Zonder het vertrouwen van de burger kan de politie haar werk niet goed doen. Daarom is het belangrijk dat de politie ontzettend zorgvuldig omgaat met de gegevens over burgers.
Maar uit een analyse van Bits of Freedom blijkt dat van alle 36 ‘mission critical’-systemen van de politie er geen eentje voldoet aan de regels rond privacy en informatiebeveiliging.
Mission critical
Het gaat om 36 systemen die, naar eigen zeggen, “ten alle tijde draaiende moeten blijven, zodat de politie haar werk kan doen.” Het zijn de systemen voor het registreren van veelplegers en kentekens, opnemen van aangiften en verhoren, uitwisselen van informatie tussen agenten, verwerken van vingerafdrukken, analyseren van grote bergen gevoelige gegevens en vele andere functies.
Geen (!) van deze systemen voldoen aan de regels over privacy and security by design die volgen uit de wet en het beleid van de politie. Bij drie systemen is er zelfs helemaal “geen specifieke aandacht” hiervoor.
De tabel hieronder is een samenvatting van onze analyse: alles, behalve de grijze velden, horen groen te zijn.
Vooral op het gebied van informatiebeveiliging en privacy is het slecht gesteld met de systemen. Zo behouden agenten die van functie wisselen de toegang tot database uit hun eerdere functie, waardoor corrupte agenten onnodig toegang hebben tot veel informatie.
Ook worden gegevens vaak veel te lang bewaard. En omdat de politie lang niet altijd alle risico’s voor de beveiliging van de informatie in kaart heeft gebracht, is niet duidelijk of de huidige beveiliging afdoende is. De politie vertrouwt steeds meer op ICT, maar wij kunnen de politie niet vertrouwen met die ICT.
Iedereen de dupe
De risico’s hiervan zijn enorm. De politie heeft immers uitgebreide bevoegdheden voor het verzamelen, bewaren, gebruiken en het aan derden verstrekken van persoonsgegevens, ook van mensen die niet als verdachte zijn aangemerkt. Maar dat kan alleen als we de politie ook kunnen vertrouwen dat zij verantwoord met die gegevens omspringt. Maar als dat ontbreekt is iedereen, ook de politie zelf, de dupe.
Want een getuige van een liquidatie vertelt zijn verhaal niet aan de politie als hij daardoor zelf extra gevaar loopt. Als je het slachtoffer bent van een verkrachting, dan is het laatste dat je wilt dat iemand die niets met dat onderzoek te maken heeft, in je aangifte snuffelt. Maar ook de politie heeft zelf baat bij een zorgvuldige omgang met gevoelige gegevens. Als de beveiliging van de gegevens niet op orde is, loopt de politie het risico dat een groot opsporingsonderzoek stuk loopt omdat een corrupte agent informatie lekt naar zware criminelen.
Lange historie van wetsovertreding
De grootschalige overtreding van wet- en regelgeving op het gebied van privacy en informatiebeveiliging is niet nieuw. ‘s Lands bekendste wetshandhaver heeft een lange historie van wetsovertredingen. Acht jaar geleden maakten we ook al een analyse van de verslagen over de naleving van dezelfde wet. De uitkomst was diep- en dieptriest.
Geen enkel korps voldeed aan alle wettelijke regels. Een enkel korps leefde minder dan twintig procent (!) van de normen na en dan nog slechts “op hoofdlijnen”. Sindsdien heeft de politie wel wat verbeteringen doorgevoerd, maar deze analyse laat zien dat de bescherming van gevoelige gegevens onverminderd belabberd is.
De verwachting voor de nabije toekomst is niet beter. Uit een statusupdate van de politie constateert “nog eerst een negatieve uitkomst” en dat er “zelfs scores naar beneden zijn gegaan”. Volgens de politie is “een realistische verwachting dat 50% van de applicaties aan het einde van 2020 voldoet aan de wettelijke eisen.”
Wat ons betreft geven ervaringen uit het verleden geen aanleiding zo optimistisch te zijn. Maar belangrijker: dat betekent ook daar de helft van de applicaties ook dan nog altijd niet voldoet aan de wettelijke eisen.
Politie moet beboet worden
Er moeten nu twee dingen gebeuren, wat ons betreft. Ten eerste moet de politie moet nu eindelijk eens gedwongen worden tot naleving van de wet. De Tweede Kamer moet boos zijn op de minister en hem niet langer weg laten komen met sussende woorden als “de politie doen het steeds beter”. De tijd van gedogen is voorbij. En daarom wordt het ook hoog tijd dat de Autoriteit Persoonsgegevens gaat doen wat de politie zelf ook doet: boetes uitdelen. Het is gek voor de woorden dat de politie hier al jarenlang mee wegkomt.
Ten tweede is het belangrijk dat de minister bij de geplande wijziging van de wet niet alleen naar de wet zelf kijkt, maar ook kijkt naar de uitvoerbaarheid ervan. De politie zei eerder al eens dat gegevens die verwijderd moeten worden niet worden verwijderd omdat de computersystemen te oud zijn. Wil je zo’n nieuwe wet goed maken, dan moet je misschien ook investeren in de ICT-systemen van de politie.
Achtergrond
De analyse is gebaseerd op 35 rapporten, met in totaal zo’n 750 pagina’s, die we boven tafel kregen met een verzoek op grond van de Wet openbaarheid van bestuur. Dat ging niet zonder slag of stoot. De politie weigerde eerst de documenten openbaar te maken omdat informatie over deze kwetsbaarheden “de veiligheid van de samenleving in gevaar [zou] brengen.”
Opmerkelijk is dat die kwetsbaarheden na al die tijd nog steeds niet zijn opgelost. De rechter kwam er aan te pas om de politie te dwingen op ons bezwaar te beslissen. Eén rapport houdt de politie nog altijd angstvallig geheim. We zijn daarom opnieuw naar de rechter gestapt.
Alle openbaar gemaakte rapporten
- agora
- amazone
- anpr-falconi
- avr
- blueview40
- bosz
- bluespot-monitor
- bvh
- bvid20
- bviib
- dcs
- digibon-pdb
- fotoconfrontatiemodule
- hansken
- havank
- ibase
- internetaangifte
- kantoorautomatisering
- livejournaalpolitie
- lsv
- mappenstandaard
- meos
- orion
- personenserver
- pshv
- pshvm
- raffinaderij
- sbv-sireneberichtenverkeer
- servicemodule
- signalering-mutatie-client
- summit
- tris
- verificatiemodule
- vros
- zuis
Lees verder bij de bron: Bits of Freedom
