Den nederländska dataskyddsmyndigheten Autoriteit Persoonsgegevens (AP) har bötfällt Nederländernas utrikesministerium med 565 000 euro för överträdelse av artiklarna 13.1 (e) och 32.1 i dataskyddsförordningen (GDPR).
Av beslutet framgår att AP, som en del av sin utredning, konstaterat att det nationella informationssystemet för viseringar (NVIS) hade betydande säkerhetsbrister. Enligt AP är detta särskilt allvarligt eftersom utrikesministeriet behandlat i genomsnitt 530 000 visumansökningar per år under de senaste tre åren och de personuppgifter som behandlats i samband med ansökningarna därför var otillräckligt säkrade. Uppgifterna omfattade känslig information som fingeravtryck, namn, adress, bostadsort, födelseland, resans syfte och nationalitet. På grund av de otillräckliga säkerhetsåtgärderna har det därför varit möjligt för obehöriga att få tillgång till uppgifterna.
Enligt AP har utrikesministeriet varit medvetna om säkerhetsbristerna i NVIS under en längre tid. Trots denna kännedom anpassade utrikesministeriet inte säkerhetsåtgärderna i tid. Av denna anledning anser AP att utrikesministeriet handlat med grov oaktsamhet och därmed inte uppfyllt kraven på lämpliga säkerhetsåtgärder vid behandling av personuppgifter enligt artikel 32.1 GDPR.
AP konstaterade också att utrikesministeriet inte informerat personer som ansökte om visum på ett adekvat sätt om att deras personuppgifter delas med andra parter, vilket strider mot kraven om personuppgiftsansvarigas informationsplikt enligt artikel 13.1 (e) GDPR.