Privacyverklaringen (AVG) van de Stichting railAlert

Privacyverklaringen van
de Stichting railAlert

In het kader van de Algemene Verordening Gegevensbescherming (AVG) die op 25 mei 2018 in werking is getreden, heeft de Stichting railAlert een tweetal privacyverklaringen opgesteld:

 

  • Een algemene privacyverklaring.
  • Een privacyverklaring voor gebruikers van het digitaal veiligheidspaspoort (DVP).

 

De algemene privacyverklaring leest u hieronder. Voor de privacyverklaring voor gebruikers van het DVP klikt u hier.

 

-------------------------------------------------------------------------------------------

 

Algemene privacyverklaring Stichting railAlert

 

railAlert voldoet door middel van dit document dat gepubliceerd is op de website www.railalert.nl graag aan de verplichtingen die voortvloeien uit de Algemene verordening gegevensbescherming (AVG). In dit document leest u wat railAlert met uw persoonsgegevens doet, de reden daarvan, uw rechten en de mogelijkheden om wijzigingen in deze gegevens door te (laten) voeren.

 

Doelstelling Stichting railAlert

railAlert is opgericht als onafhankelijke stichting voor en door de spoorbranche, waarin alle belanghebbende partijen zijn vertegenwoordigd (railinfrabeheerders, aannemers, ingenieursbureaus en werkplekbeveiligers). Het hoofddoel van railAlert is dat er in Nederland bij werkzaamheden aan de railinfrastructuur geen dodelijke ongevallen en NUL ongevallen met verzuim plaatsvinden.

railAlert wil dit bereiken door veiligheidsnormen te stellen en te voorzien in instrumenten voor de handhaving van deze normen. Het opstellen en uitdragen van de negen ‘Life Saving Rules’ (LSR), certificering van personen en systemen en de uitgifte van het Digitale Veiligheidspaspoort (DVP) zijn belangrijke middelen waarmee de veiligheid bij het werken aan het spoor verhoogd moet worden.

 

Waarvoor worden persoonsgegevens gebruikt?

railAlert gebruikt persoonsgegevens voor diverse doeleinden:

  • het voeren van de administratie;
  • het voldoen aan wettelijke plichten (waaronder de loonadministratie);
  • communicatie met betrokkenen;
  • het uitvoeren van veiligheidsinspecties en het doen van aanbevelingen voor het veilig werken aan het spoor;
  • het beantwoorden van vragen;
  • het versturen van nieuwsbrieven en andere mailings;
  • persoonscertificering.

 

Persoonsgegevens worden door railAlert nooit verkocht of met andere personen of organisaties gedeeld, tenzij hiervoor nadrukkelijk toestemming is gegeven door het bestuur van railAlert en/of indien dit noodzakelijk is voor de uitvoering van de desbetreffende en hierboven beschreven werkzaamheden.

 

Nieuwsbrief (Alert)

Via de website van railAlert kan men zich inschrijven voor de nieuwsbrief (Alert) van railAlert. Deze nieuwsbrief wordt uitsluitend verstuurd via deze opt-in (= aanmeldformulier) op de website, waardoor de eigenaar van een e-mailadres expliciet toestemming verleent voor het ontvangen van de nieuwsbrief Alert. Afmelden kan onderaan elke nieuwsbrief.

LinkedIn en andere sociale media
Via sociale media zoals LinkedIn kunnen geïnteresseerden zich aanmelden voor de groep of nog in te stellen groepen van railAlert. De gegevens die door geïnteresseerden/deelnemers in dit kader worden verstrekt, kunnen door henzelf worden verwijderd of worden gewijzigd. E-mail- of andere niet openbare elektronische/digitale berichten worden door railAlert op dezelfde wijze in het kader van de AVG behandeld als gewone e-mails.

 

Persoonscertificering

Om de veiligheid tijdens werkzaamheden op of aan het spoor te waarborgen, dienen personen met een veiligheidstaak of een veiligheid-kritische taak gecertificeerd te zijn. railAlert stelt, op basis van Normenkader Veilig Werken (NVW), eisen aan personen met een veiligheidstaak. ProRail stelt, op basis van de ACD00114 (onderdeel van haar erkenningsregeling) en op basis van haar Veiligheids Management Systeem (VMS ProRail), eisen aan personen met een Veiligheid Kritische Technische Taak (VKTT). Voor meer informatie over persoonscertificering: https://www.railalert.nl/persoonscertificering.

railAlert is verantwoordelijk voor de certificering van personen. De gegevensverwerking die hierbij plaatsvindt, is noodzakelijk voor het uitvoeren van deze taak van algemeen belang en kan aan derden worden uitbesteed, waarbij de volledige privacy wordt gewaarborgd.

railAlert stelt de certificeringsschema’s en procedures op, selecteert en benoemt examinatoren en handelt de verzoeken met betrekking tot dispensatie en bezwaar af. De organisatie, planning en administratie van examens voor deze certificering vindt plaats bij het Bureau voor Toetsing en Certificering (BTC, onderdeel van de Stichting Railcenter). Voor de verwerking van persoonsgegevens met betrekking tot de examinering wordt ook verwezen naar de privacy policy van het Railcenter: https://www.railcenter.nl/privacy-policy.

 

Digitaal Veiligheidspaspoort

Voor gegevens die verwerkt worden in het kader van het DVP-programma wordt verwezen naar de DVP-specifieke privacyverklaring, te vinden op de website van railAlert: https://www.railalert.nl/privacy.

 

Bewaartermijn

In beginsel bewaart railAlert persoonsgegevens nog vijf jaar nadat ze niet langer relevant zijn geworden. Deze termijn kan, indien daar de noodzaak voor bestaat, worden verlengd.

Op welke rechtsgrondslagen wordt de gegevensverwerking gebaseerd?

railAlert baseert de verwerkingen van de persoonsgegevens op de volgende rechtsgrondslagen:

  • noodzakelijk voor de uitvoering van een (arbeids)overeenkomst;
  • gerechtvaardigd belang van railAlert of derden;
  • toestemming van de betrokkene;
  • noodzakelijk voor de uitvoering van een taak van algemeen belang (zie: persoonscertificering);
  • voldoen aan een wettelijke plicht.

 

Gerechtvaardigd belang

Een aantal verwerkingen vindt plaats op basis van het gerechtvaardigd belang van railAlert. Hierbij wordt de afweging gemaakt met de (privacy)belangen van de betrokkene. Het adressenbestand is bijvoorbeeld noodzakelijk om te kunnen communiceren met betrokkene en voor het uitvoeren van werkzaamheden. Deze gegevens worden door de betrokkene zelf of met medeweten van de betrokkene verstrekt met hetzelfde doel.

Het delen van mogelijke persoonsgegevens met de leden van de onder railAlert ressorterende Werkkamers of Commissies Beoordelen Vakbekwaamheden (CBV) is noodzakelijk voor het kunnen uitvoeren van hun werkzaamheden. Hierbij wordt te allen tijde rekening gehouden met wie er toegang heeft tot de persoonsgegevens en zijn de leden van de Werkkamers gebonden aan een door hen ondertekende geheimhoudingsverklaring.

 

Welke persoonsgegevens worden er van de betrokkene gebruikt?

De Stichting railAlert verwerkt verschillende categorieën persoonsgegevens:

  • contact- en NAW-gegevens;
  • geslacht;
  • factuurgegevens;
  • gegevens m.b.t. de werkgever;
  • inhoud correspondentie;
  • foto’s;
  • gegevens die niet structureel door railAlert worden verwerkt maar wel door de betrokkene worden verstrekt.

 

In relatie met de persoonscertificering:

  • contact- en NAW-gegevens;
  • gegevens m.b.t. de werkgever;
  • inhoud dispensatie/bezwaarverzoek. Indien nodig voor beoordeling van het bezwaar/dispensatieverzoek heeft railAlert toegang tot alle gegevens van deelnemers bij Bureau voor Toetsing en Certificering (BTC);
  • exameninformatie.
    Deze gegevens worden aan railAlert verstrekt door de betrokkene zelf, zijn of haar werkgever of door derde partijen zoals de Stichting Railcenter met betrekking tot de certificering.

Beveiligingsmaatregelen

railAlert neemt de bescherming van persoonsgegevens serieus en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Er zijn diverse technische en organisatorische maatregelen genomen waaronder op het gebied van pseudonimisering, encryptie, toegang en retentie om bescherming te bieden tegen onbevoegde toegang van (persoons)gegevens.

Derde partijen

railAlert vindt het belangrijk dat er zorgvuldig met persoonsgegevens om wordt gegaan en dat de privacy van betrokkenen gewaarborgd blijft. railAlert verkoopt persoonsgegevens nooit aan derden en zal deze uitsluitend aan andere partijen dan de werkgever verstrekken indien dit nodig is voor het functioneren van het DVP-programma of omdat hier door desbetreffende persoon uitdrukkelijk toestemming voor is gegeven.

De partijen die in opdracht van railAlert persoonsgegevens verwerken, bieden voldoende waarborgen voor een juiste omgang met persoonsgegevens. Hieraan ligt natuurlijk een goede verwerkersovereenkomst ten grondslag. railAlert blijft verantwoordelijk voor deze verwerkingen.

Rechten betrokkene

De betrokkene van wie railAlert persoonsgegevens in haar bezit heeft, heeft op grond van de AVG het recht een verzoek in te dienen bij railAlert tot inzage, correctie, verwijdering, dataportabiliteit, bezwaar of beperking op de verwerking van persoonsgegevens. Verzoeken hiertoe kunnen gestuurd worden naar privacy@railalert.nl. Om de afhandeling zo efficiënt mogelijk te laten verlopen, moet in de e-mail worden vermeld welk recht uitgeoefend wordt en waarom.

Om het verzoek zo goed mogelijk te behandelen is het verschaffen van de volgende informatie essentieel:

  • aangeven welk recht wordt uitgeoefend;
  • contactgegevens: e-mailadres en telefoonnummer;
  • voor- en achternaam;
  • werkgever;
  • eventueel DVP-pasnummer;
  • geboortedatum;
  • kopie van het identiteitsbewijs.

 

Om er zeker van te zijn dat het verzoek tot inzage niet door een ander wordt gedaan, wordt verzocht om een kopie van het identiteitsbewijs mee te sturen. Maak in deze kopie de pasfoto, de MRZ (=machine readable zone, de strook met nummers onderaan het paspoort), paspoortnummer en burgerservicenummer (BSN) zwart. Dit ter bescherming van de privacy van de aanvrager.

railAlert reageert zo snel mogelijk, doch uiterlijk binnen vier weken, op een verzoek. railAlert wijst tevens op de mogelijkheid om een klacht in te dienen bij de nationale toezichthouder, de Autoriteit Persoonsgegevens. Dat kan via de volgende link: https://autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/tip-ons.

 

Het recht op inzage in de persoonsgegevens

Een verzoek tot inzage kan worden gedaan als een betrokkene meer informatie wil hebben over welke persoonsgegevens met welk doel worden verwerkt. Dit verzoek kan worden gedaan via privacy@railalert.nl. Deze betrokkene die het verzoek via dit e-mailadres tot inzage indient, ontvangt dan een overzicht van de categorieën persoonsgegevens die verwerkt worden en waarvoor deze gegevens worden gebruikt.

 

Het recht op correctie van gegevens wanneer deze onjuist zijn

railAlert streeft ernaar dat de verwerkte persoonsgegevens juist zijn. Toch kan het voorkomen dat dit niet het geval is. In dat geval heeft de betrokkene het recht dat de persoonsgegevens worden gewijzigd.

 

Het recht op verwijdering van persoonsgegevens en het recht om vergeten te worden

railAlert bewaart gegevens gedurende een periode vijf jaar. Binnen deze periode kunnen de gegevens niet worden verwijderd met het oog op onderzoek en misbruik. Onder de AVG heeft de betrokkene het recht om zijn gegevens te laten verwijderen als de verwerking van persoonsgegevens niet meer relevant is. Is de verwerking van persoonsgegevens niet langer relevant, dan kan altijd een verzoek tot verwijdering ingediend worden via privacy@railalert.nl.

 

Vragen en contact

Vragen over het gegevensbeleid van railAlert? Neem gerust contact op:

Stichting railAlert

Soesterweg 244

3812 BH Amersfoort

Telefoon: 085 0023510

E-mail: privacy@railalert.nl

 

Voor het laatst gewijzigd op: 5-11-2019.