במשך שנים, משרד החוץ עבר על החוק בהענקה שנגנוויזה. שֶׁל סמכות לנתונים אישיים (AP) מדבר על הפרות חמורות בקנה מידה גדול ולכן קנס את משרד החוץ ב-565.000 יורו.
האבטחה של מערכת המידע הלאומית לוויזות (NVIS) אינה מספקת, עם הסיכון, למשל, שאנשים לא מורשים יוכלו לצפות בקבצים ולשנות אותם. בנוסף, מבקשי ויזה לא קיבלו מידע מספיק על שיתוף הנתונים שלהם עם גורמים אחרים.
בנוסף לקנס, AP מטילה צו בכפוף לתשלומי קנסות תקופתיים בגין ביצוע סדר בביטחון (50.000 יורו כל שבועיים) ומסירת מידע (10.000 יורו לשבוע).
בקשות לויזה לא מאובטחות מספיק
משרד החוץ טיפל בממוצע ב-530.000 בקשות לויזה בשנה בשלוש השנים האחרונות. הנתונים האישיים של אזרחים מכל היישומים הללו אינם מאובטחים מספיק. בקשות לויזה מטופלות על ידי ארגון השירות הקונסולרי (CSO), שהיא יחידת שירות עצמאית במשרד החוץ. הארגון מטפל בכל בקשות הויזה ובקשות למסמכי נסיעה הולנדים לחו"ל.
מדובר במידע רגיש, כגון דַרכּוֹן, טביעות אצבע, שם, כתובת, מקום מגורים, ארץ לידה, מטרת הטיול, לאום ותמונה. וגם מסמכים תומכים הנלווים לבקשת ויזה, כגון נתוני הכנסה, דפי בנק ומדיניות של ביטוח נסיעות רפואי. בעת הגשת בקשה לויזה, אנשים מחויבים למסור את הנתונים האישיים הללו למשרד החוץ.
מוניק ורדייה, סגנית יו"ר AP: "אבטחה פיזית ודיגיטלית לא מספקת מגדילה את הסיכוי שעובדים לא מורשים יוכלו לראות ולשנות נתונים אישיים, אבל גם את הסיכון ששגיאות או ניצול לרעה עלולים להישאר מחוסר תשומת לב במשך זמן רב מדי. יכולות להיות לכך השלכות גדולות על האזרחים״.
"למשל, אם בקשת הויזה שלהם נדחתה שלא כדין בגלל זה. משמעות הדבר עשויה להיות פגיעה חמורה בחופש התנועה שלהם. דווקא בגלל שהאזרחים כל כך תלויים במשרד החוץ לאשרות, האבטחה הבלתי מספקת היא חמורה מאוד״.
משרד החוץ מודע לסיכונים ביטחוניים במערכת הוויזות כבר זמן מה, אך ב-AP סבורים שהמשרד לא עשה מספיק מהר.
טען תחת אבטחת קנס תקופתי
AP מורה למשרד לעשות סדר באבטחה. כמו עריכת מדיניות אבטחת מידע על מערכת המידע הלאומית של ויזה, בדיקות שוטפות של זכויות משתמש ורישום (בין היתר רישום משתמשים ופעולות במערכת).
ה-AP מטילה צו בכפוף לקנסות תקופתיים של 50.000 יורו עבור כל שבועיים, כל עוד ההפרה נמשכת (עד למקסימום של 500.000 יורו).
אין מספיק מידע למבקשי ויזה
AP גם קבעה כי משרד החוץ אינו מודיע מספיק למבקשי ויזה לגבי שיתוף הנתונים האישיים שלהם עם גורמים אחרים. בעוד שהמשרד מחויב על פי חוק לדאוג שיהיה שקוף לאזרחים עם איזה נמענים המשרד חולק את הנתונים האישיים שלהם.
הפרה זו כוללת גם מידע רגיש עם מאות אלפי בקשות מדי שנה. לפיכך, AP הורתה למשרד החוץ ליידע את האזרחים באופן ראוי ושקוף על עיבוד הנתונים האישיים שלהם ועם מי משותפים הנתונים הללו.
מקור: רשות הגנת המידע ההולנדית (AP)
מאמרים קשורים:
