Uit een door de Universiteit van Amsterdam (Instituut voor Informatierecht) uitgevoerde evaluatie van de op 18 juni 2019 in werking getreden Wet gebruik van passagiersgegevens voor de bestrijding van terroristische en ernstige misdrijven (PNR-wet) blijkt (o.a.) dat de verwerkingsverantwoordelijke onvoldoende verantwoording aflegt over een aantal waarborgen voor gegevensbescherming uit de PNR-wet en de van overeenkomstige van toepassing verklaarde bepalingen uit de Wpg.

Domein 4 omvat de verantwoordingsverplichtingen die krachtens de PNR-wet en voor van toepassing verklaarde bepalingen uit de Wpg aan de verwerkingsverantwoordelijke zijn gesteld. Dit domein omvat zes criteria:
1. Het kunnen borgen van de juistheid en volledigheid van verwerkte passagiersgegevens
2. Verwerkingsregister en documentatieplicht
3. Vastlegging langs elektronische weg Artikel 23(1) PNR-wet
4. Een procedure voor het melden van datalekken
5. Het uitvoeren van gegevensbeschermingseffectbeoordelingen
6. Het periodiek uitvoeren van audits met betrekking tot privacy en security

De UvA komt in haar evaluatie tot de volgende bevindingen:
De verwerkingsverantwoordelijke legt op dit moment onvoldoende verantwoording af over het naleven van de verantwoordingsplichten uit de PNR-wet en van overeenkomstige van toepassing verklaarde bepalingen uit de Wpg. Wat de naleving van een aantal verantwoordingsplichten betreft, ontbreken er nog maatregelen en stappen:
● criterium 1 (Juistheid en volledigheid) vraagt iets wat voor de verwerkingsverantwoordelijke onmogelijk blijkt en waar onderzoek in de datakwaliteit en mogelijke risico’s voor betrokkene nodig zou zijn;
● voor criterium 2 (Verwerkingsregister en documentatieplicht) wordt een aantal verwerkingen nog niet aantoonbaar vastgelegd;
● criterium 3 (Vastlegging langs elektronische wege) blijft een aandachtspunt in het geval van software updates;
● voor criterium 4 (Het melden van datalekken) ontbreekt duidelijkheid over het al dan niet voorkomen van een datalek in 2020;
● de inzet van gegevensbeschermingseffectbeoordelingen (criterium 5) blijft oppervlakkig; en
● criterium 6 (Privacy- en security-audits) vraagt om een verplichte privacy-audit van de verwerkingsprocessen en informatiebeveiligingsaudits.

Download hier het volledige rapport

Naar het overzicht

Ook iedere maand onze nieuwsbrief ontvangen?