I årevis har udenrigsministeriet brudt loven ved at bevilge Schengen visa. Det Nederlandske databeskyttelsesmyndighed (AP) taler om alvorlige krænkelser i stor stil og har derfor idømt Udenrigsministeriet en bøde på 565.000 euro.
Sikkerheden i det nationale visuminformationssystem (NVIS) er utilstrækkelig med risiko for for eksempel, at uvedkommende kan se og ændre filer. Derudover blev visumansøgere utilstrækkeligt informeret om deling af deres data med andre parter.
Ud over bøden pålægger AP et påbud med tvangsbøder for at bringe sikkerheden i stand (50.000 euro hver anden uge) og udlevering af oplysninger (10.000 euro om ugen).
Visumansøgninger er utilstrækkeligt sikret
Udenrigsministeriet har de seneste tre år i gennemsnit behandlet 530.000 visumansøgninger om året. Borgernes personlige data fra alle disse applikationer er utilstrækkeligt sikret. Visumansøgninger behandles af Consular Service Organisation (CSO), som er en uafhængig serviceenhed i Udenrigsministeriet. Organisationen behandler alle visumansøgninger og ansøgninger om hollandske rejsedokumenter til udlandet.
Det drejer sig om følsomme oplysninger, som f.eks pas, fingeraftryk, navn, adresse, bopæl, fødeland, formål med rejsen, nationalitet og foto. Og også understøttende dokumenter, der ledsager en visumansøgning, såsom indkomstdata, kontoudtog og politik for en medicinsk rejseforsikring. Ved ansøgning om visum er folk forpligtet til at give disse personoplysninger til Udenrigsministeriet.
Monique Verdier, næstformand i AP: 'Utilstrækkelig fysisk og digital sikkerhed øger chancen for, at uautoriserede medarbejdere kan se og ændre personlige data, men også risikoen for, at andre fejl eller misbrug kan forblive ubemærket for længe. Det kan få store konsekvenser for borgerne.'
»For eksempel hvis deres visumansøgning uretmæssigt bliver afvist på grund af dette. Dette kan betyde en alvorlig krænkelse af deres bevægelsesfrihed. Netop fordi borgerne er så afhængige af Udenrigsministeriet for deres visa, er den utilstrækkelige sikkerhed meget alvorlig«.
Udenrigsministeriet har i længere tid været opmærksomme på sikkerhedsrisici i visumsystemet, men AP mener, at ministeriet ikke har gjort nok ved det hurtigt nok.
Indlæs under tvangsbødesikkerhed
AP pålægger ministeriet at bringe sikkerheden i orden. Såsom udarbejdelse af en informationssikkerhedspolitik på det nationale visuminformationssystem, regelmæssig kontrol af brugerrettigheder og logning (registrering af brugere og handlinger i systemet, bl.a.).
AP pålægger et påbud med tvangsbøder på 50.000 euro for hver anden uge, så længe overtrædelsen fortsætter (op til et maksimum på 500.000 euro).
Utilstrækkelig information til visumansøgere
AP har også konstateret, at Udenrigsministeriet ikke i tilstrækkelig grad informerer visumansøgere om at dele deres persondata med andre parter. Mens ministeriet er juridisk forpligtet til at sikre, at det er gennemskueligt for borgerne, hvilke modtagere ministeriet deler deres personoplysninger med.
Denne overtrædelse involverer også følsomme oplysninger med hundredtusindvis af anmodninger hvert år. AP har derfor pålagt Udenrigsministeriet at informere borgerne på en ordentlig og gennemskuelig måde om behandlingen af deres personoplysninger, og med hvilke parter disse data deles.
Kilde: Den hollandske databeskyttelsesmyndighed (AP)
Relaterede artikler: