1.1 Conclusie
In 2021 lag de focus van het interne toezicht op de naleving van de wet in de operationele processen en het verder inrichten van het toezicht. De wettelijke waarborgen voor het beschermen van persoonsgegevens die zijn gecontroleerd zijn aanwezig en functioneren voldoende in het primaire proces. Er zijn aanbevelingen voor verbetering van de (secundaire) processen gedaan.
Aandachtspunten om risico’s bij het verwerken van de passagiersgegevens te reduceren blijven, net als in 2020, het inrichten van de autorisaties, logging en opname van alle verwerkingsprocessen in TRIP. Het vastleggen van gegevensbescherming in en het in de lijn monitoren van organisatorische en technische maatregelen waaronder het uitvoeren van DPIA’s verdient de aandacht van de verwerkingsverantwoordelijke en de Passagiersinformatie-eenheid Nederland (hierna: Pi-NL) alsmede het tijdig betrekken van de FG bij zaken die de gegevensbescherming van passagiersgegevens kunnen raken.
Natuurlijk gaat er weleens iets anders dan gepland. Belangrijk is welke actie en reactie daaruit voortkomen. De acties en compliancebereidheid om passagiersgegevens te beschermen zijn in ruime mate aanwezig. Zoals in 2021 aangetoond is.
Het verwerken van bijzondere persoonsgegevens die direct of indirect leiden naar bijvoorbeeld gezondheid of etniciteit is verboden. In 2021 zijn gezondsheidsgegevens van sommige luchtvaartmaatschappijen wel ontvangen en door het filter gekomen. Het aanscherpen van het filter, door Justid, om te voorkomen dat zowel zij als Pi-NL bijzondere gegevens ontvangen en verwerken was noodzakelijk evenals het achteraf verwijderen van alle (bijzondere) gegevens die het filter niet tegenhield. API-gegevens mogen verwerkt worden. Deze ontbreken regelmatig in de push. De API-gegevens kunnen positief bijdragen aan het onnodig verstrekken van passagiersgegevens en daarmee aan het beschermen van passagiers en hun gegevens.
Alles bij de bron; RijksOverheid