Autoriteit Persoonsgegevens verlaagt boete vanwege verbeterde informatiebeveiliging
De Autoriteit Persoonsgegevens (AP) is overwegend positief over de maatregelen die de SVB heeft genomen om de informatiebeveiliging van de telefonische dienstverlening te verbeteren. Dankzij onder andere het snelle en ‘voortvarende’ optreden van de SVB, vermindert de AP daarom de boete die het in 2021 aankondigde. De boete was aangekondigd naar aanleiding van een onderzoeksrapport waarin de AP concludeerde dat de SVB de informatiebeveiliging van de telefonische dienstverlening in het verleden onvoldoende op orde had.
Telefonisch datalek
In 2019 vond er bij de SVB een telefonisch datalek plaats waarbij persoonsgegevens onbedoeld zijn gedeeld met een onbevoegde persoon. Naar aanleiding hiervan heeft de AP een onderzoek uitgevoerd. Hieruit bleek dat de SVB destijds onvoldoende technische en organisatorische maatregelen had genomen om de informatiebeveiliging van het telefonisch contact met burgers te waarborgen. De SVB is direct nadat het rapport door de AP naar de SVB is toegezonden gestart om de beveiligingsmaatregelen zo snel mogelijk op orde te brengen. Dit was een van de aanleidingen geweest voor de AP om de boete die de SVB krijgt opgelegd te matigen van 310.000 euro naar 150.000 euro.
Het is voor publieke dienstverleners als de SVB niet altijd eenvoudig om strikt te voldoen aan de privacywetgeving en tegelijkertijd te voorzien in een goede en snelle dienstverlening aan burgers. Voor de SVB geldt dat een goede dienstverlening betekent dat vanzelfsprekend ook de privacy van burgers is geborgd. De afgelopen jaren heeft de SVB daarom stevig geïnvesteerd in het neerzetten van een goede privacy-organisatie en- cultuur met heldere regels, instructies en opleidingen. De SVB ziet in het rapport van de AP voldoende aanknopingspunten om haar dienstverlening aan burgers nog verder te verbeteren.
Totstandkoming Staat van de Uitvoering
Ondanks dat de AP voldoende reden ziet om de SVB een boete op te leggen, benadrukt de AP dat de SVB ten aanzien van de informatiebeveiliging in de telefonische dienstverlening snel verbeteringen heeft doorgevoerd. Verder vindt de AP dat de SVB ‘zeer proactief aan de slag is gegaan met de bevindingen uit het AP-onderzoeksrapport’. De AP stelt hierover: ‘Al vijf weken na de ondertekening en verzending van het onderzoeksrapport heeft de SVB aan de AP een uitgebreide risicoinventarisatie en een plan van aanpak overgelegd. Vervolgens heeft de SVB geheel uit eigener beweging heel snel een groot aantal verbetermaatregelen daadwerkelijk en concreet uitgevoerd op het gebied van vastlegging, systeemondersteuning, toetsing en borging, vakmanschap en bewustwording.’