Bij de verwerking van persoonsgegevens voldeed de douane in 2021 niet aan de regels die zijn vastgelegd in de Wet politiegegevens (Wpg). Onderzoekers constateerden belangrijke tekortkomingen bij de beheersing en verwerking van persoonsgegevens. Vanwege deze uitkomsten stelt de douane momenteel een verbeterrapport op.
Dat schrijft staatssecretaris Toeslagen en Douane Aukje de Vries (1) in een brief aan de Tweede Kamer.
Sinds maart 2019 valt de douane onder de Wpg als het gaat om de verwerking van strafrechtelijke persoonsgegevens. Dat betekent onder meer dat de organisatie verplicht is om ieder jaar een interne audit te laten uitvoeren. Dat heeft ermee te maken dat de verwerking persoonsgegevens grote impact kan hebben op iemands leven als dat niet correct en zorgvuldig gebeurt. Tevens schrijft de Wpg voor dat een instantie die buitengewone opsporingsambtenaren (boa’s) in dienst heeft, eens in de vier jaar een externe audit moet laten afnemen.
De eerste Wpg-audit moest in december 2021 worden aangeleverd bij de Autoriteit Persoonsgegevens. De toezichthouder besloot om de deadline met een jaar te verschuiven. Van de ruim 600 organisaties die afgelopen december een rapport hadden moeten indienen, deed slechts een derde dat. De privacywaakhond kondigde onlangs aan om de organisaties die geen rapport hadden aangeleverd, daar op aan te spreken (2).
De douane was één van de instanties die het audit-rapport op tijd aanleverde. Daarin staat dat de organisatie “in belangrijke mate” niet voldeed aan de Wpg. De Audit Dienst Rijk (ADR) constateerde belangrijke tekortkomingen op het gebied van interne beheersing. Denk hierbij aan een gebrek aan bewustzijn over de Wpg in de organisatie, automatiseringssystemen die nog aangepast moeten worden en nog niet aangepaste of opgestelde werkinstructies van de teams die met Wpg-informatie werken.
De ADR doe in haar rapport 35 aanbevelingen, onder meer op het gebied van documentatie, logging, autorisatiebeleid, changemanagement en penetratietesten.
“Dit is ernstig, want de verwerking van gevoelige persoonsgegevens vraagt grote zorgvuldigheid”, schrijft staatssecretaris De Vries in een brief aan de Tweede Kamer. Ze benadrukt dat de douane op dit moment bezig is met het opstellen van een verbeterrapport. Daarin beschrijft de organisatie hoe ze orde op zaken wil stellen en welke maatregelen daarvoor worden genomen.
Het verbeterrapport dient eind maart gereed te zijn. De staatssecretaris verwacht het document begin april met de Tweede Kamer te kunnen delen.
https://www.rijksoverheid.nl/documenten/kamerstukken/2023/01/18/kamerbrief-audit-wet-politiegegevens-douane
https://www.vpngids.nl/nieuws/boa-werkgevers-vergeten-massaal-wpg-audit-op-te-sturen-naar-ap/