Zware privacyschending door Sociale Inlichtingendienst
Gepubliceerd: Donderdag 17 maart 2011
Auteur: Tonie van Ringelestijn
Toezichthouder CBP bestraft de Sociale Inlichtingendienst vanwege privacyschending bij risicoprofilering van uitkeringsgerechtigden. Een boete van 150.000 euro dreigt.
Het College Bescherming Persoonsgegevens heeft de de Sociale Inlichtingendienst (SIOD) van het Ministerie van Sociale Zaken en Werkgegelenheid een last onder dwangsom opgelegd. Volgens het CBP handelt SIOD bij bestandskoppeling die gebruikt wordt voor risicoprofilering bij de opsporing van sociale zekerheidsfraude in strijd met de privacywet. SIOD informeerde mensen niet over de bestandskoppeling en bewaart persoonsgegevens langer dan nodig is.
Verwijderen en inlichten
De SIOD moet op straffe van een dwangsom van 100.000 euro binnen twee maanden alle gegevens die niet nodig zijn voor fraudebestrijding verwijderen. Ook moet de SIOD op straffe van een dwangsom van 50.000 euro alle betrokkenen van wie persoonsgegevens worden gekoppeld binnen twee maanden inlichten.
"Bestandskoppeling brengt namelijk risico's voor de betrokkenen met zich mee, vooral als het gaat om omvangrijke gegevensverwerkingen met gevoelige gegevens. Als deze gegevens bijvoorbeeld langer dan noodzakelijk worden bewaard, bestaat het risico van verlies, onrechtmatige verwerking, identiteitsfraude en hergebruik voor een ander doel dan het oorspronkelijke doel", aldus het CBP.
Black box
De SIOD gebruikt een tool voor bestandskoppelingen die het 'black box' noemt. SIOD stelde in het CBP-onderzoek niet verantwoordelijk te zijn, omdat het onder meer gaat om gegevens die gemeenten aanleveren en die SIOD vervolgens alleen maar bewerkt. Volgens CBP heeft de SIOD ook dan alsnog een verantwoordelijkheid, ook omdat de instantie zelf bepaalt welke gegevens het verwerkt en hoe lang gegevens worden bewaart.
Het CBP vindt dat de opslag van persoonsgegevens te lang gebeurt. Ook gegevens van mensen die niet behoren tot een risicopopulatie worden pas na het beëindigen van een project vernietigd. De noodzaak daarvoor is volgens de toezichthouder niet aangetoond.
Beveiliging te mager
Ook de beveiliging van de persoonsgegevens schiet volgens het CBP bij de SIOD tekort. De instantie beschikt niet over een 'uitgewerkt beveiligingsplan'. Er zijn ook geen afspraken gemaakt over beveiligde aanlevering van gegevens.
Volgens de toezichthouder is er bij het SIOD geen sprake van een evenwicht tussen het belang van fraudebestrijding en het belang van de 'persoonlijke levenssfeer' van uitkeringstrekkers. "Voorkomen moet worden dat burgers die een uitkering aanvragen of ontvangen, worden behandeld als potentiële fraudeurs die onbeperkt mogen worden gecontroleerd."
Minister: CBP 'onbegrijpelijk'
Het Ministerie van Sociale Zaken en Werkgegelenheid was niet meteen bereikbaar voor commentaar. Update 20.30 uur: Later stelt minister Kamp van Sociale Zaken de conclusie van het CBP 'onbegrijpelijk' te vinden.
"In 2011 doe je fraudeonderzoek door bestanden aan elkaar te koppelen en te checken of opgaven van mensen kloppen. Dat is het gewone werk voor een opsporingsdienst", aldus Kamp tegen NOS. Het ministerie zal bezwaar maken tegen de uitspraak en de dreigende dwangsommen van het CBP
