Boete voor Buitenlandse Zaken voor slechte beveiliging visumaanvragen

Thema's:
Europese informatiesystemen
Beveiliging van persoonsgegevens

De Autoriteit Persoonsgegevens (AP) legt het ministerie van Buitenlandse Zaken een boete op van 565.000 euro, omdat het ministerie bij het verlenen van visa jarenlang, op grote schaal en op ernstige wijze de wet heeft overtreden.

De beveiliging van het Nieuw Visum Informatie Systeem (NVIS) is onvoldoende, met bijvoorbeeld als risico dat onbevoegden dossiers kunnen inzien en wijzigen. Daarnaast werden visumaanvragers ontoereikend geïnformeerd over het delen van hun gegevens met andere partijen.

Naast de boete legt de AP last onder dwangsommen op voor het in orde maken van de beveiliging (50.000 euro per 2 weken) en van de informatievoorziening (10.000 euro per week).

Onvoldoende beveiligd

Buitenlandse Zaken heeft de afgelopen 3 jaar gemiddeld 530.000 visumaanvragen per jaar behandeld. De persoonsgegevens van burgers uit al deze aanvragen zijn onvoldoende beveiligd. Het gaat om gevoelige informatie, zoals vingerafdrukken, naam, adres, woonplaats, land van geboorte, doel van de reis, nationaliteit en foto. Bij de aanvraag van een visum zijn mensen verplicht deze persoonsgegevens aan Buitenlandse Zaken te verstrekken.

Monique Verdier, vicevoorzitter van de AP: "Ontoereikende fysieke en digitale beveiliging vergroot de kans dat onbevoegde medewerkers persoonsgegevens kunnen inzien en wijzigen, maar ook het risico dat andere fouten of misstanden te lang onopgemerkt kunnen blijven. Dat kan voor burgers grote gevolgen hebben. "Bijvoorbeeld als hun visumaanvraag hierdoor onterecht wordt geweigerd. Dat kan een forse inbreuk op hun bewegingsvrijheid betekenen. Juist omdat burgers voor hun visum zo afhankelijk zijn van Buitenlandse Zaken, is de ontoereikende beveiliging heel ernstig."

Buitenlandse Zaken was al langere tijd op de hoogte van veiligheidsrisico’s in het NVIS, maar de AP vindt dat het ministerie daar niet snel genoeg en te weinig aan gedaan heeft.

Ernstig nalatig

Verdier: "Aangezien burgers verplicht zijn hun persoonsgegevens af te staan, had Buitenlandse Zaken direct de nodige maatregelen moeten nemen om die gegevens goed te beschermen. Omdat de beveiliging van het NVIS nu al jarenlang tekort schiet, is ons oordeel dat Buitenlandse Zaken ernstig nalatig is geweest en dat nog steeds is."

Last onder dwangsom beveiliging

De AP draagt het ministerie op de beveiliging op orde te brengen. Zoals het opstellen van een informatiebeveiligingsbeleid voor het NVIS, regelmatige controles op gebruikersrechten en logging (registratie van o.a. gebruikers en handelingen binnen het systeem). De AP legt een last onder dwangsom op van 50.000 euro voor elke 2 weken, zo lang de overtreding voortduurt (tot een maximum van 500.000 euro).

Onvoldoende informatie

Verder heeft de AP vastgesteld dat Buitenlandse Zaken visumaanvragers onvoldoende informeert over het delen van hun persoonsgegevens met andere partijen. Terwijl het ministerie wettelijk verplicht is te zorgen dat het voor burgers transparant is met welke ontvangers het ministerie hun persoonsgegevens deelt.

Bij deze overtreding gaat het eveneens om gevoelige informatie bij jaarlijks honderdduizenden aanvragen. De AP heeft daarom Buitenlandse Zaken opgedragen burgers op een behoorlijke en transparante wijze te informeren over het verwerken van hun persoonsgegevens en met welke partijen die gegevens worden gedeeld.

De AP heeft hiervoor een last onder dwangsom opgelegd van 10.000 euro per week, zolang de overtreding voortduurt (tot een maximum van 300.000 euro). Buitenlandse Zaken heeft de informatie richting visumaanvragers inmiddels aangepast, en daarmee tijdig aan dit onderdeel voldaan.

Bezwaar mogelijk

De boete en de last onder dwangsom zijn opgelegd aan de minister van Buitenlandse Zaken, omdat hij verantwoordelijk is voor de verwerking van persoonsgegevens bij zijn ministerie. De minister kan hiertegen nog bezwaar maken.

""

Publicaties

Boete ministerie Buitenlandse Zaken NVIS