Het ministerie van Buitenlandse Zaken moet een boete van 565.000 euro betalen. Het systeem voor visumaanvragen was onvoldoende beveiligd. Het departement overtrad daarmee “jarenlang, op grote schaal en op ernstige wijze” de wet. Tevens heeft het ministerie aanvragers onvoldoende geïnformeerd dat hun gegevens met andere instanties worden gedeeld. Tot slot legt de toezichthouder meerdere dwangsommen op aan het ministerie.
De Autoriteit Persoonsgegevens maakt de boete bekend via een persverklaring.
Ministerie eist veel privacygevoelige gegevens bij visumaanvraag
Het draait allemaal om het Nationaal Visum Informatie Systeem (NVIS). De privacywaakhond stelt dat de beveiliging van het systeem jarenlang niet op orde was. Onbevoegde medewerkers konden zo persoonsgegevens van visumaanvragers inzien en wijzigen. Dat kan grote gevolgen hebben voor de aanvragers.
De afgelopen drie jaar ontving het ministerie van Buitenlandse Zaken gemiddeld 530.000 visumaanvragen per jaar. Daarbij moeten de aanvragers veel privacygevoelige en bijzondere persoonsgegevens overhandigen, zoals naam, adres, woonplaats, land van geboorte, doel van de reis, nationaliteit, vingerafdruk en een foto.
Beveiliging visumsysteem schiet al jaren tekort
Het departement onder leiding van minister Wopke Hoekstra was al langere tijd op de hoogte van de veiligheidsrisico’s in het visumsysteem. Monique Verdier, vicevoorzitter van de Autoriteit Persoonsgegevens, vindt dat het ministerie te weinig heeft gedaan om de problemen op te lossen.
“Aangezien burgers verplicht zijn hun persoonsgegevens af te staan, had Buitenlandse Zaken direct de nodige maatregelen moeten nemen die gegevens goed beschermen. Omdat de beveiliging nu al jarenlang tekort schiet, is ons oordeel dat Buitenlandse Zaken ernstig nalatig is geweest en dat nog steeds is”, zo vertelt Verdier.
‘Forse inbreuk op bewegingsvrijheid’
Ze benadrukt dat “ontoereikende fysieke en digitale beveiliging” de kans vergroot dat medewerkers ongemerkt fouten maken, of misstanden te lang onopgemerkt blijven. Een visum kan daardoor onterecht geweigerd worden. “Dat kan een forse inbreuk op hun bewegingsvrijheid betekenen. Juist omdat burgers voor hun visum zo afhankelijk zijn van Buitenlandse Zaken, is de ontoereikende beveiliging heel ernstig”, aldus de vicevoorzitter van de AP.
Buitenlandse Zaken moet de beveiliging zo snel mogelijk op orde brengen. Zo moet er een informatiebeveiligingsbeleid over het visumaanvraagsysteem worden opgesteld. Verder moet het ministerie regelmatig controles op gebruikersrechten uitvoeren en alle digitale handelingen van medewerkers in het systeem registreren via logging.
Doet het departement dit niet, dan riskeert het een extra geldboete van 50.000 voor iedere twee weken dat het probleem niet is verholpen. Het maximumbedrag voor de dwangsom is vastgesteld op een half miljoen euro.
Informatievoorziening verbeteren
Daar blijft het niet bij. De Autoriteit Persoonsgegevens heeft tevens geconstateerd dat het ministerie visumaanvragers onvoldoende informeert over het delen van persoonsgegevens met andere organisaties en instanties. Dit is wettelijk wel verplicht, omdat het voor aanvragers glashelder moet zijn met wie het ministerie zijn persoonsgegevens deelt.
De toezichthouder heeft het ministerie van Buitenlandse Zaken opgedragen om burgers beter te informeren over de verwerking van hun gegevens. Om ervoor te zorgen dat dit niet te lang duurt, heeft de AP een dwangsom opgelegd. Het departement van minister Hoekstra moet iedere week 10.000 euro betalen zolang de overtreding voortduurt, met een maximum tot 300.000 euro.
De informatievoorziening richting visumaanvragers is inmiddels aangepast. Het ministerie hoeft dus niet bang te zijn dat de toezichthouder hiervoor een boete oplegt.
Minister kan in hoger beroep gaan
De minister van Buitenlandse Zaken kan in beroep gaan tegen het besluit. Het is niet bekend of minister Hoekstra dit ook daadwerkelijk doet. Eind vorig jaar kreeg de Belastingdienst een boete van 2,75 miljoen euro voor het illegaal verwerken van nationaliteitsgegevens van ouders die kinderopvangtoeslag aanvroegen. Demissionair staatssecretaris van Toeslagen en Douane Alexandra van Huffelen, momenteel staatssecretaris Koninkrijksrelaties en Digitalisering, besloot om de boete niet aan te vechten.
Het is de tweede boete die de Autoriteit Persoonsgegevens dit jaar oplegt. In februari kreeg DPG Media te horen dat het een boete van 525.000 euro moet betalen. Klanten die hun gegevens wilden inzien moesten een kopie van hun paspoort overleggen. De toezichthouder oordeelde dat het multimediabedrijf hiermee een te hoge drempel oplegde en teveel persoonsgegevens verzamelde.
Als een overheidsinstantie een boete krijgt van een toezichthouder, dan betaalt de burger toch eigenlijk die boete........Ik vraag me dan ook af hoe belangrijk de overheid het dan vindt om veranderingen aan te brengen......