Politie Infodesk II. Onderzoek naar de waarborgen voor de bescherming van politiegegevens bij de Infodesk. Regionaal politiekorps Drenthe

Transcriptie

1 Politie Infodesk II Onderzoek naar de waarborgen voor de bescherming van politiegegevens bij de Infodesk Regionaal politiekorps Drenthe Rapportage van Definitieve Bevindingen College bescherming persoonsgegevens juli 2009

2 Inhoud Samenvatting en conclusie Inleiding Autorisaties Protocolplicht Privacyfunctionaris Conclusies

3 Samenvatting en conclusie Dit rapport bevat de resultaten van het onderzoek dat het College bescherming persoonsgegevens (CBP) op 30 en 31 maart 2009 bij het Regionaal politiekorps Drenthe (verder: korps Drenthe) en de Voorziening tot samenwerking Politie Nederland (vtspn), verzorgingsgebied Noord-Oost heeft uitgevoerd. Met ingang van 1 januari 2008 dienen de infodesks van de regionale politiekorpsen te voldoen aan de eisen van de Wet politiegegevens (Wpg). De Wpg biedt ruimere mogelijkheden om politiegegevens te verwerken dan zijn voorganger, de Wet politieregisters. Het beginsel van evenredigheid is hierbij leidend: naarmate de verwerking van politiegegevens gerichter is dient de bescherming daarvan toe te nemen. De interne controle door de privacyfunctionaris en de verplichte periodieke audits zijn, samen met het toezicht door het CBP, een belangrijk sluitstuk op de waarborgen tegen ongerechtvaardigde inbreuken op de persoonlijke levenssfeer. Tijdens het onderzoek is nagegaan of korps Drenthe het autorisatievereiste naleeft alsmede de protocolplicht ten aanzien van enerzijds autorisaties en anderzijds ten aanzien van de mogelijkheid aanwijzingen van onbevoegd gebruik van politiegegevens door de infodesk door middel van een audit te controleren. Voorts is nagegaan of invulling en uitvoering wordt gegeven aan de taken die zijn toegeschreven aan de privacyfunctionaris. Uit onderzoek door het CBP is gebleken dat het korps Drenthe een evenredig en zorgvuldig systeem van autorisaties hanteert. Hoewel aan opleidingen ten behoeve van de toe te kennen autorisaties aan medewerkers van de infodesk voldoende aandacht wordt besteed, stelt korps Drenthe in strijd met artikel 2:9 Besluit politiegegevens (Bpg) voor het geautomatiseerd vergelijken het hebben van kennis en expertise op het gebied van recherchewerk niet als vereiste. In afwijking van de regels die de artikelen 32, eerste lid onder c, j artikel 6, derde lid Wpg daarvoor geven is controle van de autorisaties niet mogelijk omdat de schriftelijke vastlegging daarvan geen inzicht geeft in het niveau van de BVO-autorisaties. De wijze van schriftelijke vastlegging is in strijd met de wet. Bovendien werden ten tijde van het onderzoek in strijd met artikel 32, eerste lid onder e Wpg j artikel 6:4 Bpg verwerkingen van politiegegevens door infodeskmedewerkers in de applicatie Basis Voorziening Opsporing (BVO) niet standaard voor iedere medewerker elektronisch vastgelegd in een logbestand, zodat controles op aanwijzingen van onbevoegd gebruik niet kunnen plaatsvinden. Voor zover deze vastlegging wel plaatsvindt, geeft het logbestand wel voldoende informatie om aanwijzingen van onbevoegd gebruik te kunnen controleren. In strijd met artikel 32, derde lid in samenhang met artikel 33 Wpg j artikel 6:5 Besluit politiegegevens (Bpg) worden deze gegevens echter niet lang genoeg bewaard om controle door middel van een audit daadwerkelijk mogelijk te maken. Ten aanzien van de privacyfunctionaris heeft het CBP geconstateerd dat deze in overeenstemming met de wet is benoemd en aangemeld, alsmede dat hij zijn adviestaak uitoefent. Zijn controletaak vult hij echter beperkt in, hetgeen in strijd is met artikel 34, eerste en tweede lid Wpg. Tot slot is gebleken dat de privacyfunctionaris niet heeft voldaan aan zijn verplichting een jaarverslag op te stellen, zoals bedoeld in artikel 34, vierde lid Wpg. 3

4 1 Inleiding Achtergrond Het College bescherming persoonsgegevens (CBP) heeft in oktober 2008 het rapport Politie Infodesk; onderzoek naar de inrichting van de politie infodesk en de waarborgen voor de bescherming van persoonsgegevens uitgebracht. Daarin zijn de resultaten van het onderzoek beschreven dat het CBP in de tweede helft van 2007 heeft uitgevoerd naar het functioneren van de infodesk bij de regionale politiekorpsen en naar de wijze waarop de wettelijke waarborgen voor de bescherming van persoonsgegevens wordt gegarandeerd. Onderzocht werd in hoeverre de regiokorpsen waren toegerust en voorbereid voor het doorvoeren van wijzigingen als gevolg van de inwerkingtreding van de Wet politiegegevens (Wpg), die op 1 januari 2008 de Wet politieregisters (Wpolr) heeft vervangen. In vervolg op dit onderzoek heeft het CBP opnieuw onderzoek gedaan naar het verwerken van politiegegevens door de infodesk en de naleving van de eisen die daaraan door de Wpg worden gesteld wat betreft de bescherming van politiegegevens. Het CBP heeft daartoe drie regionale politiekorpsen bezocht, waaronder het regionaal politiekorps Drenthe (verder: korps Drenthe). Doel en reikwijdte van het onderzoek Met ingang van 1 januari 2008 dienen de infodesks van de regionale politiekorpsen te voldoen aan de eisen van de Wpg. De Wpg biedt ruimere mogelijkheden om politiegegevens te verwerken dan zijn voorganger, de Wpolr. Het beginsel van evenredigheid is hierbij leidend: naarmate de verwerking van politiegegevens gerichter is dient de bescherming hiervan toe te nemen. De vereisten van doelbinding en van autorisaties bieden hiervoor de nodige waarborgen. Het CBP houdt toezicht op de naleving van de Wpg. Samen met de interne controle door de privacyfunctionaris en de verplichte periodieke audits vormt dit toezicht het sluitstuk op de waarborgen tegen ongerechtvaardigde inbreuken op de persoonlijke levenssfeer. Het onderzoek Politie Infodesk II richt zich op de naleving van de Wpg en Besluit politiegegevens (Bpg) door de Regionale infodesks. Tijdens het onderzoek is nagegaan of korps Drenthe het autorisatievereiste naleeft alsmede de protocolplicht ten aanzien van enerzijds autorisaties en anderzijds ten aanzien van de mogelijkheid aanwijzingen van onbevoegd gebruik van politiegegevens door de infodesk door middel van een audit te controleren. Voorts is nagegaan of invulling en uitvoering wordt gegeven aan de taken die zijn toegeschreven aan de privacyfunctionaris. Werkwijze De onderzoekers van het CBP hebben op 30 maart 2009 een bezoek gebracht aan het Hoofdbureau van politie Drenthe, alwaar interviews zijn gehouden. Vervolgens is op 31 maart 2009 een bezoek gebracht aan Voorziening tot samenwerking Politie Nederland (vtspn), verzorgingsgebied Noord-Oost. Op 20 mei 2009 heeft het CBP aan het korps Drenthe de Rapportage van voorlopige bevindingen naar aanleiding van het onderzoek toegezonden. Bij brief van 9 juni 2009 is op deze bevindingen gereageerd. Deze reactie heeft geleid tot een enkele tekstuele aanpassing, zonder af te doen aan de conclusies zoals weergegeven in de Rapportage van voorlopige bevindingen. 4

5 Op grond van artikel 60, tweede lid Wbp heeft het CBP, eveneens op 20 mei 2009, de Rapportage van voorlopige bevindingen aan de Minister van Justitie en de Minister van Binnenlandse Zaken en Koninkrijksrelaties ter kennis gebracht voor het geven van hun zienswijze. De beide Ministers hebben van de geboden mogelijkheid geen gebruik gemaakt. Gelet op het voorgaande worden de bevindingen van het CBP hiermee definitief vastgesteld. 5

6 2 Autorisaties Toekenning van autorisaties ingevolge Wpg en Bpg en het landelijk autorisatiemodel BVO Artikel 4, derde lid Wpg legt aan de verantwoordelijke de verplichting op om passende technische en organisatorische maatregelen te nemen om politiegegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. Hieraan wordt door de verantwoordelijke onder meer invulling gegeven door zorg te dragen voor het ontwikkelen en onderhouden binnen zijn korps van een systeem van autorisaties dat voldoet aan de vereisten van zorgvuldigheid en evenredigheid, op grond van artikel 6, eerste lid Wpg. De verantwoordelijke zal hierdoor in staat zijn de verwerking van politiegegevens toe te delen aan personen die onder zijn beheer vallen en voor wie de verwerking noodzakelijk is voor de vervulling van hun taken. Hoewel de verantwoordelijke een zekere mate van vrijheid heeft om het systeem van autorisaties in te vullen, is voor de meer specialistische verwerkingen van politiegegevens (voor zover in dit onderzoek relevant) ingevolge artikel 6, zesde lid Wpg in het Bpg geregeld welke politieambtenaren daarvoor in aanmerking komen (artikelen 2:1, 2:2, 2:5 en 2:8 Bpg) en welke eisen aan de opleiding van die ambtenaren worden gesteld (artikel 2:9 Bpg). De vereisten van zorgvuldigheid en evenredigheid impliceren dat personen niet ruimer geautoriseerd worden dan voor de uitvoering van hun taak nodig is. De toekenning van autorisaties zal dan ook afhangen van de risico s die zijn verbonden aan de taken; hoe groter het risico, hoe hoger de functionaris die geautoriseerd wordt binnen de politie geplaatst is, waarbij ook zijn kwalificatie en specialisatie een rol spelen. Daarbij geldt eveneens dat het aantal personen dat geautoriseerd wordt afhangt van de gevoeligheid van de betreffende politiegegevens: het aantal neemt af naarmate de gevoeligheid van gegevens toeneemt. De landelijke informatiehuishouding die wordt nagestreefd door de Nederlandse politie leidt ertoe dat een landelijk systeem van autorisaties is ontwikkeld voor de verwerking van politiegegevens. Voor de politiegegevens die door middel van de applicatie BVO 1 worden verwerkt geeft het Autorisatiemodel BVO inzicht in het toepasbare systeem van horizontale en verticale autorisaties, waarbij uitvoering wordt gegeven aan het beginsel van evenredigheid en zorgvuldigheid. Het Autorisatiemodel BVO is als volgt toegelicht: Binnen de BVO wordt aan gegevens(groepen) een autorisatieniveau toegekend in het bereik van 0 tot en met 9. De horizontale autorisatieniveaus 0 tot en met 3 worden gebruikt om gegevens zichtbaar te maken binnen en buiten de eigen registratie. De autorisatieniveaus verticaal 4 tot en met 9 worden gebruikt om binnen de eigen registratie onderscheid aan te kunnen brengen wie bij welke gegevens kan. Medewerkers worden binnen de BVO geautoriseerd voor gegevens(groepen) en/of registratie en registers. Daarnaast kunnen medewerkers op basis van rollen en taken autorisatie krijgen waarbij er ook doorzicht (op de verticale autorisatie) [kan] worden gerealiseerd. Autorisaties worden door gebruikers toegekend aan verschillende door hen ingevoerde gegevens(groepen) zoals registraties, mutaties, objecten e.d.. Hiermee [wordt] indirect autorisatieniveau, anders dan standaard, toegekend aan gegevens(groepen) zoals kenmerken aan mutaties en objecten, en relaties tussen objecten. ( ) 2 1 Infodeskmedewerkers maken voor de uitoefening van hun taak gebruik van verscheidene applicaties. Dit onderzoek richt zich voornamelijk op de applicatie Basis Voorziening Opsporing. 2 Autorisatiemodel BVO, vts Politie Nederland, 30 mei 2007, p. 2. 6

7 Voorts is in relatie tot het autorisatieniveau in het model onderscheid gemaakt naar het niveau van afscherming: categorieën A tot en met D en Zwacri 1. Categorie A-onderzoeken betreffen gegevens ter uitvoering van de dagelijkse politietaak, zoals vermeld in artikel 8 Wpg. Deze gegevens zijn het minst gevoelig en kunnen tot een jaar breed binnen de politie verwerkt worden. Zij zijn tot en met niveau 3 opgenomen in BVO. Voor het in combinatie met elkaar verwerken van deze gegevens ter uitvoering van de dagelijkse politietaak die ouder zijn dan een jaar, kunnen infodeskmedewerkers worden geautoriseerd op grond van artikel 2:1 Bpg. Het gaat dan om een samengestelde zoekvraag waarbij gezocht wordt naar onderlinge verbanden ten behoeve van bijvoorbeeld een briefing in het kader van surveillance. Categorie B-onderzoeken zijn onderzoeken in verband met de handhaving van de rechtsorde in een bepaald geval (gerichte onderzoeken, artikel 9 Wpg), inclusief afgesloten onderzoeken. Deze onderzoeken zijn toegankelijk op niveau 4. Een autorisatie op niveau 4 betekent dat informatie op niveau 4 geraadpleegd kan worden, evenals de index van niveau 5. Voor de gerichte onderzoeken in de categorieën C en D geldt in relatie tot categorie B een groter belang van afscherming zodat deze alleen zichtbaar zijn voor ambtenaren geautoriseerd vanaf niveau 5. Op dit niveau en hoger is ook informatie zichtbaar uit een onderzoek dat inzicht geeft in de betrokkenheid van personen bij bepaalde ernstige bedreigingen van de rechtsorde (zogenaamde Zwacri-informatie, artikel 10 Wpg) die niet operationeel gebruikt kan worden. Operationeel te gebruiken Zwacri-informatie is wel zichtbaar op niveau 4, evenals teaminformatie in een onderzoek uit categorie B. Op grond van artikel 2:2, eerste lid Bpg kunnen infodeskmedewerkers geautoriseerd worden om dagelijkse politietaak-gegevens (artikel 8 Wpg) en gerichte onderzoek-gegevens (artikel 9 Wpg) geautomatiseerd te vergelijken, zoals bedoeld in artikel 11, eerste lid Wpg. Dit betekent dat in het kader van een gericht onderzoek op basis van hit/no hit gegevens bevraagd worden die ten behoeve van andere doelen binnen de politietaak worden verwerkt. Dit zijn gegevens die in het autorisatiemodel op de niveaus 0 tot en met 5 staan. Artikel 2:2, tweede lid Bpg bepaalt dat infodeskmedewerkers in het voorkomende geval geautoriseerd kunnen worden voor het geautomatiseerd vergelijken van gegevens ten behoeve van een onderzoek van de Criminele Inlichtingen Eenheid (CIE) of de Regionale Inlichtingen Dienst (RID) (artikel 10, eerste lid onder a respectievelijk c Wpg) en voor het in combinatie met elkaar verwerken van politiegegevens ten behoeve van diezelfde onderzoeken (ingevolge artikel 11, tweede en vierde lid Wpg). Autorisatie van infodeskmedewerkers kan plaatshebben indien dat dringend noodzakelijk voor een goede uitvoering van de politietaak is in verband met personele capaciteit; alle politiegegevens kunnen in beeld gebracht worden, zodat de kring van te autoriseren personen beperkt moet blijven. Dit betreft ook gegevens vanaf niveau 4. Het risico zit in de gespecialiseerde wijze van zoeken. Door middel van het systeem van autorisaties en deskundigheidseisen wordt de kwaliteit van het zoeken gewaarborgd. Deze autorisatie wordt toegekend in overeenstemming met het hoofd van de betreffende eenheid. Op grond van artikel 2:5 Bpg kunnen infodeskmedewerkers in voorkomende gevallen geautoriseerd worden voor het verwerken van politiegegevens in onderzoeken van de CIE of RID (artikel 10, eerste lid onder a respectievelijk c Wpg). Dit betekent ten behoeve van het voorbereiden van projecten of het opstellen van operationele en strategische misdaadanalyses, 1 Zwacri heeft betrekking op gegevens die inzicht geven in betrokkenheid van personen en organisatie bij bepaalde ernstige bedreigingen van de rechtsorde. 7

8 indien dit dringend noodzakelijk is voor een goede uitvoering van de politietaak en in overeenstemming met het hoofd van de betreffende eenheid. Dit kan politiegegevens betreffen vanaf niveau 4 (operationeel te gebruiken) en hoger (niveau 5: alleen te gebruiken na overleg met de afzender; niveau 6: informatie met zware beperkingen voor het gebruik; niveaus 7 en 8: niet operationeel te gebruiken). Het risico zit in de aard van de gegevens. Artikel 2:8 Bpg ten slotte regelt dat infodeskmedewerkers geautoriseerd kunnen worden voor landelijke verwerkingen met betrekking tot taken ten dienste van justitie (ingevolge artikel 13, eerste lid onder e Wpg) en het geautomatiseerd vergelijken met het oog op meldingen van verschillende verwerkingen jegens eenzelfde persoon (ingevolge artikel 13, derde lid Wpg). Infodeskmedewerkers zijn in dit kader ambtenaren die werkzaam zijn bij een eenheid die met de uitvoering van deze taken zijn belast. Het betreft de ondersteuning van de politietaak door de verdere verwerking van politiegegevens, zowel gegevens die verwerkt worden ter uitvoering van de dagelijkse politietaak als gegevens die verwerkt worden in het kader van gerichte onderzoeken, en beschikbaar gestelde gegevens uit onderzoeken die inzicht geven in de betrokkenheid van personen bij bepaalde ernstige bedreigingen van de rechtsorde. Toekenning van BVO-autorisaties aan infodeskmedewerkers van korps Drenthe Het proces van toekenning - zorgvuldigheid Artikel 6, eerste lid Wpg schrijft voor dat het systeem van autorisaties zorgvuldig en evenredig is. Op grond van artikel 6, tweede lid Wpg worden politiegegevens slechts verwerkt door ambtenaren van politie die daartoe door de verantwoordelijke zijn geautoriseerd en voor zover de autorisatie strekt. Dit impliceert dat autorisaties op zorgvuldige wijze moeten worden toegekend, door middel van een formele procedure en een controleerbaar proces. Het onderzoek heeft uitgewezen dat voor toekenning van een BVO-autorisatie aan een (senior) medewerker operationele ondersteuning en informatie, taakveld infodesk (verder: (senior) infodeskmedewerker) een verzoek moet worden gedaan bij vtspn, verzorgingsgebied Noord- Oost. Dit gebeurt door middel van een autorisatieformulier. Het verzoek om een BVO-applicatie aan te maken wordt door de dienstchef naar de afdeling Facilitair gestuurd. Dit verzoek wordt gecontroleerd door de privacyfunctionaris. VtsPN zorgt voor de toekenning van een autorisatie op het systeem waar BVO op draait. De functioneel beheerder binnen het korps autoriseert vervolgens de medewerker binnen de applicatie, nadat hij gecontroleerd heeft dat de infodeskmedewerker de opleiding BVO heeft doorlopen. Het CBP constateert dat de toekenning van deze autorisaties formeel is georganiseerd en controleerbaar is en dat deze op zorgvuldige wijze zoals bedoeld in artikel 6, eerste lid Wpg plaatsvindt. Conclusie: Toekenning van autorisaties vindt plaats volgens een formele procedure en een controleerbaar proces en is in overeenstemming met het zorgvuldigheidsvereiste uit artikel 6, eerste lid Wpg. De niveaus van toekenning - evenredigheid Artikel 6, zesde lid Wpg bepaalt dat in het Bpg nadere regels worden gesteld over de categorieën van personen die voor bepaalde gegevensverwerking geautoriseerd kunnen worden. Op grond van de artikelen 2:1 en 2:2, eerste lid Bpg kunnen infodeskmedewerkers geautoriseerd worden voor de gespecialiseerde verwerkingen van politiegegevens ten behoeve van de uitvoering van de dagelijkse politietaak (artikel 8 Wpg) en gerichte onderzoeken (artikel 9 Wpg), in dit geval de geautomatiseerde vergelijking van politiegegevens. Artikel 2:8 Bpg bepaalt dat infodeskmedewerkers geautoriseerd kunnen worden voor de verwerking van politiegegevens 8

9 ten behoeve van ondersteunende taken (artikel 13, eerste lid en derde lid Wpg). In voorkomende gevallen kunnen infodeskmedewerkers geautoriseerd worden op grond van artikel 2:2, tweede lid Bpg en artikel 2:5 Bpg voor de verwerking van Zwacri- en RID-gegevens of ten behoeve daarvan, waaronder het geautomatiseerd vergelijken en in combinatie verwerken van politiegegevens (artikel 10 Wpg en artikel 11, tweede en vierde lid Wpg). Op grond van het autorisatiemodel BVO geldt dat infodeskmedewerkers geautoriseerd kunnen worden op niveau 4. Dat geldt ook voor de superregistratie voor tactische onderzoeken, door middel waarvan breed in andere onderzoeken gekeken kan worden. Dit niveau correspondeert met de verwerking van politiegegevens ten behoeve van de uitvoering van de dagelijkse politietaak (artikel 8 Wpg) en gerichte onderzoeken (artikel 9 Wpg), voorzover deze niet afgeschermd zijn (de categorieën C en D). Uit het onderzoek bij het korps Drenthe is het volgende gebleken. Het BVO-autorisatieniveau voor zowel infodeskmedewerker als voor de senior infodeskmedewerker is 4. Dit is het niveau waarop tactische onderzoeken worden geopend en waarop de infodesk normaliter werkt. Niveau 4 houdt in dat politiegegevens ten behoeve van de dagelijkse uitvoering van de politietaak en gerichte onderzoeken (artikel 8 en artikel 9 Wpg) kunnen worden verwerkt. Dit betekent ook dat artikel 10 Wpg-verwerkingen niet plaatsvinden; deze zijn voorbehouden aan de CIE en RID en infodeskmedewerkers van korps Drenthe worden hiervoor niet geautoriseerd. Operationele informatie uit een Zwacri-onderzoek wordt op niveau 4 beschikbaar gesteld ten behoeve van onderzoekteams, zodat deze door de infodeskmedewerker wel te raadplegen is. In de infodeskregistratie beheert de infodesk zijn informatierapporten, waarin is vastgelegd welke bronnen zijn geraadpleegd en of, en zo ja hoe, de informatie verstrekt is. Deze eigen registratie staat op niveau 5, zodat de infodeskmedewerkers ook tot dat niveau geautoriseerd zijn. Het beheer van de superregistraties ligt bij vtspn, verzorgingsgebied Noord-Oost Nederland. CIE-medewerkers en infodeskmedewerkers zijn geautoriseerd, de laatste op niveau 4. Dat geldt ook voor de teamchef. Categorie C en D-onderzoeken, die vanaf niveau 5 worden verwerkt in BVO, kunnen niet via de superregistratie gezien worden door infodeskmedewerkers. Uit het onderzoek is voorts gebleken dat het in combinatie met elkaar verwerken, zoals bedoeld in artikel 11, vierde lid Wpg, door infodeskmedewerkers van korps Drenthe niet wordt toegepast. Dit is toe te schrijven aan technische aspecten. Zoeken vindt plaats door middel van de applicatie BlueView 1, HKS (het herkenningsdienstsysteem) of de fotomodule. Deze zijn te kwalificeren als verwerkingen ten behoeve van de ondersteunende politietaak (artikel 13 Wpgverwerkingen). Het CBP stelt op basis van het voorgaande vast dat de infodeskmedewerkers voor BVO zijn geautoriseerd volgens het autorisatiemodel BVO, hetgeen in overeenstemming is met de artikelen 8, 9 en 13 Wpg en de artikel 2:1, 2:2, eerste lid en 2:8 Bpg. Tevens stelt het CBP vast dat 1 In de Review methodiek IOOV voor onderzoek naar zeven samenwerkingsafspraken bij de politie, Algemene Rekenkamer, d.d. 31 oktober 2008, wordt de volgende definitie van BlueView gehanteerd: 'De Basisvoorziening BlueView is het hulpmiddel om de registraties van andere korpsen over handhaving en opsporing direct te kunnen raadplegen. Dagelijks worden alle gegevens uit de bronsystemen, waaronder BVH en BVO, ingelezen in BlueView, zodat deze de volgende dag voor alle politiekorpsen beschikbaar zijn. Alle in Nederland aangemaakte processen-verbaal van aangiften, verhoren, ambtelijke verslagen, dossiers, rapportages en documenten over in beslag genomen goederen van de afgelopen vijf jaar zijn terug te vinden in en te doorzoeken via BlueView.' 9

10 de verwerking van politiegegevens op basis van of ten behoeve van artikel 10 Wpg niet door infodeskmedewerkers wordt uitgevoerd, hetgeen in overeenstemming is met de artikelen 2:2, tweede lid en 2:5 Bpg. Conclusie: Autorisatie van infodeskmedewerkers is evenredig en vindt plaats in overeenstemming met de artikelen 6, 8, 9 en 13 Wpg en de artikel 2:1, 2:2, eerste lid en 2:8 Bpg. Opleiding als voorwaarde voor autorisatietoekenning Naarmate de verwerking ingrijpender is op de persoonlijke levenssfeer, is een grotere deskundigheid van belang. Ingevolge artikel 6, zesde lid Wpg zijn in artikel 2:9 Bpg nadere regels opgenomen omtrent de deskundigheidseisen die kunnen worden gesteld aan de categorieën van personen die voor bepaalde gegevensverwerkingen geautoriseerd kunnen worden. Dit betreft de categorieën van personen als bedoeld in de artikelen 2:1 tot en met 2:5 Bpg. Deze personen moeten beschikken over kennis en vaardigheden op het gebied van het informatieproces binnen de politie, kennis van de wet - en regelgeving die relevant is voor de verwerking van politiegegevens en van methoden en technieken van informatieanalyse. Voor de categorie personen die op grond van artikel 2:1 Bpg geautoriseerd kan worden zijn geen specifieke eisen gesteld op het gebied van opleiding en ervaring; de bestaande eisen die gelden voor de infodesk voldoen. Artikel 11 van de Regeling Regionale Infodesk geeft hieraan invulling: minimumeis is dat de opleiding Basisopleiding Informatievoorziening (BOIV) is gevolgd, terwijl voor bijzondere politieregisters hogere kwaliteitseisen gelden, op te doen in het kader van een vervolgopleiding. 1 Infodeskmedewerkers werkzaam bij het korps volgen verschillende voor hun taak relevante opleidingen, waaronder RINF (Recherche Informatie; voorheen BOIV), een cursus BVO en een cursus Wpg. Er wordt voorzien in bijscholing. Het CBP stelt vast dat hieraan door het korps voldoende aandacht wordt besteed, zodat in overeenstemming met artikel 6 Wpg j artikel 2:9 Bpg wordt gehandeld. Voor het toepassen van geautomatiseerde vergelijkingen ingevolge artikel 11, eerste lid Wpg (artikel 2:2, eerste lid Bpg), worden vanwege de grote afbreukgevoeligheid door de wetgever aanvullende eisen gesteld: kennis en expertise op het gebied van datasystemen, recherchewerk, het specifieke werk van de CIE en de bescherming van de persoonlijke levenssfeer. 2 Tijdens het onderzoek is enerzijds aangegeven dat medewerkers BOA zijn en een achtergrond hebben die bij dit werk van pas komt, maar dat anderzijds een rechercheachtergrond niet verplicht is. Juist in dat kader kunnen gespecialiseerde opleidingen worden gevolgd. Bovendien is in het functieprofiel, dat voor het laatst is aangepast op 5 november 2006, niet aangegeven dat expertise of kennis op het gebied van recherchewerk aanwezig dient te zijn. Voor zover infodeskmedewerkers geautoriseerd zijn voor het geautomatiseerd vergelijken van politiegegevens ten behoeve van een gericht onderzoek, zoals bedoeld in artikel 11, eerste lid Wpg, constateert het CBP dat het niet verplicht stellen van kennis en expertise op het gebied van recherchewerk in strijd is met artikel 2:9 Bpg. 1 De Regeling Regionale Infodesk, zoals vastgesteld door de Raad van Hoofdcommissarissen. Deze gaat nog uit van de Wet politieregisters. 2 Toelichting bij het Bpg, Stb. 2007, 550, p

11 Conclusie: Aan opleiding van infodeskmedewerkers ten behoeve van het toekennen van autorisaties wordt voldoende aandacht besteed. Voor de infodeskmedewerkers is het hebben van kennis en expertise op het gebied van recherchewerk niet verplicht gesteld om een autorisatie ten behoeve van een artikel 11, eerste lid Wpg-verwerking te verkrijgen. Dit is in strijd met artikel 2:9 Bpg. 11

12 3 Protocolplicht Uitgangspunt protocollering Artikel 4, derde lid Wpg legt aan de verantwoordelijke de verplichting op om passende technische en organisatorische maatregelen te nemen om politiegegevens te beveiligen tegen verlies of enige vorm van onrechtmatige verwerking. In de artikelen 33, 34 en 35 Wpg is geregeld dat op de verwerking van gegevens interne en externe controle plaatsvindt. Om deze controle mogelijk te maken is de protocolplicht neergelegd in artikel 32 Wpg: de verantwoordelijke draagt zorg voor de schriftelijke vastlegging van autorisaties en aanwijzingen van onbevoegd gebruik, beide onderwerp van dit onderzoek, maar ook voor de schriftelijke vastlegging van doelen van onderzoek en verstrekkingen. Schriftelijke vastlegging van de toekenning van autorisaties Artikel 32, eerste lid onder c Wpg bepaalt dat de verantwoordelijke zorg draagt voor de schriftelijke vastlegging van de toekenning van de autorisaties, bedoeld in artikel 6 Wpg. Artikel 6, derde lid Wpg gebiedt dat de autorisatie een duidelijke omschrijving geeft van de verwerkingen waartoe iemand wordt geautoriseerd en van de onderdelen van de politietaak ter uitvoering waarvan de verwerkingen worden verricht. Dit maakt controle en toezicht mogelijk op de toekenning van autorisaties. In het kader van dit onderzoek is gekeken naar de BVOautorisaties. Uit het Autorisatiemodel BVO volgt voor ieder autorisatieniveau welke bevoegdheden daarbij horen. De privacyfunctionaris van het korps Drenthe bewaart de schriftelijke autorisatiebesluiten. Hierop staat het autorisatieniveau niet vermeld. De afdeling Facilitair binnen het korps beschikt over een digitaal overzicht van de aangevraagde en verleende autorisaties. Eens per maand wordt een uitdraai gemaakt van dit overzicht, die wordt verstrekt aan de functioneel beheerder. Op het overzicht zijn de autorisatieniveaus niet vermeld. Omdat het overzicht niet correspondeert met het Autorisatiemodel BVO, stelt het CBP vast dat niet kan worden bepaald welke bevoegdheden de betreffende medewerker heeft. Conclusie: In afwijking van de regels die de artikelen 32, eerste lid onder c Wpg j artikel 6, derde lid Wpg daarvoor geven is controle van de autorisaties niet mogelijk omdat de schriftelijke vastlegging daarvan geen inzicht geeft in het niveau van de BVO-autorisaties. De wijze van schriftelijke vastlegging is in strijd met de wet. Controlemogelijkheden van aanwijzingen van onbevoegd gebruik Op grond van artikel 32, eerste lid onder e Wpg worden aanwijzingen van onbevoegd gebruik schriftelijk vastgelegd. Artikel 6:4 Bpg geeft ingevolge artikel 32, vierde lid Wpg nadere regels over de wijze van vastlegging van de verschillende politiegegevens uit artikel 32, eerste lid Wpg. Daarnaast houdt artikel 6:4, tweede lid Bpg een aanvulling in van de protocolplicht, ten aanzien van de geautomatiseerde vergelijking en het in combinatie met elkaar verwerken (de gespecialiseerde verwerkingen ingevolge de artikelen 11, eerste, tweede, vierde en vijfde lid Wpg): vastgelegd worden in dit kader - de gegevens die voor rechtstreekse raadpleging zijn gebruikt; - de identiteit of het kenmerk van de politieambtenaar die de rechtstreekse raadpleging heeft uitgevoerd; 12

13 - de gegevens op grond waarvan kan worden nagegaan welke gegevens ter beschikking zijn gesteld voor verdere verwerking voor een doel, als bedoel in artikel 9 of 10 van de wet. Uit zowel de Memorie van Toelichting bij de Wpg als uit de Toelichting bij het Bpg blijkt dat de praktijk de nodige ruimte wordt gelaten ten aanzien van de vastlegging van gegevens bij aanwijzingen van onbevoegde of onrechtmatige verwerking van politiegegevens. Voor het opsporen van dergelijke verwerkingen kan gebruik worden gemaakt van zogenaamde gebruikers- en gedragsprofielen, die inzicht kunnen geven in de gevallen waarin het patroon van de raadpleging of gebruik van politiegegevens door een individuele gebruiker afwijkt van het patroon, dat op grond van de toegekende autorisatie(s) in zijn algemeenheid zou kunnen worden verwacht. 1 Voorop staat dat de protocolplicht als doel heeft controle en toezicht mogelijk te maken van enige vorm van onrechtmatige verwerking, onder verwijzing naar artikel 4, derde lid Wpg, bijvoorbeeld door middel van een steekproef tijdens een audit. Hieruit leidt het CBP af dat de handelingen van infodeskmedewerkers betreffende het verwerken van politiegegevens zodanig moeten worden vastgelegd, dat een dergelijke controle uitgevoerd kan worden. Met het oog op die controle, waaronder de mogelijkheid te controleren op aanwijzingen van onbevoegd gebruik, is het CBP daarom bij de korpsen nagegaan of, en zo ja op welke wijze handelingen van de infodeskmedewerkers in logbestanden worden vastgelegd. Dit zijn geautomatiseerde vastleggingen. Het CBP sluit hierbij aan bij de Code voor Informatiebeveiliging 2 waarin is vastgelegd dat activiteiten van gebruikers, uitzonderingen en informatiebeveiligingsgebeurtenissen behoren te worden vastgelegd in audit-logbestanden. Deze logbestanden behoren gedurende een overeengekomen periode te worden bewaard, ten behoeve van toekomstig onderzoek en toegangscontrole. 3 De doelstelling hiervan is het ontdekken van onbevoegde informatieverwerkingsactiviteiten, zoals ook bedoeld in de artikel 32 Wpg en verder, zodat de Code voor Informatiebeveiliging een uitwerking vormt van deze wettelijke norm. Uit het onderzoek is het volgende naar voren gekomen. Het korps Drenthe legt de verwerkingen die worden uitgevoerd door middel van BlueView vast. Door middel van dit logfile kan gezien worden wat een ander korps bij korps Drenthe bevraagt en wat vanuit korps Drenthe bevraagd wordt. Daarnaast is gebleken dat handelingen van infodeskmedewerkers die plaatsvinden binnen BVO ten tijde van het onderzoek niet van alle medewerkers automatisch werden vastgelegd in een logbestand. Het korps was op dat moment voornemens om vanaf begin april 2009 wel standaard deze verwerkingen door medewerkers te loggen. Hieruit volgt dat controle op onbevoegd gebruik door middel van BVO ten tijde van het onderzoek niet mogelijk was voor alle medewerkers en dat daarmee in strijd met artikel 4, derde lid Wpg in verbinding met artikel 32, eerste lid onder e Wpg j artikel 6:4, tweede lid Bpg werd gehandeld. Op twee niveaus worden gegevens omtrent verwerkingen op geautomatiseerde wijze vastgelegd: op applicatieniveau en op userniveau. Daarnaast kunnen handelingen per toetsaanslag van medewerkers worden vastgelegd. Deze functie moet apart aangezet worden. Dit gebeurt bijvoorbeeld ten behoeve van een intern onderzoek door Bureau Interne Zaken naar (onrechtmatige verwerkingen door) een bepaalde medewerker. 1 Toelichting bij het Bpg, Stb 2007, 550, p. 105; zie ook TK , , nr. 3, p NEN-ISO/IEC 27002: NEN-ISO/IEC 27002:2007, p. 64 en

14 Het CBP heeft vastgesteld dat de logbestanden waarin de vastleggingen bewaard worden ten aanzien van individuele medewerkers inzicht geven in op welk moment door de betreffende medewerker in welke record informatie is geraadpleegd, geschreven of bevestigd. Gezien kan worden dat gegevens zijn gewijzigd. Dit betekent dat de vastleggingen die plaatsvinden voldoende informatie bevatten om aanwijzingen van onbevoegd gebruik te kunnen controleren, in overeenstemming met artikel 4, derde lid Wpg en artikel 32, eerste lid onder e Wpg. Conclusie: Het gebruik van de applicatie BVO door de infodesk wordt niet standaard voor iedere medewerker vastgelegd in een logbestand. Hieruit volgt dat controle op onbevoegd gebruik door middel van BVO ten tijde van het onderzoek niet mogelijk was voor alle medewerkers en dat daarmee in strijd met artikel 4, derde lid Wpg in verbinding met artikel 32, eerste lid onder e Wpg j artikel 6:4, tweede lid Bpg werd gehandeld. Voor zover verwerkingen door infodeskmedewerkers worden vastgelegd in logbestanden, geven deze voldoende informatie om aanwijzingen van onbevoegd gebruik te kunnen controleren, in overeenstemming met artikel 4, derde lid Wpg en artikel 32 Wpg. Bewaartermijn De politiegegevens die op grond van de protocolplicht zijn vastgelegd moeten ten minste worden bewaard tot de datum waarop de laatste periodiek te verrichten audit ingevolge artikel 33 Wpg is verricht (artikel 32, derde lid Wpg). De bewaartermijn van deze gegevens is verbonden met het doel van de verwerking: het mogelijk maken van controle op onrechtmatige verwerking. Dit geldt daarom ook voor de automatische vastleggingen van handelingen van infodeskmedewerkers in logbestanden. Voor de schriftelijke vastlegging van autorisaties geldt dat deze in ieder geval moeten worden bewaard zolang de autorisaties gelden. In artikel 6:5 Bpg is bepaald dat de audit twee jaren na inwerkingtreding van de wet en vervolgens eenmaal in de vier jaren geschiedt. Het CBP heeft in dit verband onderzocht welke bewaartermijn wordt gehanteerd voor de automatische vastleggingen van verwerkingen van politiegegevens door infodeskmedewerkers. Tijdens het onderzoek is medegedeeld dat de logbestanden waarin gegevens met betrekking tot handelingen door medewerkers worden vastgelegd minimaal één jaar bewaard worden, behalve de bestanden van onderzoeken die inzicht geven in de betrokkenheid van personen bij bepaalde ernstige bedreigingen van de rechtsorde (artikel 10 Wpg-verwerkingen). Deze worden minimaal drie jaar bewaard. Deze termijnen zijn te kort om controle door middel van een audit, zoals bedoeld in artikel 32, derde lid in samenhang met artikel 33 Wpg j artikel 6:5 Bpg, mogelijk te maken, zodat in strijd met deze artikelen wordt gehandeld. Conclusie: De bewaartermijnen van de logbestanden van één respectievelijk drie jaar zijn te kort om controle door middel van een audit mogelijk te maken. Dit is in strijd met artikel 32, derde lid in samenhang met artikel 33 Wpg j artikel 6:5 Bpg. 14

15 4 Privacyfunctionaris Benoeming en aanmelding Ingevolge artikel 34 Wpg benoemt de verantwoordelijke een privacyfunctionaris. De privacyfunctionaris dient door de verantwoordelijke bij het CBP te worden aangemeld. Uit het onderzoek is gebleken dat de privacyfunctionaris van het korps Drenthe door de verantwoordelijke als zodanig is aangewezen en aangemeld is bij het CBP. Conclusie: Benoeming en aanmelding van de privacyfunctionaris geschieden in overeenstemming met artikel 34, eerste respectievelijk vierde lid Wpg. Taken De door de verantwoordelijke benoemde privacyfunctionaris ziet ingevolge artikel 34, eerste lid Wpg namens de verantwoordelijke toe op de verwerking van politiegegevens overeenkomstig het bij of krachtens de wet bepaalde en dient hem van advies. De privacyfunctionaris kan voorlichting geven bij het inrichten en uitvoeren van werkprocessen en bij het verlenen van autorisaties voor gegevensverwerkingen. Daarnaast heeft hij een belangrijke rol bij het recht op kennisneming en verbetering van politiegegevens. 1 De privacyfunctionaris van korps Drenthe voert blijkens het onderzoek zijn adviestaak uit, meer specifiek op het gebied van de toekenning van autorisaties, interne en externe verstrekkingen, convenanten met derden en inzageverzoeken. Conclusie: De privacyfunctionaris voert zijn adviestaak uit in overeenstemming met de wet. Artikel 34, tweede lid Wpg bepaalt dat de privacyfunctionaris een overzicht bijhoudt van de schriftelijke vastlegging van de gegevens bedoeld in artikel 32, eerste lid Wpg. Zodoende kan uitvoering worden gegeven aan de verplichting namens de verantwoordelijke toe te zien op verwerkingen. De privacyfunctionaris heeft aangegeven dat nog geen specifieke invulling is gegeven aan de controlefunctie. De controlefunctie is evenmin opgenomen in het functieprofiel behorende bij de functie van privacyfunctionaris. De privacyfunctionaris beschikt over de schriftelijke autorisatiebesluiten, waarop het autorisatieniveau voor BVO niet is vermeld. Hij voert geen controles uit op de autorisaties. Wat betreft de controle op de aanwijzingen van onbevoegd gebruik is aangegeven dat de privacyfunctionaris hiervan geen overzicht voorhanden heeft. Er wordt geen structureel toezicht op uitgeoefend. Conclusie: De privacyfunctionaris kan in beperkte mate toezien op de autorisaties, maar oefent geen toezicht uit op aanwijzingen van onbevoegd gebruik. Dit is in strijd met artikel 34, eerste en tweede lid Wpg. Jaarverslag De privacyfunctionaris dient op grond van artikel 34, derde lid Wpg jaarlijks een verslag op te stellen van zijn bevindingen. De privacyfunctionaris heeft aangegeven dit over het jaar 2008 niet gedaan te hebben. Conclusie: De privacyfunctionaris voldoet niet aan de verplichting van artikel 34, derde lid, Wpg om jaarlijks een verslag op te stellen van zijn bevindingen. 1 Kamerstukken II, , , nr. 3, p

16 5 Conclusies Autorisaties Toekenning van autorisaties vindt plaats volgens een formele procedure en een controleerbaar proces en is in overeenstemming met het zorgvuldigheidsvereiste uit artikel 6 Wpg. Autorisatie van infodeskmedewerkers is evenredig en vindt plaats in overeenstemming met de artikelen 6, 8, 9 en 13 Wpg en de artikel 2:1, 2:2, eerste lid en 2:8 Bpg. Aan opleiding van infodeskmedewerkers ten behoeve van het toekennen van autorisaties wordt voldoende aandacht besteed. Voor de infodeskmedewerkers is het hebben van kennis en expertise op het gebied van recherchewerk niet verplicht gesteld om een autorisatie ten behoeve van een artikel 11, eerste lid Wpg-verwerking te verkrijgen. Dit is in strijd met artikel 2:9 Bpg. Protocollering Schriftelijke vastlegging van autorisaties In afwijking van de regels die de artikelen 32, eerste lid onder c, j artikel 6, derde lid Wpg daarvoor geven is controle van de autorisaties niet mogelijk omdat de schriftelijke vastlegging daarvan geen inzicht geeft in het niveau van de BVO-autorisaties. De wijze van schriftelijke vastlegging is in strijd met de wet. Controlemogelijkheden van aanwijzingen van onbevoegd gebruik Het gebruik van de applicatie BVO door de infodesk wordt niet standaard voor iedere medewerker vastgelegd in een logbestand. Hieruit volgt dat controle op onbevoegd gebruik door middel van BVO ten tijde van het onderzoek niet mogelijk was voor alle medewerkers en dat daarmee in strijd met artikel 4, derde lid Wpg in verbinding met artikel 32, eerste lid onder e Wpg j artikel 6:4, tweede lid Bpg werd gehandeld. Voor zover verwerkingen door infodeskmedewerkers worden vastgelegd in logbestanden, geven deze voldoende informatie om aanwijzingen van onbevoegd gebruik te kunnen controleren, in overeenstemming met artikel 4, derde lid Wpg en artikel 32 Wpg De bewaartermijnen van de logbestanden van één respectievelijk drie jaar zijn te kort om controle door middel van een audit mogelijk te maken. Dit is in strijd met artikel 32, derde lid in samenhang met artikel 33 Wpg j artikel 6:5 Bpg. Privacyfunctionaris Benoeming en aanmelding van de privacyfunctionaris geschieden in overeenstemming met artikel 34, eerste respectievelijk vierde lid Wpg. De privacyfunctionaris voert zijn adviestaak uit in overeenstemming met de wet. De privacyfunctionaris kan in beperkte mate toezien op de autorisaties, maar oefent geen toezicht uit op onbevoegd gebruik. Dit is in strijd met artikel 34, eerste en tweede lid Wpg. De privacyfunctionaris voldoet niet aan de verplichting van artikel 34, derde lid Wpg om jaarlijks een verslag op te stellen van zijn bevindingen. 16