Het Ministerie van Buitenlandse Zaken krijgt een boete voor de slechte beveiliging van persoonsgegevens van visumaanvragen. De Autoriteit Persoonsgegevens (AP) legt het ministerie een boete op van 565.000 euro en een aantal dwangsommen.
Volgens de Autoriteit overtrad het ministerie bij de visaverlening jarenlang, op grote schaal en op ernstige wijze de wet met een slecht functionerend Nationaal Visum Informatie Systeem (NVIS). Daarin bestaat het risico dat onbevoegden dossiers kunnen inzien en wijzigen. Daarnaast kregen visumaanvragers ontoereikende ïnformatie over het delen van hun gegevens met andere partijen.
De last onder dwangsommen zijn voor het in orde maken van de beveiliging en bedragen 50.000 euro per twee weken en van de informatievoorziening 10.000 euro per wee). De boete en de dwangsommen zijn voor De boete en de last onder dwangsom zijn opgelegd aan de minister van Buitenlandse Zaken, omdat hij verantwoordelijk is voor de verwerking van persoonsgegevens bij zijn ministerie.
De minister kan hiertegen nog in bezwaar gaan, maar Buitenlandse Zaken heeft de informatie richting visumaanvragers inmiddels aangepast, en daarmee tijdig aan dit onderdeel voldaan.
Onvoldoende beveiligd
Buitenlandse Zaken behandelde de afgelopen drie jaar gemiddeld 530.000 visumaanvragen per jaar. De persoonsgegevens van burgers uit al deze aanvragen zijn onvoldoende beveiligd. Het gaat dan zonder uitzondering om gevoelige informatie, zoals vingerafdrukken, naam, adres, woonplaats, land van geboorte, doel van de reis, nationaliteit en foto. Bij de aanvraag van een visum zijn mensen namelijk verplicht deze persoonsgegevens te verstrekken.
Buitenlandse Zaken was al langere tijd op de hoogte van veiligheidsrisico’s in het visumsysteem, maar de AP vindt dat het ministerie daar niet snel genoeg en te weinig aan gedaan heeft. Daarom draagt de Autoriteit het ministerie op de beveiliging nu meteen op orde te brengen. Zoals het opstellen van een informatiebeveiligingsbeleid over het Nationaal Visum Informatie Systeem, regelmatige controles op gebruikersrechten en logging (registratie van o.a. gebruikers en handelingen binnen het systeem).
Onvoldoende informatie
Verder heeft de AP vastgesteld dat Buitenlandse Zaken visumaanvragers onvoldoende informeert over het delen van hun persoonsgegevens met andere partijen. Terwijl het ministerie wettelijk verplicht is te zorgen dat het voor burgers transparant is met welke ontvangers het ministerie hun persoonsgegevens deelt.
Bij deze overtreding gaat het eveneens om gevoelige informatie bij jaarlijks honderdduizenden aanvragen. De AP heeft daarom Buitenlandse Zaken opgedragen burgers op een behoorlijke en transparante wijze te informeren over het verwerken van hun persoonsgegevens en met welke partijen die gegevens worden gedeeld.
Lees ook:
- Zivver biedt advocatuur superveilige e-mailomgeving voor versturen processtukken
- Van wie is al die data?
