CBP BES: schendingen bij digitalisering persoonsgegevens OLB
In mei 2024 kondigde CBP BES aan een onderzoek te starten naar een mogelijk datalek bij de afdeling Burgerzaken van het Openbaar Lichaam Bonaire (OLB). Dit naar aanleiding van een melding door een eilandgedeputeerde over het gebruik van actuele persoonsgegevens in een nieuwe digitale applicatie van het OLB. Het volledige rapport is nu afgerond en gepubliceerd. De conclusies zijn zorgelijk.
Onrechtmatig gebruik van persoonsgegevens
CBP BES heeft vastgesteld dat identificeerbare persoonsgegevens uit PIVA zijn overgezet naar de testomgeving, zonder voorafgaande anonimisering. Hiervoor ontbrak een wettelijke grondslag, er is geen Data Protection Impact Assessment (DPIA) uitgevoerd, en de noodzakelijke interne procedures en verantwoordingslijnen ontbraken. Deze werkwijze wijkt af van de wettelijke kaders en de gebruikelijke verantwoordelijkheden binnen de organisatie.
Digitale werkgroep buiten de regels om
In 2021 stelde het Bestuurscollege van Bonaire een aparte Werkgroep Digitalisering (WD) in. Deze werkgroep functioneerde buiten de reguliere ambtelijke organisatie, met een eigen budget en zonder duidelijke borging van verantwoordelijkheden, zoals de bescherming van persoonsgegevens, binnen het OLB. De opdracht was om de digitalisering van de administratie te versnellen, waaronder het beschikbaar stellen van actuele persoonsgegevens uit het systeem PIVA.
Meerdere overtredingen geconstateerd
CBP BES concludeert dat zowel de Wet bescherming persoonsgegevens BES als de Wet basisadministratie persoonsgegevens BES zijn overtreden. De werkwijze is in strijd met de beginselen van doelbinding, noodzakelijkheid en beveiliging. Het ontbreken van een zorgvuldige governance en controle vergrootte het risico op fouten of misbruik van persoonsgegevens.
CBP BES doet aanbevelingen
CBP BES verzoekt het OLB per direct te stoppen met het gebruik van actuele persoonsgegevens in de testomgeving en deze gegevens volledig te verwijderen. Ook moet het OLB zorgen voor een duidelijke wettelijke basis bij toekomstige verwerkingen van persoonsgegevens. In testomgevingen mogen alleen geanonimiseerde gegevens gebruikt worden. Daarnaast moet er bij digitale toepassingen waarin persoonsgegevens worden verwerkt altijd een DPIA worden uitgevoerd. Tot slot dient het OLB haar digitale organisatie versterken, bijvoorbeeld door te gaan werken volgens de Baseline Informatiebeveiliging Overheid (BIO).
CBP BES gaat toezicht houden op de opvolging van de aanbevelingen. De bescherming van persoonsgegevens is een gezamenlijke verantwoordelijkheid en een wettelijke verplichting. Ook bij digitale vernieuwing is het belangrijk dat keuzes binnen de wet worden gemaakt. Burgers moeten erop kunnen vertrouwen dat hun gegevens zorgvuldig en rechtmatig worden behandeld. Daar blijft CBP BES zich voor inzetten.
Het volledige onderzoeksrapport is te vinden via www.cbpbes.com.