Buitenlandse Zaken krijgt 565.000 euro AVG-boete voor slechte visumbeveiliging – IT Pro – Nieuws

Het Nederlandse ministerie van Buitenlandse Zaken krijgt een AVG-boete van 565.000 euro omdat het een systeem voor de opslag van visumaanvragen slecht beveiligde. Het ministerie wist van de problemen bij het Nationaal Visuminformatiesysteem, maar pakte die niet snel genoeg aan.

De boete komt voor rekening van de minister van Buitenlandse Zaken. Die is verantwoordelijk voor het Nationaal Visuminformatiesysteem of NVIS. In dat systeem werden persoonsgegevens opgeslagen van burgers die een visum aanvroegen. In de afgelopen drie jaar zouden er zo’n 530.000 visumaanvragen per jaar worden behandeld in het systeem. Daarin werden persoons- en naw-gegevens en het doel van een reis verwerkt. Er werden daarnaast vingerafdrukken en pasfoto’s opgeslagen.

Die laatste gegevens zijn onder de AVG ‘bijzondere persoonsgegevens’. Dat betekent dat er strengere eisen gelden rondom de beveiliging ervan. Het systeem werd gebruikt door verschillende ambassades en consulaten in het buitenland. De Autoriteit Persoonsgegevens vroeg bij de posten in Londen en Dublin en in het hoofdkantoor in Den Haag informatie op over de beveiliging van de systemen, zoals welke beveiligingsmaatregelen er waren genomen en hoe die waren vastgelegd.

Volgens de AP werden de gegevens niet goed beveiligd. Zo was er een kwetsbaarheidsanalyse gemaakt, maar die was van 2015 en daarmee niet actueel. Ook zouden veel beveiligingsmaatregelen waarnaar het ministerie verwees, niet specifiek van toepassing zijn op het NVIS. In sommige van de plannen stond ook geen informatie over de fysieke beveiliging van het systeem en er waren geen procedures rondom controles op logging. De logs die werden aangemaakt waren niet compleet; er was bijvoorbeeld niet te achterhalen welke werknemers welke handelingen in het systeem uitvoerden.

Ook voldeed het systeem voor het melden van beveiligingsproblemen door medewerkers niet. Het ministerie gebruikte een algemene handleiding voor beveiligingsincidenten. Daarin staan alleen algemene tips, zoals het feit dat werknemers incidenten zo snel mogelijk moeten melden. Er waren echter geen procedures die specifiek voor het NVIS waren opgesteld, terwijl dat wel had gemoeten. Tot slot was er pas sinds januari 2022 een procedure voor het autorisatiebeleid voor toegang tot het NVIS.

Beveiliging verbeteren

Voor de slechte beveiliging van het systeem krijgt het ministerie naast de boete ook een last onder dwangsom van 50.000 euro per twee weken, met een maximum van 500.000 euro. Het ministerie moet een beter beleid opstellen voor de beveiliging en voor het autorisatieprotocol. Ook moet er een beter loggingsysteem komen. Het is vooral de fysieke beveiliging die moet verbeteren, zegt de AP.

De AP zegt dat het ministerie al langere tijd op de hoogte was van de slechte beveiliging. “Omdat de beveiliging nu al jarenlang tekortschiet, is ons oordeel dat Buitenlandse Zaken ernstig nalatig is geweest en dat nog steeds is”, zegt vicevoorzitter Monique Verdier. Volgens de AP was Buitenlandse Zaken ‘al langere tijd op de hoogte van veiligheidsrisico’s in het visumsysteem’, maar het ministerie heeft ‘niet snel genoeg’ ingegrepen en er ’te weinig’ aan gedaan.

Te weinig informatie

Naast de slechte beveiliging keek de AP ook naar de informatievoorziening aan betrokkenen. Ook die was onder de maat, zegt de privacytoezichthouder.

Een van de problemen was dat visumaanvragers niet volledig te horen kregen met wie hun gegevens werden gedeeld. In het privacybeleid van het ministerie stond dat gegevens werden gedeeld met andere Europese autoriteiten en met Europol, maar de gegevens werden ook verwerkt door derde partijen die het ministerie daarvoor inschakelde. Dat werd in het privacybeleid niet vermeld. Het ministerie was van mening dat dat niet nodig was, omdat het ministerie verantwoordelijk was voor de gegevensverwerking en niet de derde partij. Daar is de AP het niet meer eens.

Voor die tweede overtreding krijgt het ministerie ook een last onder dwangsom opgelegd. Die is 10.000 euro per week tot maximaal 300.000 euro. Het ministerie heeft het privacybeleid inmiddels aangepast en voldoet volgens de AP daarmee al aan de regels.

Hoger dan verwacht

Vanwege de ernst van de overtreding verhoogt de AP het maximumbedragDe AP hekelt met name het feit dat het ministerie ‘zeer veel gevoelige persoonsgegevens’ verwerkte, waaronder biometrische informatie. De omvang van de overtreding is groot, zegt de AP: in 2018 werden 682.484 aanvragen verwerkt, in 2019 739.248 en in 2020 169.926. “Dat de overtreding reeds 3,5 jaar plaatsvindt, en nog immer voortduurt, acht de AP buitengewoon ernstig”, schrijft de toezichthouder.

Mede vanwege de ernst en de omvang geeft de AP de hoge boete. Voor de specifieke AVG-overtredingen staat een maximumboete van 310.000 euro, maar de AP verhoogt die naar 465.000 euro. Voor het slecht voorlichten van burgers staat een maximale boete van 525.000 euro, maar die wordt juist verlaagd naar 100.000 euro. Dat gebeurt omdat ‘de gevolgen van deze overtreding beperkt zijn’. In totaal moet het ministerie dus een boete van 565.000 euro betalen, naast de last onder dwangsom.

Een boete voor de overheid betekent dat het ministerie het jaar erop minder budget krijgt. Tweakers schreef vorig jaar een achtergrondartikel over wat er gebeurt als de overheid zichzelf een boete geeft.