Rapport van bevindingen Hercontrole n.a.v. privacy audit Wpg FIOD

Transcriptie

1 Rapport van bevindingen Hercontrole n.a.v. privacy audit Wpg FIOD

2 Colofon Titel Uitgebracht aan Hercontrole n.a.v. privacy audit Wpg FIOD [naam] Algemeen directeur FIOD Datum 9 mei 2018 Kenmerk Inlichtingen Auditdienst Rijk

3 Inhoud Aanleiding opdracht 4 Verbeteracties inzake tekortkomingen uit privacy audit deels gerealiseerd 5 1 Verbeteracties protocolplicht deels afgerond Protocolplichten zijn nog niet op orde Protocolplicht autorisaties is niet volledig Protocolplicht rechtstreekse verstrekkingen is niet ingericht Er zijn tekortkomingen bij ingerichte protocolplichten 6 2 Geautomatiseerd vergelijken en In Combinatie Zoeken niet voldoende ingeperkt Autorisaties Geautomatiseerd vergelijken en In Combinatie Verwerken te ruim Gehanteerde definitie van Geautomatiseerd vergelijken te ruim Summ-IT functionaliteit beperkt zoekresultaten niet voldoende 7 3 Procedures verwijderen/vernietigen artikel 8 en 9 herschreven Procedures verwijderen en vernietigen artikel 8 en 9 herschreven Afschermen artikel 8 gegevens in opzet effectief 9 4 Informatiebeveiliging goed op weg maar organisatorisch niet volledig ingebed 10 5 Verantwoording onderzoek Werkzaamheden en afbakening Gehanteerde Standaard Verspreiding rapport 11 6 Ondertekening 12 3 van 15 Hercontrole n.a.v. privacy audit Wpg FIOD

4 Aanleiding opdracht De Wet politiegegevens 1 (Wpg) bevat regels voor de verwerking van politiegegevens en is van toepassing op die verwerking door de Politie, Rijksrecherche, Koninklijke Marechaussee en de bijzondere opsporingsdiensten. De Belastingdienst/FIOD is de bijzondere opsporingsdienst van het ministerie van Financiën en richt zich op het voorkomen en bestrijden van misbruik en oneigenlijk gebruik van wet- en regelgeving op de terreinen: fiscaal en douane, financieel-economisch en goederen. Daarnaast levert de FIOD een bijdrage aan de bestrijding van georganiseerde (commune) criminaliteit met fiscale en financiële componenten. De FIOD verricht ook de opsporingstaak bij (zware) fraude met toeslagen en (zware) premiefraude. De Wpg bevat voor een verantwoordelijke de verplichting om periodiek een privacy audit uit te laten voeren op de naleving van de regels die ingevolge die wet van toepassing zijn op het verwerken van politiegegevens. 2 In 2016 heeft de ADR de vierjaarlijkse privacy audit bij de FIOD uitgevoerd en over de uitkomsten gerapporteerd. De FIOD is verplicht om naar de geconstateerde tekortkomingen binnen een jaar, na verschijning van de hiervoor genoemde rapportage, een hercontrole uit te laten voeren. 3 In opdracht van [naam], algemeen directeur FIOD, heeft de Auditdienst Rijk die hercontrole, zoals de FIOD deze uit dient te laten voeren, verricht. De Wpg en het bijbehorende Besluit politiegegevens zijn op 1 januari 2008 van kracht geworden. In 2009 is, met het 'Besluit politiegegevens bijzondere opsporingsdiensten', de Wpg grotendeels van toepassing verklaard op de bijzondere opsporingsdiensten, waaronder de FIOD. Een aantal artikelen van de Wpg was vanaf de inwerkingtreding al van toepassing op de criminele inlichtingeneenheden van de bijzondere opsporingsdiensten. 1 Een politiegegeven is elk persoonsgegeven dat in het kader van de uitoefening van de politietaak wordt verwerkt (Wpg, art.1.a) 2 Wet Politiegegevens (WPG) artikel 33 en Besluit Politiegegevens artikel 6:5 3 Wet Politiegegevens (WPG) artikel 33 lid 3 4 van 15 Hercontrole n.a.v. privacy audit Wpg FIOD

5 Verbeteracties inzake tekortkomingen uit privacy audit deels gerealiseerd Op grond van onze werkzaamheden hebben wij vastgesteld dat de FIOD voor de tekortkomingen uit de Privacy audit Wpg 2015 verbeteracties heeft gedefinieerd met daaruit voortvloeiend wijzigingen in het stelsel van maatregelen en procedures gericht op naleving van de Wpg. Met deze wijzigingen beoogt de algemeen directeur FIOD de in de voorgaande privacy audit geconstateerde tekortkomingen, ten aanzien van de beheersing van de verwerkingen van politiegegevens, op te heffen. Van de gedefinieerde verbeteracties is een deel volledig afgerond. Dat heeft geleid tot het geheel oplossen van één derde van de tekortkomingen. Het overige deel van de verbeteracties is nog niet geheel afgerond, waarbij de FIOD ook sterk afhankelijk is van externe factoren. De uitgevoerde hercontrole heeft alleen betrekking op het onderdeel of de onderdelen van de wet ten aanzien waarvan in de voorgaande privacy audit tekortkomingen zijn geconstateerd. Aan deze hercontrole kan dan ook geen zekerheid worden ontleend aangaande het door FIOD al dan niet voldoen aan de Wpg. In de hoofdstukken 1 tot en met 4 zijn de belangrijkste bevindingen uit de hercontrole opgenomen. In hoofdstuk 5 geven wij nadere toelichting op de opzet en uitvoering van deze privacy audit. 5 van 15 Hercontrole n.a.v. privacy audit Wpg FIOD

6 1 Verbeteracties protocolplicht deels afgerond 1.1 Protocolplichten zijn nog niet op orde Artikel 32 Wpg schrijft voor dat de verantwoordelijke zorg draagt voor de schriftelijke vastlegging van een aantal gegevens. Deze protocolplicht is bedoeld om toezicht en controle mogelijk te maken. Tekortkomingen in de inrichting van de protocolplichten beperken de mogelijkheid om de werking van maatregelen te beoordelen Protocolplicht autorisaties is niet volledig Er is niet volledig voldaan aan de protocolplicht autorisaties: het ontbreekt aan (formele) vastleggingen voor de toegang tot individuele opsporingsdossiers. Ook biedt de applicatie Summ-IT, waarin de opsporingsdossiers worden gehouden, geen functionaliteit om de historie van autorisaties inzichtelijk te maken. De FIOD heeft een wijzigingsvoorstel voor Summ-IT ingediend met als doel het inzichtelijk maken welke medewerker wanneer, door wie en met welke rol binnen een onderzoek is ge(de-)autoriseerd. Deze functionaliteit is nog niet ingebouwd. Dat betekent dat op dit moment achteraf nog geen eenduidig onderzoek naar het verlenen van toegang tot individuele opsporingsdossiers in Summ-IT over een bepaalde periode kan worden uitgevoerd. Overigens is als beheersmaatregel op de autorisaties binnen onderzoeken wel een controle in het interne controleprogramma opgenomen en is er in een interne audit ingegaan op de autorisaties per onderzoek. Naar aanleiding van de audit is een beheersmaatregel geformuleerd die stelt dat medewerkers, die geen werkzaamheden meer uitvoeren binnen het onderzoek, direct verwijderd (gedeautoriseerd) dienen te worden door de projectleider van het onderzoek. Voorgeschreven was, dat deze de-autorisatie per kwartaal werd uitgevoerd Protocolplicht rechtstreekse verstrekkingen is niet ingericht De protocolplichten geautomatiseerd vergelijken met andere dan politiegegevens en verstrekken van artikel 10, 12 en 13 gegevens zijn door de FIOD ingericht. De protocolplicht rechtstreekse verstrekkingen is nog niet ingericht. De FIOD geeft aan dat zij deze laatste vorm van verstrekkingen ook niet toepast Er zijn tekortkomingen bij ingerichte protocolplichten De protocolplichten zijn met name procedureel geregeld en daarmee niet erg sterk zoals bijvoorbeeld logging zou kunnen zijn. Zo bestaat de protocolplicht onrechtmatige verwerkingen uit een meldingsprocedure bij het constateren van een (mogelijk) onrechtmatige verwerking. Er is daarnaast geen stelsel ingericht om onrechtmatige verwerkingen actief te constateren (logging en analyse op gebruik autorisaties bijvoorbeeld). De protocolgegevens worden, met uitzondering van die betreffende autorisaties, binnen de gebruikte primaire applicaties geregistreerd. Daarvan zijn geen (volledige en juiste) overzichten aan te maken over een bepaalde periode. Naast deze algemene zwakheden is er nog de specifieke tekortkoming dat er geen protocolmaatregel (bruikbare logging) ingebouwd is in de functionaliteit Zoeken en speuren in SUMM-IT. Ons inziens betreft het gebruik op de wijze waarop het binnen FIOD is ingericht geautomatiseerd vergelijken. 6 van 15 Hercontrole n.a.v. privacy audit Wpg FIOD

7 2 Geautomatiseerd vergelijken en In Combinatie Zoeken niet voldoende ingeperkt 2.1 Autorisaties Geautomatiseerd vergelijken en In Combinatie Verwerken te ruim Autorisaties met betrekking tot het geautomatiseerd vergelijken en het in combinatie zoeken 4 zijn in opzet, in de profielmatrix, te ruim toebedeeld. Zo is, bijvoorbeeld, Geautomatiseerd vergelijken van artikel 9 gegevens niet beperkt tot Informatiecoördinatie en TCI. Het is ook toebedeeld aan het profiel van een rechercheur. De FIOD vindt het een vereiste om binnen een opsporingsonderzoek na te gaan of een persoon (al eerder) in beeld is/was en is daarom ook van mening dat deze (minimale) gegevensvergelijking noodzakelijk is voor iedere rechercheur. De vergelijking blijft beperkt tot signalering van hit, no hit. In geval van een hit zal pas na toestemming van de betreffende bevoegd functionaris, de onderliggende informatie ter beschikking kunnen worden gesteld. In feite heeft iedere FIOD rechercheur dus een beperkte informatiecoördinatie rol. Een procedurebeschrijving voor het in voorkomende gevallen autoriseren van anderen dan TCI medewerkers, in overeenstemming met hoofd TCI, voor het Geautomatiseerd vergelijken, en het In Combinatie Zoeken, vanuit artikel 10 gegevens, hebben wij niet aan getroffen. In de profielmatrix zijn de betreffende autorisaties standaard ook aan het profiel Infodesk centraal toegekend. 2.2 Gehanteerde definitie van Geautomatiseerd vergelijken te ruim Geautomatiseerd vergelijken is een handeling die slechts mag worden uitgevoerd indien aan bepaalde criteria is voldaan. In de door FIOD gehanteerde definitie van Geautomatiseerd vergelijken is geen onderscheid gemaakt in de handeling geautomatiseerd vergelijken en de criteria waaronder deze handeling mag worden uitgevoerd. In de wet omschreven criteria zijn bij FIOD onderdeel van de definitie van Geautomatiseerd vergelijken in die zin dat als een gegevensvergelijking niet aan de criteria voldoet het door FIOD niet als geautomatiseerd vergelijken wordt beschouwd. Het door de FIOD in de definitie gehanteerd uitgangspunt, dat verificatie een ongerichte zoekslag betreft en dat daarvoor niets hoeft te worden geregistreerd, is o.i. niet juist. Dit kan leiden tot geautomatiseerde vergelijkingen die niet aan de criteria voldoen en te ruime autorisaties in systemen. Ook kan het ertoe leiden dat vergelijkingen die geprotocolleerd moeten worden dat niet worden. 2.3 Summ-IT functionaliteit beperkt zoekresultaten niet voldoende Met de functionaliteit Zoeken en Speuren kan geautomatiseerd gezocht worden in actieve gegevens binnen SUMM-IT. Wij beschouwen het gebruik van Zoeken en Speuren als geautomatiseerd vergelijken. SUMM-IT houdt bij de wijze waarop de gegevens worden getoond in Zoeken en Speuren, geen rekening met eventuele afschermingscoderingen van de gegevens. 4 In Combinatie Zoeken wordt ook aangeduid met In Combinatie Met Elkaar Verwerken (ICMEV) 7 van 15 Hercontrole n.a.v. privacy audit Wpg FIOD

8 Gevonden gegevens worden getoond met vermelding van de code, maar niet met de bij de code behorende afscherming (uitgezonderd embargo onderzoeken). Ook kunnen (onder condities) afgeschermde artikel 8 gegevens gevonden worden als gezocht wordt vanuit andere dan 8.1 gegevens. 8 van 15 Hercontrole n.a.v. privacy audit Wpg FIOD

9 3 Procedures verwijderen/vernietigen artikel 8 en 9 herschreven 3.1 Procedures verwijderen en vernietigen artikel 8 en 9 herschreven De FIOD heeft een instructie opgesteld hoe maandelijks automatisch, na het activeren van een nieuw art. 8 onderzoek (signaalverwerkingsregistratie) een oud art. 8 onderzoek achter schot gezet (afgeschermd) moet worden. Ook is beschreven hoe in SUMM-IT onderzoeken vernietigd kunnen worden. N.B. In SUMM-IT is vernietigen gelijk aan verwijderen in het kader van de WPG. Er is nog niet beschreven op welke wijze artikel 8 gegevens worden vernietigd. De FIOD heeft tevens een instructie opgesteld die richtlijnen geeft over de wijze waarop het bewaren tot en met het vernietigen van onderzoeksgegevens (art. 9) bij de FIOD wordt toegepast. De FIOD hanteert hierbij het standpunt dat onderzoeken (artikel 9 gegevens), dus de verzameling van politiegegevens, als één geheel worden beschouwd. Dit betekent dat de termijn van formeel bewaren (wpg term verwijderen) van een onderzoek pas aanvangt nadat van de laatst betrokkene er een uitspraak in kracht van gewijsde is (onherroepelijk vonnis), dan wel er een andere onherroepelijke handeling is. Informatie over onderzoeken relevant voor het verwijderen, bewaren en vernietigen van onderzoeksgegevens worden geregistreerd in het systeem PSF. PSF biedt functionaliteiten t.b.v. het overzichtelijk tonen van verwijderen en vernietigingsacties. 3.2 Afschermen artikel 8 gegevens in opzet effectief Registratie (verwerken) van artikel 8 gegevens is opgenomen in c.q. onderdeel van Summ-IT. Er is een aparte Infodesk bak aangemaakt in Summ-IT. Specifieke vragen voor een onderzoek, aangevraagd bij Infodesk, worden opgepakt en verwerkt in de Infodesk module (genaamd Informatie Coordinatie). Meldingen en signalen van "buitenaf" worden eveneens vastgelegd in deze Infodesk module. Er is een procedure bij FBI (FB Politie) om maandelijks alle art 8 meldingen op te nemen in 1 onderzoek. Dit onderzoek wordt na 13 maanden gedeautoriseerd. Daarmee zijn de artikel 8 maandbakken niet meer raadpleegbaar voor artikel 8 geautoriseerden. 9 van 15 Hercontrole n.a.v. privacy audit Wpg FIOD

10 4 Informatiebeveiliging goed op weg maar organisatorisch niet volledig ingebed De FIOD beschikt over een security officer, die informatiebeveiliging als aandachtsgebied heeft. Er is voor de gebruikte (opsporings)systemen sprake van getroffen beveiligingsmaatregelen. Er bestaat echter een restrisico dat gebruikte systemen niet (blijvend) op het juiste niveau zijn beveiligd en dat daarvan misbruik wordt gemaakt zonder dat dat ontdekt kan worden. Dit geldt met name voor de al langer in gebruik zijnde systemen. Bij nieuwe ontwikkelingen speelt dit minder, omdat de security officer zich daar met name op richt. In de loop van de tijd nemen door vervanging van systemen de risico s in eerste instantie af. Echter indien de informatiebeveiliging van die systemen niet goed ingebed wordt in een reguliere PDCA cyclus, die momenteel niet volledig bestaat, blijft het risico bestaan dat de informatiebeveiliging daarna weer in kwaliteit afneemt. Dit mede doordat de kwaliteit daarvan al erg kwetsbaar is doordat deze sterk afhangt van de bemoeienissen van de security officer. In 2017 heeft de FIOD een risicomanager op IF basis aangesteld in De risicomanager heeft een riskframework opgesteld, waarin de hoogste risico s en aansluitende beheersmaatregelen op de te behalen doelstellingen zijn opgenomen. In dit framework is ook de informatiebeveiliging als belangrijk element verwerkt. Het framework is de basis voor de PDCA cyclus. FIOD betrekt IT diensten (exploitatie, beheer) van de Politie IV organisatie en Belastingdienst/CIE. Voor deze uitbestede IT (exploitatie, beheer) zijn overeenkomsten, SLA s en DAP s afgesloten met deze beheerders/leveranciers. In deze afspraken is aangegeven dat de dienstverlener met betrekking tot het beveiligingsniveau uitgaat van het basisbeveiligingsniveau van respectievelijk de politie en de Belastingdienst. Er zijn geen aanvullende eisen ten aanzien van de informatiebeveiliging met de dienstverleners overeengekomen. Momenteel constateren wij nog de volgende tekortkomingen. - Er is, op het niveau van systemen (applicaties), geen geformaliseerde PDCA cyclus ten aanzien van de informatiebeveiliging die FIOD breed voor zowel bestaande als nieuwe systemen als leidraad geldt. - Er is geen volledige PDCA cyclus m.b.t. de informatiebeveiliging/het actueel houden van de risicoanalyses en beveiliging(splannen) van enkele bestaande systemen. - Voor SUMM-IT opsporing, SUMM-IT TCI en RBS Bruto zijn expliciete risicoafwegingen en betrouwbaarheidseisen (evenals beveiligingsplannen) binnen de FIOD niet aangetroffen (als regulier te onderhouden opzet van het stelsel van beveiligingsmaatregelen). Van RBS Bruto is in 2016 een risicoanalyse opgesteld. - Het is onvoldoende inzichtelijk of de geboden basisbeveiligingsniveaus (inclusief bevoegdheden m.b.t. toegang tot gegevens etc.) van de bewerkers voldoen aan het vereiste betrouwbaarheidsniveau van de FIOD. - Toezicht op het voldoen aan de afgesproken niveaus is vanuit de verantwoordelijke niet geregeld. 10 van 15 Hercontrole n.a.v. privacy audit Wpg FIOD

11 5 Verantwoording onderzoek 5.1 Werkzaamheden en afbakening Het doel van dit onderzoek is het uitvoeren van en rapporteren over de hercontrole zoals de FIOD deze, uit hoofde van de Wet politiegegevens binnen 1 jaar na uitvoering van de privacy audit dient te laten uitvoeren (Wpg artikel 33 lid 3). In de regeling Periodieke audit Politiegegevens is aangegeven dat de hercontrole tot doel heeft '...op systematische wijze te toetsen of door de verantwoordelijke zodanige maatregelen zijn getroffen dat aan de uitvoering van het onderdeel of de betreffende onderdelen van de wet thans op adequate wijze uitvoering is gegeven'. De hercontrole heeft alleen betrekking op het onderdeel of de onderdelen van de wet ten aanzien waarvan tekortkomingen zijn geconstateerd in de voorgaande privacy audit. De hercontrole richt zich op het verbeterplan en de daaruit voortvloeiende wijzigingen in het stelsel van maatregelen en procedures waarmee de algemeen directeur FIOD beoogt de in de voorgaande privacy audit geconstateerde tekortkomingen, ten aanzien van het beheer van de verwerkingen van politiegegevens, op te heffen. De hercontrole is gericht op de opzet en waar mogelijk het bestaan van de wijzigingen in het stelsel van maatregelen en procedures die in de borging van de wettelijke eisen uit hoofde van de Wpg moeten voorzien. De achterliggende norm, waaraan de doorgevoerde verbeteringen getoetst worden, betreft het normenkader zoals dat in de in 2016 uitgevoerde privacy audit is gebruikt. Het onderzoek is uitgevoerd in de periode augustus 2017 t/m januari Gehanteerde Standaard Deze opdracht is uitgevoerd overeenkomstig NOREA Richtlijn 4401 Opdrachten tot het verrichten van overeengekomen specifieke werkzaamheden met betrekking tot informatietechnologie. In dit rapport wordt geen zekerheid verschaft, omdat er geen assuranceopdracht is uitgevoerd. Indien aanvullende werkzaamheden zouden zijn verricht of indien er een assuranceopdracht zou zijn uitgevoerd, zouden wellicht andere onderwerpen zijn geconstateerd en gerapporteerd. 5.3 Verspreiding rapport De opdrachtgever, tevens verantwoordelijke, [naam], algemeen directeur FIOD, is eigenaar van dit rapport. Op grond van bepalingen in de wet politiegegevens dient de verantwoordelijke dit rapport te verstrekken aan de Autoriteit Persoonsgegevens. De ADR is de interne auditdienst van het Rijk. Dit rapport is primair bestemd voor de opdrachtgever met wie wij deze opdracht zijn overeengekomen. In de ministerraad is besloten dat het opdrachtgevende ministerie waarvoor de ADR een rapport heeft geschreven, het rapport binnen zes weken op de website van de rijksoverheid plaatst, tenzij daarvoor een uitzondering geldt. De minister van Financiën stuurt elk halfjaar een overzicht naar de Tweede Kamer met de titels van door de ADR uitgebrachte rapporten en plaatst dit overzicht op de website. 11 van 15 Hercontrole n.a.v. privacy audit Wpg FIOD

12 6 Ondertekening Utrecht, 9 mei 2018 [naam] Privacy auditor Auditdienst Rijk 12 van 15 Hercontrole n.a.v. privacy audit Wpg FIOD

13 MANAGEMENTREACTIE De Audit Dienst Rijk heeft een hercontrole uitgevoerd op de tekortkomingen die in de voorgaande privacy audit zijn geconstateerd. De FIOD heeft naar aanleiding van de geconstateerde tekortkomingen verbeteracties gedefinieerd met daaruit voortvloeiend wijzigingen in het stelsel van maatregelen en procedures gericht op naleving van de Wet politiegegevens (verder: Wpg). Dat heeft geleid tot het geheel oplossen van een derde van de tekortkomingen. Het overige deel van de verbeteracties is (nog) niet geheel afgerond, met name omdat de FIOD daarvoor sterk afhankelijk is van externe factoren. Op een aantal van de door de Audit Dienst Rijk (verder: ADR) geconstateerde tekortkomingen, geef ik hieronder een reactie. Protocolplichten: De protocolplicht van artikel 32 Wpg is bedoeld om toezicht en controle mogelijk te maken. Op dit moment is het technisch gezien helaas niet mogelijk om vanuit Summ-IT volledige autorisatieoverzichten te genereren over een bepaalde periode. Ook kunnen op dit moment nog geen loggingsoverzichten worden gegenereerd. In afwachting van de technische aanpassing van Summ-IT, wordt door de FIOD handmatig steekproefsgewijs gecontroleerd of de op dat moment gegeven autorisaties nog overeenstemmen met de rollen van medewerkers binnen onderzoeken. Ook worden er handmatige controles uitgevoerd op de protocollering van gegevens. Protocolplicht rechtstreekse verstrekkingen: Door de ADR is geconstateerd dat de protocolplicht rechtstreekse verstrekkingen niet is ingericht. Door de FIOD worden echter geen rechtstreekse verstrekkingen toegepast. Gegevens Geautomatiseerd vergelijken en In Combinatie verwerken: De ADR is van mening dat de autorisaties met betrekking tot het geautomatiseerd vergelijken te ruim zijn toebedeeld. Geautomatiseerd vergelijken van artikel 9 Wpg gegevens is niet beperkt tot Informatiecoördinatie en TCI. De FIOD vindt het een vereiste om binnen een opsporingsonderzoek na te gaan of een persoon (al eerder) in beeld is/was. En is daarom ook van mening dat deze (minimale) gegevensvergelijking noodzakelijk is voor iedere rechercheur. De vergelijking blijft beperkt tot signalering van hit, no hit. In geval van een hit zal pas na toestemming van de betreffende bevoegd functionaris, de onderliggende informatie ter beschikking kunnen worden gesteld. In feite heeft iedere FIOD rechercheur dus een beperkte informatiecoördinatie rol. Verwijderen en vernietigen van gegevens: Naar aanleiding van de privacy audit is het proces van verwijderen en vernietigen verder en beter ingericht. Het systeem PSF wordt nu gebruikt voor het beheren en uitvoeren van dit proces. Nieuwe functionaliteiten zijn in PSF ingebouwd op basis van de herinrichting van het proces van verwijderen en vernietigen. 13 van 15 Hercontrole n.a.v. privacy audit Wpg FIOD

14 Informatiebeveiliging: Volgens de ADR is er goede vooruitgang geboekt op het terrein van informatiebeveiliging van de FIOD. Punt van verbetering ziet de ADR in het beter organisatorisch inbedden (in de PDCA-cyclus) van het onderwerp. Door de FIOD is de capaciteit ten behoeve van informatiebeveiliging uitgebreid. Bekeken wordt hoe informatiebeveiliging beter ingebed kan worden in de reguliere PDCA-cyclus. Directeur FIOD 14 van 15 Hercontrole n.a.v. privacy audit Wpg FIOD

15 Auditdienst Rijk Postbus EE Den Haag (070)