Politie Infodesk II. Onderzoek naar de waarborgen voor de bescherming van persoonsgegevens bij de Infodesk

Transcriptie

1 Politie Infodesk II Onderzoek naar de waarborgen voor de bescherming van persoonsgegevens bij de Infodesk Regionaal politiekorps Amsterdam-Amstelland Rapportage van Definitieve Bevindingen College bescherming persoonsgegevens juli 2009

2 Inhoud Samenvatting en conclusie Inleiding Autorisaties Protocolplicht Privacyfunctionaris Conclusies

3 Samenvatting en conclusie Dit rapport bevat de resultaten van het onderzoek dat het College bescherming persoonsgegevens (CBP) op 18 en 24 maart 2009 bij het Regionaal politiekorps Amsterdam- Amstelland (verder: korps Amsterdam-Amstelland), bij de Voorziening tot samenwerking Politie Nederland (vtspn), verzorgingsgebied Noord-West en bij de Dienst Bedrijfsinformatie (DBI) heeft uitgevoerd. Met ingang van 1 januari 2008 dienen de infodesks van de regionale politiekorpsen te voldoen aan de eisen van de Wet politiegegevens (Wpg). De Wpg biedt ruimere mogelijkheden om politiegegevens te verwerken dan zijn voorganger, de Wet politieregisters. Het beginsel van evenredigheid is hierbij leidend: naarmate de verwerking van politiegegevens gerichter is dient de bescherming daarvan toe te nemen. De interne controle door de privacyfunctionaris en de verplichte periodieke audits zijn, samen met het toezicht door het CBP, een belangrijk sluitstuk op de waarborgen tegen ongerechtvaardigde inbreuken op de persoonlijke levenssfeer. Tijdens het onderzoek is nagegaan of korps Amsterdam-Amstelland het autorisatievereiste naleeft alsmede de protocolplicht ten aanzien van enerzijds autorisaties en anderzijds ten aanzien van de mogelijkheid aanwijzingen van onbevoegd gebruik van politiegegevens door de infodesk door middel van een audit te controleren. Voorts is nagegaan of invulling en uitvoering wordt gegeven aan de taken die zijn toegeschreven aan de privacyfunctionaris. Uit onderzoek door het CBP is gebleken dat het korps Amsterdam-Amstelland een evenredig en zorgvuldig systeem van autorisaties hanteert. De opleiding van infodeskmedewerkers ten behoeve van het verlenen van autorisaties schiet te kort op het gebied van de Wpg. In afwijking van de regels die de artikelen 32, eerste lid onder c, j artikel 6, derde lid Wpg daarvoor geven is controle van de autorisaties niet mogelijk omdat de schriftelijke vastlegging daarvan geen inzicht geeft in het niveau van de BVO-autorisaties. De wijze van schriftelijke vastlegging is in strijd met de wet. De verwerkingen van politiegegevens door infodeskmedewerkers worden standaard elektronisch vastgelegd, zodat controles op onbevoegd gebruik kunnen plaatsvinden. De bestanden waarin verwerkingen worden vastgelegd geven bovendien voldoende informatie om aanwijzingen van onbevoegd gebruik te kunnen controleren. In strijd met artikel 32, derde lid in samenhang met artikel 33 Wpg j artikel 6:5 Besluit politiegegevens (Bpg) worden deze gegevens echter niet lang genoeg bewaard om controle door middel van een audit daadwerkelijk mogelijk te maken. Ten aanzien van de privacyfunctionaris heeft het CBP geconstateerd dat deze in strijd met de wet niet is aangemeld, alsmede dat zij ten aanzien van de infodesk haar adviestaak niet overeenkomstig de wet uitoefent. Haar controletaak ten aanzien van de infodesk vult zij niet in, hetgeen in strijd is met artikel 34, eerste en tweede lid Wpg. Tot slot is gebleken dat de privacyfunctionaris niet heeft voldaan aan haar verplichting een jaarverslag op te stellen, zoals bedoeld in artikel 34, vierde lid Wpg. 3

4 1 Inleiding Achtergrond Het College bescherming persoonsgegevens (CBP) heeft in oktober 2008 het rapport Politie Infodesk; onderzoek naar de inrichting van de politie infodesk en de waarborgen voor de bescherming van persoonsgegevens uitgebracht. Daarin zijn de resultaten van het onderzoek beschreven dat het CBP in de tweede helft van 2007 heeft uitgevoerd naar het functioneren van de infodesk bij de regionale politiekorpsen en naar de wijze waarop de wettelijke waarborgen voor de bescherming van persoonsgegevens wordt gegarandeerd. Onderzocht werd in hoeverre de regiokorpsen waren toegerust en voorbereid voor het doorvoeren van wijzigingen als gevolg van de inwerkingtreding van de Wet politiegegevens (Wpg), die op 1 januari 2008 de Wet politieregisters (Wpolr) heeft vervangen. In vervolg op dit onderzoek heeft het CBP opnieuw onderzoek gedaan naar het verwerken van politiegegevens door de infodesk en de naleving van de eisen die daaraan door de Wpg worden gesteld wat betreft de bescherming van politiegegevens. Het CBP heeft daartoe drie regionale politiekorpsen bezocht, waaronder het regionaal politiekorps Amsterdam-Amstelland (verder: korps Amsterdam-Amstelland). Doel en reikwijdte van het onderzoek Met ingang van 1 januari 2008 dienen de infodesks van de regionale politiekorpsen te voldoen aan de eisen van de Wpg. De Wpg biedt ruimere mogelijkheden om politiegegevens te verwerken dan zijn voorganger, de Wpolr. Het beginsel van evenredigheid is hierbij leidend: naarmate de verwerking van politiegegevens gerichter is dient de bescherming hiervan toe te nemen. De vereisten van doelbinding en van autorisaties bieden hiervoor de nodige waarborgen. Het CBP houdt toezicht op de naleving van de Wpg. Samen met de interne controle door de privacyfunctionaris en de verplichte periodieke audits vormt dit toezicht het sluitstuk op de waarborgen tegen ongerechtvaardigde inbreuken op de persoonlijke levenssfeer. Het onderzoek Politie Infodesk II richt zich op de naleving van de Wpg en Besluit politiegegevens (Bpg) door de Regionale infodesks. Tijdens het onderzoek is nagegaan of korps Amsterdam-Amstelland het autorisatievereiste naleeft alsmede de protocolplicht ten aanzien van enerzijds autorisaties en anderzijds ten aanzien van de mogelijkheid aanwijzingen van onbevoegd gebruik van politiegegevens door de infodesk door middel van een audit te controleren. Voorts is nagegaan of invulling en uitvoering wordt gegeven aan de taken die zijn toegeschreven aan de privacyfunctionaris. Werkwijze De onderzoekers van het CBP hebben op 18 maart 2009 een bezoek gebracht aan het Hoofdbureau van politie Amsterdam-Amstelland, alwaar interviews zijn gehouden. Vervolgens is op 24 maart 2009 een bezoek gebracht aan Voorziening tot samenwerking Politie Nederland (vtspn), verzorgingsgebied Noord-West, en aan de Dienst Bedrijfsinformatie (DBI) van het korps Amsterdam-Amstelland. Op 20 mei 2009 heeft het CBP aan het korps Amsterdam-Amstelland de Rapportage van voorlopige bevindingen naar aanleiding van het onderzoek toegezonden. Bij brief van 12 juni 2009 is op deze bevindingen gereageerd. Deze reactie heeft geleid tot enkele aanpassingen van de 4

5 formulering van de bevindingen en conclusies betreffende de privacyfunctionaris. Bij brief van 9 juni 2009 heeft de Korpsbeheerder van het korps Amsterdam-Amstelland de aangewezen privacyfunctionaris bij het korps aangemeld bij het CBP. Op grond van artikel 60, tweede lid Wbp heeft het CBP, eveneens op 20 mei 2009, de Rapportage van voorlopige bevindingen aan de Minister van Justitie en de Minister van Binnenlandse Zaken en Koninkrijksrelaties ter kennis gebracht voor het geven van hun zienswijze. De beide Ministers hebben van de geboden mogelijkheid geen gebruik gemaakt. Gelet op het voorgaande worden de bevindingen van het CBP hiermee definitief vastgesteld. 5

6 2 Autorisaties Toekenning van autorisaties ingevolge Wpg en Bpg en het landelijk autorisatiemodel BVO Artikel 4, derde lid Wpg legt aan de verantwoordelijke de verplichting op om passende technische en organisatorische maatregelen te nemen om politiegegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Hieraan wordt door de verantwoordelijke invulling gegeven door zorg te dragen voor het ontwikkelen en onderhouden binnen zijn korps van een systeem van autorisaties dat voldoet aan de vereisten van zorgvuldigheid en evenredigheid, op grond van artikel 6, eerste lid Wpg. De verantwoordelijke zal hierdoor in staat zijn de verwerking van politiegegevens toe te delen aan personen die onder zijn beheer vallen en voor wie de verwerking noodzakelijk is voor de vervulling van hun taken. Hoewel de verantwoordelijke een zekere mate van vrijheid heeft om het systeem van autorisaties in te vullen, is voor de meer specialistische verwerkingen van politiegegevens (voor zover in dit onderzoek relevant) ingevolge artikel 6, zesde lid Wpg in het Bpg geregeld welke politieambtenaren daarvoor in aanmerking komen (artikelen 2:1, 2:2, 2:5 en 2:8 Bpg) en welke eisen aan de opleiding van die ambtenaren worden gesteld (artikel 2:9 Bpg). De vereisten van zorgvuldigheid en evenredigheid impliceren dat personen niet ruimer geautoriseerd worden dan voor de uitvoering van hun taak nodig is. De toekenning van autorisaties zal dan ook afhangen van de risico s die zijn verbonden aan de taken; hoe groter het risico, hoe hoger de functionaris die geautoriseerd wordt binnen de politie geplaatst is, waarbij ook zijn kwalificatie en specialisatie een rol spelen. Daarbij geldt eveneens dat het aantal personen dat geautoriseerd wordt afhangt van de gevoeligheid van de betreffende politiegegevens: het aantal neemt af naarmate de gevoeligheid van gegevens toeneemt. De landelijke informatiehuishouding die wordt nagestreefd door de Nederlandse politie leidt ertoe dat een landelijk systeem van autorisaties is ontwikkeld voor de verwerking van politiegegevens. Voor de politiegegevens die door middel van de applicatie BVO 1 worden verwerkt geeft het Autorisatiemodel BVO inzicht in het toepasbare systeem van horizontale en verticale autorisaties, waarbij uitvoering wordt gegeven aan het beginsel van evenredigheid en zorgvuldigheid. Het Autorisatiemodel BVO is als volgt toegelicht: Binnen de BVO wordt aan gegevens(groepen) een autorisatieniveau toegekend in het bereik van 0 tot en met 9. De horizontale autorisatieniveaus 0 tot en met 3 worden gebruikt om gegevens zichtbaar te maken binnen en buiten de eigen registratie. De autorisatieniveaus verticaal 4 tot en met 9 worden gebruikt om binnen de eigen registratie onderscheid aan te kunnen brengen wie bij welke gegevens kan. Medewerkers worden binnen de BVO geautoriseerd voor gegevens(groepen) en/of registratie en registers. Daarnaast kunnen medewerkers op basis van rollen en taken autorisatie krijgen waarbij er ook doorzicht (op de verticale autorisatie) [kan] worden gerealiseerd. Autorisaties worden door gebruikers toegekend aan verschillende door hen ingevoerde gegevens(groepen) zoals registraties, mutaties, objecten e.d.. Hiermee [wordt] indirect autorisatieniveau, anders dan standaard, toegekend aan gegevens(groepen) zoals kenmerken aan mutaties en objecten, en relaties tussen objecten. ( ) 2 1 Infodeskmedewerkers maken voor de uitoefening van hun taak gebruik van verscheidene applicaties. Dit onderzoek richt zich voornamelijk op de applicatie Basis Voorziening Opsporing. 2 Autorisatiemodel BVO, vts Politie Nederland, 30 mei 2007, p. 2. 6

7 Voorts is in relatie tot het autorisatieniveau in het model onderscheid gemaakt naar het niveau van afscherming: categorieën A tot en met D en Zwacri 1. Categorie A-onderzoeken betreffen gegevens ter uitvoering van de dagelijkse politietaak, zoals vermeld in artikel 8 Wpg. Deze gegevens zijn het minst gevoelig en kunnen tot een jaar breed binnen de politie verwerkt worden. Zij zijn tot en met niveau 3 opgenomen in BVO. Voor het in combinatie met elkaar verwerken van deze gegevens ter uitvoering van de dagelijkse politietaak die ouder zijn dan een jaar, kunnen infodeskmedewerkers worden geautoriseerd op grond van artikel 2:1 Bpg. Het gaat dan om een samengestelde zoekvraag waarbij gezocht wordt naar onderlinge verbanden ten behoeve van bijvoorbeeld een briefing in het kader van surveillance. Categorie B-onderzoeken zijn onderzoeken in verband met de handhaving van de rechtsorde in een bepaald geval (gerichte onderzoeken, artikel 9 Wpg), inclusief afgesloten onderzoeken. Deze onderzoeken zijn toegankelijk op niveau 4. Een autorisatie op niveau 4 betekent dat informatie op niveau 4 geraadpleegd kan worden, net als de index van niveau 5. Voor de gerichte onderzoeken in de categorieën C en D geldt in relatie tot categorie B een groter belang van afscherming zodat deze alleen zichtbaar zijn voor ambtenaren geautoriseerd vanaf niveau 5. Op dit niveau en hoger is ook informatie zichtbaar uit een onderzoek dat inzicht geeft in de betrokkenheid van personen bij bepaalde ernstige bedreigingen van de rechtsorde (zogenaamde Zwacri-informatie, artikel 10 Wpg) dat niet operationeel gebruikt kan worden. Operationeel te gebruiken Zwacri-informatie is wel zichtbaar op niveau 4, net als teaminformatie in een onderzoek uit categorie B. Op grond van artikel 2:2, eerste lid Bpg kunnen infodeskmedewerkers geautoriseerd worden om dagelijkse politietaak-gegevens (artikel 8 Wpg) en gerichte onderzoek-gegevens (artikel 9 Wpg) geautomatiseerd te vergelijken, zoals bedoeld in artikel 11, eerste lid Wpg. Dit betekent dat in het kader van een gericht onderzoek op basis van hit/no hit gegevens bevraagd worden die ten behoeve van andere doelen binnen de politietaak worden verwerkt. Dit zijn gegevens die in het autorisatiemodel op de niveaus 0 tot en met 5 staan. Artikel 2:2, tweede lid Bpg bepaalt dat infodeskmedewerkers in het voorkomende geval geautoriseerd kunnen worden voor het geautomatiseerd vergelijken van gegevens ten behoeve van een onderzoek van de Criminele Inlichtingen Eenheid (CIE) of de Regionale Inlichtingen Dienst (RID) (artikel 10, eerste lid onder a respectievelijk c Wpg) en voor het in combinatie met elkaar verwerken van politiegegevens ten behoeve van diezelfde onderzoeken (ingevolge artikel 11, tweede en vierde lid Wpg). Autorisatie van infodeskmedewerkers kan plaatshebben indien dat dringend noodzakelijk voor een goede uitvoering van de politietaak is in verband met personele capaciteit; alle politiegegevens kunnen in beeld gebracht worden, zodat de kring van te autoriseren personen beperkt moet blijven. Dit betreft ook gegevens vanaf niveau 4. Het risico zit in de gespecialiseerde wijze van zoeken. Door middel van het systeem van autorisaties en deskundigheidseisen wordt de kwaliteit van het zoeken gewaarborgd. Deze autorisatie wordt toegekend in overeenstemming met het hoofd van de betreffende eenheid. Op grond van artikel 2:5 Bpg kunnen infodeskmedewerkers in voorkomende gevallen geautoriseerd worden voor het verwerken van politiegegevens in onderzoeken van de CIE of RID (artikel 10, eerste lid onder a respectievelijk c Wpg). Dit betekent ten behoeve van het voorbereiden van projecten of het opstellen van operationele en strategische misdaadanalyses, 1 Zwacri heeft betrekking op gegevens die inzicht geven in betrokkenheid van personen en organisatie bij bepaalde ernstige bedreigingen van de rechtsorde. 7

8 indien dit dringend noodzakelijk is voor een goede uitvoering van de politietaak en in overeenstemming met het hoofd van de betreffende eenheid. Dit kan politiegegevens betreffen vanaf niveau 4 (operationeel te gebruiken) en hoger (niveau 5: alleen te gebruiken na overleg met de afzender; niveau 6: informatie met zware beperkingen voor het gebruik; niveaus 7 en 8: niet operationeel te gebruiken). Het risico zit in de aard van de gegevens. Artikel 2:8 Bpg ten slotte regelt dat infodeskmedewerkers geautoriseerd kunnen worden voor landelijke verwerkingen met betrekking tot taken ten dienste van justitie (ingevolge artikel 13, eerste lid onder e Wpg) en het geautomatiseerd vergelijken met het oog op meldingen van verschillende verwerkingen jegens eenzelfde persoon (ingevolge artikel 13, derde lid Wpg). Infodeskmedewerkers zijn in dit kader ambtenaren die werkzaam zijn bij een eenheid die met de uitvoering van deze taken zijn belast. Het betreft de ondersteuning van de politietaak door de verdere verwerking van politiegegevens, zowel gegevens die verwerkt worden ter uitvoering van de dagelijkse politietaak als gegevens die verwerkt worden in het kader van gerichte onderzoeken, en beschikbaar gestelde gegevens uit onderzoeken die inzicht geven in de betrokkenheid van personen bij bepaalde ernstige bedreigingen van de rechtsorde. Toekenning van autorisaties aan infodeskmedewerkers van korps Amsterdam-Amstelland Het proces van toekenning - zorgvuldigheid Artikel 6, eerste lid Wpg schrijft voor dat het systeem van autorisaties zorgvuldig en evenredig is. Op grond van artikel 6, tweede lid Wpg worden politiegegevens slechts verwerkt door ambtenaren van politie die daartoe door de verantwoordelijke zijn geautoriseerd en voor zover de autorisatie strekt. Dit impliceert dat autorisaties op zorgvuldige wijze moeten worden toegekend, door middel van een formele procedure en een controleerbaar proces. Voor het korps Amsterdam-Amstelland is deze toekenning als volgt geregeld. De infodeskmedewerker vraagt op een formulier gespecificeerd autorisatie tot de benodigde applicaties aan. Dit formulier wordt getekend door de betreffende dienstchef, het hoofd Bureau Informatie Actie Centrum (BIAC). Voor zover het een opsporingsapplicatie betreft tekent ook de recherchechef. DBI controleert de aangevraagde autorisaties aan de hand van criteria die horen bij iedere functie, uitgesplitst naar soort functie. Vervolgens wordt bij vtspn de toegang tot de gevraagde applicaties gerealiseerd. Ten slotte wordt door de functioneel beheerder het niveau van toegang binnen de applicaties toegekend. Het CBP constateert dat de toekenning van deze autorisaties formeel is georganiseerd en controleerbaar is en dat deze op zorgvuldige wijze zoals bedoeld in artikel 6, eerste lid Wpg plaatsvindt. Conclusie: Toekenning van autorisaties vindt plaats volgens een formele procedure en een controleerbaar proces en is in overeenstemming met het zorgvuldigheidsvereiste uit artikel 6, eerste lid Wpg. De niveaus van toekenning - evenredigheid Artikel 6, zesde lid Wpg bepaalt dat in het Bpg nadere regels worden gesteld over de categorieën van personen die voor bepaalde gegevensverwerking geautoriseerd kunnen worden. Op grond van de artikelen 2:1 en 2:2, eerste lid Bpg kunnen infodeskmedewerkers geautoriseerd worden voor de gespecialiseerde verwerkingen van politiegegevens ten behoeve van de uitvoering van de dagelijkse politietaak (artikel 8 Wpg) en gerichte onderzoeken (artikel 9 Wpg), in dit geval de geautomatiseerde vergelijking van politiegegevens. Artikel 2:8 Bpg bepaalt dat infodeskmedewerkers geautoriseerd kunnen worden voor de verwerking van politiegegevens ten behoeve van ondersteunende taken (artikel 13, eerste lid en derde lid Wpg). In voorkomende 8

9 gevallen kunnen infodeskmedewerkers geautoriseerd worden op grond van artikel 2:2, tweede lid Bpg en artikel 2:5 Bpg voor de verwerking van Zwacri- en RID-gegevens of ten behoeve daarvan, waaronder het geautomatiseerd vergelijken en in combinatie verwerken van politiegegevens (artikel 10 Wpg en artikel 11, tweede en vierde lid Wpg). Op grond van het autorisatiemodel BVO geldt dat infodeskmedewerkers geautoriseerd kunnen worden op niveau 4. Dat geldt ook voor de superregistratie voor tactische onderzoeken, door middel waarvan breed in andere onderzoeken gekeken kan worden. Dit niveau correspondeert met de verwerking van politiegegevens ten behoeve van de uitvoering van de dagelijkse politietaak (artikel 8 Wpg) en gerichte onderzoeken (artikel 9 Wpg), voorzover deze niet afgeschermd zijn (de categorieën C en D). Uit het onderzoek bij het korps Amsterdam-Amstelland is het volgende gebleken. Alle infodeskmedewerkers zijn in BVO standaard geautoriseerd voor niveau 3. De senior infodeskmedewerkers alsmede de coördinator infodesk zijn daarnaast geautoriseerd voor de superregistratie op niveau 4 of 5, zowel ten aanzien van de tactische superregistratie als de landelijke BlueView-voorziening 1. Een verdergaande autorisatie dan de standaardautorisatie voor infodeskmedewerkers, namelijk tot verwerkingen in voorkomende gevallen bedoeld in de artikelen 2:2 en 2:5 Bpg, komt bij het korps niet voor. Dit betekent dat infodeskmedewerkers niet tegelijkertijd werkzaam zijn voor de CIE, ook niet op tijdelijke basis. RID-gegevens worden door het korps binnen een aparte omgeving en op een apart netwerk verwerkt, door de RID. Infodeskmedewerkers hebben geen toegang tot deze gegevens. Het CBP heeft van het korps een overzicht ontvangen waarbij per infodeskmedewerker een lijst is gemaakt met de applicaties waartoe deze is geautoriseerd, zoals BVO. De vermelde applicaties zijn gecategoriseerd naar de soorten verwerkingen van politiegegevens waarop deze betrekking hebben in de zin van respectievelijk artikel 8, artikel 9, artikel 10 en artikel 13, eerste en derde lid Wpg. Het CBP stelt op basis van het voorgaande vast dat de infodeskmedewerkers zijn geautoriseerd volgens het autorisatiemodel BVO, hetgeen in overeenstemming is met de artikelen 8, 9 en 13 Wpg en de artikel 2:1, 2:2, eerste lid en 2:8 Bpg. Tevens stelt het CBP vast dat de verwerking van politiegegevens op basis van of ten behoeve van artikel 10 Wpg niet door infodeskmedewerkers wordt uitgevoerd, hetgeen in overeenstemming is met de artikelen 2:2, tweede lid en 2:5 Bpg. Conclusie: Autorisatie van infodeskmedewerkers is evenredig en vindt plaats in overeenstemming met de artikelen 6, 8, 9 en 13 Wpg en de artikel 2:1, 2:2, eerste lid en 2:8 Bpg. 1 In de Review methodiek IOOV voor onderzoek naar zeven samenwerkingsafspraken bij de politie, Algemene Rekenkamer, d.d. 31 oktober 2008, wordt de volgende definitie van BlueView gehanteerd: 'De Basisvoorziening BlueView is het hulpmiddel om de registraties van andere korpsen over handhaving en opsporing direct te kunnen raadplegen. Dagelijks worden alle gegevens uit de bronsystemen, waaronder BVH en BVO, ingelezen in BlueView, zodat deze de volgende dag voor alle politiekorpsen beschikbaar zijn. Alle in Nederland aangemaakte processen-verbaal van aangiften, verhoren, ambtelijke verslagen, dossiers, rapportages en documenten over in beslag genomen goederen van de afgelopen vijf jaar zijn terug te vinden in en te doorzoeken via BlueView.' 9

10 Opleiding als voorwaarde voor autorisatietoekenning Naarmate de verwerking ingrijpender is op de persoonlijke levenssfeer, is een grotere deskundigheid van belang. Ingevolge artikel 6, zesde lid Wpg zijn in artikel 2:9 Bpg nadere regels opgenomen omtrent de deskundigheidseisen die kunnen worden gesteld aan de categorieën van personen die voor bepaalde gegevensverwerkingen geautoriseerd kunnen worden. Dit betreft de categorieën van personen als bedoeld in de artikelen 2:1 tot en met 2:5 Bpg. Deze personen moeten beschikken over kennis en vaardigheden op het gebied van het informatieproces binnen de politie, kennis van de wet - en regelgeving die relevant is voor de verwerking van politiegegevens en van methoden en technieken van informatieanalyse. Voor de categorie personen die op grond van artikel 2:1 Bpg geautoriseerd kan worden zijn geen specifieke eisen gesteld op het gebied van opleiding en ervaring; de bestaande eisen die gelden voor de infodesk voldoen. Artikel 11 van de Regeling Regionale Infodesk geeft hieraan invulling: minimumeis is dat de opleiding Basisopleiding Informatievoorziening (BOIV) is gevolgd, terwijl voor bijzondere politieregisters hogere kwaliteitseisen gelden, op te doen in het kader van een vervolgopleiding. 1 Uit het onderzoek is het volgende gebleken. Voordat toekenning van autorisaties op de aanvraag daartoe kan plaatsvinden, wordt door de functioneel beheerder gecontroleerd of voor de betreffende medewerker de vereiste opleiding(en) staan geregistreerd. Indien dat niet het geval zou zijn, is autorisatie niet mogelijk. De infodeskmedewerkers zijn voor de applicatie BVO opgeleid. Wat betreft de opleiding ten aanzien van de relevante wet- en regelgeving is gebleken dat de infodeskmedewerkers geen opleiding voor toepassing van de Wpg hebben gevolgd. Alleen de coördinerend leidinggevende van de infodesk heeft deze cursus gevolgd. Hieruit volgt dat aan opleidingen te weinig aandacht wordt besteed. Conclusie: Over het geheel genomen wordt voldaan aan de opleidingseisen ten behoeve van het toekennen van een autorisatie. De opleiding van infodeskmedewerkers schiet echter tekort op het punt van de kennis van de Wpg, zodat in zoverre niet wordt voldaan aan artikel 2:9 Bpg. 1 De Regeling Regionale Infodesk, zoals vastgesteld door de Raad van Hoofdcommissarissen. Deze gaat nog uit van de Wet politieregisters. 10

11 3 Protocolplicht Uitgangspunt protocollering Artikel 4, derde lid Wpg legt aan de verantwoordelijke de verplichting op om passende technische en organisatorische maatregelen te nemen om politiegegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. In de artikelen 33, 34 en 35 Wpg is geregeld dat op de rechtmatige verwerking van gegevens interne en externe controle plaatsvindt. Om deze controle mogelijk te maken is de protocolplicht neergelegd in artikel 32 Wpg: de verantwoordelijke draagt zorg voor de schriftelijke vastlegging van autorisaties en aanwijzingen van onbevoegd gebruik, beide onderwerp van dit onderzoek, maar ook voor de schriftelijke vastlegging van doelen van onderzoek en verstrekkingen. Schriftelijke vastlegging van de toekenning van autorisaties Artikel 32, eerste lid onder c Wpg bepaalt dat de verantwoordelijke zorg draagt voor de schriftelijke vastlegging van de toekenning van de autorisaties, bedoeld in artikel 6 Wpg. Artikel 6, derde lid Wpg gebiedt dat de autorisatie een duidelijke omschrijving geeft van de verwerkingen waartoe iemand wordt geautoriseerd en van de onderdelen van de politietaak ter uitvoering waarvan de verwerkingen worden verricht. Dit maakt controle en toezicht mogelijk op de toekenning van autorisaties. Bij de functioneel beheerder binnen de afdeling DBI van het korps Amsterdam-Amstelland worden de formulieren bewaard waarmee de autorisaties zijn aangevraagd en goedgekeurd. Per medewerker afzonderlijk kan de functioneel beheerder nagaan tot welk niveau de medewerker is geautoriseerd per toegekende applicatie. Deze informatie is niet schriftelijk beschikbaar. Ten tijde van het onderzoek was bij het korps geen overzicht voorhanden waarop per medewerker de toegekende autorisaties tot applicaties gespecificeerd naar autorisatieniveau binnen de applicaties zijn vastgelegd. Een geautomatiseerd systeem waarmee dat wel mogelijk zal zijn is inmiddels beschikbaar, maar is nog niet goedgekeurd en ingevoerd in de organisatie. Ten tijde van het onderzoek was controle op de aan infodeskmedewerkers toegekende bevoegdheden door het ontbreken van het niveau op het autorisatieoverzicht niet mogelijk. Conclusie: Het ontbreken van een schriftelijk overzicht van het niveau binnen die applicaties waartoe de medewerker is geautoriseerd, is in strijd met de verplichting van artikel 32, eerste lid, onder c Wpg j artikel 6, derde lid Wpg. De wijze van schriftelijke vastlegging is in strijd met de wet. Controlemogelijkheden van aanwijzingen van onbevoegd gebruik Op grond van artikel 32, eerste lid onder e Wpg worden aanwijzingen van onbevoegd gebruik schriftelijk vastgelegd. Artikel 6:4 Bpg geeft ingevolge artikel 32, vierde lid Wpg nadere regels over de wijze van vastlegging van de verschillende politiegegevens uit artikel 32, eerste lid Wpg. Daarnaast houdt artikel 6:4, tweede lid Bpg een aanvulling in van de protocolplicht, ten aanzien van de geautomatiseerde vergelijking en het in combinatie met elkaar verwerken (de gespecialiseerde verwerkingen ingevolge de artikelen 11, eerste, tweede, vierde en vijfde lid Wpg): vastgelegd worden in dit kader - de gegevens die voor rechtstreekse raadpleging zijn gebruikt; - de identiteit of het kenmerk van de politieambtenaar die de rechtstreekse raadpleging heeft uitgevoerd; 11

12 - de gegevens op grond waarvan kan worden nagegaan welke gegevens ter beschikking zijn gesteld voor verdere verwerking voor een doel, als bedoel in artikel 9 of 10 van de wet. Uit zowel de Memorie van Toelichting bij de Wpg als uit de Toelichting bij het Bpg blijkt dat de praktijk de nodige ruimte wordt gelaten ten aanzien van de vastlegging van gegevens bij aanwijzingen van onbevoegde of onrechtmatige verwerking van politiegegevens. Voor het opsporen van dergelijke verwerkingen kan gebruik worden gemaakt van zogenaamde gebruikers- en gedragsprofielen, die inzicht kunnen geven in de gevallen waarin het patroon van de raadpleging of gebruik van politiegegevens door een individuele gebruiker afwijkt van het patroon, dat op grond van de toegekende autorisatie(s) in zijn algemeenheid zou kunnen worden verwacht. 1 Voorop staat dat de protocolplicht als doel heeft controle en toezicht mogelijk te maken van enige vorm van onrechtmatige verwerking, onder verwijzing naar artikel 4, derde lid Wpg, bijvoorbeeld door middel van een steekproef tijdens een audit. Hieruit leidt het CBP af dat de handelingen van infodeskmedewerkers betreffende het verwerken van politiegegevens zodanig moeten worden vastgelegd, dat een dergelijke controle uitgevoerd kan worden. Met het oog op die controle, waaronder de mogelijkheid te controleren op aanwijzingen van onbevoegd gebruik, is het CBP daarom bij de korpsen nagegaan of, en zo ja op welke wijze handelingen van de infodeskmedewerkers in logbestanden worden vastgelegd. Dit zijn geautomatiseerde vastleggingen. Het CBP sluit hierbij aan bij de Code voor Informatiebeveiliging 2 waarin is vastgelegd dat activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurtenissen behoren te worden vastgelegd in audit-logbestanden. Deze logbestanden behoren gedurende een overeengekomen periode te worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. 3 De doelstelling hiervan is het ontdekken van onbevoegde informatieverwerkingsactiviteiten, zoals ook bedoeld in de artikel 32 Wpg en verder, zodat de Code voor Informatiebeveiliging een uitwerking vormt van deze wettelijke norm. Uit het onderzoek bij het korps Amsterdam-Amstelland is het volgende gebleken. Het vastleggen van handelingen van infodeskmedewerkers van het korps Amsterdam-Amstelland vindt plaats bij de vestiging van de vtspn, Verzorgingsgebied Noord-West te Amsterdam. Daar wordt de logging op systeemniveau uitgevoerd van vrijwel alle regionaal toegepaste applicaties, ook van BVO. Van de landelijke applicatie BlueView wordt landelijk een logging uitgevoerd in de vestiging van vtspn te Driebergen. Regionaal wordt van het gebruik van alle rechercheapplicaties de logging bijgehouden in logfiles. In deze applicaties worden alle handelingen gelogd, inclusief alle zoekresultaten, en met vermelding van stamnummer van de functionaris, tijdstip en tijdsduur van de bevraging. Door de infodeskmedewerkers zelf wordt in MS-Outlook het inkomende en uitgaande berichtenverkeer vastgelegd in een infodeskregistratie. Dit zijn de aan de infodesk gestelde vragen en de daarop gegeven antwoorden. Het CBP stelt vast dat de toegang tot alle door de infodesk gebruikte rechercheapplicaties op systeemniveau in logfiles wordt vastgelegd. Tevens worden alle handelingen en de door artikel 6:4 Bpg verplicht gestelde gegevens op systeemniveau gelogd. Hieruit volgt dat controle op onbevoegd gebruik door infodeksmedewerkers ten tijde van het onderzoek mogelijk was voor alle medewerkers in overeenstemming met artikel 4, derde lid Wpg in verbinding met artikel 32, eerste lid onder e Wpg j artikel 6:4, tweede lid Bpg. De vastleggingen die plaatsvinden bevatten 1 Toelichting bij het Bpg, Stb. 2007, 550, p. 105; zie ook TK , , nr. 3, p NEN-ISO/IEC 27002: NEN-ISO/IEC 27002:2007, p. 64 en

13 voldoende informatie om aanwijzingen van onbevoegd gebruik te kunnen controleren, in overeenstemming met artikel 4, derde lid Wpg en artikel 32, eerste lid onder e Wpg. Conclusie: Het gebruik van applicaties door de infodesk wordt standaard vastgelegd zodat controle op onbevoegd gebruik mogelijk is. Dit is in overeenstemming met artikel 4, derde lid Wpg in verbinding met artikel 32, eerste lid onder e Wpg j artikel 6:4, tweede lid Bpg. De vastleggingen van verwerkingen door infodeskmedewerkers geven voldoende informatie om aanwijzingen van onbevoegd gebruik te kunnen controleren, in overeenstemming met artikel 4, derde lid Wpg en artikel 32 Wpg. Bewaartermijn De politiegegevens die op grond van de protocolplicht zijn vastgelegd moeten ten minste worden bewaard tot de datum waarop de laatste periodiek te verrichten audit ingevolge artikel 33 Wpg is verricht (artikel 32, derde lid Wpg). De bewaartermijn van deze gegevens is verbonden met het doel van de verwerking: het mogelijk maken van controle op onrechtmatige verwerking. Dit geldt daarom ook voor de automatische vastleggingen van handelingen van infodeskmedewerkers in logbestanden. Voor de schriftelijke vastlegging van autorisaties geldt dat deze in ieder geval moeten worden bewaard zolang de autorisaties gelden. In artikel 6:5 Bpg is bepaald dat de audit twee jaren na inwerkingtreding van de wet en vervolgens eenmaal in de vier jaren geschiedt. Het CBP heeft in dit verband onderzocht welke bewaartermijn wordt gehanteerd voor de automatische vastleggingen van verwerkingen van politiegegevens door infodeskmedewerkers. Tijdens het onderzoek is medegedeeld dat de gegevens met betrekking tot verwerkingen door medewerkers in de logfiles standaard gedurende 1 jaar bewaard worden. Loggegevens met betrekking tot CIE-gegevens worden 3 jaar bewaard. Een audit zoals bedoeld in artikel 33 Wpg heeft nog niet plaats gevonden. Deze termijnen zijn te kort om controle door middel van een audit, zoals bedoeld in artikel 32, derde lid in samenhang met artikel 33 Wpg j artikel 6:5 Bpg, mogelijk te maken, zodat in strijd met deze artikelen wordt gehandeld. Conclusie: De bewaartermijnen van één respectievelijk drie jaar zijn te kort om controle door middel van een audit mogelijk te maken. Dit is in strijd met artikel 32, derde lid in samenhang met artikel 33 Wpg j artikel 6:5 Bpg. 13

14 4 Privacyfunctionaris Benoeming en aanmelding Ingevolge artikel 34 Wpg benoemt de verantwoordelijke een privacyfunctionaris. De privacyfunctionaris dient door de verantwoordelijke bij het CBP te worden aangemeld. Uit het onderzoek is gebleken dat de privacyfunctionaris van het korps Amsterdam-Amstelland door de verantwoordelijke niet is aangemeld bij het CBP. Dat na afloop van het onderzoek alsnog de schriftelijke aanmelding van de privacyfunctionaris door het korps is ontvangen, brengt geen verandering in deze onderzoeksbevinding. Conclusie: Aanmelding van de privacyfunctionaris heeft in strijd met artikel 34, eerste respectievelijk vierde lid Wpg niet plaatsgevonden. Taken De door de verantwoordelijke benoemde privacyfunctionaris ziet ingevolge artikel 34, eerste lid Wpg namens de verantwoordelijke toe op de verwerking van politiegegevens overeenkomstig het bij of krachtens de wet bepaalde en dient hem van advies. De privacyfunctionaris kan voorlichting geven bij het inrichten en uitvoeren van werkprocessen en bij het verlenen van autorisaties voor gegevensverwerkingen. Daarnaast heeft hij een belangrijke rol bij het recht op kennisneming en verbetering van politiegegevens. 1 Uit het onderzoek is gebleken dat de privacyfunctionaris incidenteel de infodesk adviseert bij vragen over de zorgvuldige omgang met gegevens in relatie tot de Wpg. Het CBP concludeert dat aan de adviserende taak van de privacyfunctionaris met betrekking tot het functioneren van de regionale infodesk nauwelijks invulling wordt gegeven. Conclusie: De uitvoering van de adviestaak door de privacyfunctionaris ten aanzien van de infodesk is in strijd met artikel 34, eerste lid Wpg. Artikel 34, tweede lid Wpg bepaalt dat de privacyfunctionaris een overzicht bijhoudt van de schriftelijke vastlegging van de gegevens bedoeld in artikel 32, eerste lid Wpg. Zodoende kan uitvoering worden gegeven aan de verplichting namens de verantwoordelijke toe te zien op verwerkingen. De privacyfunctionaris van het korps Amsterdam-Amstelland verklaarde niet te beschikken over een overzicht van toegekende autorisaties binnen het korps. Zij kan de toegekende autorisaties wel opvragen bij de verschillende diensten die de toekenning daarvan per medewerker registreren, maar houdt daarvan geen overzicht bij. Daarmee wordt niet voldaan aan de in artikel 34, tweede lid Wpg gestelde verplichting. Uit het onderzoek bleek daarnaast dat de privacyfunctionaris geen controles uitvoert op het gebruik van de toegekende autorisaties. Conclusie: In strijd met artikel 34, eerste en tweede lid Wpg beschikt de privacyfunctionaris niet over een overzicht van de schriftelijke vastlegging van de toegekende autorisaties en voert zij geen controle uit op het gebruik van die autorisaties. 1 Kamerstukken II, , , nr. 3, p

15 Jaarverslag De privacyfunctionaris dient op grond van artikel 34, derde lid Wpg jaarlijks een verslag op te stellen van zijn bevindingen. De privacyfunctionaris heeft aangegeven dit over het jaar 2008 niet te hebben gedaan. Conclusie: De privacyfunctionaris voldoet niet aan de verplichting van artikel 34, derde lid, Wpg. 15

16 5 Conclusies Autorisaties Toekenning van autorisaties vindt plaats volgens een formele procedure en een controleerbaar proces en is niet in strijd met het zorgvuldigheidsvereiste uit artikel 6 Wpg. Autorisatie van infodeskmedewerkers is evenredig en vindt plaats in overeenstemming met de artikelen 6, 8, 9 en 13 Wpg en de artikel 2:1, 2:2, eerste lid en 2:8 Bpg. Over het geheel genomen wordt voldaan aan de opleidingseisen ten behoeve van het toekennen van een autorisatie. De opleiding van infodeskmedewerkers schiet echter tekort op het punt van de kennis van de Wpg, zodat in zoverre niet wordt voldaan aan artikel 2:9 Bpg. Protocollering Schriftelijke vastlegging van autorisaties Het ontbreken van een schriftelijk overzicht van het niveau binnen die applicaties waartoe de medewerker is geautoriseerd, is in strijd met de verplichting van artikel 32, eerste lid, onder c Wpg j artikel 6, derde lid Wpg. De wijze van schriftelijke vastlegging is in strijd met de wet. Controlemogelijkheden van aanwijzingen van onbevoegd gebruik Het gebruik van applicaties door de infodesk wordt standaard vastgelegd zodat controle op onbevoegd gebruik mogelijk is. Dit is in overeenstemming met artikel 4, derde lid Wpg in verbinding met artikel 32, eerste lid onder e Wpg j artikel 6:4, tweede lid Bpg. De vastleggingen van verwerkingen door infodeskmedewerkers geven voldoende informatie om aanwijzingen van onbevoegd gebruik te kunnen controleren, in overeenstemming met artikel 4, derde lid Wpg en artikel 32 Wpg. De bewaartermijnen van één respectievelijk drie jaar van de gegevens met betrekking tot verwerkingen door medewerkers zijn te kort om controle door middel van een audit mogelijk te maken. Dit is in strijd met artikel 32, derde lid in samenhang met artikel 33 Wpg j artikel 6:5 Bpg. Privacyfunctionaris Aanmelding van de privacyfunctionaris heeft in strijd met artikel 34, eerste respectievelijk vierde lid Wpg niet plaatsgevonden. De uitvoering van de adviestaak door de privacyfunctionaris ten aanzien van de infodesk is in strijd met artikel 34, eerste lid Wpg. In strijd met artikel 34, eerste en tweede lid Wpg beschikt de privacyfunctionaris niet over een overzicht van de schriftelijke vastlegging van de toegekende autorisaties en voert zij geen controle uit op het gebruik van die autorisaties. De privacyfunctionaris voldoet niet aan de verplichting van artikel 34, derde lid Wpg om jaarlijks een verslag op te stellen van haar bevindingen. 16