De Douane voldeed bij de verwerking van persoonsgegevens in 2021 niet aan de Wet politiegegevens. Het gaat onder andere om zaken als logging, bewaartermijnen van gegevens en gegevensbescherming door standaardinstellingen, zo blijkt uit onderzoek. Staatssecretaris De Vries van Financiën noemt dit ernstig en stelt dat de verwerking van gevoelige persoonsgegevens grote zorgvuldigheid vraagt.
Sinds maart 2019 valt de Douane onder de Wet politiegegevens (Wpg) voor de verwerking van strafrechtelijke persoonsgegevens. De Wpg regelt de verwerking van persoonsgegevens voor de uitoefening van de politietaak door onder meer de Nationale Politie, de bijzondere opsporingsdiensten, de Koninklijke marechaussee, de Rijksrecherche en ook de Douane. De wet vereist een jaarlijkse interne audit, en iedere vier jaar een externe audit.
De eerste Wpg-audit moest in 2021 worden uitgevoerd en uiterlijk eind van dat jaar bij de Autoriteit Persoonsgegevens (AP) worden ingediend. De AP heeft alle organisaties die diensten uitvoeren die onder de Wpg vallen een jaar uitstel verleend tot 31 december 2022. De Auditdienst Rijk (ADR) heeft vorig jaar de audit voor het jaar 2021 uitgevoerd en komt tot het oordeel dat de Douane in 2021 in belangrijke mate niet voldeed aan de Wpg.
De ADR constateert belangrijke tekortkomingen op het gebied van interne beheersing, waaronder het gebrek aan bewustzijn over de Wpg in de organisatie, nog aan te passen automatiseringssystemen en nog niet aangepaste of opgestelde werkinstructies van de teams die met Wpg-informatie werken. Zo vindt er onder andere geen logging plaats, is er geen privacyfunctionaris aangesteld, heeft er geen toezicht door de Functionaris voor gegevensbescherming plaatsgevonden, is er geen inzicht in privacyrisico's en ontbreekt gegevensbescherming in de standaardinstellingen.
"Dit is ernstig, want de verwerking van gevoelige persoonsgegevens vraagt grote zorgvuldigheid. De Douane is op dit moment bezig met het opstellen van een verbeterrapport naar aanleiding van de audit. In dit rapport zullen de maatregelen worden beschreven die getroffen moeten worden ter verbetering van de geconstateerde tekortkomingen", aldus staatssecretaris De Vries. Het verbeterrapport zou begin april beschikbaar moeten worden.
https://www.security.nl/posting/782290/Douane+voldeed+bij+verwerking+persoonsgegevens+niet+aan+Wpg