord of (ii) voor een bepaalde periode weigeren aan boord. Transavia, de dochtermaatschappij van KLM, houdt eenzelfde soort lijst bij. Om de reikwijdte van de getroffen interne veiligheidsmaatregelen te vergroten, wisselen KLM en Transavia de persoonsgegevens van passagiers van wie besloten is dat zij voor een bepaalde periode geweigerd worden met elkaar uit (zie 4.1. (G) hierboven). Een persoon die door KLM geweigerd wordt, wordt nu ook geweigerd aan boord van vluchten van Transavia (en andersom). Heeft u overlast veroorzaakt en heeft dit geleid tot plaatsing op de lijst, dan wordt u hierover persoonlijk geïnformeerd door de luchtvaartmaatschappij waar de overlast heeft plaatsgevonden.
5.4. Overheidsinstanties
(A) Algemeen We kunnen wettelijk verplicht zijn om uw persoonsgegevens te verzamelen voordat u naar een ander land reist en deze gegevens te verstrekken aan de overheidsinstanties in de landen van uw reisschema. Zo kunnen we wettelijk verplicht zijn om uw identiteitsgegevens, uw boekings- en reisgegevens aan deze overheidsinstanties door te geven ten behoeve van grenscontroles, immigratieformaliteiten, het betreden van het grondgebied van het betreffende land of de bestrijding van terrorisme en andere zware misdrijven (zie 5.4 (B) hierna). Als u vertrekt vanuit bepaalde landen zijn we in specifieke gevallen wettelijk verplicht om een kopie van uw paspoort te maken en deze op verzoek aan de Nederlandse overheid te verstrekken. Ook kunnen wij wettelijk verplicht zijn om uw gezondheidsgegevens door te geven aan de overheidsinstanties in de landen van uw reisschema om redenen van volksgezondheid (zie 2.1 (D) hierboven).
Tot slot delen we camerabeelden met bevoegde instanties als dat noodzakelijk is om de veiligheid van onze passagiers, medewerkers of eigendommen te waarborgen of wanneer we hiertoe wettelijk verplicht zijn (zie 4.1 (H) hierboven).
(B) PNR- en API-gegevens i. Algemeen: Ingevolge toepasselijke Europese en lokale wet- en regelgeving zijn wij verplicht om PNR- en API-gegevens door te geven aan bepaalde overheidsorganen.
iv. Landenspecifiek: - Frankrijk: ingevolge artikel L 237 -7 van de Franse binnenlandse veiligheidswet kan KLM verplicht zijn om uw reserverings-, incheck- en boardinggegevens (API/PNR) door te geven aan de bevoegde nationale instanties in Frankrijk voor de doeleinden en onder de voorwaarden als beschreven in Besluit nr. 2014-1095 van 26 september 2014, zoals nadien gewijzigd bij Besluit nr. 2018/714 van 3 augustus 2018.
5.5. Websites van derden
Onze websites en mobiele apps bevatten links naar websites van derden. Als u deze links volgt, verlaat u onze websites of mobiele apps. Deze privacyverklaring is niet van toepassing op de websites van derden. Meer informatie over hoe derden met uw persoonsgegevens omgaan, vindt u in hun privacy- en/of cookiebeleid (indien beschikbaar).
6.1. Veiligheid
(A) Onze inzet Borging van de veiligheid en vertrouwelijkheid van uw persoonsgegevens heeft bij ons prioriteit. Rekening houdend met de aard van uw persoonsgegevens en de risico's van verwerking, hebben wij alle passende technische en organisatorische maatregelen getroffen die vereist zijn op grond van de geldende wettelijke voorschriften (met name artikel 32 van de Algemene Verordening Gegevensbescherming (AVG)), zodat een passend veiligheidsniveau is geborgd en met name ter voorkoming van onbedoelde of onrechtmatige vernietiging, verlies, wijziging of verstrekking van, inbreuk op of onbevoegde toegang tot deze gegevens.
(B) De veiligheidsmaatregelen die wij hebben getroffen i. Banktransacties: wij zijn verplicht om te voldoen aan het bepaalde in de Data Security Standard for the Payment Card Industry (de PCI DSS-standaard) van de PCI Security Standards Council (PCI SSC). Deze standaard is ontwikkeld om meer controle te krijgen over de gegevens van pashouders en om fraude met betaalinstrumenten aan te pakken. Alle dienstverleners van KLM die bankpasgegevens verwerken, dienen aan deze PCI DSS-standaard te voldoen. We willen identiteitsdiefstal op internet zo veel mogelijk tegengaan. Om die reden maken we bijvoorbeeld gebruik van apparatuur om frauduleuze betalingen te signaleren, zodat u in geval van verlies of diefstal van uw bankpas beschermd bent.
ii. Organisatorische maatregelen: wij hebben diverse organisatorische maatregelen getroffen ter vergroting van de alertheid bij onze medewerkers en ten behoeve van de verantwoording. Er zijn programma's geïntroduceerd die zorgen voor een groter bewustzijn en tegelijk de uitwisseling van ‘good practices’ en veiligheidsstandaarden bevorderen. In dat kader hebben onze medewerkers toegang tot een breed scala aan documenten over informatiebeveiliging en privacybescherming en alles wat daarbij komt kijken.
iii. Technische maatregelen: we houden streng toezicht op de fysieke en logische toegang tot de interne servers waarop uw persoonsgegevens gehost of verwerkt worden. We beveiligen ons netwerk met de nieuwste hardware (Firewall, IDS, DLP etc.) en architectuur (met inbegrip van veiligheidsprotocollen zoals TLS 1.2) om de risico's van cybercriminaliteit te voorkomen en te beperken.
(C) De ontwikkeling van onze beveiligingssystemen Om een passend veiligheidsniveau te handhaven, beschikken wij over interne processen volgens de beste standaarden (met name de ISO 27000-standaarden). We maken gebruik van ter zake kundige professionals om een zo hoog mogelijk beschermingsniveau te borgen. In dat kader onderhouden wij een speciale relatie met het NCSC (National Cyber Security Centre).
(D) Wat u zelf kunt doen Bij de beveiliging en geheimhouding van persoonsgegevens draait het om een optimale inzet van alle betrokkenen. Wanneer u een reservering maakt, ontvangt u bestandsreferenties. Deze boekingsreferenties dienen te allen tijde geheim te blijven. Als deze referenties bij andere passagiers terechtkomen, kunnen zij uw boekingsgegevens inzien via onze systemen of die van derden die bij de uitvoering van uw reis zijn betrokken (zoals reisbureaus en online zoek- en boekingssites). Als u samen reist en niet wilt dat uw reisgenoten inzage hebben in uw persoonsgegevens, raden wij u aan om apart te boeken. Ook adviseren wij u om de wachtwoorden die u voor onze diensten gebruikt, niet aan derden te verstrekken, om systematisch uit uw profiel en sociale account uit te loggen (zeker bij gekoppelde accounts) en om het browserscherm na afloop van uw sessie te sluiten, met name als u vanaf een openbare computer van internet gebruikmaakt. Zo voorkomt u dat andere gebruikers uw persoonsgegevens kunnen inzien. Om het risico van hacking te voorkomen, raden wij aan om voor elke online dienst waarvan u gebruikmaakt, een ander wachtwoord te gebruiken. Wij zijn niet verantwoordelijk voor diefstal van uw gegevens op een platform dat niet door ons wordt beheerd. Daarnaast adviseren wij u met klem om door KLM verstrekte bescheiden waarin uw persoonsgegevens (uw boardingpass, ticketnummer etc.) of andere gegevens over uw reis zijn opgenomen, niet aan derden te verstrekken en ook niet op een sociaal netwerk te publiceren. Als u deze bescheiden toch op sociale media plaatst, dient u bekend te zijn met de algemene gebruiksvoorwaarden, de informatiebeveiliging en het privacybeleid van de betreffende netwerkaanbieders. Wij zijn niet verantwoordelijk voor de wijze waarop uw gegevens op een dergelijk platform worden verwerkt, opgeslagen of doorgegeven. Meer informatie over onze IT-beveiliging is te vinden in onze IT-beveiligingsportal.
(E) Beheersing van veiligheidsincidenten 'Nul risico' bestaat niet en zelfs als we alle passende veiligheidsmaatregelen treffen, kunnen er nog onvoorziene dingen gebeuren. Wij beschikken over specifieke procedures en middelen om veiligheidsincidenten zo goed mogelijk te beheersen. Daarnaast hanteren we een specifieke procedure voor het beoordelen van potentiële datalekken die kunnen resulteren in onbedoelde of onrechtmatige vernietiging, verlies, wijziging of onbevoegde verstrekking van of toegang tot uw persoonsgegevens, voor het tijdig melden van datalekken bij de bevoegde toezichthouder en aan u als we denken dat het datalek een hoog risico inhoudt voor uw rechten en vrijheden. We testen periodiek of de veiligheidsinstallaties functioneren en of de gehanteerde procedures en apparatuur afdoende zijn.
6.2. Bewaring
Wij bewaren uw persoonsgegevens niet langer dan noodzakelijk is. Hoe lang uw persoonsgegevens worden bewaard, hangt af van de doeleinden waarvoor deze gegevens worden verwerkt en van de geldende wettelijke bewaartermijn.
Daarnaast kunnen de derden zoals genoemd in 5.1 (D) en verder, waaronder onze groepsmaatschappijen, partnerairlines en dienstverleners, hun werkzaamheden vanuit een ander land verrichten. Dit kan betekenen dat wij uw persoonsgegevens doorgeven naar de landen van waaruit deze derden hun diensten verrichten.
Als u meer informatie wilt over in welke landen onze dienstverleners zich bevinden en naar welke landen wij uw persoonsgegevens doorgeven, neem dan contact op met het Privacy Office van KLM (zie 8 'Uw rechten' hieronder).
Als u meer informatie wilt over de passende waarborgen die KLM biedt, neem dan contact op met het Privacy Office van KLM (zie 8 'Uw rechten' hieronder).
7.3. We kunnen wettelijk verplicht zijn om uw persoonsgegevens door te geven aan overheidsinstanties in de landen van uw reisschema (zie 5.4. hierboven).
8.1. 8.1. Door contact op te nemen met ons Privacy Office (zie 8.5 hieronder) kunt u alle rechten uitoefenen die u volgens de geldende privacywetgeving toekomen, waaronder (A) het inzien van uw gegevens, (B) het rectificeren van uw gegevens, (C) het wissen van uw gegevens, (D) het beperken van de verwerking van uw gegevens, (E) het recht op gegevensoverdraagbaarheid en (F) het recht om bezwaar te maken tegen verwerking. Hieronder geven we meer uitleg over deze rechten. Let op: er kunnen zich omstandigheden voordoen waarin we niet of niet volledig aan uw verzoek kunnen of mogen voldoen. Zie 8.3 hieronder voor meer informatie.
(A) Recht van inzage U mag ons vragen of wij uw persoonsgegevens verwerken. Is dat het geval, dan kunt u inzage in deze gegevens krijgen in de vorm van een kopie.
(B) Recht op rectificatie U heeft het recht om uw gegevens te rectificeren indien deze onjuist of onvolledig zijn. Op verzoek corrigeren wij onjuiste persoonsgegevens en vullen wij onvolledige persoonsgegevens aan, rekening houdend met de verwerkingsdoeleinden. Dit kan de afgifte van een aanvullende verklaring inhouden.
(C) Recht op gegevenswissing U heeft het recht om uw persoonsgegevens te laten wissen. Dit betekent dat wij uw gegevens dan verwijderen. Het wissen van uw persoonsgegevens vindt alleen plaats in bepaalde gevallen, die wettelijk zijn voorgeschreven en vermeld staan in artikel 17 van de AVG, bijvoorbeeld wanneer uw persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij oorspronkelijk werden verwerkt of wanneer ze onrechtmatig zijn verwerkt. Door de wijze waarop wij bepaalde diensten hebben ingericht, kan het enige tijd duren voordat back-ups zijn gewist.
Wij wijzen u er in dit verband graag op dat het verwijderen van uw persoonlijke account via onze website, niet automatisch betekent dat wij ook de overige, niet direct aan uw account-gerelateerde, gegevens die wij van u verwerken zullen wissen.
(D) Recht op beperking van verwerking U heeft het recht om de verwerking van uw persoonsgegevens te laten beperken. Dit houdt in dat wij de verwerking van uw gegevens gedurende een bepaalde tijd opschorten. Omstandigheden die hiertoe aanleiding kunnen geven, zijn onder meer situaties waarin de juistheid van uw persoonsgegevens wordt betwist, maar waarbij wij enige tijd nodig hebben om de (on)juistheid daarvan te verifiëren. Dit recht betekent niet dat wij uw persoonsgegevens niet mogen blijven opslaan. Wij laten u weten wanneer de beperking wordt opgeheven.
(E) Recht op gegevensoverdraagbaarheid Uw recht op gegevensoverdraagbaarheid houdt in dat u ons mag vragen om uw persoonsgegevens, indien dit technisch mogelijk is, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en deze aan een andere verwerkingsverantwoordelijke over te dragen. Op verzoek en indien dit technisch mogelijk is, worden uw persoonsgegevens door ons dan rechtstreeks overgedragen aan de andere verwerkingsverantwoordelijke.
(F) Recht van bezwaar U heeft het recht om bezwaar te maken tegen de verwerking van uw persoonsgegevens. Dit houdt in dat u ons kunt vragen om uw persoonsgegevens niet langer te verwerken. Dit geldt alleen als ‘gerechtvaardigde belangen’ de rechtsgrond voor de verwerking vormen (zie 4.3 ‘Wettelijke grondslag’ hierboven). U kunt te allen tijde kosteloos bezwaar maken tegen direct marketing wanneer uw persoonsgegevens voor dit doel worden verwerkt. Hieronder valt ook profilering in verband met direct marketing. Als u dit recht uitoefent, verwerken wij uw persoonsgegevens niet langer voor deze doeleinden.
8.2. Intrekking van uw toestemming
8.3. Weigering of beperking van rechten
Er kunnen zich situaties voordoen waarin wij uw hierboven in 8.1 beschreven rechten kunnen weigeren of beperken. Wij beoordelen per geval zorgvuldig of er sprake is van een dergelijke uitzondering. U ontvangt hiervan bericht. Zo kunnen wij uw verzoek tot inzage weigeren wanneer dit nodig is ter bescherming van de rechten en vrijheden van anderen, of we kunnen weigeren om uw persoonsgegevens te verwijderen als de verwerking van deze gegevens nodig is om aan wettelijke verplichtingen te voldoen. Het recht op gegevensoverdraagbaarheid geldt bijvoorbeeld niet als de persoonsgegevens niet door u zijn verstrekt of als we de gegevens niet verwerken op basis van uw toestemming of voor de uitvoering van een overeenkomst.
8.4. Melden veiligheidsincident of datalek
Heeft u het vermoeden dat zich een veiligheidsincident heeft voorgedaan of dat van een (potentieel) datalek sprake is, neem dan zo spoedig mogelijk contact op met het Privacy Office van KLM (zie 8.5 hieronder).
8.5. Privacy Office
(B) Bluebiz
(C) Vlucht van Transavia
(D)SkyTeam Alliance
8.6. Vragen, opmerkingen of klachten
9.1. Deze privacyverklaring treedt in werking op 6 december 2024 en vervangt de versie van 1 februari 2024. Deze privacyverklaring wordt van tijd tot tijd herzien. Wij informeren u over eventuele wijzigingen voordat deze in werking treden.