Privacyverklaring

Kiwa Register streeft ernaar om vertrouwen te creëren, en daarom is uw privacy belangrijk voor ons. Wij respecteren uw privacy en uw recht op transparante informatie over de verwerking van uw persoonsgegevens. In deze privacyverklaring verstrekken wij de nodige informatie zoals gedefinieerd in de Algemene Verordening Gegevensbescherming (AVG) om vergunning aanvragers te informeren over de verwerking van hun persoonsgegevens.

Kiwa Register biedt een breed scala aan producten en diensten aan, waarop deze verklaring van toepassing is. Deze verklaring wordt regelmatig herzien en bijgewerkt, aangezien onze producten en diensten kunnen veranderen.

Kiwa Register streeft ernaar om diensten te leveren met respect voor de privacy van elk individu. Dit wordt bereikt door te voldoen aan branche-specifieke en internationale normen, in combinatie met hoog professionalisme en ethiek onder haar werknemers en opdrachtnemers. Deze combinatie van activiteiten resulteert in een adequate bescherming van uw persoonsgegevens.

Wie zijn wij?

Kiwa Register is onderdeel van Kiwa N.V., de organisatie werd opgericht in 2010 en kreeg van het Nederlandse Ministerie van Infrastructuur en Waterstaat het mandaat om namens het ministerie vergunningen en licenties uit te geven voor de luchtvaart, scheepvaart en wegvervoer. Jaarlijks verstrekken wij ongeveer 100.000 vergunningen en licenties aan particulieren en bedrijven in de luchtvaart, scheepvaart en wegvervoer voor het transport van goederen en/of personen.

Als onderdeel van de afspraken tussen Kiwa Register en de Inspectie Leefomgeving en Transport (ILT) wordt relevante informatie over vergunningen en licenties gedeeld met de ILT om hen te ondersteunen bij hun handhavings- en toezichtstaken in de transportsector.

Waarvoor gebruiken wij persoonsgegevens?

Kiwa Register verstrekt vergunningen en bevoegdheden, waardoor de verwerking van persoonsgegevens een fundamenteel onderdeel van het proces is. Afhankelijk van de aanvraag voeren wij regelmatig geautomatiseerde informatiecontroles uit bij overheidsinstanties. De verzochte persoonsgegevens worden primair verwerkt om:

• De aanvrager en documentatie te identificeren en/of authentiseren, om ervoor te zorgen dat de vergunning of bevoegdheid aan de juiste rechtspersoon of natuurlijke persoon wordt verstrekt.
• De benodigde documentatie te beoordelen om vast te stellen of aan de eisen voor de vergunning of bevoegdheid is voldaan.

Hieronder worden de grondslagen en doeleinden inzichtelijke gemaakt waarmee Kiwa Register persoonsgegevens verwerkt. U kunt meer informatie vinden over de rechtsgronden op de website van de Autoriteit Persoonsgegevens.

Wettelijke verplichting

• Beoordeling en registratie van het dossier van een vergunningaanvraag;
• Naleving van nationale en Europese wetgeving;
• Voldoen aan sanctiewet.

Gerechtvaardigde belangen

• Ontwikkeling en verbetering van producten en/of diensten;
• Verstrekken van informatie over wijzigingen in onze diensten en/of producten;
• Uitvoering van secundaire bedrijfsactiviteiten en verantwoordelijkheden;
• Informeren van relevante derden over de status van een aanvraag.

Als persoonsgegevens worden verwerkt op basis van toestemming, zal het doel van de verwerking worden gecommuniceerd en wordt uw toestemming gevraagd. Deze toestemming kan op elk moment door u worden ingetrokken.

Welke persoonsgegevens verzamelen wij?

Kiwa Register verzamelt persoonsgegevens om ons in staat te stellen u onze producten en diensten aan te bieden. Om goed te kunnen beoordelen of aan de noodzakelijke vereisten is voldaan, moeten vaak meerdere soorten persoonsgegevens worden verzameld. De informatie wordt meestal door de vergunninghouder aan Kiwa Register verstrekt, maar het is niet ongebruikelijk dat een werkgever of derden informatie namens de betrokkene indienen. Het type en hoeveelheid te verzamelen persoonsgegevens is volledig afhankelijk van de aangevraagde vergunning en/of bevoegdheid. Hieronder vindt u een niet-uitputtende lijst van persoonsgegevens die mogelijk nodig zijn om de gevraagde dienst volledig te beoordelen en te verwerken:

• Voor- en achternaam
• Geslacht
• Geboortedatum
• Geboorteplaats
• Adresgegevens
• Telefoonnummer
• E-mailadres
• Rijbewijsinformatie
• Kopie-ID (rijbewijs en/of paspoort)
• Certificaten en/of diploma's met bijbehorende unieke nummers

Afhankelijk van de gevraagde vergunning of bevoegdheid kan het nodig zijn om speciale categorieën van informatie en/of informatie met betrekking tot strafrechtelijke veroordelingen en overtredingen (VOG) te verwerken om de geschiktheid van een aanvrager correct te beoordelen. Deze soorten informatie worden strikt verwerkt wanneer dit expliciet vereist is en binnen de grenzen van de wet. Kiwa Register verwerkt de volgende gevoelige en/of speciale categorieën van persoonsgegevens:

• Burgerservicenummer (BSN)
• VOG (verklaring omtrent het gedrag)
• Medische verklaring, met als doel te controleren of een aanvrager fit of niet fit wordt verklaard.
• Kredietwaardigheidscheck (bij Kiwa Register wordt bij sommige aanvragen voor zakelijke vergunningen gevraagd naar de kredietwaardigheid van de aanvrager. Deze bedrijfsgerelateerde gegevens kunnen mogelijk herleid worden naar persoonsgegevens.)

Soms kunnen persoonsgegevens worden verzameld terwijl u onze website bezoekt en navigeert. Deze gegevens omvatten informatie over locaties, IP-adressen, activiteit op onze website of activiteit op andere websites (bijvoorbeeld als deze een advertentienetwerk bevatten). Meer informatie over de gegevens die worden verzameld tijdens een bezoek aan de Kiwa Register-website vindt u in het cookiebeleid.

Hoe beschermen wij uw gegevens?

Kiwa Register gebruikt twee hoofdmethoden om persoonsgegevens te verwerken en op te slaan:

• De datacenters van Kiwa Register.
• (Cloud)toepassingen van een select aantal leveranciers.

Kiwa Register is een (gekwalificeerde) vertrouwde dienstverlener en werkt onder strikte beveiligingsprotocollen zoals vereist door het Nationaal Cyber Security Centrum (NCSC). Naast sectorspecifieke wetgeving houden we ons ook aan de volgende kaders, normen en wetgeving:

• AVG (Algemene Verordening Gegevensbescherming)
• ISO 27001 Informatiebeveiligingsmanagement
• ISO 9001 kwaliteitsmanagement
• NIS 2
• ETSI 319-401, 319-411-1, 319-411-2
• PKI-Overheid framework.

De combinatie van de bovengenoemde normen en wetgeving zorgt ervoor dat Kiwa Register voldoet aan de nodige beveiligings- en privacyvereisten die voortvloeien uit zowel nationale als Europese wetgeving. Deze vereisten worden intern vertaald naar organisatorische en technische maatregelen die ervoor zorgen dat de normen niet alleen worden nageleefd, maar ook up-to-date blijven. Kiwa Register voert interne en externe audits uit om naleving van de relevante normen kaders en wetgeving te waarborgen.

Hoe lang worden uw persoonsgegevens bewaard?

Kiwa Register bewaart uw persoonsgegevens niet langer dan nodig om de doelen te bereiken waarvoor ze zijn verzameld. Als rechtspersoon met een wettelijke taak worden persoonsgegevens conform de Archiefwet, Selectielijst en geldende afspraken met de ILT bewaard.

Met wie delen wij persoonsgegevens?

Om de gewenste dienst te leveren worden persoonsgegevens met onze partners en/of overheidsinstanties gedeeld. Speciale categorieën van persoonsgegevens zullen niet worden gedeeld met enige organisatie, tenzij Kiwa Register hiertoe wettelijk verplicht is of toestemming is verkregen van de betreffende betrokkenen. Bovendien zullen persoonsgegevens niet worden gedeeld met landen buiten de EU/EER, tenzij er specifieke wettelijke uitzonderingen zijn of een passend niveau van informatiebeveiliging kan worden gegarandeerd.

Kiwa Register zal persoonsgegevens delen met nationale, EU/EER en/of internationale (buiten de EU/EER) organisaties en/of overheidsinstanties in de volgende situaties:

• Controle van de geldigheid, identificatie en/of authenticatie van natuurlijke personen, bekwaamheid en/of bevoegdheden.
• Fraudedetectie is een kernproces om de integriteit van ons proces en de afgegeven vergunningen te waarborgen.

Er zullen passende maatregelen worden genomen, inclusief gegevensminimalisatie, bij het uitvoeren van deze processen. Persoonsgegevens kunnen ook worden gedeeld met organisaties buiten Nederland op verzoek van de betrokken persoon, zoals in gevallen waar individuen hun dossier nodig hebben om in het buitenland te werken.

Meer informatie over gedeelde persoonsgegevens en de specifieke domeinen is te vinden via de volgende links:

• Domein Land;
• Domein Lucht;
• Domein Water.

Wie heeft toegang tot uw gegevens?

Rekening houdend met zowel de privacy als de veiligheid van de informatie die wij verwerken, beperken wij de toegang tot persoonsgegevens tot alleen personeel die toegang nodig hebben om hun taken op het gebied van vergunningverlening uit te voeren. Dit principe staat bekend als het "least privileged" principe. Bovendien wordt alleen strikt noodzakelijke informatie gedeeld met verwerkers en/of de benodigde partijen. Zowel organisatorische als technische maatregelen zijn aanwezig om te garanderen dat dit principe wordt gerespecteerd.

Uw rechten als individu

De Algemene Verordening Gegevensbescherming (AVG) biedt individuen een aantal rechten. Deze individuele rechten zijn vastgelegd in de AVG en worden gerespecteerd door Kiwa Register. Deze rechten omvatten:

• Het recht op informatie:
  • Het recht om geïnformeerd te worden waar persoonlijke gegevens worden verzameld. Als individu heeft u het recht om geïnformeerd te worden over de omstandigheden waarin uw persoonlijke gegevens worden verwerkt. Deze worden uiteengezet en beschreven in deze privacyverklaring.
• Het recht op inzage:
  • U kunt op elk moment een overzicht opvragen van uw persoonlijke gegevens die door Kiwa Register worden verwerkt. Ook het doel, de middelen en de methode van de verwerking. Kiwa Register behoudt zich het recht voor om een betaling te vragen wanneer er meerdere kopieën worden opgevraagd.
• Het recht op rectificatie:
  • Als er twijfel ontstaat over de juistheid van uw gegevens, kunt u een rectificatie van uw persoonlijke gegevens indienen voordat er verdere verwerking plaatsvindt.
• Het recht op dataportabiliteit:
  • Afhankelijk van de grondslag waarop uw persoonsgegevens worden verwerkt, kunt u uw persoonsgegevens naar een andere partij laten overdragen. Uw dossier wordt verstrekt in een veelgebruikt digitaal formaat. Houd er rekening mee dat het recht op dataportabiliteit geen recht op verwijdering activeert.
• Het recht op gegevens verwijderen:
  • Onder specifieke omstandigheden kunt u verzoeken om verwijdering van uw persoonlijke gegevens. Dit houdt in dat Kiwa Register al uw persoonsgegevens moet verwijderen.
• Beperking van een verwerking:
  • Als u te maken krijgt met een van de scenario’s die in Artikel 18 van de AVG worden beschreven, kunt u een beroep doen op dit privacyrecht. Kiwa Register is dan verplicht om de volledige of gedeeltelijke verwerking van uw persoonsgegevens stop te zetten.
• Recht om bezwaar te maken:
  • Het recht om bezwaar te maken tegen de verwerking van uw persoonlijke gegevens of tegen het onderworpen worden aan geautomatiseerde besluitvorming en profilering. Indien u niet mee eens bent met het geautomatiseerde besluit kunt u een verzoek doen op een menselijke blik op het genomen besluit.

Meer informatie over uw rechten als individu vindt u op de website van de Autoriteit Persoonsgegevens.

De benoemde privacyrechten kunt u indienen via e-mail, post of het klachtenformulier. Het e-mailadres en postadres van Kiwa Register vindt u op de contactpagina. In een dergelijk verzoek vermeldt u duidelijk welk AVG-recht u wil inroepen en welke persoonsgegevens het betreft. Kiwa Register biedt ook de mogelijkheid om bezwaar te maken tegen elke officiële beslissing. Na een dergelijke beslissing sturen wij u een document waarin deze mogelijkheid wordt uitgelegd. Tot slot kunt u een klacht indienen bij Kiwa Register. Informatie over het indienen van een klacht vindt u in de klachtenregeling.

Naast deze rechten hebt u het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens.

Over deze privacyverklaring

De versie van deze Privacyverklaring van Kiwa Register is opgesteld in september 2024. Deze privacyverklaring wordt periodiek herzien om transparantie naar individuen te waarborgen. Als er materiële wijzigingen zijn in de verklaring of in de manier waarop Kiwa Register uw persoonsgegevens zal gebruiken, zullen wij u hiervan op de hoogte stellen door dergelijke wijzigingen prominent op onze website te plaatsen of door u rechtstreeks een kennisgeving te sturen. In het geval van een conflict tussen deze Kiwa Register privacyverklaring en de voorwaarden van enige overeenkomst(en) tussen een klant en Kiwa Register, zijn de voorwaarden van die overeenkomst(en) bepalend.

Vragen over uw privacy bij Kiwa Register

Als u nog vragen hebt over ons privacybeleid, kunt u contact opnemen met onze Privacy Officer via e-mail: register.security@kiwa.nl.