Testfase. Je claim wordt echt bij NS ingediend, we volgen de afhandeling handmatig op. Meer info

ClaimenInloggen

Privacybeleid

Laatst bijgewerkt: 21 april 2026

Alpha-fase: extra verwerkingen

Tijdens de alpha bewaren wij per claim-indiening een submission-log met request/response-data van onze integratie met NS. PII (naam, adres, IBAN, kaartnummer, telefoon en e-mail) wordt in deze logs automatisch geredacteerd. Wij gebruiken deze logs uitsluitend om de flow te analyseren en fouten op te lossen. Retentie: 1 jaar. Voor mailverzending (invites en statusupdates) gebruiken wij Resend Inc. (US) als subverwerker op basis van standaardcontractbepalingen. Je kan bezwaar maken tegen deze verwerkingen door je account te verwijderen of contact met ons op te nemen.

1. Inleiding

Treinclaim is een handelsnaam van Zeal Software Applications ("wij", "ons", "onze"), gevestigd aan de Esther de Boer-van Rijkstraat 47, 3207 VA Spijkenisse, ingeschreven bij de Kamer van Koophandel onder nummer 86230336. Wij zijn de verwerkingsverantwoordelijke voor de persoonsgegevens die via onze website en diensten worden verwerkt. Dit privacybeleid legt uit welke gegevens wij verzamelen, waarom, hoe lang we ze bewaren, met wie we ze delen en welke rechten je hebt.

2. Welke gegevens verzamelen wij?

Wij verzamelen de volgende categorieën persoonsgegevens:

  • Accountgegevens: naam, e-mailadres, wachtwoord (versleuteld)
  • OV-chipkaart gegevens: kaartnummer, reishistorie, vertragingsgegevens
  • Betalingsgegevens: IBAN voor uitbetaling van compensaties
  • Communicatiegegevens: correspondentie via e-mail of contactformulieren

3. Waarvoor gebruiken wij je gegevens?

Wij gebruiken je persoonsgegevens voor:

  • Het aanmaken en beheren van je account
  • Het automatisch detecteren van vertragingen in je reishistorie
  • Het indienen van compensatieclaims bij vervoerders
  • Het uitbetalen van ontvangen compensaties
  • Het versturen van updates over je claims
  • Het verbeteren van onze dienstverlening

4. Rechtsgrond voor verwerking

Wij verwerken je persoonsgegevens uitsluitend op één of meer van de grondslagen uit artikel 6 lid 1 van de Algemene Verordening Gegevensbescherming (AVG). Per doeleinde gebruiken wij de volgende grondslag:

  • Uitvoering van de overeenkomst (art. 6 lid 1 sub b AVG): het aanmaken en beheren van je account, het koppelen van je OV-chipkaart of OVpay-bankpas, het ophalen van reishistorie, het detecteren van vertragingen, het namens jou indienen van compensatieclaims en het uitbetalen van ontvangen compensaties. Deze verwerkingen zijn noodzakelijk om de dienst te leveren die je met ons overeenkomt; zonder deze verwerkingen kunnen wij geen claim voor je indienen.
  • Wettelijke verplichting (art. 6 lid 1 sub c AVG): het bewaren van financiële administratie (waaronder uitgekeerde claims en commissies) gedurende 7 jaar op grond van de fiscale bewaarplicht (artikel 52 AWR).
  • Gerechtvaardigd belang (art. 6 lid 1 sub f AVG): het analyseren van geredacteerde submission-logs om fouten in de NS-integratie op te sporen, het voorkomen en onderzoeken van fraude en misbruik, en het beveiligen van onze systemen (audit-logs). Wij hebben hiervoor een afweging gemaakt tussen ons belang bij een werkende en veilige dienst en jouw privacybelang; je kunt bezwaar maken via privacy@treinclaim.nl.
  • Toestemming (art. 6 lid 1 sub a AVG): uitsluitend voor verwerkingen die niet noodzakelijk zijn voor de overeenkomst, zoals optionele updates of uitnodigingen voor gebruikersonderzoek. Je kunt deze toestemming op elk moment intrekken zonder dat dat gevolgen heeft voor de dienst. Wij gebruiken geen toestemming-grondslag voor functies die je nodig hebt om claims te laten indienen.

5. Delen van gegevens en subverwerkers

Wij delen je gegevens alleen met partijen die noodzakelijk zijn om de dienst te leveren. Hieronder staat de volledige lijst subverwerkers:

PartijDoelLandDoorgiftemechanisme
NS (Nederlandse Spoorwegen)Indienen compensatieclaimsNederlandBinnen EU
Hetzner Online GmbHHosting (servers, database)DuitslandBinnen EU
Resend Inc.Transactionele e-mail (invites, status-updates, contactformulier)Verenigde StatenStandaardcontractbepalingen (SCC)
ImprovMX SASE-mail forwarding en inkomende webhookFrankrijkBinnen EU
Namecheap Inc.Domeinregistratie en DNSVerenigde StatenStandaardcontractbepalingen (SCC)
Google LLC (Google OAuth)Inloggen met Google-account (optioneel)Verenigde StatenStandaardcontractbepalingen (SCC)

Met elke subverwerker hebben wij een verwerkersovereenkomst afgesloten. Bij doorgifte buiten de EER baseren wij ons op de standaardcontractbepalingen van de Europese Commissie.

Wij verkopen je gegevens nooit aan derden voor marketingdoeleinden.

6. Beveiliging

Wij nemen passende technische en organisatorische maatregelen om je persoonsgegevens te beschermen tegen ongeautoriseerde toegang, verlies of misbruik, zoals vereist door artikel 32 AVG. Dit omvat:

  • Wachtwoorden: uitsluitend opgeslagen als bcrypt-hash; wij zien of bewaren je wachtwoord nooit in leesbare vorm
  • IBAN at-rest: je IBAN wordt versleuteld in onze database opgeslagen met AES-256-GCM (Authenticated Encryption with Associated Data), gescheiden van de encryptiesleutel. Alleen onze backend kan de IBAN tijdelijk ontsleutelen op het moment van uitbetaling
  • Transport: alle verbindingen met onze servers en met subverwerkers verlopen over TLS 1.2 of hoger
  • Submission-logs: request- en response-data van NS-integratie worden automatisch geredacteerd voor PII (naam, adres, IBAN, kaartnummer, telefoon, e-mail) voordat ze worden opgeslagen
  • Toegangscontrole: beperkte toegang tot persoonsgegevens op basis van least-privilege, met audit-log van administratieve handelingen
  • Back-ups: dagelijkse versleutelde back-ups naar Hetzner Object Storage binnen de EU, retentie 30 dagen
  • Reviews: periodieke security-reviews op de codebase en infrastructuur

7. Bewaartermijn

Wij bewaren je persoonsgegevens niet langer dan noodzakelijk voor de doeleinden waarvoor ze zijn verzameld:

  • Accountgegevens: tot je je account verwijdert
  • Reishistorie: maximaal 3 maanden (NS claim-deadline); daarna verwijderd behalve voor reizen waarvoor een claim is ingediend
  • Ingediende claims: 7 jaar na afhandeling (wettelijke fiscale bewaarplicht)
  • Submission-logs (NS-integratie, PII-geredacteerd): 1 jaar — gebruikt om fouten in de flow te analyseren
  • Audit-logs (beveiliging): 1 jaar
  • Contact-berichten en feedback: zolang de conversatie lopend is, daarna archief van 2 jaar
  • Back-ups: 30 dagen na rotatie

8. Je rechten

Je hebt de volgende rechten met betrekking tot je persoonsgegevens:

  • Inzage: je kunt opvragen welke gegevens wij van je hebben
  • Rectificatie: je kunt onjuiste gegevens laten corrigeren
  • Verwijdering: je kunt verzoeken om verwijdering van je gegevens
  • Beperking: je kunt de verwerking laten beperken
  • Overdraagbaarheid: je kunt je gegevens in een standaardformaat ontvangen
  • Bezwaar: je kunt bezwaar maken tegen bepaalde verwerkingen

Om gebruik te maken van deze rechten kun je contact met ons opnemen via privacy@treinclaim.nl.

9. Cookies

Onze website gebruikt alleen functionele cookies die noodzakelijk zijn voor het functioneren van de website, zoals het onthouden van je inlogstatus. Wij gebruiken geen tracking cookies of analytische cookies van derden.

10. Wijzigingen

Wij kunnen dit privacybeleid van tijd tot tijd wijzigen. Bij belangrijke wijzigingen informeren wij je via e-mail of via een melding op onze website.

11. Contact

Voor vragen over dit privacybeleid of om je rechten uit te oefenen kun je contact met ons opnemen:

  • Treinclaim (handelsnaam van Zeal Software Applications)
  • Esther de Boer-van Rijkstraat 47, 3207 VA Spijkenisse
  • E-mail: privacy@treinclaim.nl
  • Website: www.treinclaim.nl/contact
  • KvK: 86230336

Je hebt ook het recht om een klacht in te dienen bij de Autoriteit Persoonsgegevens (autoriteitpersoonsgegevens.nl) als je van mening bent dat wij niet correct met je gegevens omgaan.