De Nederlandse privacytoezichthouder, de Autoriteit Persoonsgegevens, heeft een boete van €565.000 opgelegd aan de minister van Buitenlandse Zaken. Volgens de AP is het ministerie zwaar tekortgeschoten in haar privacyverplichtingen. Zij heeft “jarenlang, op grote schaal en op ernstige wijze de wet overtreden”. Ook kreeg het ministerie twee dwangsommen (€25.000 en €10.000) per week dat de overtreding voortduurt.
Slechte beveiliging
De overtreding komt vooral voort uit de gebrekkige beveiliging van het Nationaal Visum Informatie Systeem. In dat systeem worden ruim een half miljoen visumaanvragers per jaar geregistreerd. Het gaat onder andere om vingerafdrukken, adressen, woonplaatsen, nationaliteiten, (pas)foto’s en doeleinden. Vooral het verwerken van pasfoto’s en vingerafdrukken was een reden tot grote zorgen van de privacywaakhond. Dit soort gegevens vallen volgens de AVG onder bijzondere persoonsgegevens. Bijzondere persoonsgegevens zijn gevoelige persoonsgegevens. De verwerking hiervan maakt een grotere inbreuk op de persoonlijke levenssfeer dan reguliere persoonsgegevens (zoals NAW-gegevens). Onder de bijzondere persoonsgegevens valt informatie waaruit bijvoorbeeld iemands ras, godsdienst of gezondheidsstaat blijkt.
Volgens de AP was het systeem waarop deze persoonsgegevens werden opgeslagen fysiek en digitaal onvoldoende toereikend. Onbevoegde medewerkers konden daardoor persoonsgegevens van visumaanvragers gemakkelijk inzien en wijzigen. Het systeem bood daarnaast te weinig waarborgen om fouten of misstanden vast te kunnen stellen, te voorkomen of op te lossen. Onterecht geweigerde visumaanvragen werden hierdoor moeilijk gerectificeerd. Dit leidde weer tot andere risico’s op het gebied van grondrechtinbreuk. Zoals op die van de bewegingsvrijheid van een individu. Visumaanvragers kunnen verschillende redenen hebben voor hun vraag tot verblijf. Hun lot is hoofdzakelijk overgelaten aan het oordeel van het ministerie van Buitenlandse Zaken. Tekortkomingen op de betrouwbaarheid van dat oordeel zijn, zo stelt de AP terecht, “heel ernstig”.
Bovendien stelt de AP dat het ministerie al enige tijd afwist van de gebreken in de beveiliging van het NVIS. Toch heef zij geen maatregelen genomen. Door dit ernstige verwijt kreeg het ministerie een last onder dwangsom opgelegd. Namelijk een bedrag van €50.000 voor elke twee weken dat de overtreding voortduurt. Hiervoor geldt een maximum van een half miljoen euro bovenop de gegeven boete. Het ministerie van Buitenlandse Zaken heeft hier recent op gereageerd. Zij stellen dat het onderzoek is gebaseerd op de situatie in 2019. Volgens hen zijn de door de AP verweten problemen inmiddels opgelost. De AP heeft nog niet op deze stelling gereageerd.
Slechte informatievoorziening
€100.000 van de boete van €565.000 is opgelegd wegens de gebrekkige informatievoorziening richting betrokkenen. Een van de kernwaarden van de AVG is transparantie. Volgens de AVG moeten personen van wie persoonsgegevens worden verwerkt direct te horen krijgen of en met wie deze gegevens eventueel worden gedeeld. Deze informatie kan bijvoorbeeld in het privacybeleid van een bedrijf staan. Ook hierin schoot het ministerie kennelijk tekort. Volgens het privacybeleid van het ministerie deelde men informatie met Europese autoriteiten en Europol. Daarnaast deelde Buitenlandse Zaken persoonsgegevens met derden – zoals adviseurs – ten behoeve van haar werkzaamheden. Deze derde partijen waren niet meegenomen in het privacybeleid en betrokkenen werden dus niet conform de AVG ingelicht.
Ook hiervoor legde de AP een aanvullende last onder dwangsom op van €10.000 voor elke dag dat de overtreding voortduurde. Het ministerie heeft het probleem echter per direct opgelost door haar privacybeleid aan te passen. De AP heeft dit nieuwe beleid goedgekeurd. De initiële boete blijft desondanks gelden.
Bevoegdheid AP
Uit de opgelegde boete blijkt wederom dat de AP niet terughoudend omgaat met overtredingen op de AVG. Normaal gesproken kan de AP namelijk een boete opleggen van maximaal €310.000 voor de eerder besproken beveiligingsovertreding. Zij kan deze boete vanuit haar bevoegdheid echter verhogen. Dit heeft de AP in dit geval dan ook gedaan. De basis daarvoor waren de ernst en duur van de overtreding. Daardoor werd de boete voor de slechte beveiliging opeens €465.000.
Wilt u een dergelijke boete voorkomen voor uw organisatie? Mocht u vragen hebben over de eisen die voortvloeien uit de AVG, schroom dan niet om contact met ons op te nemen.
Eva Lammers
Joke Schraagen
Marjolein Meijer