Omgaan met persoonsgegevens: hoe moet het binnen DTO?

Bij het ingaan van Part FCL worden er eisen gesteld aan de administratie van de opleiding. Dit levert wat discussie op hoe hier vorm aan te geven in relatie met de AVG privacywetgeving. Bryan Meijers, de AVG expert van het KNVvL verenigingsbureau geeft het onderstaande advies aan de clubs.

“De boodschap is dat je het niet moeilijker moet maken dan het is. Wat echter wél moet is een privacyverklaring. De privacyverklaring van de KNVvL kan met enkele aanpassingen geschikt gemaakt worden voor een DTO. Zodra deze beschikbaar is zal hij worden gepubliceerd.

Als er nog vragen zijn kun je contact opnemen met [email protected]

Toelichting:

Binnen de DTO wordt (persoons-)informatie verwerkt, waarbij veelal gebruik wordt gemaakt van digitale databases. Bijvoorbeeld een leerlingen vordering systeem dat door instructeurs is te raadplegen. Ook kan informatie worden opgeslagen over de geldigheid van bevoegdheden van leden en de datum tot wanneer een medical geldig is.

Waar de DTO rekening mee zal moeten houden is de AVG. Wat kan wel, wat kan niet, wat moet en wat moet niet? Zeer legitieme vragen. Toch is het niet heel ingewikkeld.

Wat vraagt de AVG van ons? AVG verplicht organisaties om persoonsgegevens zo goed mogelijk te beschermen. Het is een inspanningsverplichting. Om daar invulling aan te geven zijn er twee hoofdonderwerpen:

1. Wat is het doel om bepaalde persoonsgegevens vast te leggen? Is dit gevoelige informatie? Gevoelige informatie is bijvoorbeeld medische informatie.

2. Welke maatregelen heeft de organisatie getroffen om lekken tegen te gaan?

uitwerking voor DTO

• Punt 1
  
  NAW gegevens: Omschrijf waarom het nodig is om deze informatie vast te leggen (bijvoorbeeld communicatie, dat is al voldoende).
  
  Zo ook voor:
  Geboortedatum, geslacht.
  Vliegtechnische vorderingen.
  Geldigheid bevoegdheden.
  Geldigheid medical.
  
  Informatie over een medical zou gevoelige informatie kunnen zijn. Uitsluitend een geldigheidsdatum vastleggen lijkt in het kader van een DTO nuttig en is geen gevoelige informatie. Inhoudelijke medische informatie of een fotokopie van een medical opslaan is dat wel. Het lijkt voor een DTO niet perse nodig om deze gevoelige informatie vast te leggen. Doe dat dan ook niet.

• Punt 2
  
  Welke maatregelen zijn genomen om lekken te voorkomen? Bijvoorbeeld: Zijn er afspraken gemaakt over het mailen van informatie? Zijn de IT middelen van de gebruikers beveiligd met wachtwoorden? Dubbele verificatie eventueel? Heeft de provider of leverancier van de gebruikte databases of platformen een AVG verklaring? Google bijvoorbeeld heeft dat. Het gaat er om dat je alles doet om het zo goed mogelijk te beveiligen. Is Google 100% waterdicht? Vast niet. Maar daar heb je als gebruiker geen invloed op. Je hebt wel de verplichting om na te gaan of de partijen waar je gebruik van maakt zich committeren aan de AVG.

Tot slot. De DTO zal dus ook een privacyverklaring moeten maken.

Copy/Paste die van de KNVvL bijvoorbeeld, met wat kleine aanpassingen die betrekking hebben op de DTO. Zorg dat alle personen die in de database staan weten dat hun informatie is opgeslagen. Deel de privacyverklaring met alle betrokkenen.
Kortom, het meeste is common sense. Als het goed is hebben veel vliegers van nature deze eigenschap. Maak het niet veel te moeilijk, maar lever wel de inspanning om het zo goed mogelijk te doen. Aantoonbaar.”