Het ministerie van Buitenlandse Zaken heeft wegen de slechte beveiliging van visumaanvragen en het onvoldoende informeren van visumaanvragers over het delen van hun gegevens met andere partijen een boete van 565.000 euro van de Autoriteit Persoonsgegevens gekregen. Daarnaast legt de privacytoezichthouder last onder dwangsommen op voor het in orde maken van de beveiliging en van de informatievoorziening.

Volgens de AP heeft het ministerie bij het verlenen van visa jarenlang, op grote schaal en op ernstige wijze de AVG overtreden. Het ministerie behandelde de afgelopen drie jaar gemiddeld 530.000 visumaanvragen per jaar. De persoonsgegevens van burgers uit al deze aanvragen zijn onvoldoende beveiligd, zo stelt de toezichthouder. Het gaat om gevoelige informatie, zoals vingerafdrukken, naam, adres, woonplaats, land van geboorte, doel van de reis, nationaliteit en foto. Bij de aanvraag van een visum zijn mensen verplicht deze persoonsgegevens aan Buitenlandse Zaken te verstrekken.

Door de slechte beveiliging van het ‘Nationaal Visum Informatie Systeem’ kunnen onbevoegden dossiers inzien en wijzigen. De Autoriteit Persoonsgegevens stelt dat Buitenlandse Zaken al langere tijd op de hoogte van veiligheidsrisico’s in het visumsysteem was, maar de AP vindt dat het ministerie daar niet snel genoeg en te weinig aan heeft gedaan.

"Aangezien burgers verplicht zijn hun persoonsgegevens af te staan, had Buitenlandse Zaken direct de nodige maatregelen moeten nemen die gegevens goed te beschermen. Omdat de beveiliging nu al jarenlang tekort schiet, is ons oordeel dat Buitenlandse Zaken ernstig nalatig is geweest en dat nog steeds is", zegt Monique Verdier, vice-voorzitter van de AP.

Volgens Verdier had de ontoereikende fysieke en digitale beveiliging grote gevolgen voor burgers kunnen hebben. "Bijvoorbeeld als hun visumaanvraag hierdoor onterecht wordt geweigerd. Dat kan een forse inbreuk op hun bewegingsvrijheid betekenen. Juist omdat burgers voor hun visum zo afhankelijk zijn van Buitenlandse Zaken, is de ontoereikende beveiliging heel ernstig."

De AP heeft het ministerie opgedragen om de beveiliging op orde te brengen. Zoals het opstellen van een informatiebeveiligingsbeleid over het Nationaal Visum Informatie Systeem, regelmatige controles op gebruikersrechten en logging, waarbij gebruikers en handelingen binnen het systeem worden vastgelegd. De AP legt een last onder dwangsom op van 50.000 euro voor elke twee weken, zolang de overtreding voortduurt, tot een maximum van 500.000 euro.

Onvoldoende geïnformeerd

Verder stelt de privacytoezichthouder dat Buitenlandse Zaken visumaanvragers onvoldoende heeft geïnformeerd over het delen van hun persoonsgegevens met andere partijen. "Terwijl het ministerie wettelijk verplicht is te zorgen dat het voor burgers transparant is met welke ontvangers het ministerie hun persoonsgegevens deelt", aldus de AP. Ook bij deze overtreding gaat het om gevoelige informatie bij jaarlijks honderdduizenden aanvragen.

De Autoriteit Persoonsgegevens heeft Buitenlandse Zaken opgedragen burgers op een behoorlijke en transparante wijze te informeren over het verwerken van hun persoonsgegevens en met welke partijen die gegevens worden gedeeld. De AP heeft hiervoor een last onder dwangsom opgelegd van 10.000 euro per week, zolang de overtreding voortduurt, tot een maximum van 300.000 euro. Buitenlandse Zaken heeft de informatie richting visumaanvragers inmiddels aangepast, en daarmee tijdig aan dit onderdeel voldaan.

De boete en de last onder dwangsom zijn opgelegd aan de minister van Buitenlandse Zaken, omdat hij verantwoordelijk is voor de verwerking van persoonsgegevens bij zijn ministerie. De minister kan hiertegen nog in bezwaar gaan.