Privacyverklaring (AVG) Digitaal Veiligheidspaspoort van de Stichting railAlert

Privacyverklaring digitaal veiligheidspaspoort (DVP) Stichting railAlert

 

De Stichting railAlert verzorgt de uitgifte van het digitaal veiligheidspaspoort en houdt persoonsgegevens bij die met dit paspoort verband houden. In dit document vindt u de achtergronden met betrekking tot het DVP, de wijze waarop de Stichting railAlert met de verschillende persoonsgegevens omgaat en welke rechten u heeft in het kader van de Algemene verordening gegevensbescherming (AVG).

 

Inhoud

1. Doelstelling en grondslag

2. Waarvoor worden persoonsgegevens gebruikt?

2.a Toegangsbewijs en uitgifte DVP-pas

2.b Veiligheidsinspecties

2.c Onderzoek & verbeteren van de veiligheid

2.d Communicatie

3. Derde partijen

4. Beveiliging en bewaren

5. Rechten betrokkene

6. Vragen en contact

 

1. Doelstelling en grondslag

De Stichting railAlert is opgericht als onafhankelijke stichting voor en door de spoorbranche, waarin alle belanghebbende partijen worden vertegenwoordigd (railinfrabeheerders, aannemers, ingenieursbureaus en werkplekbeveiligers). Het hoofddoel van railAlert is dat er in Nederland bij werkzaamheden aan de railinfrastructuur geen dodelijke ongevallen en NUL ongevallen met verzuim plaatsvinden. railAlert wil dit bereiken door veiligheidsnormen te stellen en te voorzien in instrumenten voor de handhaving van deze normen. Het opstellen en uitdragen van de negen ‘Life Saving Rules’ (LSR) en de uitgifte van het digitale veiligheidspaspoort (DVP) zijn belangrijke middelen waarmee de veiligheid bij het werken aan het spoor verhoogd moet worden.

Het DVP is een programma van de railbranche om de veiligheid te verbeteren, het bewustzijn te vergroten en zo bij te dragen aan minder veiligheidsincidenten, zowel op korte als langere termijn (arbo-risico). Het branche-brede belang om de veiligheid te vergroten vormt de grondslag voor het invoeren van het DVP-programma en de daarmee samenhangende verwerking van persoonsgegevens. Om de onafhankelijke positie van railAlert te waarborgen treedt zij op als zelfstandig verwerkingsverantwoordelijke. railAlert verwerkt in het kader van het DVP-programma geen persoonsgegevens in opdracht van railinfrabeheerders of partijen uit de branche. Het verzamelen en gebruik van persoonsgegevens vindt plaats op grond van het gemeenschappelijke belang voor veilig werken. De doelen waarvoor het DVP-programma wordt gebruikt, dragen bij aan het verbeteren van de veiligheid en het vergroten van het veiligheidsbewustzijn.

 

2. Waarvoor worden persoonsgegevens gebruikt?

De DVP-pas wordt gebruikt voor meerdere doelen. Het is ten eerste een persoonsgebonden pas waarmee wordt aangetoond dat de juiste certificaten aanwezig zijn voor het uitvoeren van de werkzaamheden op en rond het spoor. Om de veiligheid te verhogen worden er tevens veiligheidsinspecties uitgevoerd die deel uitmaken van het DVP-programma. Als stichting opgericht om de veiligheid te bevorderen, gebruikt railAlert de verkregen gegevens voor onderzoek om aanvullende maatregelen te kunnen nemen. Voor de uitgifte en het gebruik van het DVP-programma worden persoonsgegevens verwerkt van de DVP-pashouder. railAlert vindt het belangrijk dat de verwerking van persoonsgegevens zorgvuldig gebeurt en de betrokkenen op de juiste manier worden geïnformeerd.

Om het DVP-programma te kunnen laten functioneren, verwerkt railAlert verschillende categorieën persoonsgegevens van de DVP-pashouder. Persoonsgegevens zijn alle gegevens die betrekking hebben op een geïdentificeerde of identificeerbare natuurlijke persoon. Denk hierbij onder meer aan een naam, telefoonnummer, adresgegevens en medische verklaringen. Via de persoonlijke DVP-portal of via de key-user van de werkgever (degene die namens railAlert specifieke bevoegdheden/rechten tot het raadplegen dan wel muteren van onderdelen van de DVP-database bezit) is het grootste gedeelte van deze gegevens gelijk inzichtelijk. Hoe de rest van deze gegevens kan worden opgevraagd staat onder “Rechten betrokkene”.

Veel gegevens die in het kader van het DVP-programma worden gebruikt zijn verkregen van de key-user van de werkgever bij het aanmaken van de DVP-pas. Later kan de key-user of de DVP-pashouder deze informatie aanvullen. Het gebruik van de DVP-pas zorgt ervoor dat er meer gegevens aan een DVP-pashouder gekoppeld worden, zoals de in- en uitcheckgegevens van werkzaamheden op het terrein van een railinfrabeheerder en de resultaten van de veiligheidsinspecties.

Naast een persoonlijke pas is het ook mogelijk om voor incidenteel gebruik (minder dan tien keer per jaar) een dagpas te kopen. De gegevens op het dagpasformulier worden geregistreerd in de DVP-portal, zodat met een ingevuld en geprint dagpasformulier een locatie bezocht kan worden.

Naam, pasfoto, DVP-pasnummer en geboortedatum van een dagpasaanvrager zijn bijvoorbeeld noodzakelijk om te controleren of het maximum van tien dagpassen per persoon per jaar niet wordt overschreden. Deze gegevens zijn zichtbaar voor de key-user met het mandaat “dagpasaanvrager”.

Het DVP-programma wordt zoals gezegd voor meerdere doeleinden gebruikt, deze worden in de volgende hoofdstukken verder uitgelegd.

 

2.a Toegangsbewijs en uitgifte DVP-pas

Allereerst wordt de DVP-pas gebruikt om een digitaal hekwerk te creëren rondom de plaatsen waar werkzaamheden worden verricht op of aan het spoor om zo de veiligheid (tijdens het werken) te verhogen. De DVP-pas is een middel voor de DVP-pashouder om zich te identificeren bij de veiligheidsverantwoordelijk functionaris of uitvoerder (van de hoofdaannemer of werkplekbeveiliger), zodat de DVP-pashouder kan aantonen over de juiste papieren/certificaten te beschikken om de werkzaamheden te verrichten. Om de veiligheid rondom werkzaamheden op of aan het spoor te vergroten, stellen de railinfrabeheerders het beschikbaar hebben van een geldige DVP- of dagpas verplicht. De fysieke DVP-pas (of een foto hiervan op de mobiele telefoon) of dagpas moet altijd getoond kunnen worden bij inspecties, controles, inschrijvingen etc. op het terrein van de railinfrabeheerders.

De volgende gegevens worden in relatie tot het DVP opgeslagen:

  • NAW- en contactgegevens
  • Geboortedatum, geboorteplaats en nationaliteit
  • Pasfoto
  • Werkgever
  • Functie
  • Certificaatgegevens zoals opleidingen, soort inschrijving en aard van de examens
  • Geschiktheidsverklaring op basis van medisch onderzoek
  • Geschiktheidsverklaring op basis van psychologisch onderzoek
  • Registratie van de in- en uitchecktijden, de datum en de locatie

 

2.b Veiligheidsinspecties

Het werken op een bouwplaats, op het spoor of dicht langs het spoor brengt risico’s met zich mee. Medewerkers die zeer regelmatig in deze risicozones werken vinden dit vaak zo ‘gewoon’, dat het noodzakelijk is om aandacht te blijven besteden aan het veiligheidsbewustzijn. railAlert heeft negen Life Saving Rules opgesteld en veiligheidsinspecteurs van railAlert voeren veiligheidsinspecties uit op het naleven van de Life Saving Rules (LSR).

Bij deze inspecties wordt gebruikgemaakt van de DVP-pas: de veiligheidsinspecteur scant deze en plaatst eventueel een aantekening in het DVP-systeem. Bij een inspectie maakt de veiligheidsinspecteur een aantekening in het DVP-databasesysteem als er sprake is van een afwijking van de LSR. Is er sprake van een afwijking op de LSR dan wordt het beoordelen en sanctioneren daarvan gefaciliteerd door het DVP-proces. railAlert neemt zelf geen sancties tegen een DVP-houder. Dit valt onder de verantwoordelijkheid van de railinfrabeheerder en de werkgever.

De inspecties dragen bij aan een beter veiligheidsbewustzijn, waardoor er minder veiligheidsincidenten zullen plaatsvinden en de veiligheid tijdens werkzaamheden wordt bevorderd. Meer informatie hierover is te vinden op:

https://www.railalert.nl/dvp

 

De volgende gegevens worden in relatie tot de veiligheidsinspecties opgeslagen:

  • NAW- en contactgegevens
  • Geboortedatum, geboorteplaats en nationaliteit
  • Pasfoto
  • Werkgever
  • Functie
  • Certificaatgegevens zoals opleidingen, soort inschrijving en aard van de examens
  • Geschiktheidsverklaring op basis van medisch onderzoek
  • Geschiktheidsverklaring op basis van psychologisch onderzoek
  • Registratie van de in- en uitchecktijden, de datum en de locatie
  • Aantekening m.b.t. inspectie
  • Sanctie

 

2.c Onderzoek & verbeteren van de veiligheid

railAlert is als stichting door de branche opgericht om de arbeidsveiligheid in de brede zin bij de aanleg en het beheer van de railinfrastructuur te bevorderen, zowel op als ook langs het spoor. Zij stelt hiervoor regels op en voorziet onder meer in certificeringssystemen. Om effectief en passend beleid te kunnen voeren, is onderzoek vereist. Dit onderzoek gebeurt onder andere aan de hand van gegevens uit de database van het DVP-programma. De in- en uitchecktijden worden bijvoorbeeld gebruikt om te onderzoeken of er aan de vereisten voor rusttijden wordt voldaan. Door analyse van de data kunnen de eventuele knelpunten op het gebied van de veiligheid opgespoord en aangepakt worden. Ook kunnen de locatiegegevens, verkregen door het aanmelden via de DVP-pas of -app, gebruikt worden voor het inzichtelijk maken van locatie waar gewerkt wordt aan of in de nabijheid van het spoor. Deze gegevens zullen in de rapportages geanonimiseerd inzichtelijk worden gemaakt. Op de DVP-pas kunnen de rusttijden van de pashouder inzichtelijk worden gemaakt vanwege de veiligheidsoverweging. railAlert streeft ernaar om zo min mogelijk persoonlijke gegevens te gebruiken, waardoor ze niet of nauwelijks naar natuurlijke personen verwijzen.

Om goed onderzoek te kunnen doen bewaart railAlert de gegevens gekoppeld aan een DVP-pashouder voor de termijn van vijf jaar in de database.

  

2.d Communicatie

Het e-mailadres dat is gekoppeld aan het DVP-account van een DVP-pashouder, key-user of andere betrokkene, wordt gebruikt voor het versturen van informatie met betrekking tot het DVP-programma. Zonder deze informatie kan bijvoorbeeld een key-user zijn rol in het systeem niet op de juiste wijze vervullen. Via deze communicatie zal railAlert alleen informatie sturen die noodzakelijk is voor het goed functioneren van het DVP-programma. Alleen zo kan het DVP-programma op een juiste en effectieve manier blijven bijdragen aan het vergroten van de veiligheid.

 

3. Derde partijen

railAlert vindt het belangrijk dat er zorgvuldig met persoonsgegevens wordt omgegaan en dat de privacy van betrokkenen gewaarborgd blijft. railAlert verkoopt persoonsgegevens nooit aan derden en zal deze uitsluitend aan andere partijen dan de werkgever verstrekken indien dit nodig is voor het functioneren van het DVP-programma of omdat hiervoor door de desbetreffende persoon uitdrukkelijk toestemming is gegeven.

De partijen die in opdracht van railAlert persoonsgegevens verwerken, bieden voldoende waarborgen voor een juiste omgang met persoonsgegevens. Hieraan ligt natuurlijk een goede verwerkersovereenkomst ten grondslag. railAlert blijft verantwoordelijk voor deze verwerkingen.

 

4. Beveiliging en bewaren

railAlert neemt de bescherming van persoonsgegevens serieus en neemt passende maatregelen om misbruik, verlies, onbevoegde toegang, ongewenste openbaarmaking en ongeoorloofde wijziging tegen te gaan. Er zijn diverse technische en organisatorische maatregelen genomen, waaronder op het gebied van pseudonimisering, encryptie, toegang en retentie, om bescherming te bieden tegen onbevoegde toegang van (persoons)gegevens. Als het idee ontstaat dat persoonsgegevens toch niet goed beveiligd zijn of er aanwijzingen zijn van misbruik of onbevoegde toegang, neem dan contact op via privacy@railalert.nl.

 

De persoonsgegevens worden gedurende vijf jaar bewaard in de DVP-database, hierna zullen de personalia verwijderd worden en alleen de geanonimiseerde data bewaard blijven.

 

5. Rechten betrokkene

De DVP-pashouder heeft op grond van de AVG het recht een verzoek in te dienen bij railAlert tot inzage, correctie, verwijdering, dataportabiliteit, bezwaar of beperking op de verwerking van persoonsgegevens. Verzoeken hiertoe kunnen gestuurd worden naar privacy@railalert.nl. Om de afhandeling zo efficiënt mogelijk te laten verlopen, moet in de e-mail worden vermeld welk recht uitgeoefend wordt en waarom.

Om het verzoek zo goed mogelijk te behandelen is het verschaffen van de volgende informatie essentieel:

  • Aangeven welk recht wordt uitgeoefend
  • Contactgegevens: e-mailadres en telefoonnummer
  • Voor- en achternaam
  • Werkgever
  • DVP-pasnummer
  • Geboortedatum
  • Kopie van het identiteitsbewijs

 

Om er zeker van te zijn dat het verzoek tot inzage niet door een ander wordt gedaan, wordt verzocht om een kopie van het identiteitsbewijs mee te sturen. Maak in deze kopie de pasfoto, de MRZ (=machine readable zone, de strook met nummers onderaan het paspoort), paspoortnummer en burgerservicenummer (BSN) zwart. Dit ter bescherming van de privacy van de aanvrager.

railAlert reageert zo snel mogelijk, doch uiterlijk binnen vier weken, op een verzoek. railAlert wijst tevens op de mogelijkheid om een klacht in te dienen bij de nationale toezichthouder, de Autoriteit Persoonsgegevens. Dat kan via de volgende link: https://autoriteitpersoonsgegevens.nl/nl/contact-met-de-autoriteit-persoonsgegevens/tip-ons.

 

Het recht op inzage in persoonsgegevens

Een verzoek om inzage wordt gedaan indien een betrokkene meer informatie wil hebben over welke persoonsgegevens met welk doel worden verwerkt in het DVP-programma. Er wordt een overzicht gestuurd van de categorieën persoonsgegevens die railAlert verwerkt en waarvoor deze gegevens worden gebruikt.

De persoonsgegevens die zijn opgenomen in de DVP-database kunnen worden gevonden via de (persoonlijke) portal. Zijn niet alle gegevens vindbaar of heeft de betrokkene geen toegang, dan wordt verwezen naar het e-mailadres privacy@railalert.nl.

 

Het recht op correctie van gegevens wanneer deze onjuist zijn

railAlert streeft ernaar dat de verwerkte persoonsgegevens juist zijn. Toch kan het voorkomen dat dit niet het geval is. In dat geval heeft de betrokkene het recht dat de persoonsgegevens worden gewijzigd. Hiervoor is het eerste aanspreekpunt de key-user van de werkgever die de gegevens kan wijzigen via de portal. Mocht het niet lukken of zijn het gegevens die de key-user niet kan veranderen, dan kan contact worden opgenomen via privacy@railalert.nl.

 

Het recht op verwijdering van persoonsgegevens en het recht om vergeten te worden

railAlert bewaart gegevens gekoppeld aan het DVP-account gedurende een periode vijf jaar. Binnen deze periode kunnen de gegevens niet worden verwijderd met het oog op onderzoek en misbruik. Onder de AVG heeft de betrokkene het recht om zijn gegevens te laten verwijderen als de verwerking van persoonsgegevens niet meer relevant is. Is de verwerking van persoonsgegevens niet langer relevant, dan kan altijd een verzoek tot verwijdering ingediend worden via privacy@railalert.nl.

 

6. Vragen en contact

Vragen over het gegevensbeleid van railAlert? Neem gerust contact op met:

Stichting railAlert, Soesterweg 244, 3812 BH Amersfoort.

Telefoon: 085 0023510

E-mail: privacy@railAlert.nl

 

Voor het laatst gewijzigd op: 25-10-2019