Privacyverklaring

Wij zijn de Koninklijke Luchtvaart Maatschappij NV (ook bekend als KLM Royal Dutch Airlines of KLM), gevestigd aan de Amsterdamseweg 55, 1182 GP Amstelveen. KLM is onderdeel van de Air France-KLM Groep. Kijk voor meer informatie op onze website onder ‘Corporate‘. KLM is verantwoordelijk voor de verzameling en het gebruik van uw persoonsgegevens conform deze privacyverklaring. Wij bieden ons loyaliteitsprogramma Bluebiz aan in samenwerking met onze groepsmaatschappij Air France. Air France (Société Air France, S.A.) is een luchtvaartmaatschappij gevestigd aan Rue de Paris 45, F-95747, Roissy CDG Cedex, Frankrijk. Wij zijn samen verantwoordelijk voor de verwerking van uw persoonsgegevens in het kader van het loyaliteitsprogramma Bluebiz. Een onderlinge regeling bepaalt onze wederzijdse verantwoordelijkheden voor de naleving van de toepasselijke privacywetgeving. Kort gezegd hebben wij afgesproken dat u contact kunt opnemen met het Privacy Office van ofwel KLM ofwel Air France (zie paragraaf 8 'Uw rechten' hieronder) als u uw rechten wilt uitoefenen of als u een klacht heeft over de verwerking van uw persoonsgegevens. KLM en Air France assisteren elkaar waar nodig om te waarborgen dat u uw rechten kunt uitoefenen. We zorgen er samen voor dat uw vragen en klachten worden afgehandeld.

Met onze dochtermaatschappij Transavia Airlines CV (‘Transavia’, eveneens onderdeel van de Air France-KLM Groep) wisselen wij persoonsgegevens uit van passagiers die (ernstige) overlast veroorzaakt hebben en van wie besloten is dat zij geweigerd worden aan boord (zie ook paragraaf 2.1 (J), 4.1 (G) en 5.3 hieronder). Transavia is een luchtvaartmaatschappij gevestigd aan de Piet Guilonardweg 15, 1117 EE Schiphol, Nederland. Wij zijn samen met Transavia verantwoordelijk voor de verwerking van uw persoonsgegevens die in het kader van de uitwisseling plaatsvindt. Een onderlinge regeling bepaalt onze wederzijdse verantwoordelijkheden voor de naleving van de toepasselijke privacywetgeving waaronder de uitoefening van uw rechten (zie paragraaf 8 ‘Uw rechten’ hieronder’).

KLM is daarnaast lid van de SkyTeam Alliance, een wereldwijd netwerk van luchtvaartmaatschappijen die persoonsgegevens verwerken om passagiers een optimale reiservaring te bieden. KLM is samen met SkyTeam Airline Alliance Management Coöperatie U.A. en de andere leden van de SkyTeam Alliance verantwoordelijk voor deze verwerking van uw persoonsgegevens. Voor meer informatie verwijzen wij u naar de gezamenlijke privacyverklaring van SkyTeam Alliance (ziehier). Een onderlinge regeling bepaalt onze wederzijdse verantwoordelijkheden voor de naleving van de toepasselijke privacywetgeving waaronder de uitoefening van uw rechten (zie paragraaf 8 ‘Uw rechten’ hieronder’).

2.1. Algemeen

Wij kunnen de volgende categorieën persoonsgegevens verzamelen en verwerken:

(A) Naam, paspoortnummer en overige identiteitsgegevens Als u een reservering plaatst of een vlucht bij ons boekt, registreren wij uw naam, titel, geslacht, geboortedatum, nationaliteit, woonland en paspoortgegevens. Als u een reservering plaatst of een vlucht boekt voor andere personen, registreren wij ook hun identiteitsgegevens. U dient ervoor te zorgen dat zij weten dat wij hun persoonsgegevens verzamelen en op welke wijze wij van die gegevens gebruikmaken.

(B) Uw contactgegevens en gegevens over uw persoonlijke account of registratie Wij kunnen uw adres, telefoonnummer en e-mailadres verzamelen. Als u zich voor een dienst, evenement, prijsvraag of actie registreert of een persoonlijke account aanmaakt, kunnen we ook uw inloggegevens en andere informatie vastleggen die u bij het registreren of op het accountformulier invult. Reist u voor zaken, dan registreren wij ook gegevens over uw organisatie, zoals naam en adres.

(C) Informatie over uw reserveringen, boekingen en aankopen Als u een reservering plaatst of een vlucht bij ons boekt, verwerken wij uw reserverings- en boekingsgegevens, zoals gegevens over uw vlucht, de prijzen en de datum van uw reservering of boeking. Daarnaast verwerken wij gegevens over de aankoop van aanvullende diensten (zoals extra bagage, upgrades, WiFi aan boord) en producten.

(D) Informatie over uw reis Als u met ons reist, verwerken wij informatie over uw reis zoals uw reisschema, online of op de luchthaven inchecken, mobiele of geprinte boardingpass, en informatie over uw reisgenoten. Ook kunnen we uw specifieke medische behoeften of dieetwensen en eventueel benodigde aanvullende hulp vastleggen.

Vóór het boarden of uitstappen, kunnen wij ook gezondheidscontroles uitvoeren of uw gezondheidsgegevens verzamelen of gebruiken omdat wij hiertoe wettelijk verplicht zijn, om redenen van algemeen belang op het gebied van de volksgezondheid, of met uw uitdrukkelijke toestemming.

Op sommige luchthavens kan uw identiteit als onderdeel van toegangscontroles, veiligheidsmaatregelen en beveiligingsprocedures (zoals koppeling van ingecheckte bagage aan de juiste passagier) worden geverifieerd aan de hand van biometrische kenmerken, bijvoorbeeld via gezichtsherkenning. Van de externe organisatie die deze controles of procedures verzorgt, ontvangen wij normaliter een bevestiging dat uw identiteit is geverifieerd (een identiteitsbevestiging). Tenzij anders aangegeven, ontvangen wij geen andere persoonsgegevens over u dan die waarover wij al beschikken (zoals gegevens over uw boardingpass). Wij ontvangen geen biometrische gegevens (zoals een gezichtsafbeelding). De externe organisatie die de biometrische identificatie verzorgt is verantwoordelijke voor de verwerking van uw biometrische gegevens. Voor meer informatie over de verwerking van uw persoonsgegevens door deze organisatie, verwijzen wij naar het privacybeleid van de desbetreffende organisatie. Voor meer informatie over de doeleinden waarvoor wij de identiteitsbevestiging gebruiken verwijzen we naar paragraaf 4.1 (H).

We kunnen wettelijk verplicht zijn om een kopie van uw identiteitsbewijs te maken (zie paragraaf 5.4 (A) hierna voor meer informatie).

(E) Informatie in het kader van ons zakelijke loyaliteitsprogramma Als u deelneemt aan ons zakelijke loyaliteitsprogramma Bluebiz, verwerken wij uw deelnemersnummer, blue credits-saldo, rewards en voordelen, deelnemerssoort en -niveau en overige informatie met betrekking tot uw deelname. Ook registreren wij de transacties waarmee u blue credits verdient of gebruikt. Wij registreren onder meer het soort transactie (bijvoorbeeld een vlucht), de transactiedatum, de verdiende of gebruikte blue credits en de aanbieder (Air France, KLM of Bluebiz-partner). We kunnen de gegevens over uw deelname aan Flying Blue aanwenden voor het leveren of promoten van diensten aan u (zie 4.1 hierna). Voor meer informatie over de verwerking van uw persoonsgegevens in het kader van uw deelname aan Flying Blue verwijzen wij u naar het Flying Blue-privacybeleid.

(F) Onze communicatie met u Als u ons een e-mail stuurt, met ons chat via de website, of contact met ons opneemt online of via sociale media met ons chat, registreren wij uw berichten. Als u ons belt, legt onze klantenservice uw vragen of klachten vast in onze database. Ook kunnen we telefoongesprekken opnemen voor trainingsdoeleinden of ter preventie en bestrijding van fraude. Wij registreren uw communicatievoorkeuren, bijvoorbeeld wanneer u zich aan- of afmeldt voor één van onze nieuwsbrieven, de nieuwsbrieven die we versturen in het kader van onze loyaliteitsprogramma’s of voor onze partners, of als u ervoor kiest om informatie of alerts over uw boeking te ontvangen (zoals uw boardingpass en updates over uw vluchtstatus) via andere kanalen dan e-mail (zoals WhatsApp, Messenger of WeChat).

(G) Informatie die wij verzamelen als u gebruikmaakt van onze websites, mobiele apps en andere digitale media i. Wanneer u onze websites bezoekt of gebruikmaakt van onze mobiele apps of andere digitale diensten (waaronder In-Flight Entertainment en WiFi aan boord), kunnen wij uw IP-adres, type browser, besturingssysteem, doorverwijzende website, surfgedrag en appgebruik vastleggen. Deze informatie wordt verzameld via cookies en vergelijkbare technologieën. Meer informatie is te vinden in ons cookiebeleid. Als u onze websites bezoekt via een link in een e-mail of als u inlogt op uw KLM-account of Flying Blue-account, kunnen wij de informatie die we via cookies en vergelijkbare technologieën verzamelen, koppelen aan andere gegevens die wij al van u hebben. ii. Wij ontvangen automatisch bericht wanneer u onze e-mails opent of op een link in deze e-mails klikt. Deze informatie kunnen wij koppelen aan andere gegevens die wij al van u hebben. iii. Met uw toestemming kunnen wij uw locatiegegevens ontvangen. iv. U kunt ons toestemming geven om toegang te verkrijgen tot bepaalde gegevens op uw mobiele telefoon, zoals foto's en contactpersonen.

(H) Gegevens met betrekking tot sociale media en zoekmachineplatformen Afhankelijk van uw instellingen kunnen wij gegevens ontvangen van uw sociale-netwerkprovider en het zoekmachineplatform dat u gebruikt. Als u bijvoorbeeld via een social media-account inlogt op onze diensten, kunnen wij uw social media-profiel ontvangen, met uw contactgegevens, interesses en contactpersonen. Daarnaast ontvangen we bezoekersstatistieken van Meta in verband met onze Facebook-fanpagina. KLM is samen met Meta verantwoordelijk voor deze bezoekersstatistieken. U kunt contact opnemen met Meta of het Privacy Office van KLM (zie paragraaf 8 hierna) als u uw rechten wilt uitoefenen of als u een klacht heeft over de verwerking van uw persoonsgegevens. Meta behandelt uw verzoeken tot uitoefening van uw rechten en eventuele klachten. Wij helpen Meta zo nodig bij de behandeling van uw verzoek of klacht. Meer informatie over de persoonsgegevens die wij van sociale-netwerkproviders en zoekmachineplatforms ontvangen en over het wijzigen van uw instellingen, vindt u op de website en in het privacybeleid van deze partijen.

(I) Informatie die u met ons wilt delen Wij verwerken de informatie die u op eigen initiatief met ons deelt, bijvoorbeeld als u uw interesses en voorkeuren kenbaar maakt op onze website, een reactie plaatst op onze Facebook-pagina, meedoet aan een klantenonderzoek of zich inschrijft voor een prijsvraag.

(J) Passagiers die overlast veroorzaken of misbruik maken van onze diensten KLM houdt een lijst bij van passagiers die overlast hebben veroorzaakt op de grond of aan boord. Onder overlast wordt onder meer verstaan: handelen in strijd met de veiligheid, verstoring van de openbare orde, toebrengen van letsel aan grondpersoneel, crew of passagiers en toebrengen van schade aan onze eigendommen. Ten behoeve van deze lijst verwerken wij de namen van de passagiers, hun geslacht, geboortedatum, e-mailadres, vluchtgegevens, het gespreksverslag (hoor en wederhoor), een korte feitelijke beschrijving van het incident en de ernst van de overlast, het soort en de duur van de genomen veiligheidsmaatregelen en indien van toepassing een kopie van het proces-verbaal. Wij kunnen een beperkt deel van deze gegevens (voor- en achternaam, geboortedatum en de duur van de opgelegde veiligheidsmaatregel) delen met onze dochtermaatschappij Transavia (zie ook paragraaf 1 hiervoor en paragraaf 3. (G), 4.1. (G) en 5.3. hieronder). KLM houdt ook een lijst bij van passagiers die misbruik maken van onze diensten (met inbegrip van de loyaliteitsprogramma’s Flying Blue en Bluebiz). Hiervoor verwerken wij de namen van de passagiers, hun geboortedatum en ticketnummer en een korte feitelijke beschrijving van het incident en de ernst van het misbruik. Zie voor meer informatie paragraaf 4.1 (G) hieronder.

2.2 Speciale categorieën persoonsgegevens

Voor bepaalde categorieën persoonsgegevens, zoals gegevens waaruit ras, etnische afkomst, geloof of levensovertuiging blijken, gegevens over uw gezondheid of strafrechtelijke gegevens, gelden op grond van de toepasselijke privacywetgeving strengere regels. Wij verwerken deze categorieën persoonsgegevens bijvoorbeeld om u tijdens de reis de door u benodigde hulp of medische faciliteiten te bieden, om te voldoen aan uw verzoeken, ten behoeve van de vliegveiligheid of om aan wettelijke voorschriften te voldoen. Ook voor biometrische gegevens gelden strengere regels. Zoals toegelicht onder 2.1 (D) verwerken wij normaliter echter geen biometrische gegevens. Deze privacyverklaring is niet van toepassing op de diensten van KLM Health Services. Deze diensten staan los van onze dienstverlening. Meer informatie over de verwerking van uw persoonsgegevens door KLM Health Services is te vinden in de privacyverklaring op de website van KLM Health Services.

2.3 Kinderen onder de 16 jaar

Wanneer u gegevens over kinderen aan ons verstrekt in het kader van het boeken van een vlucht of de aankoop van een dienst of product, verzamelen wij deze gegevens. Als een kind alleen reist, registreren wij niet alleen de contactgegevens van de ouder(s) of wettelijk vertegenwoordiger(s), maar ook de contactgegevens van degene die het kind naar de luchthaven brengt of daar ophaalt.

2.4 Specifieke diensten, mobiele apps, evenementen, prijsvragen of acties

Voor specifieke diensten, mobiele apps, evenementen, prijsvragen of acties kunnen wij andere soorten gegevens verzamelen dan beschreven in deze privacyverklaring. Wij informeren u hierover op het moment dat u zich voor de dienst, het evenement, de prijsvraag of de actie aanmeldt of als u de app downloadt.

Wij verzamelen de hiervoor genoemde categorieën van persoonsgegevens als volgt:

(A) Door u verstrekte persoonsgegevens Wanneer u een vlucht bij ons boekt, een online account aanmaakt, zich aanmeldt voor ons zakelijke loyaliteitsprogramma Bluebiz, via sociale media contact met ons opneemt, deelneemt aan een klantenonderzoek, contact opneemt met onze klantenservice, zich inschrijft voor onze e-mails of mobiele pushberichten of zich aanmeldt voor een van onze evenementen of acties.

(B) Persoonsgegevens die wij ontvangen van uw reisagent, onze airline partners en overige bedrijven die betrokken zijn bij uw reis Wij ontvangen uw gegevens van deze partijen om uw reserveringen en boekingen af te handelen en uw reizen en aankopen mogelijk te maken. Als u bijvoorbeeld een vlucht boekt via een reisagent of online platform, ontvangen wij uw identiteits-, contact- en boekingsgegevens van deze derden.

(C) Persoonsgegevens die wij ontvangen van partners die deelnemen aan ons zakelijke loyaliteitsprogramma Het zakelijke loyaliteitsprogramma Bluebiz wordt aangeboden door KLM en Air France (zie ook hierboven onder ‘Wie wij zijn’). Met dit loyaliteitsprogramma kunt u credits sparen en besteden bij KLM en Air France en bij onze loyaliteitspartners. Met het oog daarop worden de boekingsgegevens in het kader van onze boekingsprocedures (zie 2.1 (C) hierboven) onderling door Air France en KLM uitgewisseld. Wij verstrekken uw persoonsgegevens ook aan onze loyaliteitspartners. Als u bijvoorbeeld een dienst afneemt bij één van onze loyaliteitspartners, delen zij de credits die u heeft gespaard met ons zodat wij uw saldo kunnen aanpassen. Een overzicht van onze loyaliteitspartners is te vinden op deBluebiz website. Onze loyaliteitspartners zijn zelfstandig verantwoordelijk voor de verwerking van uw persoonsgegevens. Meer informatie over hoe zij met uw persoonsgegevens omgaan, vindt u in hun privacybeleid.

(D) Als u onze website of mobiele apps gebruikt, verzamelen wij informatie via cookies en vergelijkbare technologieën KLM maakt gebruik van eigen cookies en van cookies van derden. Meer informatie hierover vindt u in onscookiebeleid.

(E) Als u gebruikmaakt van een sociaal netwerk of van een zoekmachineplatform, kunnen wij ook gegevens van deze partijen ontvangen Zie voor meer informatie paragraaf 2.1 (H) hierboven.

(F) Wij ontvangen bepaalde informatie ten behoeve van de veiligheid aan boord van de overheid, overheidsinstanties, de luchthaven of hieraan gelieerde organisaties KLM ontvangt de namen van personen die door de Staat der Nederlanden of een overheidsinstantie op een zwarte lijst zijn geplaatst. Dit gebeurt bijvoorbeeld bij passagiers die uitstappen op Schiphol en bij wie door de Koninklijke Marechaussee drugs zijn aangetroffen. Zie voor meer informatie paragraaf 4.1 (G) hierna. Op sommige luchthavens kan uw identiteit als onderdeel van toepasselijke toegangscontroles, veiligheidsmaatregelen en beveiligingsprocedures (zoals koppeling van ingecheckte bagage aan de juiste passagier) worden geverifieerd aan de hand van biometrische kenmerken. Zie voor meer informatie paragraaf 2(D) hiervoor.

(G) Als u overlast veroorzaakt verzamelen wij bepaalde informatie ten behoeve van de vliegveiligheid Als u voor of tijdens een vlucht overlast veroorzaakt, maakt KLM daarvan een rapport op. Dat rapport kan, behalve de gegevens die reeds aan ons zijn verstrekt in het kader van uw boeking of reservering (bijvoorbeeld naam en geboortedatum), ook informatie bevatten die afkomstig is van personen die betrokken zijn bij het incident en/of belast zijn met de afhandeling ervan. Zie ook paragraaf 2.1. (J) hiervoor.

4.1. De belangrijkste doeleinden waarvoor wij uw gegevens gebruiken

(A) Om onze diensten aan u te leveren Wij gebruiken de onder 2.1 (A) tot en met (G) beschreven informatie om uw reserveringen en boekingen af te handelen en uw reizen en aankopen mogelijk te maken. We maken bijvoorbeeld gebruik van uw naam, paspoortnummer en andere identiteitsgegevens om uw ticket te kunnen verstrekken. Wij gebruiken uw contactgegevens om wijzigingen in de vluchtstatus aan u door te geven. Als de personen in uw boeking deelnemen aan ons loyaliteitsprogramma Flying Blue, gebruiken wij de door hen verstrekte contactgegevens om hen te informeren over hun vlucht en over eventuele wijzigingen in de vluchtstatus. Informatie over uw specifieke medische behoeften hebben wij nodig en gebruiken wij alleen om ervoor te kunnen zorgen dat u de juiste zorg ontvangt.

(B) Om ons zakelijke loyaliteitsprogramma Bluebiz uit te voeren

(C) Om onze online diensten en mobiele apps aan u te leveren en te zorgen voor een prettige digitale ervaring i. Wij gebruiken uw naam en vluchtgegevens bijvoorbeeld als u met onze app incheckt voor uw vlucht. ii. Bij onze online diensten en apps wordt soms gebruikgemaakt van uw locatie, bijvoorbeeld om u de dichtstbijzijnde bezienswaardigheid te laten zien. iii. Om u een optimale digitale ervaring te bieden, analyseren wij uw digitale-mediagebruik. Zo stemmen we bijvoorbeeld onze communicatie af op het digitale kanaal of apparaat dat u het meest gebruikt (zie 2.1 (G)). iv. Als u uw boekingsprocedure afbreekt op onze website, sturen wij u een e-mail met een link naar uw boekingsprocedure, zodat u kunt doorgaan waar u was gebleven. U ontvangt een vergelijkbare mail als u de boekingsprocedure afbreekt op de website van onze partner Airtrade, die package deals aanbiedt. We sturen deze e-mails alleen op uw verzoek of als u akkoord bent gegaan met het per e-mail ontvangen van updates en speciale aanbiedingen (zie 4.1 (E)). U kunt uw toestemming voor deze e-mails op elk moment intrekken door op de afmeldlink in de e-mail te klikken, door uw communicatievoorkeuren in uw account aan te passen (indien beschikbaar) of door contact met ons op te nemen (zie paragraaf 8 ‘Uw rechten’ hieronder).

(D) Voor statistisch onderzoek i. Algemeen: we doen onderzoek naar algemene trends in het gebruik van onze diensten, loyaliteitsprogramma’s, websites, mobiele apps en sociale media en in het gedrag en de voorkeuren van onze klanten, deelnemers aan onze loyaliteitsprogramma's en gebruikers. We gebruiken de onderzoeksresultaten om betere diensten en aanbiedingen voor onze klanten te ontwikkelen, de loyaliteitsprogramma’s te verbeteren, onze klantenservice aan te scherpen en het ontwerp en de inhoud van onze websites en mobiele apps te verbeteren. ii. Gegevenscategorieën: voor ons onderzoek kunnen we gebruikmaken van de in paragraaf 2.1 (A) tot en met (I) beschreven categorieën persoonsgegevens en van de persoonsgegevens die wij registreren als u deelneemt aan Flying Blue (zie voor meer informatie hetFlying Blue-privacybeleid). Voor het onderzoek gebruiken we alleen ‘geaggregeerde’ en ‘gepseudonimiseerde’ gegevens. Dit zijn gegevens die niet direct tot u herleidbaar zijn en waaruit alle direct identificeerbare elementen (zoals naam en e-mailadres) zijn verwijderd of omgecodeerd zijn tot een nummer. We treffen passende maatregelen om ervoor te zorgen dat slechts een beperkte groep werknemers toegang heeft tot de dataset. iii. Voorbeeld: uit ons onderzoek naar boekingsgegevens en gegevens over de aankoop van aanvullende diensten (extra bagage, upgrades) kan bijvoorbeeld blijken dat langeafstandsreizigers vaker extra beenruimte kopen. Met deze informatie kunnen we onze diensten verbeteren, bijvoorbeeld door de mogelijkheid van extra beenruimte bij langeafstandsvluchten extra onder de aandacht te brengen. iv. Wettelijke grondslag en recht van bezwaar: wij verwerken uw persoonsgegevens in het kader van de hierboven beschreven gerechtvaardigde belangen (zie paragraaf (i) ‘Algemeen’). U heeft op grond van met uw specifieke situatie verband houdende redenen te allen tijde het recht om bezwaar te maken tegen de verwerking van uw persoonsgegevens voor statistisch onderzoek (zie paragraaf 8 ‘Uw rechten’ hieronder).

(E) Marketingdoeleinden i. Algemeen: wij kunnen uw persoonsgegevens gebruiken voor direct marketing-doeleinden. In deze paragraaf leggen wij uit hoe we dat doen. ii. Kanalen: wij maken gebruik van diverse kanalen zoals e-mail, mobiele pushberichten, onze eigen websites en apps en websites en apps van derden, sociale media en gewone post voor marketingdoeleinden. Bijvoorbeeld: – Boekingsgerelateerde e-mails: als u een vlucht bij ons boekt, ontvangt u verschillende e-mails in verband met uw boeking (zoals een boekingsbevestiging, informatie over inchecken en boarden). Deze mails bevatten ook advertenties en aanbiedingen die op uw vlucht zijn afgestemd. U kunt zich altijd afmelden voor gepersonaliseerde advertenties en aanbiedingen (zie punt iv hierna). – E-mails van KLM met KLM updates en aanbiedingen: als u een vlucht bij ons boekt, krijgt u van ons ook e-mails met KLM updates en aanbiedingen die op uw interesses zijn afgestemd, zoals onze nieuwsbrief. Ook ontvangt u van ons dan e-mails bij specifieke gelegenheden, zoals een speciale aanbieding op uw verjaardag of gepersonaliseerde aanbiedingen voor uw volgende reis binnen enkele maanden na uw terugkeer. U kunt zich voor deze mails tijdens het boekingsproces en op ieder moment daarna afmelden (zie punt iv hierna). In sommige landen ontvangt u deze e-mails alleen als u zich daarvoor tevoren heeft aangemeld. - E-mails van KLM met updates en aanbiedingen van derden: u kunt zich aanmelden voor e-mails van KLM met updates en aanbiedingen van derden. Deze e-mails bevatten naast aanbiedingen voor onze eigen diensten, ook aanbiedingen van onze partners, zoals aanbiedingen voor hotels van onze partner Booking.com of autoverhuuropties van onze partner Hertz. – Rechtstreekse berichten via andere communicatiekanalen: met uw toestemming maken wij gebruik van andere communicatiekanalen om u rechtstreeks berichten te sturen met gepersonaliseerde advertenties en speciale aanbiedingen, zoals per post, mobiele pushberichten of via sociale media (zoals Messenger, WhatsApp of WeChat). U kunt zich in de KLM mobiele app ook aanmelden voor pushberichten met updates en aanbiedingen van KLM partners. – Tonen van relevante informatie en gepersonaliseerde advertenties op onze eigen websites en apps en websites en apps van derden: zie onscookiebeleid. Wij kunnen uw persoonsgegevens ook gebruiken om u uit te sluiten van advertenties die voor u niet langer relevant zijn. – Gerichte marketing via sociale-mediaplatformen ('custom audience targeting’): u kunt zich aanmelden om gepersonaliseerde advertenties en aanbiedingen te ontvangen via de sociale-mediaplatformen die u gebruikt. Om u relevante informatie en gepersonaliseerde advertenties via diverse kanalen te kunnen tonen en om het bereik en de effectiviteit van onze advertenties door te meten, kunnen we bepaalde identifiers (zoals bijvoorbeeld uw e-mailadres, telefoonnummer of uw IP-adres) met derden delen. Waar mogelijk delen wij deze identifiers enkel in gepseudonimiseerde (‘gehashte’) vorm. In het kader van marketingdoeleinden maken wij bijvoorbeeld gebruik van het Custom Audience-programma van Meta. Met dit programma kunnen wij onder meer gepersonaliseerde advertenties en aanbiedingen tonen in uw nieuwsoverzicht op platformen van Meta, zoals Facebook Messenger en Instagram. Ook kunnen wij u met dit programma uitsluiten van advertentiecampagnes op de platformen van Meta, bijvoorbeeld wanneer u al via e-mail vergelijkbare advertenties of aanbiedingen heeft ontvangen. Wij verstrekken alleen identifiers aan Meta zodat Meta kan controleren of u op een van de platformen van Meta een account heeft. Omgekeerd verstrekt Meta uitsluitend geaggregeerde gegevens aan ons over de effectiviteit van een advertentiecampagne. Deze gegevens zijn niet direct tot u herleidbaar. Op deze manier zetten wij ons naar beste vermogen in om uw persoonsgegevens vertrouwelijk en veilig te houden. Om ons publiek (‘audience’) voor een specifieke advertentiecampagne te bepalen, kunnen wij gebruikmaken van uw boekingsgegevens of van de gegevens die we registreren als u onze websites, mobiele apps of andere digitale media gebruikt. Daarnaast kan Meta de persoonsgegevens die Meta van u heeft vastgelegd, gebruiken om een vergelijkbaar publiek te selecteren. Daarmee kunnen wij via Meta een nieuw publiek bereiken. Lees hier meer over de wijze waaropMeta van uw gegevens gebruikmaakt voor het Custom Audience-programmaenhoe u controle houdt op de wijze waarop uw gegevens door Meta worden gebruiktvoor het personaliseren van de advertenties die u te zien krijgt. Zie ook hetprivacybeleid van Meta. Wij kunnen deelnemen aan vergelijkbare programma's van andere partijen om u ook via andere kanalen relevante informatie en gepersonaliseerde advertenties te kunnen tonen. Dit kunnen bijvoorbeeld programma’s van andere sociale-mediaplatformen (zoals X, LinkedIn en Pinterest) zijn, maar bijvoorbeeld ook zoekmachineplatformen (zoals Google en Microsoft Bing) of websites van derden (zoals Partnerize, Skyscanner en TripAdvisor). Voor meer informatie verwijzen wij u naar het privacybeleid van de desbetreffende partij. Als u niet langer wilt deelnemen aan de programma’s die wij gebruiken om u relevante informatie en gepersonaliseerde advertenties via diverse kanalen te kunnen tonen, dan kunt u uw toestemming intrekken door een e-mail te sturen naarKLMPrivacyOffice@klm.com. Gebruik daarbij het e-mailadres waarvoor u de toestemming wilt intrekken. iii. Gepersonaliseerde aanbiedingen: wij proberen advertenties en aanbiedingen zo relevant mogelijk voor u te maken. Met het oog daarop kunnen we analyses uitvoeren op de in paragraaf 2.1 (A) tot en met (I) en 4.1 (C) (statistisch onderzoek) beschreven categorieën persoonsgegevens en de persoonsgegevens die wij registreren als u deelneemt aan Flying Blue (zie voor meer informatie hetFlying Blue-privacybeleid). De analyseresultaten gebruiken wij om advertenties en aanbiedingen te personaliseren. Als u weer thuis bent na een reis, kunnen wij u met uw toestemming bijvoorbeeld een e-mail sturen met aanbiedingen op basis van uw boekingsgeschiedenis, waarmee u inspiratie kunt opdoen voor een volgende reis. Wij kunnen uw boekingsgeschiedenis (zakelijk of particulier reizen, reisklasse, bestemming, deelnemer Flying Blue) ook gebruiken om u korting te geven op een upgrade of extra bagage. iv. Wettelijke grondslag en recht van bezwaar: tenzij anders aangegeven, verwerken wij uw persoonsgegevens als beschreven in deze paragraaf 4.1 (E) voor onze gerechtvaardigde belangen en voor de belangen van derden. U heeft te allen tijde het recht om bezwaar te maken tegen het gebruik van uw persoonsgegevens voor direct marketing en gerelateerde profileringsactiviteiten (zie paragraaf 8 ‘Uw rechten’ hieronder). v. Afmelden: u kunt zich altijd afmelden voor gepersonaliseerde advertenties en aanbiedingen. Hieronder wordt uitgelegd hoe u zich kunt afmelden. – Per e-mail: u kunt zich op elk moment afmelden voor advertenties en aanbiedingen in onze e-mails betreffende uw boeking en onze e-mails met KLM updates en aanbiedingen en onze loyaliteitsprogramma's en voor e-mails waarvoor u zich heeft aangemeld, door op de afmeldlink in de e-mail te klikken. In veel gevallen kunt u zich ook afmelden door uw communicatievoorkeuren in uw account aan te passen. Als u zich afmeldt, ontvangt u alleen nog e-mails die noodzakelijk zijn om van onze diensten gebruik te kunnen maken (zoals uw boekingsbevestiging, e-ticket of communicatie over een wijziging in uw vluchtschema) en om aan ons loyaliteitsprogramma te kunnen deelnemen (zoals een welkomstbericht aan deelnemers). – Per post: u kunt zich afmelden voor gepersonaliseerde advertenties en speciale aanbiedingen door via de post contact met ons op te nemen (zie paragraaf 8 ‘Uw rechten’ hieronder). – Via andere communicatiekanalen: als u zich heeft aangemeld voor gepersonaliseerde advertenties en aanbiedingen via mobiele pushberichten, kunt u zich afmelden door de instellingen op uw smartphone (voor mobiele pushberichten) aan te passen. Meer informatie over het afmelden voor gepersonaliseerde advertenties en aanbiedingen via sociale media (zoals Messenger, WhatsApp en WeChat) vindt u op de website van het sociale-mediaplatform. – Door contact op te nemen met onze Privacy Offices: u kunt zich altijd afmelden voor berichten met advertenties en aanbiedingen door contact met ons op te nemen (zie paragraaf 8 ‘Uw rechten’ hieronder).

(F) Om met u te communiceren Wij gebruiken uw contactgegevens om met u te communiceren over onze diensten of het loyaliteitsprogramma, om uw vragen te beantwoorden of om uw klachten te behandelen.

(G) Passagiers die overlast veroorzaken of misbruik maken van onze diensten i.Algemeen: KLM houdt lijsten bij van passagiers die overlast hebben veroorzaakt of misbruik hebben gemaakt van onze diensten (zie paragraaf 2.1 (J) hierboven). KLM kan deze passagiers afhankelijk van de ernst van de gedraging in beginsel (i) gedurende een periode van drie jaar uitsluitend onder bepaalde voorwaarden toelaten aan boord of (ii) voor vijf jaar weigeren op onze vluchten. In geval van verzwarende omstandigheden (zoals bij herhaalde misdragingen) kan KLM in een concreet geval besluiten om een passagier langer dan vijf jaar te weigeren op vluchten. In zeer ernstige gevallen kan KLM zelfs besluiten om een passagier levenslang te weigeren. Voor het verwerken van deze bijzondere informatie ten aanzien van kinderen hanteren wij andere richtlijnen. Kinderen onder de 15 jaar die overlast veroorzaken worden door KLM niet op de lijst geplaatst. Ten aanzien van kinderen van 15 en 16 jaar kan KLM besluiten dat zij voor een periode van maximaal één jaar uitsluitend onder bepaalde voorwaarden worden toegelaten aan boord. De passagiers op de lijsten die voor 5 jaar of langer geweigerd worden, worden persoonlijk (zo mogelijk per e-mail) geïnformeerd over het feit dat zij op de lijst zijn geplaatst, de reden voor plaatsing, welke veiligheidsmaatregelen jegens hen zijn genomen, hoe lang deze op hen van toepassing zijn en waar zij een klacht of bezwaar kunnen indienen tegen de plaatsing. Meer informatie over inzage in of correctie van deze gegevens vindt u hieronder in paragraaf 8 ‘Uw rechten’. ii. Illegale drugs: KLM ontvangt van de Staat der Nederlanden de namen van passagiers die op Schiphol zijn uitgestapt en bij wie door de Koninklijke Marechaussee illegale drugs zijn aangetroffen. KLM kan gedurende een periode van 3 jaar weigeren om deze personen te vervoeren op rechtstreekse vluchten vanaf Schiphol naar Suriname, Aruba, Bonaire, St. Maarten of Curaçao en op rechtstreekse vluchten vanuit deze landen naar Schiphol. U kunt inzage in of correctie van deze gegevens aanvragen door een schriftelijk verzoek daartoe in te dienen bij de Koninklijke Marechaussee, Postbus 90615, 2509 LP Den Haag. Indien u woonachtig bent op Aruba, de Nederlandse Antillen, in Suriname of in Venezuela dient u bij dit schriftelijke verzoek een kopie van uw paspoort mee te sturen.

(H) Voor onze bedrijfsvoering of om aan wettelijke verplichtingen te voldoen Wij verzamelen, gebruiken en bewaren uw persoonsgegevens voor onze bedrijfsvoering, zoals het uitvoeren van vluchten, het waarborgen van de vliegveiligheid en het bijhouden van onze administratie. We verwerken uw gegevens ook om onze bedrijfsvoering te verbeteren. Zo gebruiken we opnames van telefoongesprekken om onze medewerkers van de klantenservice te trainen (zie 2.1 (F)). Verder verwerken wij uw persoonsgegevens om onze wettelijke en fiscale verplichtingen na te leven en ten behoeve van fraudepreventie en -bestrijding en geschillenbeslechting. Bij fraude of misbruik van onze diensten kunnen wij uw persoonsgegevens opnemen in onze interne fraudebeheersings- en waarschuwingssystemen (zie 4.1 (G) hierboven).

4.2 Specifieke diensten, apps, evenementen, prijsvragen of acties

Voor specifieke diensten, apps, evenementen, prijsvragen of acties kunnen wij gebruikmaken van andere soorten gegevens dan beschreven in deze privacyverklaring. Wij informeren u hierover op het moment dat u zich voor de dienst, het evenement, de prijsvraag of de actie registreert of als u de app downloadt.

4.3 Wettelijke grondslag

We kunnen uw persoonsgegevens uitsluitend verwerken als wij daarvoor een wettelijke grondslag hebben. In veel gevallen hebben wij uw persoonsgegevens nodig om uw boeking in ontvangst te nemen en te verwerken, uw vlucht of aankopen te verzorgen, uw deelname aan onze loyaliteitsprogramma’s mogelijk te maken of om uw vragen te beantwoorden (zie 4.1 (A), (B) en (G) hierboven). Wij verwerken uw gegevens dan op de rechtsgrond ‘noodzakelijk voor de uitvoering van een overeenkomst’. Als u toestemming heeft gegeven voor de verwerking van uw persoonsgegevens (welke toestemming u te allen tijde weer kunt intrekken, zie paragraaf 8 ‘Uw rechten’ hieronder), verwerken wij uw gegevens op basis van die toestemming. In bepaalde gevallen kunnen wij uw persoonsgegevens gebruiken als wij of derden daarbij een gerechtvaardigd belang hebben. Wij maken altijd een zorgvuldige afweging van alle belangen: uw belangen, die van anderen en die van KLM. Op deze laatste grondslag van gerechtvaardigd belang verwerken wij uw gegevens bijvoorbeeld voor vliegveiligheidsdoeleinden, statistisch onderzoek, direct marketing of gepersonaliseerde kortingen en aanbiedingen (zie 4.1 (C), (D), (E) en (G) hierboven voor meer informatie). Wij kunnen een wettelijke plicht hebben om uw gegevens te verwerken, bijvoorbeeld om te voldoen aan immigratieformaliteiten (zie 4.1 (H)). Indien u weigert om de persoonsgegevens te verstrekken die we nodig hebben voor de uitvoering van de overeenkomst die we met u hebben gesloten of voor de naleving van een wettelijke verplichting, kunnen we mogelijk niet alle diensten leveren waarom u heeft verzocht. In dat geval moeten we bijvoorbeeld uw boeking annuleren of kunnen we de door u gewenste aanvullende diensten niet leveren. Als u onvolledige of onjuiste gegevens heeft verstrekt, kunnen wij ons genoodzaakt zien om u de toegang tot uw vlucht te ontzeggen of het betreden van buitenlands grondgebied te weigeren.

5.1. Algemeen

Wij kunnen uw persoonsgegevens in de volgende gevallen aan derden verstrekken:

(A) Voor het faciliteren van uw boekingen en reizen Om uw reserveringen en boekingen af te handelen en uw reizen en aankopen mogelijk te maken, moeten wij uw persoonsgegevens in veel gevallen uitwisselen met onze partnerairlines, luchthavenexploitanten en andere bedrijven die bij uw reis betrokken zijn (zie 3.1 (B) hierboven, ‘Hoe wij uw gegevens verzamelen’). Daarnaast wisselen we uw gegevens uit met SkyTeam en de leden van de SkyTeam Alliance om u een meer naadloze reiservaring te bieden (zie paragraaf 1 hierboven).

(B) Ten behoeve van ons zakelijke loyaliteitsprogramma Bluebiz Zie voor meer informatie de paragraaf ‘Wie wij zijn’ en 3.1 (C) onder ‘Hoe wij uw gegevens verzamelen’.

(C) Met betrekking tot zakelijke accounts Als u een vlucht boekt via de zakelijke account van uw werkgever, heeft uw werkgever toegang tot bepaalde boekingsgegevens, zoals de prijs van het ticket, de reisdata en uw bestemming. Uw werkgever is zelfstandig verantwoordelijk voor de wijze waarop hij uw persoonsgegevens verwerkt en u daarover informeert.

(D) Voor ondersteunende of aanvullende diensten Om onze diensten te leveren, maken wij gebruik van ondersteunende of aanvullende diensten van derden, zoals IT-leveranciers, sociale-mediaproviders en marketing- en screeningbureaus. Al deze derden zijn verplicht uw persoonsgegevens afdoende te beschermen en deze alleen te verwerken overeenkomstig onze instructies. Binnen de Air France-KLM Groep wordt voor de bedrijfsvoering gebruikgemaakt van gecentraliseerde databases en systemen. Deze centrale databases en systemen kunnen door een van de groepsmaatschappijen worden gehost of beheerd voor de andere groepsmaatschappijen. Daarnaast kunnen bepaalde operationele functies ten behoeve van de efficiëntie door een van de groepsmaatschappijen worden uitgevoerd voor de andere groepsmaatschappijen. Dit betekent dat onze groepsmaatschappijen in dat kader toegang kunnen hebben tot uw persoonsgegevens. Onze groepsmaatschappijen mogen uw persoonsgegevens alleen verwerken wanneer dat nodig is voor de betreffende bedrijfsfunctie en overeenkomstig deze privacyverklaring.

(E) Met betrekking tot betaaldiensten Om de betaling van uw reizen en aankopen te verwerken, kunnen wij samenwerken met derden die betaaldiensten aanbieden. Deze aanbieders controleren in veel gevallen ook op fraude. Zij hanteren een eigen privacybeleid wat betreft de wijze waarop zij van uw persoonsgegevens gebruikmaken.

(F) Gepersonaliseerde marketing via sociale-mediaplatformen Zie voor meer informatie paragraaf 4.1 (E) onder ‘De doeleinden waarvoor wij uw gegevens gebruiken’.

(G) Zodat onze partners hun aanbod kunnen afstemmen op uw reis Wij kunnen uw niet-persoonlijke gegevens (bestemming, reisdatum en reisduur) uitwisselen met partners die aanvullende diensten aanbieden (zoals hotelovernachtingen, autoverhuur) zodat zij hun aanbod kunnen afstemmen op uw reis. Zij hanteren een eigen privacybeleid wat betreft de wijze waarop zij van uw persoonsgegevens gebruikmaken.

5.2. Specifieke diensten, apps, evenementen, prijsvragen of acties

Voor specifieke diensten, apps, evenementen, prijsvragen of acties kunnen wij uw gegevens uitwisselen met andere derden dan beschreven in deze privacyverklaring. Bijvoorbeeld als we een actie of evenement samen met een partner organiseren of wij hun diensten integreren in onze apps. Wij informeren u hierover op het moment dat u zich voor de dienst, het evenement, de prijsvraag of de actie aanmeldt of als u de app downloadt.

5.3. Uitwisseling van gegevens met Transavia

Op luchtvaartmaatschappijen rust een verplichting om de vliegveiligheid te waarborgen. Ten behoeve hiervan treft KLM bepaalde (noodzakelijke) veiligheidsmaatregelen. Zo houdt KLM een lijst bij van passagiers die overlast hebben veroorzaakt op de grond of aan boord (zie paragraaf 2.1. (J) en 4.2 (G) hierboven). Op basis van deze lijst kan KLM die passagiers (i) gedurende een periode van drie jaar uitsluitend onder bepaalde voorwaarden toelaten aan boord of (ii) voor een bepaalde periode weigeren aan boord. Transavia, de dochtermaatschappij van KLM, houdt eenzelfde soort lijst bij. Om de reikwijdte van de getroffen interne veiligheidsmaatregelen te vergroten, wisselen KLM en Transavia de persoonsgegevens van passagiers van wie besloten is dat zij voor een bepaalde periode geweigerd worden met elkaar uit (zie paragraaf 4.1. (G) hierboven). Een persoon die door KLM geweigerd wordt, wordt nu ook geweigerd aan boord van vluchten van Transavia (en andersom). Heeft u overlast veroorzaakt en heeft dit geleid tot plaatsing op de lijst, dan wordt u hierover persoonlijk geïnformeerd door de luchtvaartmaatschappij waar de overlast heeft plaatsgevonden.

5.4. Overheidsinstanties

(A) Algemeen We kunnen wettelijk verplicht zijn om uw persoonsgegevens te verzamelen voordat u naar een ander land reist en deze gegevens te verstrekken aan de overheidsinstanties in de landen van uw reisschema. Zo kunnen we wettelijk verplicht zijn om uw identiteitsgegevens, uw boekings- en reisgegevens aan deze overheidsinstanties door te geven ten behoeve van grenscontroles, immigratieformaliteiten, het betreden van het grondgebied van het betreffende land of de bestrijding van terrorisme en andere zware misdrijven (zie 5.4 (B) hierna). Als u vertrekt vanuit bepaalde landen zijn we in specifieke gevallen wettelijk verplicht om een kopie van uw paspoort te maken en deze op verzoek aan de Nederlandse overheid te verstrekken. Ook kunnen wij wettelijk verplicht zijn om uw gezondheidsgegevens door te geven aan de overheidsinstanties in de landen van uw reisschema om redenen van volksgezondheid (zie 2.1 (D) hierboven).

(B) PNR- en API-gegevens i. Algemeen: Ingevolge toepasselijke Europese en lokale wet- en regelgeving zijn wij verplicht om PNR- en API-gegevens door te geven aan bepaalde overheidsorganen.

ii. PNR (Passenger Name Record)gegevens: Dit zijn gegevens die wij van u verzamelen voor het uitvoeren van uw boeking en vlucht, waaronder uw naam en contactgegevens, het boekingsnummer en boekingsdatum, reis- en ticketinformatie (zoals reisdata en -route, vluchtnummer en ticketnummer), betalingsinformatie, informatie over uw reisstatus (check-in of no-show informatie), zitplaatsinformatie, bagage-informatie en uw Flying Blue nummer. Ingevolge de Europese Richtlijn 2016/681 en toepasselijke lokale wet- en regelgeving zijn wij verplicht om uw PNR-gegevens aan bepaalde overheidsorganen te verstrekken. Zo zijn wij voor elke vlucht naar Nederland of vanuit Nederland naar een ander land (zowel binnen als buiten de EU) verplicht om PNR-gegevens van passagiers te verstrekken aan de passagiersinformatie-eenheid van Nederland (ziehier) en het EU-land van bestemming of van waaruit de vlucht vertrekt. Aan welke buitenlandse passagiersinformatie-eenheid wij uw PNR-gegevens doorgeven, hangt dus af van uw reisroute.Hiervindt u een lijst met de namen van alle passagiersinformatie-eenheden in de EU. Voor vluchten vanuit Nederland naar een land buiten de EU en van vluchten van buiten de EU naar Nederland verstrekken wij daarnaast de PNR-gegevens van passagiers aan de Nederlandse Douane.

iii. API (Advance Passenger Information)gegevens: Dit zijn gegevens over u, uw reisdocument en uw vlucht en boeking, waaronder uw naam, geslacht, geboortedatum en nationaliteit, de aard, nummer, datum en plaats van afgifte en vervaldatum van het reisdocument, vluchtnummer, reisdata en -route, en boekingsnummer. Ingevolge de Europese Richtlijn 2004/82 en toepasselijke lokale wet- en regelgeving zijn wij voor elke vlucht vanuit een land buiten de EU of hetSchengengebiednaar Nederland verplicht om de API-gegevens te verstrekken aan (het API-centrum van) de Koninklijke Mareschaussee.

iv. Landenspecifiek: - Frankrijk: ingevolge artikel L 237 -7 van de Franse binnenlandse veiligheidswet kan KLM verplicht zijn om uw reserverings-, incheck- en boardinggegevens (API/PNR) door te geven aan de bevoegde nationale instanties in Frankrijk voor de doeleinden en onder de voorwaarden als beschreven in Besluit nr. 2014-1095 van 26 september 2014, zoals nadien gewijzigd bij Besluit nr. 2018/714 van 3 augustus 2018.

5.5. Websites van derden

Onze websites en mobiele apps bevatten links naar websites van derden. Als u deze links volgt, verlaat u onze websites of mobiele apps. Deze privacyverklaring is niet van toepassing op de websites van derden. Meer informatie over hoe derden met uw persoonsgegevens omgaan, vindt u in hun privacy- en/of cookiebeleid (indien beschikbaar).

6.1. Veiligheid

(A) Onze inzet Borging van de veiligheid en vertrouwelijkheid van uw persoonsgegevens heeft bij ons prioriteit. Rekening houdend met de aard van uw persoonsgegevens en de risico's van verwerking, hebben wij alle passende technische en organisatorische maatregelen getroffen die vereist zijn op grond van de geldende wettelijke voorschriften (met name artikel 32 van de Algemene Verordening Gegevensbescherming (AVG)), zodat een passend veiligheidsniveau is geborgd en met name ter voorkoming van onbedoelde of onrechtmatige vernietiging, verlies, wijziging of verstrekking van, inbreuk op of onbevoegde toegang tot deze gegevens.

(B) De veiligheidsmaatregelen die wij hebben getroffen i. Banktransacties: wij zijn verplicht om te voldoen aan het bepaalde in de Data Security Standard for the Payment Card Industry (de PCI DSS-standaard) van de PCI Security Standards Council (PCI SSC). Deze standaard is ontwikkeld om meer controle te krijgen over de gegevens van pashouders en om fraude met betaalinstrumenten aan te pakken. Alle dienstverleners van KLM die bankpasgegevens verwerken, dienen aan deze PCI DSS-standaard te voldoen. We willen identiteitsdiefstal op internet zo veel mogelijk tegengaan. Om die reden maken we bijvoorbeeld gebruik van apparatuur om frauduleuze betalingen te signaleren, zodat u in geval van verlies of diefstal van uw bankpas beschermd bent.

ii. Organisatorische maatregelen: wij hebben diverse organisatorische maatregelen getroffen ter vergroting van de alertheid bij onze medewerkers en ten behoeve van de verantwoording. Er zijn programma's geïntroduceerd die zorgen voor een groter bewustzijn en tegelijk de uitwisseling van ‘good practices’ en veiligheidsstandaarden bevorderen. In dat kader hebben onze medewerkers toegang tot een breed scala aan documenten over informatiebeveiliging en privacybescherming en alles wat daarbij komt kijken.

iii. Technische maatregelen: we houden streng toezicht op de fysieke en logische toegang tot de interne servers waarop uw persoonsgegevens gehost of verwerkt worden. We beveiligen ons netwerk met de nieuwste hardware (Firewall, IDS, DLP etc.) en architectuur (met inbegrip van veiligheidsprotocollen zoals TLS 1.2) om de risico's van cybercriminaliteit te voorkomen en te beperken.

(C) De ontwikkeling van onze beveiligingssystemen Om een passend veiligheidsniveau te handhaven, beschikken wij over interne processen volgens de beste standaarden (met name de ISO 27000-standaarden). We maken gebruik van ter zake kundige professionals om een zo hoog mogelijk beschermingsniveau te borgen. In dat kader onderhouden wij een speciale relatie met het NCSC (National Cyber Security Centre).

(D) Wat u zelf kunt doen Bij de beveiliging en geheimhouding van persoonsgegevens draait het om een optimale inzet van alle betrokkenen. Wanneer u een reservering maakt, ontvangt u bestandsreferenties. Deze boekingsreferenties dienen te allen tijde geheim te blijven. Als deze referenties bij andere passagiers terechtkomen, kunnen zij uw boekingsgegevens inzien via onze systemen of die van derden die bij de uitvoering van uw reis zijn betrokken (zoals reisbureaus en online zoek- en boekingssites). Als u samen reist en niet wilt dat uw reisgenoten inzage hebben in uw persoonsgegevens, raden wij u aan om apart te boeken. Ook adviseren wij u om de wachtwoorden die u voor onze diensten gebruikt, niet aan derden te verstrekken, om systematisch uit uw profiel en sociale account uit te loggen (zeker bij gekoppelde accounts) en om het browserscherm na afloop van uw sessie te sluiten, met name als u vanaf een openbare computer van internet gebruikmaakt. Zo voorkomt u dat andere gebruikers uw persoonsgegevens kunnen inzien. Om het risico van hacking te voorkomen, raden wij aan om voor elke online dienst waarvan u gebruikmaakt, een ander wachtwoord te gebruiken. Wij zijn niet verantwoordelijk voor diefstal van uw gegevens op een platform dat niet door ons wordt beheerd. Daarnaast adviseren wij u met klem om door KLM verstrekte bescheiden waarin uw persoonsgegevens (uw boardingpass, ticketnummer etc.) of andere gegevens over uw reis zijn opgenomen, niet aan derden te verstrekken en ook niet op een sociaal netwerk te publiceren. Als u deze bescheiden toch op sociale media plaatst, dient u bekend te zijn met de algemene gebruiksvoorwaarden, de informatiebeveiliging en het privacybeleid van de betreffende netwerkaanbieders. Wij zijn niet verantwoordelijk voor de wijze waarop uw gegevens op een dergelijk platform worden verwerkt, opgeslagen of doorgegeven. Meer informatie over onze IT-beveiliging is te vinden in onze IT-beveiligingsportal.

(E) Beheersing van veiligheidsincidenten 'Nul risico' bestaat niet en zelfs als we alle passende veiligheidsmaatregelen treffen, kunnen er nog onvoorziene dingen gebeuren. Wij beschikken over specifieke procedures en middelen om veiligheidsincidenten zo goed mogelijk te beheersen. Daarnaast hanteren we een specifieke procedure voor het beoordelen van potentiële datalekken die kunnen resulteren in onbedoelde of onrechtmatige vernietiging, verlies, wijziging of onbevoegde verstrekking van of toegang tot uw persoonsgegevens, voor het tijdig melden van datalekken bij de bevoegde toezichthouder en aan u als we denken dat het datalek een hoog risico inhoudt voor uw rechten en vrijheden. We testen periodiek of de veiligheidsinstallaties functioneren en of de gehanteerde procedures en apparatuur afdoende zijn.

6.2. Bewaring

Wij bewaren uw persoonsgegevens niet langer dan noodzakelijk is. Hoe lang uw persoonsgegevens worden bewaard, hangt af van de doeleinden waarvoor deze gegevens worden verwerkt en van de geldende wettelijke bewaartermijn.

7.1. KLM kan uw persoonsgegevens doorgeven aan andere landen dan het land waar u woont, waaronder ook naar landen buiten de Europese Economische Ruimte. Dat doen we om uw boeking af te handelen of uw reis te verzorgen of omdat onze groepsmaatschappijen, partners of dienstverleners hun werkzaamheden vanuit een ander land verrichten. Op onze website kunt u onder‘Flight Status‘vinden op welke bestemmingen wij vliegen. De wetgeving in de landen waaraan wij persoonsgegevens doorgeven, biedt niet altijd dezelfde mate van bescherming van uw persoonsgegevens.

7.2. Als u vliegt naar een bestemming in een ander land dan waar u woont, is de doorgifte van uw persoonsgegevens naar dat land vaak noodzakelijk om onze diensten aan u te kunnen leveren. Zo er voor het land waarnaar uw persoonsgegevens worden doorgegeven door de Europese Commissie geen adequaatheidsbesluit op grond van artikel 45 AVG is genomen (Website Europese Commissie met huidige adequaatheidsbesluiten), zorgt KLM ervoor dat er sprake is van passende waarborgen, om te voldoen aan de vereisten voor de internationale doorgifte van persoonsgegevens.

Voor de doorgifte van persoonsgegevens naar landen buiten de Europese Economische Ruimte zal KLM in de meeste gevallen gebruikmaken van door de Europese Commissie goedgekeurde modelcontractbepalingen in de zin van artikel 46 lid 2 (c) AVG als passende waarborg. Voor meer informatie over de modelcontractbepalingen verwijzen we u naar hetUitvoeringsbesluit] van de Europese Commissie.

Als u meer informatie wilt over de passende waarborgen die KLM biedt, neem dan contact op met het Privacy Office van KLM (zie paragraaf 8 'Uw rechten' hieronder).

7.3. We kunnen wettelijk verplicht zijn om uw persoonsgegevens door te geven aan overheidsinstanties in de landen van uw reisschema (zie paragraaf 5.4. hierboven).

8.1. Door contact op te nemen met ons Privacy Office (zie 8.4 hieronder) kunt u alle rechten uitoefenen die u volgens de geldende privacywetgeving toekomen, waaronder (A) het inzien van uw gegevens, (B) het rectificeren van uw gegevens, (C) het wissen van uw gegevens, (D) het beperken van de verwerking van uw gegevens, (E) het recht op gegevensoverdraagbaarheid en (F) het recht om bezwaar te maken tegen verwerking. Hieronder geven we meer uitleg over deze rechten. Let op: er kunnen zich omstandigheden voordoen waarin we niet of niet volledig aan uw verzoek kunnen of mogen voldoen. Zie paragraaf 8.3 voor meer informatie.

(A) Recht van inzage U mag ons vragen of wij uw persoonsgegevens verwerken. Is dat het geval, dan kunt u inzage in deze gegevens krijgen in de vorm van een kopie.

(B) Recht op rectificatie U heeft het recht om uw gegevens te rectificeren indien deze onjuist of onvolledig zijn. Op verzoek corrigeren wij onjuiste persoonsgegevens en vullen wij onvolledige persoonsgegevens aan, rekening houdend met de verwerkingsdoeleinden; dit kan de afgifte van een aanvullende verklaring inhouden.

(C) Recht op gegevenswissing U heeft het recht om uw persoonsgegevens te laten wissen. Dit betekent dat wij uw gegevens dan verwijderen. Het wissen van uw persoonsgegevens vindt alleen plaats in bepaalde gevallen, die wettelijk zijn voorgeschreven en vermeld staan in artikel 17 van de Algemene Verordening Gegevensbescherming (AVG), bijvoorbeeld wanneer uw persoonsgegevens niet langer nodig zijn voor de doeleinden waarvoor zij oorspronkelijk werden verwerkt of wanneer ze onrechtmatig zijn verwerkt. Door de wijze waarop wij bepaalde diensten hebben ingericht, kan het enige tijd duren voordat back-ups zijn gewist.

(D) Recht op beperking van verwerking U heeft het recht om de verwerking van uw persoonsgegevens te laten beperken. Dit houdt in dat wij de verwerking van uw gegevens gedurende een bepaalde tijd opschorten. Omstandigheden die hiertoe aanleiding kunnen geven, zijn onder meer situaties waarin de juistheid van uw persoonsgegevens wordt betwist, maar waarbij wij enige tijd nodig hebben om de (on)juistheid daarvan te verifiëren. Dit recht betekent niet dat wij uw persoonsgegevens niet mogen blijven opslaan. Wij laten u weten wanneer de beperking wordt opgeheven.

(E) Recht op gegevensoverdraagbaarheid Uw recht op gegevensoverdraagbaarheid houdt in dat u ons mag vragen om uw persoonsgegevens, indien dit technisch mogelijk is, in een gestructureerde, gangbare en machineleesbare vorm te verkrijgen en deze aan een andere verwerkingsverantwoordelijke over te dragen. Op verzoek en indien dit technisch mogelijk is, worden uw persoonsgegevens door ons dan rechtstreeks overgedragen aan de andere verwerkingsverantwoordelijke.

(F) Recht van bezwaar U heeft het recht om bezwaar te maken tegen de verwerking van uw persoonsgegevens. Dit houdt in dat u ons kunt vragen om uw persoonsgegevens niet langer te verwerken. Dit geldt alleen als ‘gerechtvaardigde belangen’ (waaronder profilering) de rechtsgrond voor de verwerking vormen (zie 4.3 ‘Wettelijke grondslag’ hierboven). U kunt te allen tijde kosteloos bezwaar maken tegen direct marketing wanneer uw persoonsgegevens voor dit doel worden verwerkt. Hieronder valt ook profilering in verband met direct marketing. Als u dit recht uitoefent, verwerken wij uw persoonsgegevens niet langer voor deze doeleinden.

8.2. Intrekking van uw toestemming

U kunt uw toestemming te allen tijde intrekken door de specifieke instructies te volgen die betrekking hebben op de verwerking waarvoor u toestemming heeft gegeven. U kunt uw toestemming bijvoorbeeld intrekken door te klikken op de afmeldlink in de e-mail, door uw communicatievoorkeuren in uw account aan te passen (indien beschikbaar) of door de instellingen van uw smartphone te wijzigen (voor mobiele pushberichten en locatiegegevens). U kunt ook contact opnemen met het Privacy Office van KLM. Voor Bluebiz e-mails kunt u ook contact opnemen met het Privacy Office van Air France. Meer informatie over het intrekken van uw toestemming voor cookies en vergelijkbare technologieën die wij gebruiken wanneer u onze websites bezoekt of apps gebruikt, is te vinden in onscookiebeleid.

8.3. Weigering of beperking van rechten

Er kunnen zich situaties voordoen waarin wij uw hierboven in 8.1 beschreven rechten kunnen weigeren of beperken. Wij beoordelen per geval zorgvuldig of er sprake is van een dergelijke uitzondering. U ontvangt hiervan bericht. Zo kunnen wij uw verzoek tot inzage weigeren wanneer dit nodig is ter bescherming van de rechten en vrijheden van anderen, of we kunnen weigeren om uw persoonsgegevens te verwijderen als de verwerking van deze gegevens nodig is om aan wettelijke verplichtingen te voldoen. Het recht op gegevensoverdraagbaarheid geldt bijvoorbeeld niet als de persoonsgegevens niet door u zijn verstrekt of als we de gegevens niet verwerken op basis van uw toestemming of voor de uitvoering van een overeenkomst.

8.4. Privacy Office

(A)Algemeen Als u uw rechten wilt uitoefenen, kunt u dit doen door een verzoek in te dienen bij het Privacy Office van KLM: KLM Privacy Office - AMSPI Postbus 7700 1117 ZL Luchthaven Schiphol Nederland E-mail:KLMPrivacyOffice@klm.com.

(B) Bluebiz Als u uw rechten wilt uitoefenen met betrekking tot de verwerking van uw persoonsgegevens in het kader van Bluebiz, kunt u ook contact opnemen met het Privacy Office van Air France: Air France Délégué à la Protection des Données / Data Protection Officer - ST.AJ IL 45, rue de Paris 95747 Roissy CDG Cedex Frankrijk E-mail:mail.data.protection@airfrance.fr.

(C) Vlucht van Transavia Als u uw rechten wilt uitoefenen met betrekking tot de verwerking van uw persoonsgegevens naar aanleiding van door u veroorzaakte overlast voor of tijdens een vlucht van Transavia, kunt u contact opnemen met het Privacy Office van Transavia: Transavia Privacy Office Postbus 7777 1118 ZM Luchthaven Schiphol Nederland E-mail:privacyoffice@transavia.com.

(D) SkyTeam Alliance Als u uw rechten wilt uitoefenen met betrekking tot de verwerking van uw persoonsgegevens in het kader van de SkyTeam Alliance, kunt u contact opnemen met de Privacy Office van KLM: KLM Privacy Office - AMSPI Postbus 7700 1117 ZL Luchthaven Schiphol Nederland E-mail:KLMPrivacyOffice@klm.com.

8.5. Vragen, opmerkingen of klachten

Heeft u vragen, opmerkingen of klachten over deze privacyverklaring? Neem dan gerust contact met ons op. Als uw probleem niet naar tevredenheid is opgelost, heeft u het recht om een klacht in te dienen bij de bevoegde toezichthouder. In Nederland is deAutoriteit Persoonsgegevensin Den Haag belast met het toezicht op de naleving van de privacywetgeving.

9.1. Deze privacyverklaring treedt in werking op 1 februari 2024 en vervangt ons privacybeleid d.d. 15 september 2022. Deze privacyverklaring wordt van tijd tot tijd herzien. Wij informeren u over eventuele wijzigingen voordat deze in werking treden.