Skip to main content

Skip to content

European Implementing Principles

De Binding Corporate Rules ofwel BCRs - van American Express zijn een middel voor de internationale doorgifte van persoonsgegevens binnen de American Express Group in overeenstemming met de toepasselijke gegevensbeschermingswetgeving in de Europese Economische Ruimte (EER). Onze BCRs bestaan uit de Uitgangspunten voor Gegevensbescherming en Privacy en de additionele Europese Implementatie Uitgangspunten. Zij zijn goedgekeurd door het College bescherming persoonsgegevens, de lokale toezichthouder voor de bescherming van persoonsgegevens in Nederland, en zijn van kracht sinds 21 maart 2013.

Deze Europese Implementatie Uitgangspunten bevatten informatie over hoe American Express ervoor zorgt dat haar Uitgangspunten voor Gegevensbescherming en Privacy worden nageleefd in de EER en hoe een klacht betreffende privacy kan worden ingediend in de EER.

UITGANGSPUNTEN VOOR DE IMPLEMENTATIE
IN DE EUROPESE ECONOMISCHE RUIMTE
VAN DE
AMERICAN EXPRESS UITGANGSPUNTEN VOOR GEGEVENSBESCHERMING EN PRIVACY
(DE EUROPESE IMPLEMENTATIE UITGANGSPUNTEN)

Reikwijdte

De Uitgangspunten voor de implementatie in de Europese Economische Ruimte van de American Express Uitgangspunten voor Gegevensbescherming en Privacy (de Europese Implementatie Uitgangspunten) zijn uitsluitend van toepassing op personen die in de EER woonachtig zijn en die persoonsgegevens hebben die worden verwerkt door de American Express Group in de EER en die ook elders door de American Express Group kunnen worden verwerkt (de Betrokkenen).

De Europese Implementatie Uitgangspunten omschrijven in het bijzonder (i) hoe de American Express Uitgangspunten voor Gegevensbescherming en Privacy (de Uitgangspunten) door American Express Company, statutair gevestigd in het World Financial Center, 200 Vesey St. New York(American Express of de Vennootschap) en iedere vennootschap binnen het American Express concern (gezamenlijk, de American Express Group) dienen te worden gemplementeerd, en (ii) bepaalde vereisten als gespecificeerd in Europese gegevensbeschermingswetgeving voor personen die woonachtig zijn in de Europese Economische Ruimte (EER) en van wie persoonsgegevens worden verwerkt door de American Express Group in de EER en die ook elders kunnen worden verwerkt door de American Express Group (de Betrokkenen).

American Express Services Europe Limited (AESEL) is de Europese vennootschap binnen de American Express Group die de verantwoordelijkheid op zich heeft genomen voor het bewerkstelligen dat de persoonsgegevens van Betrokkenen worden opgeslagen of verwerkt in overeenstemming met de Uitgangspunten.

Elke Betrokkene die rechtstreeks wordt aangesproken als een begunstigde van de Uitgangspunten of deze Europese Implementatie Uitgangspunten kan deze bepalingen tegen AESEL als derde-begunstigde afdwingen op de wijze als hieronder beschreven. De American Express Samenvatting van de verwerking van persoonsgegevens en de Implementatie van Besluiten en Beleid zijn ook bindend voor de American Express Group, maar zijn niet rechtstreeks afdwingbaar door de Betrokkenen of derden.

Beschikbaarheid

De Uitgangspunten en de Europese Implementatie Uitgangspunten zullen op de American Express websites ter beschikking worden gesteld in elk land van de EU. Als u geen toegang tot het internet heeft dan kunt u om een kopie van de Uitgangspunten verzoeken bij de Data Protection Officer van AESEL op het onderstaande adres of bij het plaatselijke American Express kantoor in het land waarin u woont.

Deze Uitgangspunten en de Europese Implementatie Uitgangspunten dienen te worden gelezen in samenhang met de kennisgevingen en voorwaarden die van toepassing zijn op het product of de dienst die u heeft verkregen van of van plan bent te verkrijgen van een vennootschap binnen de American Express Group. Deze kennisgevingen en voorwaarden kunnen aanvullende bepalingen bevatten die relevant zijn voor het verwerken van persoonsgegevens op grond van de nationaal toepasselijke zijnde wet- en regelgeving.

Beschrijving van de verwerking van persoonsgegevens

American Express is een onderneming die wereldwijd actief is op het gebied van betalingsdiensten en reizen. Een beschrijving van de soorten van persoonsgegevens die verwerkt worden en de manier waarop zij verwerkt worden, is te vinden in de American Express Samenvatting van de verwerking van persoonsgegevens, die van tijd tot tijd gewijzigd kunnen worden.

Compliance programma

Om de naleving van de Uitgangspunten te verzekeren is een compliance programma ingesteld dat regelmatige controles op de naleving van de activiteiten van de American Express Group uitvoert; de resultaten daarvan worden gecommuniceerd aan de Privacy Office van American Express, de relevante Autoriteiten voor de Bescherming van Persoonsgegevens (indien door deze verzocht) en, in voorkomende gevallen, de Audit Committee van de Raad van Bestuur van American Express Company. Waar een hiaat in de naleving wordt vastgesteld, zal de relevante vennootschap binnen de American Express Group in de EER dienen te voldoen aan de specifieke verzoeken van de Data Protection Officer van AESEL. De American Express Group zal ook meewerken aan controles op de naleving verricht door een bevoegde Autoriteit voor de Bescherming van Persoonsgegevens, hetzij aangevangen in antwoord op een klacht van een betrokkene, hetzij op eigen initiatief van de Autoriteit voor de Bescherming van Persoonsgegevens.

Afhandeling van klachten

In verband met klachten (zoals hieronder gedefinieerd) zullen vennootschappen binnen de American Express Group de Procedures Klachtenafhandeling Klanten volgen en naleven.

  • Klachten worden beschouwd als een uiting van ontevredenheid, hetzij mondeling, hetzij schriftelijk, per telefoon, e-mail, post of in persoon, van of namens een klant of medewerker of enige andere Betrokkene, over het door American Express Group geven, of nalaten te geven, van voldoende waarborgen aangaande verzamelde, verwerkte en/of doorgegeven persoonsgegevens.
  • De verantwoordelijkheid en verantwoording voor de behandeling van klachten die door AESEL zijn ontvangen berust bij de Data Protection Officer van AESEL.
  • Klachten zullen eerlijk, consistent en spoedig worden behandeld.
  • Waar is besloten dat vergoeding passend is, zal AESEL een klager een eerlijke vergoeding verstrekken, zoals hieronder uiteengezet, en zal zij voldoen aan elk aanbod tot redres dat de klager accepteert. De Data Protection Officer van AESEL dient in te stemmen met vergoeding voordat een aanbod voor redres of betaling wordt gedaan.
  • Betrokkenen kunnen hun klachten verwijzen naar de relevante Autoriteit voor de Bescherming van Persoonsgegevens of Europese rechtbank wanneer zij ontevreden zijn met het antwoord van American Express Group. Een lijst van contactpunten voor Autoriteiten voor de Bescherming van Persoonsgegevens kunt u hier vinden: http://ec.europa.eu/justice/data-protection/index_en.htm.
  • AESEL zal met iedere bevoegde Autoriteit voor de Bescherming van Persoonsgegevens corresponderen en zal deze erkennen. Als een Betrokkene bij een lokale Autoriteit voor de Bescherming van Persoonsgegevens klaagt en de Autoriteit voor de Bescherming van Persoonsgegevens oordeelt dat een vennootschap binnen de American Express Group enig recht onder deze Europese Implementatie Uitgangspunten heeft geschonden, dan zal de relevante vennootschap binnen de American Express Group zich neerleggen bij de bevindingen van de Autoriteit voor de Bescherming van Persoonsgegevens, onder voorbehoud van het recht om deze bevindingen te bestrijden of ertegen in beroep te gaan.

Compliance en handhaving

Alle vennootschappen binnen de American Express Group moeten voldoen aan de bepalingen van de Europese Implementatie Uitgangspunten en de American Express Gedragscode. Vennootschappen binnen de American Express Group zullen de naleving van Europese nationale wetten voor gegevensbescherming en privacy waarborgen en de handhaving zal in overeenstemming zijn met deze Europese nationale wetten.

Elke Betrokkene, als hierboven gedefinieerd, kan de voorwaarden van de Uitgangspunten en de Europese Implementatie Uitgangspunten als derde-begunstigde afdwingen en heeft het recht om vergoeding te vorderen tot ten hoogste de werkelijke door de klager geleden schade als gevolg van de schending van de Uitgangspunten en/of deze Europese Implementatie Uitgangspunten, daaronder begrepen maar niet beperkt tot een gerechtelijke toekenning van een vergoeding voor werkelijke schade geleden door de Betrokkene vanwege een dergelijke schending.

Betrokkenen van wie de gegevens vanuit de EER worden doorgegeven kunnen niet alleen een vordering instellen in het EER land van oorsprong van de doorgifte van gegevens, maar ook in het land waar het hoofdkantoor van AESEL is gevestigd, het Verenigd Koninkrijk. De bewijslast dat de verwerking van Persoonsgegevens niet valt onder de Uitgangspunten ligt bij AESEL.

Opleiding

American Express zal zorg dragen voor passende opleidingsmaterialen en cursussen voor werknemers van American Express die persoonsgegevens verzamelen, gebruiken of er toegang tot hebben, of die systemen ontwikkelen die persoonsgegevens verwerken, om er zeker van te zijn dat zij op de hoogte zijn van hun verplichtingen onder de Uitgangspunten en deze Europese Implementatie Uitgangspunten.

Conflictenrecht

Wanneer een vennootschap binnen de American Express Group reden heeft om aan te nemen dat toepasselijke Europese nationale wetgeving deze vennootschap verhindert om aan haar verplichtingen onder de Uitgangspunten of the Europese Implementatie Uitgangspunten te voldoen, dan zal deze vennootschap AESEL onmiddellijk daarover informeren, tenzij het deze vennootschap bij wet verboden is dit te doen. In dat geval zal AESEL de verdere stappen overwegen en zal, in het geval van ernstige twijfels, met de bevoegde Autoriteit voor de Bescherming van Persoonsgegevens overleggen.

Vragen over deze Uitgangspunten

Eventuele vragen over deze Uitgangspunten of deze Europese Implementatie Uitgangspunten kunnen worden gericht aan de Data Protection Officer van AESEL op het hoofdkantoor van AESEL bij American Express Services Europe Limited, Belgrave House, 76 Buckingham Palace Road, London, SW1W 9TX.

Oktober 2012

American Express Samenvatting van de verwerking van persoonsgegevens

Beschrijving van soorten persoonsgegevens

American Express is een wereldwijd bedrijf in betaaldiensten en reizen, dat hoofdzakelijk actief is op twee gebieden: i) uitgifte van kaarten en diensten voor het verkopersnetwerk, en (ii) diensten met betrekking tot reizen. De aard van de persoonsgegevens die routinematig verwerkt worden door vennootschappen binnen de American Express Group omvatten persoonsgegevens met betrekking tot de klanten, leveranciers en partners van de American Express Group, waaronder huidige, voormalige en potentile klanten, consumenten, leveranciers en partners van de American Express Group (gezamenlijk te noemen:Klantgegevens).In overeenstemming met de Europese Richtlijn 2007/64/EC (de Richtlijn Betalingsdiensten), heeft het concern de rechtspersoon American Express Payment Services Limited (AEPSL) opgericht ten behoeve van haar bedrijfsactiviteit van werving van verkopers in Europa (referentienummer: 484347). In die hoedanigheid zijn de door AEPSL aangeboden betalingsdiensten, naast de solide bedrijfsvoering en corporate governance van het concern gebonden aan het toezicht van de Financial Conduct Authority. Bovendien verwerken vennootschappen binnen de American Express Group persoonsgegevens en categorien gevoelige persoonsgegevens van werknemers en opdrachtnemers van de American Express Group, waaronder huidige, voormalige en toekomstige werknemers en opdrachtnemers, zowel fulltime, parttime, in vaste dienst of in tijdelijke dienst (gezamenlijk te noemen: Werknemersgegevens). Categorien gevoelige gegevens in de zin van Werknemersgegevens bevatten informatie over de gezondheid van arbeidskrachten, regelingen van de arbodienst, controle op gelijke behandeling, informatie over vakbonden en ondernemingsraden, informatie uit medische onderzoeken en tests, en informatie uit drugs- en alcoholtests in landen waar dat is toegestaan. American Express zal niet verzoeken om gevoelige Klantgegevens aangezien dit geen onderdeel is van de aanmelding van klanten of van enige andere dienst van American Express. Voor zover gevoelige persoonsgegevens worden verzameld, zullen deze uitsluitend worden verwerkt met aanvullende waarborgen voor de beveiliging van gegevens en passende maatregelen waartoe de wet verplicht, waaronder EU Richtlijn 95/46/EC.

Omschrijving van soorten verwerkingen en stromen van gegevens

Persoonsgegevens worden doorgegeven binnen de gehele American Express Group, die een wereldwijde organisatie is, en ook verder naar bevoegde leveranciers en naar klanten. Deze stroom van gegevens wordt rechtmatig gemaakt door een combinatie van door de EU goedgekeurde intern bindende gedragscodes ("Binding Corporate Rules") die gebonden zijn aan goedkeuring in elke Lidstaat en contracten voor de doorgifte van gegevens, waaronder EU modelcontracten. Tenzij dit is toegestaan volgens toepasselijk recht, zullen over een betrokkene geen geautomatiseerde beoordelingen worden gemaakt of geautomatiseerde besluiten worden genomen.

De stromen persoonsgegevens kunnen voor elk van de Klantgegevens en Werknemersgegevens in het algemeen als volgt worden omschreven:

Klantgegevens met betrekking tot de kaart, de uitgifte en de diensten van het verkopersnetwerk

Om een kaart uit te reiken aan een kaarthouder zal de plaatselijke uitreikende entiteit binnen de American Express Group persoonsgegevens van de kaarthouder verzamelen voor operationele doeleinden en ter naleving van regelgeving. De plaatselijke uitreikende entiteit bevindt zich soms, maar niet in alle gevallen, in hetzelfde land als de woonplaats van de kaarthouder. Zodra de kaart is uitgegeven worden, om de wereldwijde werking van de kaart mogelijk te maken, alle klantgegevens centraal opgeslagen op meerdere hoofdservers van de American Express Group, die zich alle bevinden in de beveiligde datacenters van de American Express Group in de Verenigde Staten (Phoenix, Arizona, Salt Lake City, Utah). Verder moet worden opgemerkt dat, om het gehele proces van de wereldwijde werking van de kaart te dekken, zowel Klantgegevens als Werknemersgegevens kunnen worden doorgegeven naar andere landen buiten de Europese Unie (bijvoorbeeld India en Maleisi).

Wanneer een kaart wordt gebruikt bij een in aanmerking komende verkoper waar ook ter wereld, ontstaan er meerdere stromen van gegevens:

  • Basisgegevens over de transactie worden elektronisch verzonden vanaf de terminal van het verkooppunt naar het autorisatiecentrum van de American Express Group in het betreffende land of regio;
  • De volledige transactiegegevens worden vervolgens verzameld door de lokale verkrijgende entiteit van de American Express Group. Deze handelt de transactie af door de verkoper te betalen en de gegevens van de transactie naar de V.S. te verzenden, waarna de transactie door de kaartuitgever wordt gedeclareerd aan de kaarthouder.

Klantgegevens met betrekking tot reisdiensten

Persoonsgegevens worden verstrekt door individuele reizigers en, in geval van zakenreizen, door hun werkgevers, vanaf hun locaties overal ter wereld aan hun plaatselijke aanbieder van American Express reisdiensten. Deze gegevens, die een profiel vormen dat is samengesteld uit met toestemming van de reiziger verzamelde gegevens, worden vervolgens verzonden naar de centrale database van n van de wereldwijde distributiesystemen (zoals Galileo, Amadeus en Sabre) waarmee de American Express Group een relatie heeft in het land, zodat wanneer de American Express Group een reservering maakt met behulp van het plaatselijke GDS (global distribution system), de passagiersinformatie die in dat GDS is opgeslagen de aanmaak van een gepersonaliseerde reservering mogelijk maakt: een passenger name record (PNR). De basisgegevens die een PNR bevat worden door de American Express Group opgehaald om de prijs van de reservering aan de klant te declareren.

Werknemersgegevens

Werknemersgegevens worden zowel centraal als decentraal opgeslagen in mainframes, midranges en lokale servers overal binnen de American Express Group. De meeste mainframes bevinden zich in de V.S. en het V.K. en zijn toegankelijk vanuit kantoren van de American Express Group overal ter wereld voor personeelsleden die de juiste toegangsrechten hebben om toegang te krijgen tot Werknemersgegevens. Midrange en plaatselijk replicerende servers (die slechts gebruikt worden voor e-mail- en/of opslagdoeleinden) slaan gegevens op die gedistribueerd worden naar geografische locaties al naar gelang de bedrijfsbehoefte.

Persoonsgegevens worden voor de volgende doeleinden opgeslagen:

- Personeelsadministratie (bijv. benoemingen en ontslagen, lonen, strafmaatregelen, pensioenspaarregeling, beheer van werkzaamheden, of andere personeelszaken met betrekking tot het personeel van het concern);

- Misdaadpreventie en vervolging van overtreders (bijv. misdaadpreventie en de opsporing, arrestatie en vervolging van overtreders);

- Verstrekking van licenties en registraties (bijv. de administratie van licenties of het bijhouden van officile registers);

- Beheer van werknemersdossiers;

- Administratie van informatie en databases (bijv. het bijhouden van informatie of databases als referentiemiddel of algemene bron. Dit omvat catalogi, lijsten, mappen en bibliografische databases);

- Aanslagen en inning van belastingen en andere inkomsten (bijv. aanslagen en inning van belastingen, rechten, heffingen en andere inkomsten);

- Boekhouding en accountantscontroles (bijv. de verlening van boekhoudkundige en aanverwante diensten en de uitvoering van een accountantscontrole wanneer dat vereist is).

Verwerking na doorgifte: De doorgegeven Persoonsgegevens zullen worden verwerkt ten behoeve van de administratie van personeelszaken en het bijhouden van het personeelsbestand van het concern, en kunnen nog verder worden verwerkt door derden-dienstverleners die diensten leveren op het gebied van salarisadministratie, ziektekosten- en andere verzekeringen, en andere voorzieningen voor de werknemers.

Implementatie van de Uitgangspunten

De besluiten van de onderstaande interne groepen en de onderstaande beleidsplannen zijn bindend voor, en zullen worden gebruikt door, de American Express Group overal ter wereld ter implementatie van de Uitgangspunten:

  1. American Express Services Europe Limited -Procedures Klachtenafhandeling Klanten..
  2. Gedragscode .
  3. American Express Beleid van het Privacy Office.
    • American Express behandelt privacyzaken gewoonlijk via het American Express Privacy Office, een onafhankelijk bedrijfsonderdeel dat specifiek verantwoordelijk is voor de systemen, processen en procedures die zien op het verzamelen, gebruiken en delen van persoonsgegevens over klanten, potentile klanten en werknemers. Het Privacy Office geeft ook leiding aan het Privacy-Bestuur (Privacy Board), dat regelmatig bijeenkomt om privacykwesties te bespreken, oplossingen tot stand te brengen en beleidslijnen en richtlijnen vast te stellen.
    • Volgens de Beoordelingsprocedure van het Privacybeleid dient het Privacy Office om de twee jaar een beoordeling van alle Privacybeleiden uit te voeren, of zo vaak als in het relevante Beleid staat aangegeven. Eventuele wijzigingen die vereist zijn als gevolg van bijvoorbeeld ontwikkelingen in toepasselijke wet- of regelgeving dienen ter beoordeling te worden voorgelegd aan de Chief Privacy Officer c.q. het General Counsels Office.
  4. American Express Company Algemeen Managementbeleid (General Management Policy)
    • Dit beleid is van toepassing op elk beleid op het gebied van algemeen management en financin binnen de organisatie van American Express. Hieronder vallen ook nieuwe beleiden en herzieningen van bestaande beleiden.
    • Alle bedrijfsonderdelen van American Express vallen onder dit beleid.
    • Voor het Algemeen Managementbeleid geldt in het bijzonder:
      • dat alle zaken op het gebied van algemeen management and financieel beleid dienen te worden opgelost via de Global Policies and Procedures Group;
      • dat het de implementatie van het wereldwijde bedrijfsbeleid actief stimuleert, en daarbij waar mogelijk regionale beleiden vervangt die daarmee niet verenigbaar zijn;
      • dat het het wereldwijde bedrijfsbeleid laat prevaleren boven regionale bedrijfsdocumenten;
      • dat het de minimale inhoud van beleidsdocumenten vastlegt; en
      • dat het termijnen bepaalt voor gedefinieerde fases in de introductie, voorbereiding en implementatie van beleid.
  5. Overeenkomst voor de levering van diensten.
    • De standaard inkoopvoorwaarden van de American Express Group verplicht alle verkopers en derden-gegevensverwerkers ertoe zich te houden aan de strenge Information Protection Contract Requirements (Contractuele Vereisten voor de Bescherming van Gegevens) van de American Express Group teneinde de veiligheid te waarborgen van alle persoonsgegevens die door de American Express Group worden gehouden en door een dienstverlener worden verwerkt.
    • De Information Protection Contract Requirements zijn opgenomen in alle contracten met derden waarmee de verwerking van persoonsgegevens wordt beoogd.
    • De keuze van derden-gegevensverwerkers en verkopers is gedeeltelijk gebaseerd op hun prestatie wanneer zij worden getest met een standaard risicobeoordeling, en op de evaluatie van hun praktijk en risico's op het gebied van gegevensbeveiliging.
    • Derden-gegevensverwerkers en verkopers dienen gebonden te zijn aan passende contractuele bepalingen, waaronder de nodige technische en organisatorische beveiligingsmaatregelen, om gegevens van de American Express Group te beschermen. Het beleid bepaalt ten minste dat:
      • adviseurs, opdrachtnemers en verkopers een geheimhoudingsovereenkomst en/of niet-openbaarmakingsovereenkomst hebben getekend in het kader van hun initiele arbeidsvoorwaarden/contract, en telkens wanneer die bepalingen gewijzigd worden;
      • sommige contracten een boetebeding bevatten voor het gebruik van klantgegevens of vertrouwelijke informatie op een andere wijze dan als in het contract aangegeven;
      • het door de verkoper gevolgde veiligheidsbeleid en -normen gelijk zijn aan of uitgebreider zijn dan het beleid en de normen van de American Express Group, en de door de verkopers gevolgde praktijk en normen voldoen aan de verplichte vereisten voor gegevensbescherming, die van tijd tot tijd gewijzigd kunnen worden.
  6. Beleid voor diensten van derden
    • Het Beleid voor Diensten van Derden van American Express verplicht derden ertoe zich te houden aan het Beleid en de Richtlijnen van de American Express Group wanneer zij in dienst worden genomen door een vennootschap binnen de American Express Group, en verplicht hen ertoe hun verantwoordelijkheid te erkennen door middel van formele schriftelijke verklaringen. Het bovenstaande is van toepassing op al het personeel dat betrokken is bij de keuze van en het toezicht op derden-dienstverleners, inclusief personeel van de American Express Group, haar respectievelijke gelieerde ondernemingen, dochterondernemingen, personeel, derden-adviseurs, opdrachtnemers, verkopers en welke persoon of entiteit dan ook aan wie externe toegang wordt verleend tot de American Express Group informatiebronnen.

Gedragscode

De Gedragscode bepaalt op dit moment het volgende met betrekking tot de privacy van werknemers:

Het is onze plicht om de privacy, vertrouwelijkheid en veiligheid van persoonlijk identificeerbare werknemersgegevens te waarborgen. Onze collega's, maar ook toekomstige en voormalige werknemers, vertrouwen erop dat wij hun persoonsgegevens behoorlijk beheren en gebruiken. Daarom moeten wij te allen tijde bekend zijn met de American Express Uitgangspunten voor Privacy van werknemersgegevens en deze naleven. Dit beleid is van toepassing op de verzameling, toegang, gebruik en openbaarmaking van persoonlijk identificeerbare werknemersgegevens. Dergelijke gegevens bevatten informatie over lonen, functioneringsbeoordelingen, handicaps, verlof, en meer gevoelige gegevens zoals door de overheid uitgegeven identificatienummers. Wij mogen dergelijke gegevens uitsluitend gebruiken voor ter zake dienende en passende bedrijfsdoeleinden. Wij mogen deze gegevens met niemand delen, binnen of buiten onze onderneming, die niet om zakelijke redenen beslist inzage moet hebben in deze gegevens. Bovendien dienen wij maatregelen te nemen om deze gegevens te allen tijde behoorlijk te beveiligen. Veel landen hebben hun eigen wettelijke voorschriften voor het gebruik van werknemersgegevens. Als u niet zeker bent van deze voorschriften, neemt u dan contact op met Human Resources.

De Gedragscode bepaalt op dit moment het volgende met betrekking tot de privacy van klanten:

Wij zijn verantwoordelijk voor het beschermen van de privacy, vertrouwelijkheid en veiligheid van klantgegevens die aan onze onderneming worden toevertrouwd. Om de reputatie van onze onderneming hoog te houden en onze klanten zo goed mogelijk te bedienen, heeft onze onderneming de vastberaden verplichting op zich genomen om de privacy van klantgegevens waakzaam te beschermen. Dit betekent dat wij klantgegevens moeten verzamelen, gebruiken en beschermen volgens onze Online Privacy Verklaring (Online Privacy Statement) en de Minimum Richtlijnen voor het Waarborgen van de Klantgegevens Beleid (Minimum Standards for Safeguarding Customer Information Policy). Wij mogen nooit klantgegevens delen met een derde of een collega die niet om zakelijke redenen beslist inzage moet hebben in die gegevens. Wij moeten ook maatregelen nemen om de onbedoelde openbaarmaking van klantgegevens te voorkomen. In het zeldzame geval dat zulke gegevens openbaar worden, dienen de geldende bedrijfsprocedures te worden gevolgd. In geval van een dreigend incident waarbij gegevens gevaar lopen moet onmiddellijk contact worden opgenomen met de CSI Data Privacy Office en EIRP op Lotus Notes. Deel geen informatie over het incident met andere personen, noch intern noch extern, die dit niet om zakelijke redenen beslist moeten weten. Voor meer informatie over het identificeren en melden van situaties waarbij gegevens gevaar lopen verwijzen wij u naar onze EIRP Guide. Indien een overheidsinstantie om informatie verzoekt over een van onze klanten, dienen wij eerst contact op te nemen met het GCO alvorens informatie te verstrekken. Bovendien hebben veel landen hun eigen wettelijke voorschriften voor het gebruik van werknemersgegevens. Als u niet zeker bent over de plaatselijke voorschriften, of andere vragen hebt over privacy, neemt u dan contact op met uw leidinggevende, uw Compliance Officer of het GCO.


American Express Services Europe Ltd.
Procedure voor de Afhandeling van Klachten betreffende
Gegevensbescherming en Privacy

Klanttevredenheid

Het is ons doel om u steeds van de best mogelijke service te voorzien. Wij zijn ons er echter van bewust dat er soms fouten kunnen worden gemaakt en wij hebben uw hulp nodig om ons te verbeteren. Voor het geval er toch iets fout gaat, hebben wij een procedure voor klachtenafhandeling opgezet die gemakkelijk te volgen is en die er voor in staat dat u snel en grondig antwoord krijgt op uw eventuele klachten of vragen.

De klachtenprocedure

Deze Procedure voor Klachtenafhandeling is op u van toepassing indien u in de Europese Economische Ruimte (EEA) woont en persoonsgegevens hebt die verwerkt worden door een vennootschap binnen de American Express Group in de EER, en die mogelijk ook elders buiten de EER verwerkt worden door de American Express Group.

Indien u een werknemer bent van een vennootschap binnen de American Express Group en uw klacht of vraag te maken heeft met uw werkomgeving, dan dient u zich te wenden tot de Richtlijn voor Interne Klachten op het intranet van American Express.

Stap 1
Contact met ons opnemen met algemene vragen over gegevens


Indien u algemene opmerkingen of zorgen hebt over de wijze waarop wij met uw persoonsgegevens omgaan, kunt u spreken met een lid van ons Klantenserviceteam op een van onderstaande nummers:

08456080845 of 0044 1293 820925

U kunt ook schriftelijk contact met ons opnemen via het volgende adres:

American Express Services Europe Ltd.
Dept. 66
Amex House
Edward Street
Brighton BN88 1AH

Tenslotte kunt u ons bereiken via ons plaatselijke American Express kantoor met behulp van de relevante klantenservice, waarvan de contactgegevens in de aan u verstrekte informatie vermeld staan in onze lokale voorwaarden, privacyverklaringen en verwante documentatie.

Als u contact met ons opneemt, vermeld dan alstublieft:

  • Uw naam
  • Uw klantnummer
  • De aard van uw klacht

Stap 2
Contact met ons opnemen voor meer gedetailleerde vragen


Indien u de details van de gegevens die wij over u bewaren en verwerken wilt verkrijgen, of indien u specifieke bezwaren heeft tegen de wijze waarop wij uw persoonsgegevens verwerken, dan kunt u een gedetailleerde vraag indienen. Met behulp van een gedetailleerde vraag kunt u de volgende dingen doen:

  • bezwaar maken tegen de verwerking van uw persoonsgegevens;
  • uw persoonsgegevens laten wissen of vernietigen;
  • uw persoonsgegevens corrigeren;
  • de verzameling van uw persoonsgegevens afschermen; en
  • uw toegangsrechten als betrokkene uitoefenen, die u het recht geven om:
    • te vernemen of American Express uw persoonsgegeven(s) verwerkt;
    • een beschrijving ontvangen van de persoonsgegevens, de redenen waarom deze worden verwerkt, en of deze aan andere organisaties of personen zullen worden gegeven;
    • een kopie ontvangen van de informatie waarin zich de persoonsgegevens bevinden;
    • details ontvangen over de bron van de persoonsgegevens, indien mogelijk; en
    • de redenering vernemen achter eventuele geautomatiseerde besluiten op basis van uw persoonsgegevens;
en elke andere actie ondernemen die u ter beschikking kan staan op grond van het lokale toepasselijke recht.
Wij behandelen deze verzoeken centraal, en verzoeken u daarom om schriftelijk met ons in contact te treden op het volgende adres:

American Express Services Europe Ltd.
Data Privacy Officer
Amex House
Edward Street
Brighton BN88 1AH

Als u contact met ons opneemt, vermeld dan alstublieft:
  • Uw naam
  • Uw klantnummer
  • Gegevens over hoe wij u kunnen bereiken
  • De aard van uw klacht

Wij zullen onmiddellijk contact met u opnemen om uw identiteit te bevestigen, en zodra dit gebeurd is zullen wij de zaak proberen op te lossen binnen 5 (vijf) werkdagen na die bevestiging. Voor bepaalde soorten gedetailleerde verzoeken is een kleine vergoeding verschuldigd, en wanneer dit zo is, zullen wij u informatie geven over deze vergoeding wanneer wij contact met u opnemen. Onder bepaalde omstandigheden kunt u recht hebben op een schadevergoeding wegens het niet correct verwerken van uw persoonsgegevens door American Express, of niet in overeenstemming met de American Express Uitgangspunten voor Gegevensbescherming en Privacy.

Stap 3
Responstijden
Onder bepaalde omstandigheden kan het voor ons onmogelijk zijn om uw zorgen onmiddellijk weg te nemen, en zullen wij eventueel een nader onderzoek moeten instellen. Als dit het geval is zullen wij u binnen 10 (tien) werkdagen schrijven om u te laten weten wie uw klachten zal behandelen, en hoe lang een volledig onderzoek naar de zaak waarschijnlijk zal duren. Wij streven ernaar om u binnen vier (4) weken een volledig antwoord te geven. Mocht u niet tevreden zijn met dit antwoord, dan verzoeken wij u om ons dit te laten weten zodat wij de zaak nader kunnen onderzoeken.

Stap 4
Indien u niet tevreden bent
Indien u van mening bent dat wij uw klacht niet bevredigend hebben opgelost, of indien u na 4 weken nog geen definitief antwoord hebt ontvangen, dan hebt u het recht om uw klacht voor te leggen aan uw lokale Autoriteit voor de Bescherming van Persoonsgegevens.

U kunt contact opnemen met de betreffende Autoriteit voor de Bescherming van Persoonsgegevens via:

Land Adres
Oostenrijk
sterreichische Datenschutzkommission
Ballhausplatz, 1
A - 1014 WIEN

Tel. +43 1 531 15 25 25
Fax +43 1 531 15 26 90
e-mail: dsk@dsk.gv.at
website
Belgi
Commission de la protection de la vie prive
Rue Haute, 139
B - 1000 BRUXELLES

Tel. +43 1 531 15 25 25
Fax +43 1 531 15 26 90
e-mail: dsk@dsk.gv.at
website
Bulgarije
Commission for Personal Data Protection
Mrs. Veneta Shopova
1 Dondikov Blvd.
Sofia 1000
Bulgaria

Tel. +3592 940 2046
Fax +3592 940 3640
e-mail: kzld@government.bg
website
Kroati
Mr. Franjo LACKO
Director
Croatian Personal Data Protection Agency
Republike Austrije 25
10000 Zagreb
Croatia

Tel. +385 1 4609 000
Fax +385 1 4609 099
e-mail: azop@azop.hr or info@azop.hr
website
Cyprus
Commissioner for Personal Data Protection
Ms Goulla Frangou
40, Th. Dervis Street
CY - 1066 Nicosia

Tel. +357 22 818 456
Fax +357 22 304 565
e-mail: commissioner@dataprotection.gov.cy
website
Tsjechische Republiek
Mr. Igor Nemec
The Office for Personal Data Protection
Urad pro ochranu osobnich udaju
Pplk. Sochora 27
CZ - 170 00 Prague 7

Tel. +420 234 665 111
Fax +420 234 665 444
e-mail: posta@uoou.cz
website
Denemarken
Datatilsynet
Borgergade 28, 5
DK - 1300 Copenhagen K

Tel. +45 33 19.32.00
Fax +45 33 19.32.18
e-mail: dt@datatilsynet.dk
website
Estland
Estonian Data Protection Inspectorate
(Andmekaitse Inspektsioon)
Director General
Mr Viljar Peep (Ph.D)
Vike-Ameerika 19
10129 Tallinn
Estonia

Tel. +372 6274 135
Fax +372 6274 137
e-mail: viljar.peep@dp.gov.ee
website
Finland
Office of the Data Protection
Ombudsman
P.O. Box 315
Mr Viljar Peep (Ph.D)
FIN-00181 Helsinki

Tel. +358 10 3666 700
Fax +358 10 3666 735
e-mail: tietosuoja@om.fi
website
voormalige
Joegoslavische
Republiek
Macedoni
Ms. Marijana MARUSIC
Directorate for Personal Data Protection
Samoilova 10
1000 Skopje
former Yugoslav Republic of Macedonia

Tel. +389 (0) 2 3244 760
Fax +389 (0) 2 3244 766
e-mail: info@dzlp.gov.mk
website
Frankrijk
Commission Nationale de l'Informatique et des Liberts
8, rue Vivienne, CS 30223
F-75002 Paris, CEDEX 02

Tel. +33 (0) 1 53 73 22 22
Fax +33 (0) 1 53 73 22 00
website
Duitsland
Der Bundesbeauftragte fr den Datenschutz und die Informationsfreiheit
Husarenstrae 30
53117 Bonn

Tel. +49 (0) 228 997799 0 or +49 (0) 228 81995 0
Fax +49 (0) 228 997799 550 or +49 (0) 228 81995 550
e-mail: poststelle@bfdi.bund.de
website
Griekenland
Hellenic Data Protection Authority
Kifisias Av. 1-3, PC 11523
Ampelokipi Athens, Greece

Tel. +30 210 6475 600
Fax +30 210 6475 628
e-mail:contact@dpa.gr
website
Guernsey
Dr. Peter Harris C. Eng, MA, PhD, FBCS
Data Protection Commissioner
P.O. Box 642
Frances House
Sir William Place
St. Peter Port
Guernsey GY1 3JE

Tel. +44 1481 742074
Fax +44 1481 742077
e-mail:dataprotection@gov.gg
website
Hongarije
Data Protection Commissioner of Hungary
Parliamentary Commissioner for Data Protection and Freedom of Information
Dr. Attila Pterfalvi
Ndor u. 22.
H - 1051 Budapest

Tel. +36 1 475 7186
Fax +36 1 269 3541
e-mail:adatved@obh.hu
website
IJsland
Icelandic Data Protection Agency
(Persnuvernd)
Rauarrstg 10
105 Reykjavk, sland

Tel.+354 510 9600
Fax +354 510 9606
e-mail:postur@personuvernd.is
website
Ierland
Data Protection Commissioner
Canal House
Station Road
Portarlington
Co. Laois
Ireland

Lo-Call: 1890 25 22 31
Tel.+353 57 868 4800
Fax +353 57 868 4757
e-mail:info@dataprotection.ie
website
Eiland Man
Mr Iain McDonald
Data Protection Supervisor
Office of Data Protection Supervisor
P.O. Box 69
Douglas
Isle of Man IM99 1EQ
British Isles

Tel.+44 (0) 1624 693260
Fax +44 (0) 1624 6610
e-mail:enquiries@odps.gov.im
website
Itali
Garante per la protezione dei dati personali
Piazza di Monte Citorio, 121
I - 00186 Roma

Tel.+39 06 69677 1
Fax+39 06 69677 785
e-mail:garante@garanteprivacy.it
website
Jersey
The Office of the Data Protection Commissioner
Mrs. Emma Martins
Morier House
Halkett Place
St. Helier
Jersey JE1 1DD

Tel.+44 (0) 1534 441064
Fax+44 (0) 1534 441065
e-mail:dataproteciton@gov.je, e.martins@gov.je
website
Letland
Data State Inspectorate
Riga, Latvia
Director Ms Signe Plumina
Kr. Barona Street 5-4
LV - 1050 Riga

Tel.+371 6722 3131
Fax+371 6722 3556
e-mail:info@dvi.gov.lv
website
Lichtenstein
Dr. Philipp Mittelberger
Datenschutzbeauftragter des Frstentums Liechtenstein
Stabsstelle fr Datenschutz
Kirchstrass 8, Postfach 684
9490 Vaduz
Liechtenstein

Tel.+423 236 6091
Fax+423 236 6099
e-mail:info@sds.llv.li
Verwaltung: http://www.sds.llv.li Liechtenstein: http://www.liechtenstein.li
Litouwen
State Data Protection
Inspectorate Director
Mr Algirdas Kuncinas
ygimantu str. 11-6a
LT - 011042 Vilnius

Tel.+ 370 5 279 14 45
Fax+370 5 261 94 94
e-mail:ada@ada.lt
website
Luxembourg
Commission nationale pour la protection des donnes
41, avenue de la Gare
L-1611 Luxembourg

Tel.+352 2610 60 1
Fax+352 2610 60 29
e-mail:info@cnpd.lu
website
Malta
Office of the Data Protection Commissioner
Data Protection Commissioner
Mr Paul Mifsud Cremona
2, Airways House
High Street, Sliema SLM 16, Malta

Tel.+356 2328 7100
Fax+356 2328 7198
e-mail:commissioner.dataprotection@gov.mt
website
Noorwegen
Datatilsynet
The Data Inspectorate
P.O.Box 8177 Dep
N - 0034 OSLO

Tel.+47 22 39 69 00
Fax+47 22 42 23 50
e-mail:postkasse@datatilsynet.no
website
Polen
The Bureau of the Inspector General for the Protection of Personal Data
Mr Michal Serzycki
Inspector General for Personal Data Protection
ul. Stawki 2
00-193 Warsaw

Tel.+48 22 860 70 81
Fax+48 22 860 70 90
e-mail:sekretariat@giodo.gov.pl
website
Portugal
Comisso Nacional de Proteco de Dados
R. de So. Bento, 148-3
P - 1200-821 LISBOA

Tel.+351 21 392 84 00
Fax+351 21 397 68 32
e-mail:geral@cnpd.pt
website
Roemeni
The National Supervisory Authority for Personal Data Processing
Mrs. Georgeta BASARABESCU
President
Str. Olari nr. 32
Sector 2, BUCURESTI
Cod postal 024057
Romania

Tel.+40 21 252 5599
Fax+40 21 252 5757
e-mail:anspdcp@dataprotection.ro
website
Slovakije
Office for Personal Data Protection of the SR
Mr Gyula Veszelei
President
Odborrske nmestie c. 3
817 60, Bratislava
Slovak Republic

Tel.+ 421 2 5023 9418
Fax+ 421 2 5023 9441
e-mail:statny.dozor@pdp.gov.sk or gyula.veszelei@pdp.gov.sk
website
Sloveni
Information Commissioner
Ms. Natasa Pirc Musar
Vonjakova 1
SI - 1000 LJUBLJANA

Tel.+386 (0) 1 230 9730
Fax+386 (0) 1 230 9778
e-mail:gp.ip@ip-rs.si
website
Spanje
Agencia de Proteccin de Datos
C/Jorge Juan, 6
E - 28001 MADRID

Tel.+34 91399 6200
Fax+34 91455 5699
e-mail:internacional@agpd.es
website
Zweden
Datainspektionen
Fleminggatan, 14
9th Floor
Box 8114
S - 104 20 STOCKHOLM

Tel.+46 8 657 6100
Fax+46 8 652 8652
e-mail:datainspektionen@datainspektionen.se
website
Zwitserland
Data Protection Commissioner of Switzerland
Eidgenssischer Datenbeauftragter
Hanspeter THR
Feldeggweg 1
CH - 3003 Bern

Tel.+41 (0) 31 322 4395
Fax+41 (0) 31 325 9996
e-mail:info@edsb.ch
website
Nederland
College bescherming persoonsgegevens (CBP)
Dutch Data Protection Authority
Juliana van Stolberglaan 4-10
P.O.Box 93374
NL - 2509 AJ Den Haag/The Hague
CH - 3003 Bern

Tel.+31 70 888 8500
Fax+31 70 888 8501
e-mail:info@cbpweb.nl
website
Verenigd Koninkrijk
Mr Richard Thomas
Information Commissioner
The Office of the Information Commissioner Executive Department
Water Lane, Wycliffe House
UK - WILMSLOW - CHESHIRE SK9 5AF

Tel.+44 1 625 54 57 00 (switchboard)
e-mail:please use the online enquiry from our website
website
Deze lijst wordt alleen bijgehouden op:
http://ec.europa.eu/justice_home/fsj/privacy/nationalcomm/index_en.htm.

Stap 5
Een gerechtelijke procedure beginnen


Indien u er niet in slaagt om het antwoord te krijgen dat u nodig hebt, hetzij van ons, hetzij van uw plaatselijke Autoriteit voor Gegevensbescherming, dan kunt u een procedure beginnen bij een plaatselijke rechtbank. In dat geval raden wij u aan om eerst een onafhankelijke en voldoende gekwalificeerde juridische adviseur te raadplegen. American Express zal vorderingen accepteren tegen zowel uw plaatselijke American Express entiteit als AESEL rechtstreeks.

De Uitgangspunten en de Europese Implementatie Uitgangspunten zijn bindend voor de American Express Group, en geven u als contractuele derde-begunstigde de rechten die in de programma-documentatie zijn bepaald.

Indien u de naam van uw plaatselijke American Express entiteit wilt weten of indien u andere vragen hebt over deze Stap 5, neemt u dan contact met ons op met behulp van de gegevens in Stap 2 Contact met ons opnemen voor meer gedetailleerde vragen. We maken u er echter op attent dat het in dat geval niet nodig is om een administratieve vergoeding te betalen.

back to top