NL EN

CPB legt SIOD dwangsommen op

In 2009 is het College Bescherming Persoonsgegevens (“CBP”) een onderzoek gestart naar de wijze waarop de Sociale Inlichtingen- en Opsporingsdienst (“SIOD”) persoonsgegevens verwerkt bij bestandskoppelingen en de ontwikkeling van risicoprofielen ten behoeve van fraudebestrijding in de sociale zekerheid.

Het bovenvermelde onderzoek heeft er uiteindelijk toe geleid dat het CBP aan de SIOD een last onder dwangsom heeft opgelegd. Het opleggen van een dwangsom past binnen het voornemen van het CBP om gebruik te gaan maken van zijn bevoegdheid tot handhavend optreden.

Verloop procedure

Op 29 mei 2009 zond de SIOD aan het CBP een notitie over de voortgang van de bestandskoppelingen en de ontwikkeling van risicoprofielen. Het CBP heeft vervolgens op 25 augustus 2009 aanvullende inlichtingen ingewonnen door bij de SIOD onderzoek te verrichten. Uiteindelijk heeft het onderzoek in mei 2010 geleid tot een rapport van definitieve bevindingen.

De belangrijkste conclusies van dit rapport zijn dat de SIOD in strijd handelt met artikelen 10, 13 en 34 van de Wet bescherming persoonsgegevens (“Wbp”) omdat de SIOD de persoonsgegevens langer bewaart dan noodzakelijk is voor het doel, het de persoonsgegevens onvoldoende beveiligt en niet voldoet aan de informatieplicht. 

Op 11 oktober 2010 heeft het CBP aan de SIOD laten weten dat het CBP voornemens was om handhavend op te treden. Na de nodige hoorzittingen en correspondentie, is op 8 februari 2011 het definitieve besluit tot handhaving en het opleggen van dwangsommen genomen. In de brief van 8 februari 2011 gaat het CBP tevens in op het door de SIOD gevoerd verweer.

Inhoud besluit

De SIOD voert onder meer formele gronden aan teneinde onder de lasten onder dwangsom uit te komen. Zo wordt betoogd dat het onderzoek van het CBP te beperkt is. Bovendien zou de SIOD niet de verantwoordelijke zijn en richt het CBP zich daarom tot de verkeerde partij. Het CBP veegt deze verweren van tafel.

Het CBP is van mening dat de SIOD artikel 10 Wbp schendt door persoonsgegevens te lang te bewaren. De SIOD voert bepaalde projecten uit waarbij wordt gezocht naar personen die mogelijk fraude plegen. In een dergelijk project worden ook persoonsgegevens verwerkt van personen die niet onder verdenking staan, de zogenaamde ‘no-hits’. Deze persoonsgegevens werden door de SIOD gedurende de gehele duur van een project bewaard. Omdat de SIOD er niet in is geslaagd om aan te tonen dat het bewaren van deze persoonsgegevens noodzakelijk is, handelt zij in strijd met artikel 10 Wbp.

Verder oordeelt het CBP dat de SIOD in strijd handelt met artikel 13 ten aanzien van de beveiliging van persoonsgegevens omdat er geen beveiligingsplan is en er geen afspraken zijn gemaakt over de beveiligde aanlevering van gegevens. Uit de brief van 8 februari blijkt dat de SIOD inmiddels een beveiligingsplan heeft opgesteld. Het CBP ziet daarom af van verder handhavend optreden ten aanzien van dit punt.

Tot slot concludeert het CBP dat de SIOD haar informatieplicht heeft geschonden. Zo heeft de SIOD betrokkenen niet geïnformeerd over de door haar uitgevoerde verwerkingen. Het argument van de SIOD dat zij niet de verantwoordelijke is en daarom niet gehouden is betrokkenen te informeren, werd, zoals hierboven al is aangehaald, door het CBP verworpen. Verder doet de SIOD een beroep op artikel 43 onder b waarin wordt bepaald dat informeren niet noodzakelijk is wanneer het gaat om het voorkomen, opsporen en vervolgen van strafbare feiten. Als de betrokkenen zouden worden geïnformeerd, zouden zij immers alle mogelijkheid hebben om zaken en handelingen aan te passen en zo de opsporing te frustreren, aldus de SIOD.  

Het CBP deelt de mening van de SIOD niet. Volgens het CBP moet artikel 43 Wbp restrictief worden toegepast en dient er per concreet geval een belangenafweging te worden gemaakt. Er zal dus per geval moeten worden afgewogen of en hoe lang een beroep op artikel 43 onder b Wbp gerechtvaardigd is. Een algemeen beroep op dit artikel is volgens het CBP niet mogelijk.

Dwangsom

De bovenstaande overtredingen van de Wbp leiden uiteindelijk tot de volgende lasten onder dwangsom.

De SIOD moet persoonsgegevens die niet meer noodzakelijk zijn voor het doel van de verwerking vernietigen. Indien de SIOD dit niet doet, verbeurt zij een dwangsom van € 100.000,--.

De SIOD moet betrokkenen wiens persoonsgegevens worden verwerkt over de verwerking informeren. Indien de SIOD dit niet doet, verbeurt zij een dwangsom van € 100,-- per overtreding met een maximum van € 50.000,--.

 

Lees hier het volledige besluit.

BRON: College Bescherming Persoonsgegevens


PAGINA DOORSTUREN

DEZE PAGINA IS SUCCESVOL DOORGESTUURD!

EEN REACTIE PLAATSEN

UW E-MAIL ADRES WORDT NIET GETOOND AAN ANDERE BEZOEKERS.

  1. NAAM
  2. E-MAILADRES
  3. BERICHT
  4. WANNEER U DEZE REGEL KUNT LEZEN, VUL HET VOLGENDE VELD DAN NIET IN!
  5.