CBP BES: VIOLASHON DI DATO PERSONAL DURANTE PROSESO DI DIGITALISASHON DI OLB

Kralendijk,- Na mei 2024, CBP BES a anunsiá ku lo inisiá un investigashon di un posibel pèrdida di informashon na e departamentu di Registro Sivil di Entidat Públiko Boneiru (EPB).

Esaki a bini despues di un notifikashon di un diputado tokante uso di dato personal aktual den un aplikashon digital nobo di OLB. A finalisá e rapòrt kompleto di e investigashon  i publiká esaki. E konklushonnan ta preokupante.

Uso ilegal di dato personal

CBP BES a determiná ku a transferí dato personal identifikabel for di PIVA na e ambiente di tèst, sin ku a anonimisá nan promé. No tabatin un base legal pa esaki, no a hasí un Evaluashon di Impakto pa Protekshon di Dato (DPIA), i tabata falta e prosedura interno i liñanan di responsabilidat nesesario. E forma di traha aki ta desviá di e kuadronan legal i  responsabilidat usual den e organisashon.

Grupo di Trabou Digital no a traha segun regla

Na 2021, Kolegio Ehekutivo di Boneiru a establesé un Grupo di Trabou di Digitalisashon (WD) apart. E grupo di trabou aki a funshoná pafó di e organisashon ofisial, ku un presupuesto propio i sin un protekshon kla  di responsabilidatnan, manera protekshon di datonan personal na OLB. E meta tabata pa hasi digitalisashon di e atministrashon mas lihé, inkluso hasi dato personal aktual di e sistema PIVA disponibel.

A konstatá vários violashon

CBP BES ta konkluí ku a violá tantu e Lei di Protekshon di Dato Personal BES komo e Lei di Atministrashon Básiko di Dato Personal BES. E forma di traha ta kontra prinsipionan di meta, nesesidat i seguridat. E falta di gobernashon i kontròl kouteloso a oumentá e riesgo pa eror òf mal uso di dato personal.

CBP BES ta duna rekomendashon

CBP BES ta pidi OLB pa stòp inmediatamente ku uso di dato personal aktual den e ambiente di tèst i pa eliminá e datonan aki kompletamente. Tambe, OLB mester sòru pa un base legal kla pa futuro prosesamentu di dato personal. Den ambientenan di tèst por usá solamente dato anonimisá. Ademas semper mester hasi un DPIA na momentu ku ta trata di aplikashonnan digital ku ta prosesá dato personal.. Finalmente, OLB mester fortalesé su organisashon digital, por ehèmpel, dor di kuminsá traha segun e ‘Baseline Informatiebeveiliging Overheid (BIO).

CBP BES ta bai supervisá kumplimentu di e rekomendashonnan. E protekshon di dato personal ta un responsabilidat komun i un obligashon legal. Tambe den kaso di renobashon digital, ta importante pa hasi e eskoho den e kuadro di e lei. Siudadanonan mester por konfia ku ta trata nan datonan ku koutela i di forma legal. CBP BES ta sigui traha pa esaki.

E rapòrt kompleto di e investigashon ta disponibel via www.cbpbes.com.

FUENTE: CBP BES/LIVE99FM

NEDERLANDS:

CBP BES: SCHENDINGEN BIJ DIGITALISERING PERSOONSGEGEVENS OLB

Kralendijk,- In mei 2024 kondigde CBP BES aan een onderzoek te starten naar een mogelijk datalek bij de afdeling Burgerzaken van het Openbaar Lichaam Bonaire (OLB). Dit naar aanleiding van een melding door een eilandgedeputeerde over het gebruik van actuele persoonsgegevens in een nieuwe digitale applicatie van het OLB. Het volledige rapport is nu afgerond en gepubliceerd. De conclusies zijn zorgelijk.

Onrechtmatig gebruik van persoonsgegevens
CBP BES heeft vastgesteld dat identificeerbare persoonsgegevens uit PIVA zijn overgezet naar de testomgeving, zonder voorafgaande anonimisering. Hiervoor ontbrak een wettelijke grondslag, er is geen Data Protection Impact Assessment (DPIA) uitgevoerd, en de noodzakelijke interne procedures en verantwoordingslijnen ontbraken. Deze werkwijze wijkt af van de wettelijke kaders en de gebruikelijke verantwoordelijkheden binnen de organisatie.

Digitale werkgroep buiten de regels om
In 2021 stelde het Bestuurscollege van Bonaire een aparte Werkgroep Digitalisering (WD) in. Deze werkgroep functioneerde buiten de reguliere ambtelijke organisatie, met een eigen budget en zonder duidelijke borging van verantwoordelijkheden, zoals de bescherming van persoonsgegevens, binnen het OLB. De opdracht was om de digitalisering van de administratie te versnellen, waaronder het beschikbaar stellen van actuele persoonsgegevens uit het systeem PIVA.

Meerdere overtredingen geconstateerd
CBP BES concludeert dat zowel de Wet bescherming persoonsgegevens BES als de Wet basisadministratie persoonsgegevens BES zijn overtreden. De werkwijze is in strijd met de beginselen van doelbinding, noodzakelijkheid en beveiliging. Het ontbreken van een zorgvuldige governance en controle vergrootte het risico op fouten of misbruik van persoonsgegevens.

CBP BES doet aanbevelingen
CBP BES verzoekt het OLB per direct te stoppen met het gebruik van actuele persoonsgegevens in de testomgeving en deze gegevens volledig te verwijderen. Ook moet het OLB zorgen voor een duidelijke wettelijke basis bij toekomstige verwerkingen van persoonsgegevens. In testomgevingen mogen alleen geanonimiseerde gegevens gebruikt worden. Daarnaast moet er bij digitale toepassingen waarin persoonsgegevens worden verwerkt altijd een DPIA worden uitgevoerd. Tot slot dient het OLB haar digitale organisatie versterken, bijvoorbeeld door te gaan werken volgens de Baseline Informatiebeveiliging Overheid (BIO).

CBP BES gaat toezicht houden op de opvolging van de aanbevelingen. De bescherming van persoonsgegevens is een gezamenlijke verantwoordelijkheid en een wettelijke verplichting. Ook bij digitale vernieuwing is het belangrijk dat keuzes binnen de wet worden gemaakt. Burgers moeten erop kunnen vertrouwen dat hun gegevens zorgvuldig en rechtmatig worden behandeld. Daar blijft CBP BES zich voor inzetten.

Het volledige onderzoeksrapport is te vinden via www.cbpbes.com.

ENGELS:

CBP BES:  VIOLATIONS IN THE DIGITALIZATION OF PERSONAL DATA OLB

Kralendijk,- In May 2024, CBP BES announced it would launch an investigation into a possible data breach at the Civil Affairs department of the Public Entity Bonaire (OLB). This followed a report by a commissioner regarding the use of current personal data in a new digital application of the OLB. The full report has now been completed and published. The conclusions are concerning.

Unlawful use of personal data

CBP BES found that identifiable personal data from PIVA were transferred to the DDS test environment without prior anonymisation. There was no legal basis for this, no Data Protection Impact Assessment (DPIA) was carried out, and the necessary internal procedures and accountability structures were lacking. This approach deviates from the legal frameworks and usual responsibilities within the organisation.

Digital taskforce operating outside established rules

In 2021, the Executive Council of Bonaire set up a separate Digitalisation Taskforce (WD). This taskforce operated outside the regular civil service organisation, with its own budget and without clear safeguarding of responsibilities, such as the protection of personal data within the OLB. Its mandate was to accelerate the digitalisation of administration, including making current personal data from the PIVA system available.

Multiple violations identified

CBP BES concludes that both the BES Personal Data Protection Act and the BES Basic Administration of Personal Data Act have been violated. The approach breached the principles of purpose limitation, necessity, and security. The absence of sound governance and control increased the risk of errors or misuse of personal data.

CBP BES issues recommendations

CBP BES requests that OLB immediately stop using current personal data in the test environment and to completely delete this data. The OLB must also ensure a clear legal basis for future processing of personal data. In test environments, only anonymised data may be used. In addition, a DPIA must always be conducted for digital applications involving personal data. Finally, the OLB should strengthen its digital organisation, for example by implementing the Government Information Security Baseline (BIO).

CBP BES will continue to monitor the follow-up of these recommendations. The protection of personal data is both a shared responsibility and a legal obligation. Even in digital innovation, it is essential that decisions are made within the law. Citizens must be able to trust that their data are handled carefully and lawfully. CBP BES remains committed to this.

The full investigation report can be found at www.cbpbes.com.