Dit Privacy Statement is bijgewerkt op 24 mei 2018.
Inleiding
Voor RailApp is een zorgvuldige omgang met persoonsgegevens van groot belang bij de uitvoering van haar dienstverlening. RailApp is gezamenlijk met de gebruikers verantwoordelijk voor de gegevensverwerking. Gelet op de aard van de dienstverlening van RailApp, is het soms noodzakelijk om te zorgen dat bepaalde persoonsgegevens van de ene persoon worden gedeeld met de andere persoon. Het is daarom van groot belang dat u kennisneemt van dit privacy statement.
RailApp in het kort
RailApp fungeert als online planningsapplicatie voor spoorgerelateerde werkzaamheden. Bedrijven kunnen diensten/werkzaamheden plannen binnen RailApp en er voor kiezen om hier eigen medewerkers op in te plannen of externe inhuurmedewerkers hierop in te (laten) plannen. Zodra diensten ingepland zijn kunnen de medewerkers de diensten zien als ze inloggen in RailApp en zich vervolgens aan- en afmelden met eventuele digitaal ondertekende E-Werkbonnen als resultaat. Voor een uitgebreide uitleg van RailApp met alle mogelijkheden verwijzen we u naar www.railapp.nl of naar uw contactpersoon bij RailApp.
RailApp Online Privacy Beleid
Dit privacy statement is van toepassing op alle persoonsgegevens die worden verzameld via websites en/of applicaties die door of namens RailApp of direct onder de naam RailApp worden aangeboden (RailApp is een handelsnaam van SPL-it B.V.. SPL-it B.V. samen met haar handelsnamen, dochterondernemingen en gelieerde ondernemingen worden in dit Privacy Statement “RailApp” genoemd). De verantwoordelijkheid voor de verwerking van persoonsgegevens ligt bij RailApp en bij de gebruikers van de RailApp, die de RailApp als een besloten platform gebruiken om vraag en aanbod met betrekking tot gespecialiseerd personeel op elkaar aan laten sluiten, en die daarmee ook mede de doelen voor de verwerking bepalen en zeggenschap houden over de persoonsgegevens die binnen de RailApp worden verwerkt. Aangezien RailApp de applicatie beheert en samen met de gebruikers het doel van en de middelen voor de verwerking van de door de gebruikers zelf ingevoerde persoonsgegevens vaststelt, treedt RailApp op als zowel verwerkingsverantwoordelijke als verwerker in de zin van de Algemene Verordening Persoonsgegevens (AVG).
Dit privacy statement is uitsluitend van toepassing op websites en/of applicaties die door of namens RailApp worden aangeboden en die verwijzen naar dit privacy statement (aangeduid als ” RailApp websites en/of applicaties”). Het is niet van toepassing op websites en/of applicaties van derden waarnaar RailApp websites en/of applicaties kunnen verwijzen. Uw gebruik van RailApp websites en/of applicaties die verwijzen naar dit privacy statement is onderworpen aan dit privacy statement en aan de gebruikersvoorwaarden, en eventuele rechtstreekse afspraken die gebruikers van de RailApp onderling maken. U wordt verzocht dit privacy statement te lezen voordat u RailApp websites en/of applicaties gebruikt of persoonsgegevens aan ons verstrekt. In geval van de registratie voor, het gebruik van of het verstrekken van persoonsgegevens via de RailApp websites en/of applicaties geeft u toestemming voor het gebruik zoals beschreven in dit privacy statement.
Contact informatie
RailApp is gevestigd aan de Albert Plesmanweg 57, 3088 GB Rotterdam, Nederland (let op: bezoekadres). Het algemene e-mail adres is: info@railapp.nl. Voor alle correspondentie betreffende privacy gerelateerde aangelegenheden kunt u contact opnemen met de Data Protection Officer van SPL-it BV die u kunt bereiken via privacy@railapp.nl of op telefoonnummer +31 10 203 59 18.
Per post:
SPL-it BV (RailApp)
Data Protection Officer
Albert Plesmanweg 57
3088 GB Rotterdam
Nederland
Wat wordt hier verstaan onder “Persoonsgegevens”?
In navolging van de definitie in AVG, wordt onder “Persoonsgegevens” in dit verband verstaan alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (“de betrokkene”); als identificeerbaar wordt beschouwd een natuurlijke persoon die direct of indirect kan worden geïdentificeerd, met name aan de hand van een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of van een of meer elementen die kenmerkend zijn voor de fysieke, fysiologische, genetische, psychische, economische, culturele of sociale identiteit van die natuurlijke persoon, en die wordt verstrekt aan en/of verzameld door of namens RailApp en wordt opgeslagen in een direct toegankelijk formaat. Voorbeelden van persoonsgegevens zijn uw naam, uw adres, uw e-mailadres en telefoonnummer. “Gevoelige gegevens” betreffen extra gevoelige persoonsgegevens zoals bijvoorbeeld uw etnische afkomst of uw medische gegevens.
Met welk doel verwerkt RailApp persoonsgegevens?
RailApp verwerkt persoonsgegevens van haar klanten, gebruikers van de RailApp-websites en/of applicaties en leveranciers voor de hieronder beschreven doeleinden. Aangezien RailApp hoofdzakelijk verwerker is, zijn deze doelen generiek en gericht op het bieden van diensten aan de gebruikers / mede-verwerkingsverantwoordelijken.
Deze generieke doelen zijn:
• het faciliteren en bieden van toegang tot, het leveren van en in gebruik kunnen nemen van de door RailApp aangeboden diensten (verwerking noodzakelijk voor de uitvoering van een overeenkomst);
• de opslag en de beoordeling van gegevens om diensten aan te kunnen bieden die zijn afgestemd op voorkeuren van de gebruikers (verwerking noodzakelijk voor de uitvoering van een overeenkomst);
• het kunnen voeren van onze financiële administratie (verwerking noodzakelijk voor de uitvoering van een overeenkomst);
• de beveiliging, controle en preventie van misbruik en het voorkomen van inconsistentie en onbetrouwbaarheid van data, zoals bij de uitvoering van accountantscontroles (noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke en verwerker);
• de continuïteit en goede werking van producten en diensten, waaronder het laten uitvoeren van onderhoud, het maken van een back-up, het aanbrengen van verbeteringen na geconstateerde fouten of onjuistheden en het krijgen van ondersteuning (verwerking noodzakelijk voor de uitvoering van een overeenkomst);
• het verbeteren van onze dienstverlening (noodzakelijk voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke en verwerker, waarbij gegevens worden geaggregeerd en nooit tot op persoonsniveau te herleiden zijn);
• het kunnen informeren over relevante producten en diensten van RailApp (hiervoor geldt dat RailApp toestemming aan u vraagt en u te allen tijde uw toestemming kunt intrekken);
• om te voldoen aan wettelijke verplichtingen die voor RailApp gelden.
Op basis van welke juridische grondslag verwerkt RailApp uw persoonsgegevens?
RailApp verwerkt persoonsgegevens van haar klanten, gebruikers van de RailApp-websites en/of applicaties omdat de verwerking noodzakelijk is voor de behartiging van de gerechtvaardigde belangen van de verwerkingsverantwoordelijke of van een derde.
Ten aanzien van de specifieke persoonsgegevens die verwerkt worden geldt dat deze voor het grootste deel optioneel zijn maar voor sommige persoonsgegevens geldt dat ze echt verplicht zijn binnen RailApp.
Hier moet bijvoorbeeld gedacht worden aan zaken waardoor er anders geen gebruik van de applicatie kan worden gemaakt waarvoor die bedoeld is. Bijvoorbeeld de voor- en achternaam, het mobiele nummer en het e-mailadres van een medewerker die via RailApp ingepland moet kunnen worden. Het e-mailadres is hierbij nodig om inloggegevens te kunnen ontvangen, een nieuw wachtwoord te kunnen instellen maar ook om geïnformeerd te kunnen worden over de werking van de applicatie door middel van functionele nieuwsupdates over vernieuwde of aangepaste functionaliteiten. Het uitgangspunt is dat de gebruikers die deze privacy statement accepteren geïnformeerd willen worden door RailApp door middel van een periodieke nieuwsupdate. Echter, hier kan men zich ook weer voor uitschrijven.
Er zijn ook gegevens die binnen RailApp vastgelegd kunnen worden maar die niet verplicht zijn. Het hangt van de gebruikers af hoe men van RailApp gebruik wil maken. Vertrouwelijke gegevens zoals een kopie van uw paspoort/ID kaart of uw BSN nummer of de vraag of u medisch bevoegd bent voor een bepaalde functie zijn normaliter optioneel en hoeven dus niet ingevuld te worden om RailApp te kunnen gebruiken. Het kan echter zijn dat het bij sommige opdrachtgevers noodzakelijk is om uzelf of uw medewerkers te kunnen aanbieden en bemiddelen voor inzet bij bedrijven die gebruik maken van de RailApp. Indien dit zo is, dan dient te gebeuren op basis van uw toestemming aan de desbetreffende werkgever of opdrachtgever om gebruik te maken van de diensten die RailApp u kan aanbieden.
Door in te loggen in RailApp via de webapplicatie (www.railapp.nl / INLOGGEN) kunt u onder andere via de menu items ‘mijn gegevens’ en ‘certificaten’ inzien welke gegevens van u zijn opgenomen in RailApp. U kunt hier bepaalde zaken zelf aanpassen en/of eventueel in overleg met uw werkgever en/of opdrachtgever(s) door hen laten aanpassen.
RailApp neemt uw privacy zeer serieus
RailApp maakt gebruik van derde partijen (“RailApp dienstverleners”) om te helpen diensten van hoge kwaliteit te leveren; RailApp kan bijvoorbeeld een (sub)verwerker inhuren voor het beheer van de RailApp websites en/of applicaties. Dit kan betekenen dat deze door RailApp ingeschakelde derden namens RailApp uw persoonsgegevens kunnen verwerken. Dit is bijvoorbeeld het geval als u zich aanmeldt voor een RailApp website en/of applicatie en u verzocht wordt een e-mailadres op te geven; in dit geval kan het een derde partij zijn die uw aanmelding verwerkt. RailApp eist van de door haar ingeschakelde derden dat uw persoonlijke informatie niet wordt gedeeld met anderen. De doelstelling om betreffende de informatie die door de door RailApp ingeschakelde derden niet onnodig te delen met RailApp, helpt ons met de bescherming van uw privacy; dit is onderdeel van RailApp’s gevolgde principes van “privacy by design”.
Aangezien RailApp deels ook optreedt als verwerker voor de inzameling en verwerking van uw persoonsgegevens met als doel het efficiënt samenbrengen van vraag en aanbod inzake de planning en inzet van personeel tussen partijen die (normaliter) onderling een contractuele en/of commerciële relatie met elkaar hebben, dient u ook kennis te nemen van de privacy statement van de verwerkingsverantwoordelijke. In de praktijk zal dit vaak uw werkgever, uw bemiddelaar of uw opdrachtgever zijn, die uw persoonsgegevens via de RailApp gebruikt om planningen te maken en bijvoorbeeld om te reageren op dienstuitnodigingen. Voor zover RailApp optreedt als verwerkingsverantwoordelijke, kent dit privacy statement bepaalde rechten en plichten toe aan RailApp, en toezeggingen richting u, ook al zal RailApp het verzamelen en verwerken van uw persoonsgegevens mogelijkerwijs deels of volledig delegeren aan een derde partij. Met deze door RailApp ingeschakelde derden zijn afspraken gemaakt over het verzamelen en verwerken van persoonsgegevens. Verwerking door deze derden gebeurt alleen in overeenstemming met onze instructies, dit privacy statement en de van toepassing zijnde wet- en regelgeving.
Welke informatie wordt verzameld?
De volgende soorten persoonsgegevens worden opgeslagen in de RailApp:
Door u verstrekte Persoonsgegevens: dit betreft persoonlijke informatie die u op RailApp websites en/of applicaties in (open) data velden invoert of anderszins verstrekt. Het kan bijvoorbeeld zijn dat u uw naam, adres, e-mailadres en/of andere informatie verstrekt om informatie over diverse onderwerpen te ontvangen, om u te kwalificeren, te registreren voor programma’s, contact op te nemen met de klantenservice of deel te nemen aan enquêtes. Om uw privacy beter te beschermen, adviseren wij u om geen informatie te verstrekken die niet specifiek wordt gevraagd.
Persoonsgegevens uit andere bronnen: dit betreft persoonlijke informatie over u die is verkregen van andere bedrijven, zoals uw opdrachtgever of werkgever als zij gebruik maken van RailApp’s websites en/of applicaties in verband met diensten die zij aan u aanbieden of voor u inplannen. RailApp kan uw persoonsgegevens ook verwerken als u gebruik maakt van een van de andere websites en/of applicaties die wij aanbieden of van andere diensten die wij leveren.
Passieve verzameling van technische en Web Browsing Informatie: via de RailApp websites en/of applicaties kan informatie over uw bezoeken aan RailApp websites en/of applicaties geanonimiseerd worden verzameld zonder dat u actief dergelijke informatie verstrekt.
Door in te loggen in RailApp via de webapplicatie (www.railapp.nl / INLOGGEN) kunt u onder andere via de menu items ‘mijn gegevens’ en ‘certificaten’ inzien welke gegevens van u zijn opgenomen in RailApp. U kunt hier bepaalde zaken zelf aanpassen en/of eventueel in overleg met uw werkgever en/of opdrachtgever(s) door hen laten aanpassen.
Worden “gevoelige” persoonsgegevens verzameld?
Bepaalde speciale persoonlijke gegevens kunnen door de verwerkingsverantwoordelijken worden verzameld en worden ingevoerd in de RailApp, en daarna eventueel door anderen worden bekeken in de RailApp, afhankelijk van hun rechten en of er vooraf toestemming is verleend, een en ander voortvloeiend uit spoorgerelateerde wet- en/of regelgeving, zoals bijvoorbeeld of u medisch goedgekeurd bent om een bepaalde functie te mogen vervullen en tot wanneer deze keuring geldig is. Dit heeft dan te maken met het borgen van bevoegdheden en uw mogelijke inzetbaarheid en de veiligheid van derden. Deze gegevens kunnen worden aangemerkt als “gevoelige gegevens”. RailApp zal voor de verzameling, bescherming en verwerking van dergelijke gegevens extra maatregelen nemen, conform de wettelijke vereisten.
Hoe zal de persoonlijke informatie die ik heb verstrekt kunnen worden gebruikt?
Uw persoonsgegevens (verzameld via uzelf of via andere bronnen) kunnen worden gebruikt voor de volgende doeleinden:
• Het uitvoeren van onze verplichtingen voortvloeiend uit een tussen u en/of uw opdrachtgever en/of uw werkgever enerzijds en RailApp anderzijds gesloten overeenkomst en om u te voorzien van de informatie, de diensten die u nodig heeft om op effectieve wijze gebruik te kunnen maken van de RailApp websites en/of applicaties.
• Het matchen van de beschikbare informatie met de gevraagde criteria om te zorgen dat de inzet van personen in spoorgerelateerde (eventueel veiligheidskritische) functies op een geborgde wijze plaatsvindt om zodoende te voldoen aan de geldende wet –en regelgeving zoals daaronder begrepen de eisen zoals bijvoorbeeld geformuleerd in algemene en specifieke Europese Verordeningen, Spoorwegwet, Besluiten, Regelingen, Spoorwegpersoneel 2011 en eventuele latere versies hiervan, diverse geldende brancherichtlijnen zoals bijvoorbeeld de richtlijnen van Stichting RailAlert, etc.
• U te kunnen informeren over eventuele wijzigingen in deze diensten.
• Ervoor te zorgen dat de content van RailApp websites en/of applicaties op de meest effectieve wijze voor u en voor uw computer en/of smartphone en/of tablet etc. wordt gepresenteerd.
• U de mogelijkheid te bieden om informatie te ontvangen over de diensten en producten van RailApp en om u uit te nodigen om deel te nemen aan enquêtes over onze diensten.
• U informatie en marketingmaterialen aan te bieden met betrekking tot het gebruik van de RailApp producten/diensten door middel van diverse communicatiemiddelen, zoals schriftelijke communicatie, e -mail , direct mail en/of telefoon. Als u niet wilt dat wij uw gegevens op deze manier gebruiken, of dat wij uw gegevens doorgeven aan derden voor marketingdoeleinden, verzoeken wij u ons daarover te informeren.
Technisch passief verzamelde en web browsing informatie kan worden gebruikt:
• voor het beheren van de RailApp websites en/of applicaties en voor interne bedrijfsvoering, inclusief het oplossen van problemen, data-analyse, testen, onderzoek, statistische- en onderzoeksdoeleinden;
• om RailApp websites en/of applicaties te verbeteren en ervoor te zorgen dat de content wordt gepresenteerd op de voor u en uw computer en andere middelen meest effectieve wijze;
• zodat u deel kunt nemen aan interactieve onderdelen van onze diensten (indien u daarvoor kiest);
• als onderdeel van de inspanningen om RailApp websites en/of applicaties te beveiligen.
RailApp kan ook de gegevens gebruiken voor het verbeteren, ontwikkelen en evalueren van de website en/of applicatie en van producten, diensten, materialen, programma’s en marktonderzoek. Zo kunnen we gegevens gebruiken om het beste moment te vinden om gebruikers bepaalde herinneringen te versturen, interactie tussen gebruikers van RailApp websites en/of applicaties met een bepaald profiel vast te leggen en te verbeteren, te onderzoeken hoe (geanonimiseerde) gebruikers over het algemeen denken over bepaalde functies of diensten van de websites en/of applicaties, te onderzoeken of bepaalde groepen gebruikers voortijdig stoppen met bepaalde behandelingen en allerlei andere analyses die RailApp en de gebruikers ten goede komen.
Zullen persoonsgegevens die ik verstrek op een RailApp website en/of applicatie worden gecombineerd met andere persoonlijke informatie over mij?
Persoonsgegevens die u op een RailApp website en/of applicatie heeft verstrekt, kunnen worden gecombineerd of geconsolideerd met persoonlijke informatie van één of meer klanten of leveranciers die RailApp websites en/of applicaties gebruiken. In het bijzonder kan dergelijke informatie geanonimiseerd worden en vervolgens worden gebruikt om ons te helpen RailApp websites en/of applicaties en RailApp producten te verbeteren, om onderzoeksactiviteiten te verbeteren en om andere zakelijke functionaliteiten mogelijk te maken.
Voor de eindgebruiker is het belangrijk om te weten dat het RailApp-platform bestaat uit een web toepassing en een specifieke mobiele extensie via een mobiele app voor Android gehost in de Google Play Store en voor iOS in de Apple Appstore.
RailApp gebruikt of bewaart geen persoonlijke informatie aangeboden met Advertentie id. RailApp maakt echter gebruik van services van derden die mogelijk informatie verzamelen die wordt gebruikt om u te identificeren.
Link naar het privacy beleid van externe serviceproviders die door de app worden gebruikt:
https://policies.google.com/privacy
https://firebase.google.com/terms/data-processing-terms/
Als u deze gegevens niet wilt verzenden, kunt u zich hier vanaf uw apparaat van afmelden. Als u uw Android – advertentie – ID wilt vinden, opent u de Google Instellingen-app op uw Android-apparaat en klikt u op ‘Advertenties’. Uw advertentie-ID wordt onderaan het scherm weergegeven.
Welke zeggenschap heb ik over hoe mijn persoonsgegevens worden gebruikt of worden verzameld?
U kunt de hoeveelheid en soort persoonsgegevens die worden verzameld beperken door ervoor te kiezen om geen of slechts een deel van uw persoonsgegevens op formulieren of gegevensvelden op RailApp websites en/of applicaties in te voeren of via uw werkgever en/of opdrachtgever aan ons te verstrekken. Sommige van de online diensten kunnen echter alleen aan u worden verleend als u de juiste persoonlijke informatie verstrekt. Bovendien heeft u onder de vigerende wet- en regelgeving mogelijk het recht op toegang, rectificatie en/of blokkeren van de verwerking van uw persoonsgegevens. Neem in dat geval gerust contact op met de verwerkingsverantwoordelijke of met ons via de contactgegevens in dit privacy statement.
Worden mijn persoonsgegevens gedeeld met derden?
RailApp deelt uw persoonsgegevens alleen in opdracht van de verwerkingsverantwoordelijke, hetgeen in de volgende omstandigheden kan plaatsvinden:
Derde partijen met uw toestemming
In aanvulling op de in dit privacy statement beschreven momenten waarop persoonsgegevens met derden kunnen worden gedeeld , kan RailApp persoonsgegevens delen met derden als u hiervoor direct of via uw werkgever of uw opdrachtgever toestemming heeft gegeven of u een verzoek doet voor een dergelijke gegevensuitwisseling. Het kan hier bijvoorbeeld gaan om een andere opdrachtgever waarbij u als persoon zou willen worden ingezet waarbij de opdrachtgever dan een deel van uw persoonsgegevens zou kunnen inzien.
RailApp Service Providers
Zoals hierboven beschreven, kan RailApp derden, zoals serviceproviders / subverwerkers gebruiken om zakelijke activiteiten uit te voeren voor RailApp. Als RailApp dienstverleners uw persoonsgegevens verzamelen namens RailApp of de andere verwerkingsverantwoordelijke, is het beleid om deze RailApp dienstverleners te verplichten om uw persoonsgegevens vertrouwelijk te houden en deze alleen te gebruiken om activiteiten uit te voeren voor RailApp.
Derde partijen in geval vereist vanwege wet- en regelgeving of indien noodzakelijk zijn ter bescherming van onze diensten
RailApp of RailApp dienstverleners kunnen in de volgende omstandigheden uw persoonsgegevens bekendmaken:
• Indien dit vereist is in een gerechtelijke procedure of in geval van een verzoek om informatie of medewerking van de overheid of vergelijkbare autoriteiten.
• Wanneer de wet dat voorschrijft.
• Om fraude te voorkomen of af te dwingen dat onze Gebruikersvoorwaarden en andere overeenkomsten van toepassing zijn om de rechten, het eigendom of de veiligheid van RailApp of een van onze gelieerde ondernemingen, zakelijke partners, klanten, werknemers of anderen te beschermen.
Andere partijen in verband met een bedrijfstransactie
RailApp kan uw persoonlijke gegevens aan de potentiële (of feitelijke) verkoper of koper van een bedrijf of activa, openbaar maken, bijvoorbeeld in geval van een fusie, een faillissement, reorganisatie of liquidatie. Als RailApp, of nagenoeg alle van de activa worden overgenomen door een derde partij, zullen de door haar gehouden persoonsgegevens over haar klanten en gebruikers tot één van de over te dragen activa behoren.
Op welke wijze worden mijn persoonsgegevens veilig bewaard?
RailApp treft passende technische en organisatorische maatregelen om een op het risico afgestemd beveiligingsniveau te waarborgen. Hieronder leest u welke beveiligingsmaatregelen door RailApp zijn genomen.
Bewaartermijn
De verwerkingsverantwoordelijke bepaalt de bewaartermijn, dus u kunt bij uw opdrachtgever en/of uw werkgever nagaan wat hun privacy statement ter zake vermeldt. Wanneer verwerking door RailApp noodzakelijk is voor de uitvoering van een overeenkomst, worden uw persoonsgegevens gedurende een periode tot maximaal twee jaar na beëindiging van de overeenkomst door ons verwerkt. Wanneer sprake is van wettelijke bewaartermijnen, bijvoorbeeld in het kader van de administratieve bewaarplicht voor Gebruikers zoals ondernemingen, kunnen langere termijnen van toepassing zijn.
Worden persoonsgegevens verstrekt aan het buitenland?
De Gebruikers, RailApp en derden met wie RailApp gegevens deelt kunnen uw persoonsgegevens verzamelen, overdragen, opslaan en verwerken in landen binnen de EU, voor zover dit in overeenstemming is met dit privacy statement. Indien er sprake is van verstrekking naar landen buiten de EU dan zal RailApp die maatregelen nemen om een dergelijke verstrekking te legitimeren.
Hoe beschermt RailApp de privacy van kinderen?
RailApp verwerkt geen persoonsgegevens van kinderen op RailApp websites en/of applicaties, voor zover bekend is dat dit informatie over kinderen bevat (wij definiëren “kinderen” als minderjarigen jonger dan 16 jaar). Als u een ouder bent en ontdekt dat uw kind ons heeft voorzien van persoonsgegevens, neem dan contact met ons op via een van de hierboven genoemde methoden. Wij zullen dan samen met u proberen een oplossing te vinden.
Hoe kan ik persoonsgegevens corrigeren of verwijderen uit de huidige databestanden?
U kunt allereerst inloggen in RailApp via de webapplicatie (www.railapp.nl / INLOGGEN) om onder andere via de menu items ‘mijn gegevens’ en ‘certificaten’ te kunnen inzien welke gegevens van u zijn opgenomen in RailApp. U kunt hier bepaalde zaken zelf aanpassen, eventueel in overleg met uw werkgever en/of opdrachtgever(s). U kunt RailApp, of via uw werkgever en/of uw opdrachtgever (als verwerkingsverantwoordelijke), verzoeken om uw persoonsgegevens te verwijderen uit de huidige database of om wijzigingen in uw persoonsgegevens door te voeren. U wordt verzocht de verwerkingsverantwoordelijke of RailApp te informeren over uw wensen door contact op te nemen met de data protection officer van RailApp als hierboven genoemd . Voor administratieve of andere legitieme zakelijke doeleinden kunnen we (bepaalde delen van) uw persoonsgegevens behouden. Het is ook mogelijk dat RailApp of de verwerkingsverantwoordelijke wettelijk verplicht is om bepaalde informatie die persoonsgegevens kunnen bevatten te bewaren. Om dit goed te kunnen bepalen kan het zijn dat RailApp met u en uw werkgever en/of opdrachtgever in contact moet komen om specifiek deze zaken te beoordelen.
Data Protection Officer
U wordt verzocht in alle communicatie naar RailApp uw naam en het e-mail adres dat u heeft gebruikt voor registratie (indien van toepassing) te vermelden, evenals het adres van de betreffende website en/of applicatie of het specifieke RailApp programma waaraan u uw persoonsgegevens heeft verstrekt, en een gedetailleerde toelichting op uw verzoek. Als u inzage wilt in uw persoonsgegevens, deze (volledig) wenst te verwijderen, wijzigen of corrigeren, een verzoek tot data portabiliteit wilt indienen en/of contact met ons opneemt via e-mail, zorg er dan voor dat er bij het kopje onderwerp van de e-mail “Verzoek tot verwijderen” of “Verzoek tot wijziging / correctie / data portabiliteit“ wordt vermeld. We zullen ons best doen om tijdig te reageren op alle redelijke verzoeken.
Klachten
RailApp wil u graag helpen om een geschikte oplossing te vinden voor klachten of zorgen over uw privacy. U heeft echter altijd het recht om bij de Autoriteit Persoonsgegevens een klacht in te dienen.
Aanpassing van het beleid
RailApp kan dit privacy statement regelmatig herzien, u informeren over aanpassingen door het plaatsen van een mededeling op de RailApp websites en/of applicaties. Uw gebruik van de RailApp websites en/of applicaties nadat wijzigingen zijn doorgevoerd wordt beschouwd als een acceptatie van de gewijzigde regels.
Beveiligingsbeleid
Maatregelen om persoonsgegevens te beschermen tegen onopzettelijke of onrechtmatige vernietiging, onopzettelijk verlies of wijziging, onbevoegde of onrechtmatige opslag, verwerking, toegang of openbaarmaking.
Organisatie van informatiebeveiliging en communicatieprocessen
• RailApp heeft een Data Protection Officer (DPO), die hoofdzakelijk verantwoordelijk is voor het informeren en adviseren van RailApp over haar verplichtingen uit hoofde van de AVG en houdt toezicht op naleving.
• Informatiebeveiligingsincidenten worden gedocumenteerd en worden benut voor optimalisatie van het informatiebeveiligingsbeleid.
• RailApp heeft een proces ingericht voor omgang (en communicatie) over informatiebeveiligingsincidenten (data lek procedure).
Medewerkers
• Met medewerkers die werkzaamheden verrichten ten behoeve van en/of namens Railapp zijn geheimhoudingsverklaringen overeengekomen.
• RailApp stimuleert bewustzijn, opleiding en training ten aanzien van informatiebeveiliging.
• Medewerkers hebben op grond van een autorisatiesystematiek geen toegang tot meer data dan strikt noodzakelijk is voor hun functie.
Fysieke beveiliging en continuïteit van de middelen
• Persoonsgegevens worden uitsluitend verwerkt in datacenters in een gesloten, fysiek beveiligde omgeving met bescherming tegen bedreigingen van buitenaf. Er is een toegangsprotocol opgesteld. Toegang wordt bovendien geregistreerd.
• Persoonsgegevens worden uitsluitend verwerkt op apparatuur waarbij maatregelen zijn genomen om de apparatuur fysiek te beveiligen en de continuïteit van de dienstverlening te verzekeren.
• Er worden periodiek back-ups gemaakt ten behoeve van de continuïteit van de dienstverlening. Deze back-ups worden vertrouwelijk behandeld en bewaard in een gesloten omgeving.
• De locaties waar gegevens worden verwerkt zijn beveiligd door middel van sloten, alarmsystemen en worden periodiek getest, onderhouden en periodiek beoordeeld op veiligheidsrisico’s.
• Gebruikers hebben toegang tot hun data en persoonsgegevens en eventuele data en persoonsgegevens van andere gebruikers via pc/laptop en/of mobiele app maar dit kan slechts na te zijn ingelogd met hun gebruikersnaam en eigen geheime wachtwoord. RailApp informeert haar gebruikers (door middel van dit document en ook via de diverse contractuele overeenkomsten) over het feit dat men wachtwoorden op een veilige wijze dient te bewaren en voorzichtig moet zijn met het toegang verlenen aan derden om ongeoorloofde toegang tot hun gegevens te voorkomen.
Netwerk-, server- en applicatiebeveiliging en onderhoud
• De netwerkomgeving waarbinnen gegevens worden verwerkt is strikt beveiligd. Daarbij worden verkeersstromen gescheiden en zijn maatregelen geïmplementeerd tegen misbruik en aanvallen.
• De omgeving waarbinnen persoonsgegevens worden verwerkt wordt gemonitord.
• De systemen waarbinnen persoonsgegevens worden verwerkt komen tot stand op basis van systeemplanning, beveiligingscontrole en acceptatie (DTAP). Wijzigingen in applicaties worden getest op kwetsbaarheden voordat deze in productie worden genomen.
• Op systemen worden periodiek de laatste (beveiligings-)patches geïnstalleerd op basis van patchmanagement.
• Gegevens die binnen applicaties worden verwerkt zijn geclassificeerd op risico’s.
• Penetratietests en vulnerability assessments worden periodiek uitgevoerd.
• Op wachtwoorden zijn cryptografische maatregelen toegepast om deze gegevens veilig op te slaan.
• Er wordt voor inlogprocessen gebruikgemaakt van versleutelde verbindingen. De uitwisseling van persoonsgegevens aan derden vindt versleuteld plaats.
Omschrijving van de maatregelen om zwakke plekken te identificeren
De systemen van RailApp worden periodiek gecontroleerd op veiligheid. Daarnaast voorziet het beveiligingsbeleid van RailApp in interne processen om kwetsbaarheden te identificeren.
Melding van een inbreuk in verband met persoonsgegevens
RailApp monitort haar dienstverlening en heeft maatregelen getroffen om ongeoorloofde of onrechtmatige toegang tot gegevens te voorkomen en te identificeren. Signalen die duiden op een inbreuk in verband met persoonsgegevens worden beoordeeld door de data protection officer van RailApp, die analyseert of sprake kan zijn van een inbreuk in verband met persoonsgegevens en het type inbreuk.
Wanneer een inbreuk in verband met persoonsgegevens die RailApp verwerkt als verwerkingsverantwoordelijke heeft plaatsgevonden, meldt RailApp deze uiterlijk 72 uur nadat hij er kennis van heeft genomen, aan de bevoegde toezichthoudende autoriteit, tenzij het niet waarschijnlijk is dat de inbreuk in verband met persoonsgegevens een risico inhoudt voor de rechten en vrijheden van natuurlijke personen. Wanneer de inbreuk in verband met persoonsgegevens waarschijnlijk een hoog risico inhoudt voor de rechten en vrijheden van natuurlijke personen, deelt RailApp de betrokkene de inbreuk in verband met persoonsgegevens onverwijld mee.