Zeker 36 mission critical-systemen van de politie blijken niet op orde te zijn wat betreft de privacy. Dat blijkt uit een rapport van digitale burgerrechtenorganisatie Bits of Freedom. Bij drie systemen is er zelfs helemaal geen specifieke aandacht voor privacy en security.
Gevoelige gegevens
Niet een van die systemen blijkt te voldoen aan de regels rond privacy en informatiebeveiliging. Het gaat in alle gevallen om systemen die ook volgens de politie zelf, ten alle tijde draaiende moeten blijven. Het zijn bijvoorbeeld systemen voor registratie van veelplegers en kentekens, of voor opnemen van aangiften en verhoren. Verder voldoen ook de systemen voor uitwisseling van informatie tussen agenten, verwerken van vingerafdrukken, analyseren van veel gevoelige gegevens en nog vele andere functies.
Een saillant voorbeeld is dat agenten die van functie wisselen toegang houden tot de databases en ook de mission critical-systemen uit hun eerdere functie. Dat betekent dus ook dat corrupte agenten onnodig toegang hebben tot veel informatie.
Te lang bewaren van gegevens gebeurt ook nog steeds. En omdat de politie lang niet altijd alle risico’s voor de beveiliging van de informatie in kaart heeft, is niet duidelijk of de huidige beveiliging afdoende is.
Risico’s
De risico’s hiervan zijn enorm, stelt Bits of Freedom. “De politie heeft immers uitgebreide bevoegdheden voor het verzamelen, bewaren, gebruiken en het aan derden verstrekken van persoonsgegevens, ook van mensen die niet als verdachte zijn aangemerkt. Maar dat kan alleen als we de politie ook kunnen vertrouwen dat zij verantwoord met die gegevens omspringt. Maar als dat ontbreekt is iedereen, ook de politie zelf, de dupe.”
Immer zal een getuige van een liquidatie zijn verhaal niet aan de politie vertellen als hij daardoor zelf extra gevaar loopt. En als de beveiliging van de gegevens niet op orde is, loopt de politie zelf het risico dat een groot opsporingsonderzoek stuk loopt omdat een corrupte agent informatie lekt naar zware criminelen.
Volgens de digitale burgerrechtenorganisatie zijn ook deze grootschalige overtreding niet nieuw. Acht jaar geleden was de uitkomst ook al dat geen enkel korps voldeed aan alle wettelijke regels. Een enkel korps leefde zelfs minder dan twintig procent van de normen na en dan nog slechts op hoofdlijnen. “Sindsdien heeft de politie wel wat verbeteringen doorgevoerd, maar deze analyse laat zien dat de bescherming van gevoelige gegevens onverminderd belabberd is.”
Boetes uitdelen
Bits of Freedom pleit dan ook voor het uitdelen van boetes. Zeker omdat de verwachting voor de nabije toekomst niet verbetert. In een statusupdate constateert de politie zelf: “een negatieve uitkomst” en dat er “zelfs scores naar beneden zijn gegaan”. Volgens de politie zelf is “een realistische verwachting dat 50% van de applicaties aan het einde van 2020 voldoet aan de wettelijke eisen.”
BoF stelt dat de politie gedwongen worden tot naleving van de wet. “De tijd van gedogen is voorbij. En daarom wordt het ook hoog tijd dat de Autoriteit Persoonsgegevens gaat doen wat de politie zelf ook doet: boetes uitdelen. Het is gek voor de woorden dat de politie hier al jarenlang mee wegkomt.”
Ten tweede zou de minister bij de geplande wijziging van de wet niet alleen naar de wet zelf moeten kijken, maar ook kijkt naar de uitvoerbaarheid. De politie zei eerder al eens dat gegevens die verwijderd moeten worden niet worden verwijderd omdat de computersystemen te oud zijn.
Lees ook:
- Politie start met slimme camera’s tegen appen in verkeer
- Beveiligingsverbeteringen meer dan alleen een roadmap
