De Commissie toezicht bescherming persoonsgegevens BES (CBP BES) heeft onderzoek gedaan naar de manier waarop de Immigratie- en Naturalisatiedienst Caribisch Nederland (IND-CN) persoonsgegevens van burgers verwerkt en haar privacyverklaring in de praktijk toepast. Daarbij heeft CBP BES getoetst of IND-CN voldoet aan de Wet bescherming persoonsgegevens BES (Wbp BES). De commissie keek onder meer naar transparantie, rechtmatigheid, beveiliging en de manier waarop burgers hun privacyrechten kunnen uitoefenen.
Uit het onderzoek blijkt dat IND-CN zich bewust is van haar wettelijke taak en van het belang om zorgvuldig met persoonsgegevens om te gaan. Ook bevat de privacyverklaring in hoofdlijnen de informatie die burgers nodig hebben.
Tegelijkertijd komen uit het onderzoek belangrijke tekortkomingen en risico’s naar voren. Deze hebben vooral betrekking op de beveiliging, opslag en toegang tot persoonsgegevens. Het gaat onder meer om gegevens die worden verwerkt in het Foreign Management System (FMS), het systeem dat IND-CN gebruikt voor haar werkzaamheden.
Volgens CBP BES heeft IND-CN onvoldoende inzicht in de beveiliging en het beheer van dit systeem. Het beheer ligt grotendeels bij externe partijen. Ook worden persoonsgegevens soms buiten het systeem opgeslagen, bijvoorbeeld op interne netwerkschijven. Hierdoor bestaat het risico dat gegevens toegankelijk zijn voor personen die deze informatie niet nodig hebben.
Vooral de omgang met strafkaarten en justitiële gegevens vindt CBP BES zorgelijk. Dit zijn gevoelige persoonsgegevens. Daarom moeten er duidelijke afspraken zijn over wie toegang heeft tot deze gegevens, waar ze worden opgeslagen, hoelang ze worden bewaard en wanneer ze worden verwijderd.
Ook de informatievoorziening aan burgers moet worden verbeterd. De privacyverklaring is momenteel alleen beschikbaar in het Nederlands en is voor veel mensen mogelijk te moeilijk geschreven. CBP BES adviseert daarom om de privacyverklaring beschikbaar te maken in de officiële talen van Caribisch Nederland en deze op B1-niveau te schrijven.
Het is volgens CBP BES dringend noodzakelijk dat IND-CN de aanbevelingen uit het rapport oppakt. IND-CN moet met prioriteit starten met de noodzakelijke verbeteringen op het gebied van beveiliging, beheer, opslag, toegang, bewaartermijnen en het verwijderen van persoonsgegevens.
Wanneer passende maatregelen uitblijven, kunnen de risico’s voor burgers en voor de organisatie blijven bestaan of verder toenemen. Ook kan IND-CN dan onvoldoende aantonen dat persoonsgegevens rechtmatig, zorgvuldig en goed beveiligd worden verwerkt.
CBP BES verwacht dat IND-CN voor de aanbevelingen een duidelijke implementatieplanning opstelt en de verbeteringen binnen vastgestelde termijnen uitvoert. De commissie zal de voortgang actief volgen aan de hand van afgesproken rapportagemomenten.
Hoewel IND-CN al enkele stappen heeft gezet, zijn aanvullende maatregelen dringend nodig om de persoonsgegevens van burgers beter te beschermen.
Het volledige onderzoeksrapport is te vinden via www.cbpbes.com.