Het ministerie van Buitenlandse Zaken heeft jarenlang de wet overtreden bij het verlenen van Schengenvisa. De Autoriteit Persoonsgegevens (AP) spreekt van ernstige overtredingen op grote schaal en heeft daarom het ministerie van Buitenlandse Zaken een boete van 565.000 euro gegeven.
De beveiliging van het Nationaal Visum Informatie Systeem (NVIS) is onvoldoende, met bijvoorbeeld als risico dat onbevoegden dossiers kunnen inzien en wijzigen. Daarnaast werden visumaanvragers ontoereikend geïnformeerd over het delen van hun gegevens met andere partijen.
Naast de boete legt de AP last onder dwangsommen op voor het in orde maken van de beveiliging (50.000 euro per twee weken) en van de informatievoorziening (10.000 euro per week).
Visumaanvragen onvoldoende beveiligd
Buitenlandse Zaken heeft de afgelopen drie jaar gemiddeld 530.000 visumaanvragen per jaar behandeld. De persoonsgegevens van burgers uit al deze aanvragen zijn onvoldoende beveiligd. De visumaanvragen worden verwerkt door de Consulaire Service Organisatie (CSO), dat is een zelfstandig dienstonderdeel binnen het ministerie van Buitenlandse Zaken. De organisatie verwerkt alle visumaanvragen en aanvragen voor Nederlandse reisdocumenten in het buitenland.
Het gaat om daarbij om gevoelige informatie, zoals paspoort, vingerafdrukken, naam, adres, woonplaats, land van geboorte, doel van de reis, nationaliteit en foto. En ook bewijsstukken die bij een visumaanvraag horen zoals inkomensgegevens, bankafschriften en de polis van een medische reisverzekering. Bij de aanvraag van een visum zijn mensen verplicht deze persoonsgegevens aan Buitenlandse Zaken te verstrekken.
Monique Verdier, vice-voorzitter van de AP: ‘Ontoereikende fysieke en digitale beveiliging vergroot de kans dat onbevoegde medewerkers persoonsgegevens kunnen inzien en wijzigen, maar ook het risico dat andere fouten of misstanden te lang onopgemerkt kunnen blijven. Dat kan voor burgers grote gevolgen hebben.’
‘Bijvoorbeeld als hun visumaanvraag hierdoor onterecht wordt geweigerd. Dat kan een forse inbreuk op hun bewegingsvrijheid betekenen. Juist omdat burgers voor hun visum zo afhankelijk zijn van Buitenlandse Zaken, is de ontoereikende beveiliging heel ernstig.’
Buitenlandse Zaken was al langere tijd op de hoogte van veiligheidsrisico’s in het visumsysteem, maar de AP vindt dat het ministerie daar niet snel genoeg en te weinig aan gedaan heeft.
Last onder dwangsom beveiliging
De AP draagt het ministerie op de beveiliging op orde te brengen. Zoals het opstellen van een informatiebeveiligingsbeleid over het Nationaal Visum Informatie Systeem, regelmatige controles op gebruikersrechten en logging (registratie van o.a. gebruikers en handelingen binnen het systeem).
De AP legt een last onder dwangsom op van 50.000 euro voor elke twee weken, zolang de overtreding voortduurt (tot een maximum van 500.000 euro).
Onvoldoende informatie aan visumaanvragers
Verder heeft de AP vastgesteld dat Buitenlandse Zaken visumaanvragers onvoldoende informeert over het delen van hun persoonsgegevens met andere partijen. Terwijl het ministerie wettelijk verplicht is te zorgen dat het voor burgers transparant is met welke ontvangers het ministerie hun persoonsgegevens deelt.
Bij deze overtreding gaat het eveneens om gevoelige informatie bij jaarlijks honderdduizenden aanvragen. De AP heeft daarom Buitenlandse Zaken opgedragen burgers op een behoorlijke en transparante wijze te informeren over het verwerken van hun persoonsgegevens en met welke partijen die gegevens worden gedeeld.
Bron: Autoriteit Persoonsgegevens (AP)
Gerelateerde artikelen: