De Autoriteit Persoonsgegevens (AP) legt het ministerie van Buitenlandse Zaken een boete op van 565.000 euro, omdat het bij het verlenen van visa jarenlang, op grote schaal en op ernstige wijze de wet heeft overtreden. De boete wordt verhoogd als de beveiliging niet snel in orde wordt gemaakt.

De beveiliging van het Nationaal Visum Informatie Systeem (NVIS) is volgens de privacywaakhond onvoldoende, met bijvoorbeeld als risico dat onbevoegden dossiers kunnen inzien en wijzigen. Daarnaast werden visumaanvragers ontoereikend geïnformeerd over het delen van hun gegevens met andere partijen.
Naast de boete legt de AP last onder dwangsommen op voor het in orde maken van de beveiliging (50.000 euro per twee weken) en van de informatievoorziening (10.000 euro per week).

Onvoldoende beveiligd
Buitenlandse Zaken heeft de afgelopen drie jaar gemiddeld 530.000 visumaanvragen per jaar behandeld. De persoonsgegevens van burgers uit al deze aanvragen zijn onvoldoende beveiligd. Het gaat om gevoelige informatie, zoals vingerafdrukken, naam, adres, woonplaats, land van geboorte, doel van de reis, nationaliteit en foto. Bij de aanvraag van een visum zijn mensen verplicht deze persoonsgegevens aan Buitenlandse Zaken te verstrekken.
Monique Verdier, vice-voorzitter van de AP: “Ontoereikende fysieke en digitale beveiliging vergroot de kans dat onbevoegde medewerkers persoonsgegevens kunnen inzien en wijzigen, maar ook het risico dat andere fouten of misstanden te lang onopgemerkt kunnen blijven. Dat kan voor burgers grote gevolgen hebben. Bijvoorbeeld als hun visumaanvraag hierdoor onterecht wordt geweigerd. Dat kan een forse inbreuk op hun bewegingsvrijheid betekenen. Juist omdat burgers voor hun visum zo afhankelijk zijn van Buitenlandse Zaken, is de ontoereikende beveiliging heel ernstig.”

Ernstig nalatig
Buitenlandse Zaken was al langere tijd op de hoogte van veiligheidsrisico’s in het visumsysteem, maar de AP vindt dat het ministerie daar niet snel genoeg en te weinig aan gedaan heeft.
Verdier: “Aangezien burgers verplicht zijn hun persoonsgegevens af te staan, had Buitenlandse Zaken direct de nodige maatregelen moeten nemen die gegevens goed beschermen. Omdat de beveiliging nu al jarenlang tekort schiet, is ons oordeel dat Buitenlandse Zaken ernstig nalatig is geweest en dat nog steeds is.
De AP draagt het ministerie op de beveiliging op orde te brengen. Zoals het opstellen van een informatiebeveiligingsbeleid over het Nationaal Visum Informatie Systeem, regelmatige controles op gebruikersrechten en logging (registratie van onder andere gebruikers en handelingen binnen het systeem).
De AP legt een last onder dwangsom op van 50.000 euro voor elke twee weken, zolang de overtreding voortduurt (tot een maximum van 500.000 euro).

Onvoldoende informatie
Verder heeft de AP vastgesteld dat Buitenlandse Zaken visumaanvragers onvoldoende informeert over het delen van hun persoonsgegevens met andere partijen. Terwijl het ministerie wettelijk verplicht is te zorgen dat het voor burgers transparant is met welke ontvangers het ministerie hun persoonsgegevens deelt.
Bij deze overtreding gaat het eveneens om gevoelige informatie bij jaarlijks honderdduizenden aanvragen. De AP heeft daarom Buitenlandse Zaken opgedragen burgers op een behoorlijke en transparante wijze te informeren over het verwerken van hun persoonsgegevens en met welke partijen die gegevens worden gedeeld.
De AP heeft hiervoor een last onder dwangsom opgelegd van 10.000 euro per week, zolang de overtreding voortduurt (tot een maximum van 300.000 euro). Buitenlandse Zaken heeft de informatie richting visumaanvragers inmiddels aangepast, en daarmee tijdig aan dit onderdeel voldaan.

De boete en de last onder dwangsom zijn opgelegd aan de minister van Buitenlandse Zaken, omdat hij verantwoordelijk is voor de verwerking van persoonsgegevens bij zijn ministerie. De minister kan hiertegen nog bezwaar maken.