Ook de afgelopen maanden heeft de Autoriteit Persoonsgegevens (AP) niet stilgezeten. Zowel overheidsinstanties als private organisaties zijn door de AP op de vingers getikt.
Buitenlandse Zaken beveiligd visumaanvragen niet goed
De AP heeft het ministerie van Buitenlandse Zaken een boete van 565.000 euro opgelegd. Buitenlandse Zaken heeft bij het verlenen van visa jarenlang op grote schaal en ernstige wijze de wet overtreden. Het Nationaal Visum Informatie Systeem (NVIS) dat wordt gebruikt voor de aanvraag en afhandeling van visa is de afgelopen drie jaar niet goed beveiligd. Daardoor ontstaat volgens de AP het risico dat onbevoegden dossiers kunnen inzien of wijzigen.
De afgelopen drie jaar heeft Buitenlandse Zaken gemiddeld 530.000 visumaanvragen per jaar behandeld waardoor veel persoonsgegevens zijn verwerkt. Het gaat om gevoelige informatie zoals vingerafdrukken, nationaliteit en foto. Volgens Monique Verdier, de vicevoorzitter van de AP, kan dit grote gevolgen hebben. Naast toegang door onbevoegden ontstaat er namelijk ook een risico dat andere fouten of misstanden onopgemerkt blijven. Een visumaanvraag kan hierdoor onterecht worden geweigerd. Dat kan een forse inbreuk op iemands bewegingsvrijheid betekenen.
Doordat burgers voor hun visum afhankelijk zijn van Buitenlandse Zaken is een ontoereikende beveiliging ernstig. Om deze reden heeft de AP naast de boete een last onder dwangsom opgelegd om de beveiliging (50.000 euro per twee weken) op orde te brengen. Het ministerie dient onder andere een informatiebeveiligingsbeleid op te stellen en regelmatig controles uit te voeren op het systeem.
Naast een ontoereikende beveiliging informeerde Buitenlandse Zaken visumaanvragers onvoldoende over het delen van persoonsgegevens met andere partijen. Het ministerie is in het kader van transparantie verplicht om de aanvragers te informeren over de partijen waarmee het persoonsgegevens deelt. Ook hier gaat het om gevoelige informatie van honderdduizenden aanvragen. Om deze reden ontving het ministerie ook een last onder dwangsom (10.000 euro per week) om de informatievoorziening in orde te maken, wat inmiddels al door het ministerie is opgepakt.
DPG Media vraagt onnodig om identiteitsbewijzen
Wanneer je je gegevens bij DPG Media wilde inzien of verwijderen moest je eerst je identiteitsbewijs uploaden. Dit was volgens de AP niet nodig. Het mediabedrijf vroeg daarom te veel persoonsgegevens op. DPG Media vroeg de identiteitsbewijzen van mensen die geen online account hadden aangemaakt. Het bedrijf moet een boete van 525.000 euro betalen.
De AP ontving klachten over de manier waarop Sanoma Media Netherlands B.V. (voordat het bedrijf werd overgenomen door DPG Media) omging met inzage of verwijderingsverzoeken van gegevens. Mensen die een klacht indienden kregen bijvoorbeeld veel reclame van Sanoma. Daarnaast werden mensen die hun identiteitsbewijs digitaal verstuurden er door Sanoma niet op gewezen dat het toegestaan was om gegevens af te schermen (bijvoorbeeld je BSN).
De AP is van mening dat Sanoma en DPG Media veel te veel gegevens opvroegen door een identiteitsbewijs te eisen. Het inzien of verwijderen van gegevens werd daardoor onnodig ingewikkeld. Ook ontstaat er een veiligheidsrisico. De kopieën kunnen via een ransomware-aanval of ander datalek in verkeerde handen komen. Dat kan leiden tot identiteitsfraude en grote gevolgen hebben voor de mensen van wie de identiteit onterecht wordt gebruikt.
DPG heeft de werkwijze na de overname van Sanoma gewijzigd. Het bedrijf stuurt nu een verificatiemail om de identiteit van de verzoeker vast te kunnen stellen. De overtreding is daarmee geëindigd. Deze zaak kan echter nog een staartje krijgen: DPG Media heeft bezwaar gemaakt tegen het boetebesluit.
Spaanse en Nederlandse toezichthouder werken samen
De Spaanse toezichthouder Agencia Española de Protección de Datos (AEPD) heeft een Spaans hotel een boete van 30.000 euro opgelegd. Het hotel krijgt de boete voor het illegaal opslaan en verspreiden van pasfoto’s van gasten. Een Nederlandse hotelgast diende een klacht in. De AP werkte daarom samen de AEPD.
Het hotel eiste een scan van het paspoort van haar hotelgasten. Dit is verplicht onder Spaanse wetgeving. Echter alleen voor het registreren van de gasten. Om in het hotel een drankje te bestellen moesten gasten de sleutelkaart van hun kamer laten scannen. De Nederlandse hotelgast zag vervolgens dat de ober op zijn tablet de pasfoto van zijn paspoort te zien kreeg. Hij diende vervolgens een klacht in bij de AP.
Het tonen van een pasfoto bleek uiteindelijk een te zwaar middel voor het identificeren van hotelgasten. Het vragen naar het kamernummer van de gast, eventueel in combinatie met zijn of haar naam is voldoende. In eerste instantie had de Spaanse toezichthouder geconcludeerd dat het hotel de AVG niet had overtreden. De AP maakte echter bezwaar tegen dit voorlopige besluit en toonde aan dat de AVG wel degelijk was overtreden. De AEPD verklaarde dit bezwaar gegrond en legde de boete van 30.000 euro op.
Boete Belastingdienst voor zwarte lijst FSV
De grootste boete die de AP tot nu toe heeft opgelegd is voor de Belastingdienst. Zij krijgt een boete vanwege jarenlange illegale verwerking van persoonsgegevens in de Fraude Signalering Voorziening (FSV). Deze zwarte lijst werd door de Belastingdienst gebruikt om signalen van fraude bij te houden. De Belastingdienst is een boete van 3,7 miljoen euro opgelegd. Over deze boete hebben wij al eerder een uitgebreid stuk geschreven. Dat is hier te lezen.
Dit is niet de eerste keer dat wij schrijven over de boetes die onder de AVG zijn opgelegd. Wilt u meer weten? Lees in deze of deze blog meer over de boetes die vorig jaar zijn opgelegd.
Benieuwd welke boetes er door andere Europese toezichthouders zijn opgelegd? Dat lees je hier.
Deze blog is in samenwerking geschreven met stagiair Berend Rutten
