Controle op de naleving van protocol en reglement voor het Politie Discussie Net Koninkrijksbrede criminaliteitsbestrijding

Transcriptie

1 UITWISSELING VAN POLITIEGEGEVENS TUSSEN DE NEDERLANDSE ANTILLEN EN NEDERLAND Controle op de naleving van protocol en reglement voor het Politie Discussie Net Koninkrijksbrede criminaliteitsbestrijding Onderzoeksrapport College bescherming persoonsgegevens - april 2006

2 INHOUD Samenvatting 3 Inleiding 5 1 Politie Discussienet - Koninkrijksbrede criminaliteitsbestrijding 6 2 Doel van het systeem PDN-K 8 3 Autorisaties 9 4 Beveiliging van de uitgewisselde gegevens 11 5 Bewaartermijnen 13 6 Registratie van de verstrekkingen 14 7 Periodieke controle 15 8 Rechten van de geregistreerden 16 9 Opleiding en informatievoorziening 17 Bijlagen 18

3

4 SAMENVATTING Bevindingen 1 De regels, die door het protocol en het reglement worden voorgeschreven, waarborgen onvoldoende dat het systeem op een zorgvuldige wijze wordt gebruikt. 2 In het bijzonder de fysieke- en logische toegangsbeveiliging tot het systeem, evenals de maatregelen op het organisatorisch vlak, zijn niet voldoende om het gestelde doel (zorgvuldige gegevensuitwisseling) te realiseren. 3 Het beveiligingbewustzijn (ruimer: het privacybewustzijn) is van groot belang voor het naleven van de gestelde regels. Het privacybewustzijn schiet, ondanks de goede intentie van de medewerkers, tekort. 4 Gedurende de tijd dat het systeem in gebruik is, heeft er geen controle op de werking van het systeem plaatsgevonden. De lokale overheid heeft hierdoor geen zicht op de huidige werkwijze en kan haar verantwoordelijkheid niet waarmaken. Dit betekent dat er minder waarborgen zijn voor een steeds zorgvuldige gegevensuitwisseling en dat er een afbreukrisico bestaat voor de verantwoordelijke minister. Aanbevelingen 1 Wanneer het gebruik van het systeem wordt voortgezet, dienen de in dit rapport beschreven tekortkomingen op korte termijn opgelost te worden. 2 Het CBP beveelt de Politie Academie (PA) aan om het privacybewustzijn bij de medewerkers die met Politie Discussie Net - Koninkrijksbrede criminaliteitsbestrijding (PDN-K) werken te stimuleren. Wanneer de medewerkers die werken met persoonsgegevens zich niet bewust zijn van de risico s, zal het systeem voor gegevensuitwisseling niet naar behoren kunnen functioneren. 3 De rol van moderator moet beter worden vormgegeven. De beschrijving van de rol van de moderator en de afspraken rondom het gebruik van PDN-K dienen duidelijk te zijn en houvast te geven aan de moderatoren. De moderator heeft een controlefunctie en vervult in het besloten discussieplatform een cruciale rol. 4 De rol van de moderator en de afspraken rond het gebruik van PDN-K dienen op gezette tijden door de moderator onder de aandacht van de gebruikers te worden gebracht. Er moet geïnvesteerd worden in kennisoverdracht en bewustwording. Een juiste naleving van de regels binnen het systeem vergt een debat (met mogelijke tegenspraak) tussen actieve gebruikers waardoor de kwaliteit van de gegevens en van het gebruik van het systeem wordt bewaakt. 5 De Korpsen moeten de beveiliging van de uitgewisselde persoonsgegevens beter vormgeven en de gegevens tijdig verwijderen. Het spreekt vanzelf dat hierop toezicht gehouden dient te worden. 6 De Minister van Justitie van de Nederlandse Antillen dient de uitvoering van het protocol door een onafhankelijke persoon of instantie daadwerkelijk te laten controleren.

5 Uitwisseling van politiegegevens tussen de Nederlandse Antillen en Nederland - april 2006

6 INLEIDING Snelle en zorgvuldige uitwisseling van politiegegevens tussen de Nederlandse Antillen en Nederland is belangrijk voor de bestrijding van criminaliteit. Om een dergelijke gegevensuitwisseling mogelijk te maken hebben de minister van Justitie, de minister van Binnenlandse Zaken en Koninkrijksrelaties en de minister van Justitie van de Nederlandse Antillen het Protocol gegevensuitwisseling tussen de Nederlandse Antillen en Nederland (hierna: het protocol) opgesteld en ondertekend. In dit protocol zijn de afspraken voor gegevensuitwisseling vastgelegd. Een nadere uitwerking van het protocol is vastgelegd in het Reglement Politieregister gegevensuitwisseling Koninkrijkscriminaliteit (hierna: het reglement). Het protocol en het reglement geven de regels die moeten worden nageleefd om er voor te zorgen dat de uitwisseling van gegevens op een zorgvuldige manier plaatsvindt. De persoonsgegevens moeten zo worden verwerkt dat onbevoegden geen kennis kunnen nemen van de gegevens en dat de uit te wisselen persoonsgegevens juist zijn. De regels zijn verder bedoeld om het risico van misbruik van het systeem, en dus misbruik van de zich daarin bevindende gegevens, te minimaliseren. Om deze gegevensuitwisseling vorm te geven werd eerst een pilot gestart op basis van het al bestaande systeem Politie Kennis Net (PKN); dit was PDN-A. De gegevensuitwisseling tussen de Nederlandse Antillen en Nederland via dit systeem heeft zijn waarde bewezen, zo concluderen D.J. Korf, C.L.B. Kocken en F. Bovenkerk in hun Evaluatie pilot Curaçao van Politie Discussie Net Antillianen en Arubanen (PDN-A) van 25 maart Nu kan binnen het systeem worden ingelogd in het Politie Discussie Net Koninkrijksbrede criminaliteitsbestrijding (PDN-K). Op grond van de Wet politieregisters (Wpolr) ziet het College bescherming persoonsgegevens in Nederland toe op de verwerkingen van politiegegevens. In het protocol staat daarom ook dat het CBP toezicht houdt op de uitwisseling van persoonsgegevens met PDN-K. Met de ministers is de afspraak gemaakt dat het CBP te zijner tijd zou vaststellen hoe er met PDN-K wordt gewerkt en of het protocol wordt nageleefd. Het CBP heeft voor het onderzoek met diverse politiefunctionarissen in Den Haag en op Curaçao en Bonaire gesproken en verder de technische faciliteiten onderzocht. Het CBP heeft de medewerking van de geïnterviewden aan het onderzoek zeer op prijs gesteld. Het CBP heeft al gedurende het onderzoek bij verschillende gezagsdragers inhoud en achtergrond ervan toegelicht. Gesprekken zijn gevoerd met de gouverneur mr. F. Goedgedrag, met mr. H. Coffie, hoofd van de afdeling Wetgeving van het Ministerie van Justitie van de Nederlandse Antillen, met drs. Ch. Derego, hoofd van de afdeling Bevolkingsregister, met de hoofdcommissaris G. Daantje, met de commissaris M.A. Wernet, met de Plaatsvervangend Vertegenwoordiger van de vertegenwoordiging van Nederland in de Nederlandse Antillen, drs. V.A.J. Stokman en zijn collega, mr.dr. J. Rademaker. Het CBP dankt allen voor de aandacht waarmee zij kennis hebben genomen van de onderzoeksbevindingen.

7 1 POLITIE DISCUSSIENET KONINKRIJKSBREDE CRIMINALITEITSBESTRIJDING Uitwisseling van gegevens tussen het korps Politie Nederlandse Antillen (KPNA), het korps Politie Aruba (KPA) en de Nederlandse politiekorpsen draagt bij aan een effectieve bestrijding van criminaliteit die mede ontstaat door het ontbreken van belemmeringen in het personenverkeer tussen de landen van het Koninkrijk der Nederlanden. Omdat snelle uitwisseling van gegevens van toenemend belang werd, tekenden de minister van Justitie van de Nederlandse Antillen, de minister van Justitie en de minister van Binnenlandse Zaken en Koninkrijksrelaties van Nederland op 27 september 2002 een tijdelijk protocol informatie-uitwisseling tussen de Nederlandse Antillen en Nederland. Het CBP plaatste destijds kritische kanttekeningen bij het tijdelijke protocol. Bij de evaluatie van het protocol in februari 2004 werd deze kritiek verwerkt waardoor het CBP kon instemmen met de definitieve versie, het Protocol gegevensuitwisseling tussen de Nederlandse Antillen en Nederland. Op grond van dit protocol en een machtiging ex artikel 18 lid 5 van de Wpolr van 11 juni 2004 kunnen de Nederlandse politiekorpsen via het Politie Discussienet voor Koninkrijksbrede criminaliteitsbestrijding (PDN-K) persoonsgegevens verstrekken aan de politieautoriteiten van de Nederlandse Antillen om zo daadwerkelijke opsporing te realiseren of te ondersteunen. De uitwisseling van gegevens moet verlopen onder de vastgelegde voorwaarden. Het Politie Kennis Net wordt binnen Nederland gebruikt om algemene kennis te delen tussen de politiekorpsen. PKN is een op webtechnologie gebaseerde kennisdienst, die via het Politie Intranet (PIN) beschikbaar is voor politiemedewerkers. Eén van de functionaliteiten van PKN is het Politie Discussie Net (PDN), een digitaal discussieen communicatieplatform. Daarbinnen is een afgeschermd discussieplatform, het PDN-Koninkrijksbrede criminaliteitsbestrijding (PDN-K). Geautoriseerde politiemedewerkers kunnen PDN-K gebruiken voor het uitwisselen van operationele en tactische informatie over (mogelijke) verdachten om daadwerkelijke opsporing te realiseren. In PDN-K worden onder andere gegevens vastgelegd die informatie geven over, en herleidbaar zijn tot, personen die met kennelijk criminele bedoelingen tussen de Nederlandse Antillen, onderscheidenlijk Aruba en Nederland reizen. Het PDN-K als systeem voor het uitwisselen van politiegegevens had niet de voorkeur van het CBP, omdat het Politie Kennis Net (PKN) in eerste instantie gebouwd is om algemene informatie gemakkelijk te ontsluiten voor collega s en niet voor het ondersteunen van gegevensuitwisseling van (bijzondere) persoonsgegevens. De Infodesk van een Nederlands politiekorps - het ene loket waar alle informatie te verkrijgen is - kan nu dus niet alleen beschikken over actuele achtergrondinformatie afkomstig van andere korpsen maar ook over die van de KPNA en de KPA en vice versa. De kans dat recherchecapaciteit wordt geïnvesteerd in de juiste verdachte neemt hiermee aanzienlijk toe. Ook Nederlands-Antilliaanse politieambtenaren worden geautoriseerd tot gebruik van PDN-K. Diverse lokale politieambtenaren op Curaçao, Bonaire, Sint Maarten, Saba en Sint Eustatius zijn geautoriseerd. Daarnaast heeft het Recherche Samenwerking Team (RST) de mogelijkheid om via het PDN-K gegevens uit te wisselen. Het RST is een structureel samenwerkingsverband tussen Korps Politie Nederlands Antillen, Korps Politie Aruba en Korps landelijke politiediensten. Het RST is onder andere gericht op de bestrijding van misdrijven 6 Uitwisseling van politiegegevens tussen de Nederlandse Antillen en Nederland - april 2006

8 binnen het Koninkrijk, die gezien de ernst of frequentie dan wel het georganiseerde verband waarin ze gepleegd worden, een ernstige inbreuk op de rechtsorde maken en waarvoor de inzet van kwalitatief en kwantitatief bijzondere opsporingscapaciteit noodzakelijk is. Het team heeft zijn hoofdzetel op de Nederlandse Antillen (Curaçao) en heeft vestigingen op Aruba, Sint Maarten en in Nederland. Aan de Nederlands-Antilliaanse opsporingsambtenaren en het RST worden slechts persoonsgegevens verstrekt na tussenkomst van een daartoe aangestelde moderator. De verstrekking werkt als volgt. Een geautoriseerde ambtenaar stuurt een naar het systeem. De moderator beoordeelt of de informatie die in de mail staat, voldoet aan de voorwaarden zoals die in het protocol en reglement zijn vastgelegd. Indien de moderator akkoord gaat met de verstrekking, zet hij de mail over naar dat deel van het systeem waar de uitwisseling plaatsvindt. Er worden dus alleen gegevens verstrekt vanuit Nederland naar de Nederlandse Antillen en het RST die door de moderator zijn goedgekeurd. Op de Nederlandse Antillen wordt de verbinding met PDN-K tot stand gebracht met behulp van door Nederland geleverde laptops. De laptops zijn stand-alone machines. De beveiliging van de verbinding via de laptops is de verantwoordelijkheid van Informatie Technologie Ondersteuning (ITO) in Nederland. Dit organisatieonderdeel van de Politie Academie is tevens verantwoordelijk voor de beveiliging van het Politie Intranet Nederland. De medewerkers van het RST beschikken over een eigen faciliteit om op PKN te komen en van daaruit op PDN-K. In het protocol wordt bepaald dat het KPNA zorg draagt voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de gegevens tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. De Nederlandse Antillen kennen geen specifieke privacywetgeving. Het CBP hecht daarom grote waarde aan waarborgen die deze omstandigheid compenseren, te meer nu er sprake is van een structurele uitwisseling van politiegegevens tussen rijksdelen. Ruim een jaar na de inwerkingtreding van het definitieve protocol heeft het CBP de invulling onderzocht die daaraan door de Nederlandse politiekorpsen, het KPNA en het KPA is gegeven. Ook de gegevensuitwisseling bij het Recherche Samenwerking Team (RST) is onderzocht. Tijdens het onderzoek bleek overigens dat het RST nog geen gebruik gemaakt had van het systeem. De onderzoeksbevindingen zijn vastgelegd in de hierna volgende hoofdstukken, waarbij hoofdstuk 4 over de beveiliging van uitgewisselde gegevens om veiligheidsredenen ingekort is.

9 2 DOEL VAN HET SYSTEEM PDN-K Het doel van de gegevensuitwisseling tussen Nederland en de Nederlandse Antillen is het effectief bestrijden van de criminaliteit. De vragen die worden gesteld via PDN-K en de gegevens die naar aanleiding hiervan worden uitgewisseld, dienen de volgende doelen: pre-opsporingsinformatie informatie met als doel hulpverlening opsporingsinformatie verzoeken tot ondersteuning ten uitvoer van artikel 2 van de Politiewet. Het PDN-K is alleen bedoeld voor gegevensuitwisseling die deze doelen dient. Dit betekent dat de gegevens moeten voldoen aan voorwaarden. Deze voorwaarden staan beschreven in het protocol en het reglement (Reglement paragraaf 2, Protocol artikel 6, lid 2, 3). Feitelijke constateringen Ten behoeve van het onderzoek zijn er berichten gecontroleerd op inhoud. Tijdens het onderzoek trof het CBP eenmaal een aan waarin door de KPNA aan de Nederlandse collega s werd gevraagd of zij bepaalde mensen (strafrechtelijk) kenden. De personen op deze lijst hadden gesolliciteerd bij het korps politie Curaçao. Bevindingen Milieu- & antecedentenonderzoek van aspiranten is geen politietaak zoals bedoeld in artikel 2 Politiewet. Daarmee valt deze verwerking (in Nederland) onder de Wet bescherming persoonsgegevens en niet onder de Wet politieregisters. Geen van de doelen van PKN-K maakt het mogelijk om gegevens ten behoeve van screening op te nemen in PKN-K. Het CBP heeft vastgesteld dat één maal PDN-K gebruikt is voor pre-employment screening. In het reglement is echter bepaald dat het systeem voor deze activiteiten niet gebruikt mag worden. Op deze ene uitzondering na kon worden vastgesteld dat in de periode tot en met het systeem is gebruikt waarvoor het bedoeld is. Aanbevelingen Het CBP beveelt ten eerste de PA en het KPNA aan om het privacybewustzijn bij de medewerkers die met PDN-K werken te bevorderen door de gebruikers opnieuw goed te informeren over de regels betreffende het doel en de soort gegevens die uitgewisseld mogen worden via PDN-K. Daarnaast dienen de moderatoren er strikter op toe te zien dat slechts gegevens via PDN-K worden verwerkt waarvoor het systeem bedoeld is. Uitwisseling van politiegegevens tussen de Nederlandse Antillen en Nederland - april 2006

10 3 AUTORISATIES De vrije toegang tot informatie en de verplichting tot verstrekking binnen de politie zijn bedoeld om goed politiewerk mogelijk te maken en ongewenste concurrentie binnen de politie, die ten koste kan gaan van een effectieve uitvoering van de politietaak, tegen te gaan. Het verstrekken en gebruiken van gegevens uit politieregisters is daarom alleen op zijn plaats indien dit ten dienste staat van een goede uitvoering van de politietaak. De vrije verstrekking kan functioneel worden begrensd tot die functionarissen die de informatie voor de uitvoering van hun taak aantoonbaar en concreet nodig hebben. Protocol artikel 4, lid 3: De beheerder van registers of politieregisters die bij het KPNA in gebruik zijn, wijst functionarissen van het KPNA aan die geautoriseerd zijn tot het ontvangen en verwerken van gegevens in het kader van dit protocol. Reglement paragraaf 7, artikel 10: Rechtstreekse toegang tot het register, dan wel onderdelen daarvan, hebben personen die daartoe overeenkomstig de Wpolr en het Bpolr door de registerbeheerder zijn geautoriseerd. De autorisatie geeft aan voor welk doel de rechtstreekse toegang wordt verleend. Op verzoek wordt inzage gegeven in de autorisaties. Feitelijke constateringen De beambten die zijn geautoriseerd voor het gebruik van PDN-K zijn door hun direct leidinggevende aangewezen. De verzoeken voor rechten op het systeem zijn aan de moderator in Nederland gedaan. Deze heeft de verzoeken aan ITO in Apeldoorn doorgestuurd. Daar zijn de rechten op het systeem aangebracht. Tijdens een workshop op Curaçao heeft de Nederlandse moderator de gebruikersnamen en wachtwoorden aan de betreffende beambten verstrekt. Ook heeft hij hier de laptops en de bijbehorende secure-id-kaarten verstrekt. De tweede groep opsporingsambtenaren die voor PKN-K is geautoriseerd, is ook door de Nederlandse moderator persoonlijk op de hoogte gesteld van gebruikersnaam en wachtwoord. Wanneer er geen gebruik wordt gemaakt van het systeem zal de moderator in Nederland de rechten intrekken. Dit verloopt niet geautomatiseerd. Periodiek controleert de moderator het gebruik van de accounts. Voor het verwijderen van de rechten van het systeem zal hij eerst contact opnemen met de betreffende beambte. Per locatie hebben meerdere beambten rechten op het systeem PDN-K. De praktijk laat echter zien dat per locatie maar één persoon daadwerkelijk gebruik maakt van het systeem. Op Curaçao is er feitelijk slechts één gebruiker van het systeem. Vervanging kan plaatsvinden door een collega. De gebruiker op Curaçao vervult formeel ook de rol van moderator voor de Nederlandse Antillen. In de praktijk echter is hij slechts gebruiker. Op Bonaire is praktisch gezien ook maar één gebruiker van het systeem. Deze gebruikt het onder feitelijk toezicht van haar superieur. Ook hier is vervanging door een collega geregeld. Zowel op Curaçao als op Bonaire beschikken diverse medewerkers over autorisatie voor PDN-K. Deze medewerkers maken echter geen gebruik van hun rechten op het systeem. Als zij informatie willen hebben, stellen zij de vraag via de enige gebruiker die de handelingen op het systeem zal verrichten. Via deze enige gebruiker krijgen

11 zij mondeling, dan wel via een print, de informatie waar zij om verzochten. Bevindingen Per politiekorps zijn diverse medewerkers geautoriseerd voor het gebruik van het systeem PDN-K. In de praktijk blijkt dat per Antilliaans politiekorps feitelijk één medewerker alle werkzaamheden met PDN-K verricht. In de opzet was het de bedoeling dat één medewerker op Curaçao de rol van moderator op zich zou nemen. In de praktijk is deze persoon echter tevens de enige gebruiker van het systeem op Curaçao geworden en voert hij geen taken uit die horen bij de rol van moderator. Gebruik van het systeem en toezicht daarop vallen dientengevolge in één hand. Ondanks de goede intenties van de individuele medewerkers vormt deze stand van zaken een risico voor de integriteit (gegevens zijn juist en actueel) en exclusiviteit (alleen geautoriseerde medewerkers hebben toegang) van de gegevensuitwisseling. Doordat de rol van moderator niet duidelijk is ingevuld op de Nederlandse Antillen en omdat het gebruik van het systeem in handen van slechts één persoon per locatie ligt, ontbreekt het aan enige vorm van controle. Op Bonaire vindt controle plaats door de direct leidinggevende van de gebruiker. Het is echter de rol van de moderator om erop toe te zien dat het systeem juist wordt gebruikt. De functionarissen belast met de dagelijkse werkzaamheden rondom PDN-K hebben door hun solistische positie mogelijk te veel verantwoordelijkheden. Zij voeren het dagelijkse werk uit, maar ontvangen hier geen professionele feedback op. Doordat op bureau Rio Canario de enige gebruiker tevens moderator is, is deze niet in staat om deze taak goed uit te voeren. De moderator heeft controle en monitoring als taak en dit is niet te combineren met een solistische uitvoeringstaak. Aanbevelingen Het CBP beveelt het KPNA aan de gebruikers die rechten hebben op het systeem van PDN-K, ook daadwerkelijk gebruik te laten maken van het systeem. Het CBP beveelt tevens de PA aan om de rol van moderator beter vorm te geven. Deze rol komt op de Nederlandse Antillen niet tot zijn recht. De rol van de moderator en de onderlinge afspraken rond het gebruik van PDN-K dienen duidelijk te zijn en houvast te geven aan de moderatoren. Er dient uitdrukkelijk stilgestaan te worden bij de controlefunctie van de moderator. De moderator vervult in het besloten discussieplatform een cruciale rol. Hij bevordert de uitwisseling van kennis en ervaring; vervult een belangrijke rol in de kenniswaardeketen; vervult de rol van aanjager van discussie; bewaakt het ordelijke verloop van de gang van zaken binnen het besloten discussieplatform. De rol van de moderator en de regels voor het gebruik van PDN-K dienen op gezette tijden onder de aandacht van de gebruikers te worden gebracht. In de vorm van workshops, nieuwsbrieven, casusbeschrijvingen, enzovoort moet geïnvesteerd worden in kennisoverdracht en bewustwording. Een juiste naleving van de regels binnen het systeem vergt een actief debat (met mogelijke tegenspraak) tussen actieve gebruikers waardoor de kwaliteit van de gegevens en van het juiste gebruik van het systeem wordt bewaakt. Hiertoe dient er een goede, duidelijke rolbeschrijving voor de moderator te komen en dient het moderatorschap belegd te worden bij één persoon binnen de Nederlandse Antillen. Dit zorgt voor controle van collega s onderling en een duidelijke controlefunctie voor de moderator. 10 Uitwisseling van politiegegevens tussen de Nederlandse Antillen en Nederland - april 2006

12 4 BEVEILIGING VAN DE UITGEWISSELDE GEGEVENS Maatregelen voor fysieke en logische beveiliging worden getroffen om te voorkomen dat onbevoegden gegevens kunnen inzien (exclusiviteit van de gegevens). Buiten de maatregelen op fysiek en logisch gebied, is eveneens van belang hoe individuele medewerkers omgaan met gegevens en informatie. Daarom is ook de houding en werkwijze van de medewerkers betrokken in het onderzoek. Dit samenstel van maatregelen en houding zorgt voor een goede beveiliging van de persoonsgegevens. Het niet goed beveiligen van gegevens kan leiden tot misbruik van die informatie, en dus tot inbreuk op de persoonlijke levenssfeer van een betrokkene. Maar het kan ook leiden tot imagoschade voor het politiekorps en de politie in het algemeen. Het protocol artikel 4, lid 1: Indien aan het KPNA uit het PDN-K gegevens worden verstrekt, draagt het KPNA zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de gegevens tegen onbevoegde kennisneming, wijziging of verstrekking daarvan. Feitelijke constateringen Op de drie onderzochte locaties is gekeken naar de bovengenoemde aspecten van de beveiliging van uitgewisselde gegevens: fysieke beveiliging, logische beveiliging en de werkwijze bij het gebruik van het systeem en de gegevens. Vastgesteld is dat maatregelen getroffen zijn op het gebied van zowel fysieke beveiliging als logische beveiliging. Op alle locaties is er ook controle op de toegang tot de ruimtes waar zich de relevante computers bevinden. Deze ruimtes worden doorgaans afgesloten en het is voor bezoekers niet goed mogelijk om vrijelijk rond te lopen, althans niet zonder toezicht door de beambten. Bevindingen De informatie verkregen uit PDN-K wordt niet voldoende beveiligd. Een bijzonder risico wordt gevormd door het exporteren van gegevens naar andere gegevensdragers (papier, memory-sticks, pc s). Beveiliging, controle op het gebruik van de gegevens en een goed beheer (verwijdering en vernietiging) worden hierdoor sterk bemoeilijkt. Voor beide politiekorpsen geldt dat ondanks de getroffen maatregelen voor fysieke beveiliging, het risico bestaat dat deze informatie ingezien kan worden door burgers of collega s die daartoe niet geautoriseerd zijn. Door gegevens te plaatsen bijvoorbeeld op het aandachtsvestigingenbord - waar anderen dan executieve politiemensen, zoals aangevers of burgerpersoneel, kennis kunnen nemen van de informatie, voldoet de verstrekking niet aan de door de wetgever gestelde criteria. De Wpolr is niet van toepassing op een verzameling van persoonsgegevens voor persoonlijk gebruik. De opslag op andere computers of gegevensdragers van via PDN-K verkregen gegevens kan echter niet gekwalificeerd worden als persoonlijk gebruik. Bedoeld zijn dan persoonlijke aantekeningen die de politieambtenaar niet aan anderen, ook niet aan zijn opvolger of waarnemer, ter beschikking zou stellen. Het gaat dus om gegevens die in de interne ambtelijke verhoudingen niet horen te wor- 11

13 den uitgewisseld (Kamerstukken II 1988/89, , nr. 6, p. 8). Een verzameling van gegevens die met politiewerk is verkregen, zal bijna nooit kunnen worden aangemerkt als bestemd voor persoonlijk gebruik. Zodra het register feitelijk de functie krijgt van vraagbaak voor meer personen, zoals een leidinggevende of een toezichthouder, kan niet meer worden gesproken van een register in de zin van art. 2 onder b Wpolr (registers voor persoonlijk gebruik). Verder is de mogelijkheid dat een dergelijk register via een netwerk bereikbaar is voor andere personen, onverenigbaar met een bestemming tot persoonlijk gebruik (Kamerstukken I 1989/90, , nr. 103b, p.7). Aanbevelingen Het samenstel van fysieke, logische en organisatorische maatregelen dient voldoende waarborgen te bieden voor een goede beveiliging van gegevens. Het is echter ook van groot belang dat de medewerkers doordrongen zijn van de risico s die de organisatie, en ook de betrokkenen lopen bij een onzorgvuldige omgang met persoonsgegevens. Maatregelen treffen alleen is dus niet genoeg. Beveiligingsmaatregelen moeten aangevuld en soms gecompenseerd worden met een privacy- en beveiligingsbewustzijn. Het CBP beveelt de PA en het KPNA aan het privacybewustzijn van de medewerkers die met PDN-K werken, te bevorderen. Aandacht voor het privacybewustzijn is een voorwaarde voor het goed laten functioneren van het systeem van gegevensuitwisseling. De opslag van de gegevens die verkregen zijn via PKN-K, dient beperkt te worden tot de PKN-K omgeving. Vermeden moet worden de gegevens te kopiëren of op een andere locatie op te slaan. De via PKN-K verkregen gegevens zijn naar hun aard niet bestemd voor eigen (persoonlijk) gebruik. Het CBP dringt er met klem op aan gekopieerde bestanden onmiddellijk van alle gegevensdragers te verwijderen. Wanneer er een noodzaak is om informatie langer dan vier weken te bewaren, kan een kopie van het bestand gemaakt worden. De toegang tot deze gegevens dient goed beveiligd te worden. Tevens dient te worden toegezien op de tijdige verwijdering van deze bestanden. 12 Uitwisseling van politiegegevens tussen de Nederlandse Antillen en Nederland - april 2006

14 5 BEWAARTERMIJNEN De persoonsgegevens binnen het systeem PDN-K dienen in principe vier weken na plaatsing te worden verwijderd (protocol artikel 6, lid 4) tenzij er redenen zijn om expliciet afwijkend te besluiten. De s met informatie worden geautomatiseerd vanuit Nederland verwijderd. Het is echter mogelijk om de berichten (de vragen en de s met de antwoorden) in een persoonlijke map te plaatsen en dan is het aan de individuele gebruiker om de gegevens tijdig te verwijderen. Tijdens de controle bleek dat gegevens meer dan een jaar worden bewaard, zonder dat er een goed onderbouwde reden voor is. Toezicht op tijdige verwijdering van gegevens is er niet. Daardoor ontstaat het risico dat oude, mogelijk inmiddels achterhaalde gegevens worden gebruikt dan wel gegevens die gezien het tijdsverloop niet meer kunnen worden aangemerkt als rechtmatig verkregen. Dit kan de rechtsgang belemmeren of de betrokken burgers in hun dagelijkse leven schaden. Feitelijke constateringen De vragen in de algemene discussiemappen waren minder dan één maand oud. De inhoud van de persoonlijke mappen van de gebruikers bevatte echter berichten vanaf juli Ook op andere gegevensdragers (harde schijf laptop, eigen pc, memory-stick) bevonden zich bestanden vanaf juli Bevinding Verwijderen houdt in dat de gegevens niet meer voor operationeel gebruik beschikbaar zijn. Degenen die toegang hebben tot het betreffende register kunnen de gegevens niet meer raadplegen en de gegevens kunnen niet meer worden verstrekt. Een eventuele verstrekking zou onrechtmatig zijn. Uit artikel 4 Wpolr volgt direct dat gegevens die onrechtmatig zijn verkregen, niet in politieregisters mogen voorkomen. Indien de gegevens tot doel hebben bij te dragen aan het bewijs in een strafzaak, kan dit tot ongewenste gevolgen leiden. Op grond van art. 349a Sv kan de strafrechter aan de onrechtmatige verkrijging van persoonsgegevens verschillende gevolgen verbinden, zoals niet-ontvankelijkheid van het OM, bewijsuitsluiting en strafvermindering. Aanbeveling Ten eerste beveelt het CBP het KPNA en de moderator aan om de gebruikers opnieuw goed te informeren over de regels voor de bewaartermijnen. Daarnaast wordt hier verwezen naar de aanbeveling in het hoofdstuk 4. Beveiliging van de uitgewisselde gegevens. 13

15 6 REGISTRATIE VAN DE VERSTREKKINGEN Op grond van artikel 7 Wpolr moet de beheerder maatregelen nemen tegen onder andere onbevoegde kennisneming of verstrekking van gegevens uit het register. Tevens moet hij er zorg voor dragen dat het reglement wordt nageleefd. Artikel 10 Wpolr schrijft voor dat een reglement een duidelijk voorschrift moet geven voor de termijn waarop gegevens moeten worden verwijderd en voor wanneer deze gegevens moeten worden vernietigd na verwijdering. Reglement paragraaf 7, artikel 11, lid 1: Van iedere verstrekking die rechtstreeks langs geautomatiseerde weg geschiedt, wordt overeenkomstig de Wpolr en het Bpolr aantekening gehouden. Feitelijke constateringen De moderator heeft op zijn netwerkcomputer een bestand met daarin de gegevens die nodig zijn om achteraf te kunnen verantwoorden welke gegevens er zijn verstrekt aan de Nederlandse Antillen. Dit zijn onder andere gegevens over de betrokkene, de reden tot het verzoek en wie het verzoek heeft gedaan. Bevindingen De gekozen oplossing is niet in strijd met de huidige wet- en regelgeving. Praktisch gezien is het echter lastig om het bestand tussen de moderator en zijn vervanger te delen omdat het bestand zich bevindt op een server van Haaglanden. Het bestand wordt in de praktijk gedeeld via . Dit is minder goed te beveiligen dan het delen van een bestand op één server. Aanbevelingen Het CBP beveelt de PA aan om een omgeving te creëren die door beide moderatoren gelijkwaardig kan worden benaderd en onderhouden kan worden. 14 Uitwisseling van politiegegevens tussen de Nederlandse Antillen en Nederland - april 2006

16 7 PERIODIEKE CONTROLE In artikel 7 lid 1 en 2 van het protocol staat beschreven dat er periodiek een controle uitgevoerd dient te worden namens de minister van Justitie van de Nederlandse Antillen op gebruik van het systeem PDN-K. Verantwoordelijke autoriteiten kunnen zo zicht krijgen op eventuele risico s die het systeem met zich meebrengt en worden zo in staat gesteld maatregelen te treffen en hun verantwoordelijkheid waar te maken. Feitelijke constateringen Er is op geen van de locaties, anders dan door het CBP en de evaluatie PDN-K, onderzoek verricht naar de werking van de getroffen maatregelen voor PDN-K. Er worden geen controles uitgevoerd, anders dan door een leidinggevende die de werkzaamheden van zijn medewerker controleert. Bevindingen Door het ontbreken van controles op de naleving van de gemaakte afspraken kunnen de formeel verantwoordelijken hun verantwoordelijkheid niet waarmaken. Er bestaat bij hen geen beeld van het operationele proces en van de risico s die worden gelopen. Ook hebben zij zichzelf niet in staat gesteld om het proces, indien nodig, bij te sturen. Aanbevelingen De minister van Justitie van de Nederlandse Antillen dient de uitvoering van het protocol daadwerkelijk te laten controleren door een onafhankelijke persoon of instantie. Het CBP beveelt aan om deze controle binnen afzienbare tijd uit te laten voeren en het CBP over de uitkomst ervan te informeren. Daarnaast beveelt het CBP de PA en het KPNA aan om meer aandacht te besteden aan interne controles binnen het proces, dat wil zeggen, de controlefunctie van de moderator duidelijker te waarborgen. Dit kan door de moderator de werking van het systeem periodiek te laten controleren en deze daarover verantwoording te laten afleggen aan de verantwoordelijke leidinggevende. 15

17 8 RECHTEN VAN DE GEREGISTREERDEN Op grond van art. 10 Grondwet dient de wet regels te stellen omtrent kennisneming en verbetering van persoonsgegevens. De Wpolr biedt geregistreerden het recht op kennisneming en het verzoeken om verbetering, aanvulling, verwijdering en afscherming. De rechten van geregistreerden behoren tot de meest fundamentele waarborgen ter bescherming van persoonsgegevens. Zij stellen de geregistreerde in staat tegen onrechtmatige verwerking van hem betreffende gegevens op te komen. Het recht op kennisneming vloeit voort uit het transparantiebeginsel. De rechten van de geregistreerde, en in het bijzonder het recht op inzage in de informatie die er van hem of haar is, en het recht daarop correctie aan te brengen, staan omschreven in het protocol (artikel 8) en in het reglement (paragraaf 8). Feitelijke constateringen Noch bij bureau Haaglanden (Den Haag), noch bij bureau Rio Canario (Curaçao), en evenmin bij bureau Kralendijk (Bonaire), is ooit een verzoek van een betrokkene ingediend tot inzage in zijn of haar dossier. Op bureau Rio Canario en bureau Kralendijk waren de gebruikers van het systeem zich niet bewust van de rechten van de betrokkenen. Zij waren niet op de hoogte van een procedureafspraak hieromtrent. Een inzageprocedure is niet uitgewerkt. Bevindingen De beheerder is verantwoordelijk voor de bevordering van de juistheid en volledigheid van de inhoud van de politieregisters. Het recht op kennisneming draagt hieraan bij. De beheerder dient er dan ook zorg voor te dragen dat dit recht daadwerkelijk kan worden uitgeoefend. De kennis bij de medewerkers over dit recht en over de te volgen procedure is van belang voor een goede uitvoering hiervan. Deze kennis schiet te kort: zowel op Curaçao als op Bonaire lijkt men zich van deze rechten niet of onvoldoende bewust te zijn. Er zijn geen maatregelen getroffen om eventuele verzoeken van een geregistreerde gereglementeerd ter hand te nemen. Aanbevelingen Het CBP beveelt het Ministerie van Binnenlandse Zaken en Koninkrijksrelaties aan om richting de verantwoordelijken op de Nederlandse Antillen voorlichting te geven en eventueel actief mee te denken over hoe de politiekorpsen vorm kunnen geven aan de rechten van de betrokkenen, zoals het recht op kennisneming. 16 Uitwisseling van politiegegevens tussen de Nederlandse Antillen en Nederland - april 2006

18 9 OPLEIDING EN INFORMATIEVOORZIENING Het is van belang om gebruikers en betrokkenen op de hoogte te houden van ontwikkelingen en veranderingen aan het systeem. Ook is het van belang om er voor te zorgen dat gebruikers goed worden opgeleid en op de hoogte zijn van de geldende wet- en regelgeving. Feitelijke constateringen Regelmatig worden workshops gegeven op de Nederlandse Antillen om de gebruikers te voorzien van nieuwe informatie en de al eerder verstrekte kennis op te frissen. Daarnaast kan bij vragen altijd telefonisch contact opgenomen worden met de moderator in Nederland. Dit verloopt naar wens. Net voor de uitvoering van het onderzoek was een nieuwe versie van het programma PKN uitgerold. Hierdoor is de werkomgeving van PDN-K ook aangepast. De gebruikers op de Nederlandse Antillen waren hiervan niet op de hoogte en beschikten ook niet over een handleiding of beschrijving van de nieuwe werkomgeving. Ook bleken autorisaties te zijn gewijzigd. Bevindingen De mate waarin geïnterviewden zich bewust waren van het belang van de bescherming van persoonsgegevens verschilde. Het komt ook voor dat men zich bewust is van het belang, maar in de feitelijke uitvoering er toch geen rekening mee lijkt te houden. Het ontbreekt af en toe aan inhoudelijke kennis van de regels zoals verwoord in het protocol en het reglement. Het inzicht in de risico s die burgers en de politiekorpsen lopen, schiet vaak te kort. Bij de uitrol van de nieuwe versie van PKN zijn de collega s op de Nederlandse Antillen niet geïnformeerd. Dit heeft geresulteerd in verlies van werktijd om de veranderingen in de nieuwe werkomgeving zelf te ontdekken en enige irritatie aan de zijde van de betrokkenen op de Nederlandse Antillen. Aanbevelingen De bescherming van persoonsgegevens wordt gedragen door begrip van de risico s en consequenties van het niet naleven van de relevante regels. Door te investeren in dialoog en uitwisseling van kennis onder collega s van de Nederlandse Antillen en Nederland kan de privacybewustwording worden gestimuleerd. Ook het met elkaar bespreken van cases en het bedenken van praktische oplossingen zal bijdragen aan een betere naleving van protocol en reglement. Voor een goede werkrelatie met de collega s op de Nederlandse Antillen is het verder van belang van Nederlandse zijde dezen goed geïnformeerd te houden over veranderingen aan het systeem en hen eventueel te betrekken bij het proces (bijvoorbeeld bij de evaluatie van de werkomgeving). Het betrekken van de collega s op de Nederlandse Antillen zal een extra impuls geven aan een gedeeld gevoel van eigenaarschap van het systeem en aan de acceptatie van de bijbehorende regels. 17

19 BIJLAGEN 1 Het onderzoek 19 2 Protocol gegevensuitwisseling tussen de Nederlandse Antillen en Nederland 21 3 Reglement politieregister gegevens- uitwisseling koninkrijkscriminaliteit Uitwisseling van politiegegevens tussen de Nederlandse Antillen en Nederland - april 2006

20 Bijlage 1 HET ONDERZOEK Aanpak Ten behoeve van het onderzoek heeft het CBP op basis van het document Protocol gegevensuitwisseling tussen de Nederlandse Antillen en Nederland en het document Reglement Politieregister gegevensuitwisseling Koninkrijkscriminaliteit een controleprogramma opgesteld. Het onderzoek is uitgevoerd aan de hand van dat controleprogramma door middel van het houden van interviews, beoordelen van documenten, demonstraties van het systeem en het bekijken van de gegevens in de s. Er zijn gesprekken gevoerd met medewerkers van het politiekorps Haaglanden, Korps politie Curaçao en het Korps politie Bonaire. Verloop Op 14 oktober 2005 heeft een gesprek plaatsgevonden met dhr. R. Bos, inspecteur van politie en tevens moderator voor PKN-K bij korps politie Haaglanden. Tijdens het gesprek heeft het CBP een demonstratie gekregen van het systeem en de werkwijze ervan. Tevens zijn er controlevragen gesteld. Naar aanleiding van de demonstratie en het gesprek is het controleprogramma aangescherpt. Op 21 november 2005 heeft een gesprek plaatsgevonden met dhr. E. Jansen, hoofdagent van politie, op het bureau Rio Canario te Willemstad, Curaçao. Op 22 november 2005 heeft een gesprek plaatsgevonden met mevr. Raphaela, brigadier van politie, op het bureau Kralendijk te Bonaire. Op 23 november 2005 heeft een gesprek plaatsgevonden bij het RST met de heren R. Dautzenberg, teamchef RST, W. Mossink, hoofd informatie unit en J. Busch, systeembeheerder. Op de drie locaties zijn tevens de laptops en de systemen onderzocht. Op 5 december 2005 heeft nog een gesprek plaatsgevonden met dhr. R. Bos. Het conceptrapport is voor een reactie voorgelegd aan de betrokkenen Jansen, Raphaela, Dautzenberg en Bos. Het definitieve rapport is aangeboden aan de verantwoordelijke ministers, aan de korpschef van het KPNA, aan de korpsbeheerder van de regiopolitie Haaglanden en aan de NPA. Normenkader De Nederlandse wetgever heeft gekozen voor een afzonderlijke wet voor persoonsregistraties, aangelegd ter uitvoering van de politietaak naast een algemene regeling te weten de Wet bescherming persoonsgegevens (WBP). Hiervoor gaf de wetgever de volgende redenen. De gegevens die berusten bij de politie zijn in de regel niet vrijwillig door de betreffende persoon geleverd of zijn in het geheel niet van de betreffende persoon afkomstig. Het gaat meestal ook om gegevens met een gevoelig karakter, zoals de bijzondere gegevens omschreven in art. 16 WBP, waartoe ook strafrechtelijke gegevens behoren. De politie opereert bovendien in een bijzonder spanningsveld. De behoefte aan gegevens is groot bij de handhaving van de (rechts)orde en de opsporing en vervolging van strafbare feiten en komt al snel op gespannen voet te staan met het recht op bescherming van de persoonlijke levenssfeer. (Kamerstukken II 1985/86, , nr. 2, p. 2-4). Naast deze door de wetgever expliciet genoemde redenen dient er ook op gewezen te worden dat het kenmerkend is voor de politie dat zij bij haar taakvervulling vaak gedwongen is uit te gaan van gegevens waarvan de juistheid en volledigheid (nog) niet vaststaan. Het toetsen van de juistheid en volledigheid van die gegevens is een specifiek element dat specifieke eisen stelt aan de omgang met deze gegevens. 19

21 Een algemeen beginsel van gegevensbescherming is dat gegevens slechts worden verwerkt voor een bepaald doel. Dit is ook in art. 8 WBP vastgelegd en wordt wel het doelbindingsprincipe genoemd. Een andere norm is het noodzakelijkheidsprincipe. De politietaak rechtvaardigt dat de politie persoonsregistraties bijhoudt. De bijzondere aard van de politietaak brengt bovendien met zich mee dat er in de wet een specifiek taakgerelateerd regime voor deze persoonsregistraties is neergelegd in afwijking van het algemene regime van de WBP. De term noodzakelijk brengt tot uitdrukking dat niet onbeperkt registers kunnen worden aangelegd. Een beheerder moet er rekenschap van afleggen of het doel van een politieregister past binnen de goede uitvoering van de politietaak (Kamerstukken II 1985/86, , nr. 3, p. 8). Het moet noodzakelijk zijn voor de politietaak, de strafrechtelijke handhaving van de rechtsorde, de handhaving van de openbare orde en de hulpverlening, daaronder begrepen de taken ten dienste van justitie. Het normenkader voor het onderzoek wordt verder uiteraard gevormd door het Protocol gegevensuitwisseling tussen de Nederlandse Antillen en Nederland (bijlage 2) en het Reglement Politieregister gegevensuitwisseling Koninkrijkscriminaliteit (bijlage 3). De relevante normen zijn voor het onderzoek uitgewerkt in concrete onderzoeksvragen. Dit Controleprogramma gegevensuitwisseling tussen de Nederlandse Antillen en Nederland is te vinden op de website van het CBP: 20 Uitwisseling van politiegegevens tussen de Nederlandse Antillen en Nederland - april 2006

22 Bijlage 2 PROTOCOL GEGEVENSUITWISSELING TUSSEN DE NEDERLANDSE ANTILLEN EN NEDERLAND Protocol gegevensuitwisseling tussen de Nederlandse Antillen en Nederland. De Minister van Justitie van de Nederlandse Antillen, en De Minister van Justitie en de Minister van Binnenlandse Zaken en Koninkrijksrelaties van Nederland, Gezien: 1. het tijdelijk protocol informatie-uitwisseling tussen de Nederlandse Antillen en Nederland van 27 september 2002; 2. de evaluatie van februari 2004 omtrent de werking van voornoemd tijdelijk protocol. Gehoord: het College bescherming persoonsgegevens, Overwegende: 1. dat de uitwisseling van gegevens waarover het Korps Politie Nederlandse Antillen (KPNA) en de Nederlandse politiekorpsen beschikken bijdraagt aan een effectieve bestrijding van criminaliteit die mede ontstaat door het ontbreken van belemmeringen in het personenverkeer tussen de landen van het Koninkrijk der Nederlanden; 2. dat de mogelijkheid tot uitwisseling van gegevens tussen voornoemde politiekorpsen in toenemende mate noodzakelijk is; 3. dat het in Nederland functionerende Politiekennisnet (PKN) een informatienetwerk met een adequate infrastructuur is, waartoe alle politiekorpsen toegang hebben of zullen krijgen; 4. dat de Nederlandse politiekorpsen van een functionaliteit van PKN, te weten het Politie discussienet (PDN) meer speciaal het PDN-Koninkrijksbrede Criminalteitsbestrijding (PDN-K) gebruik maken om gegevens uit te wisselen; 5. dat het PDN-K moet worden aangemerkt als een politieregister in de zin van artikel 1, lid eerste lid, onder c, van de Wet op de Politieregisters; 6. dat het wenselijk is dat aan het KPNA uit het PDN-K gegevens worden verstrekt, 7. dat het ingevolge de bij of krachtens de Nederlandse Wet politieregisters gestelde regels mogelijk is om gegevens uit politieregisters te verstrekken aan politieautoriteiten in een ander land, zij het dat deze verstrekking slechts kan plaatsvinden door tussenkomst van een net-moderator; 8. dat het wenselijk is om de voorwaarden voor de gegevensverstrekking tussen Nederland en de Nederlandse Antillen vast te leggen in wederzijdse afspraken; 9. dat de Nederlandse Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Nederlandse Minister van Justitie hebben besloten dat, gelet op het bijzondere karakter van de zich voordoende criminele activiteiten, voor het eerder aangegeven doel op de hiervoor bedoelde wijze gegevens uit het PND-K mogen worden verstrekt en dit besluit in een beschikking op basis van artikel 18 van de Wet politier- 21

23 gisters hebben vastgelegd, welk besluit als bijlage bij dit Protocol is gevoegd; 10. dat de Nederlandse Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Nederlandse Minister van Justitie hebben besloten dat, voor het eerder aangegeven doel en op de hiervoor bedoelde wijze gegevens uit het PDN-K aan de Nederlands Antilliaanse politieautoriteiten mogen worden verstrekt, een en ander conform het bepaalde in artikel 13, eerste lid, onder a. en zevende lid van het Besluit politieregisters, welk besluit als bijlage bij dit Protocol is gevoegd; Komen overeen: Artikel 1. Begripsbepalingen In dit protocol wordt verstaan onder: a. PKN: het Politie Kennisnet, zijnde een op webtechnologie gebaseerde kennisdienst, die via het Politie Intranet (PIN) beschikbaar is; b. PDN-K: een besloten discussieplatform binnen PKN inzake Koninkrijksbrede criminaliteitsbestrijding; c. KPNA: het korps Politie Nederlandse Antillen; d. politiekorps: een Nederlands regionaal politiekorps of het Korps landelijke politiekdiensten; e. gegevens: tactische en operationele gegevens, waaronder persoonsgegevens als bedoeld in artikel 1, aanhef, onder a, van de Wet bescherming persoonsgegevens, voor zover deze geen betrekking hebben op CIE (Criminele Inlichtingen Eenheid) informatie; f. CIE-informatie: informatie, die is opgenomen in een informantenregister, voorlopig register of register zware criminialiteit en die overeenkomstig de CIE-regeling (Stcrt.2000, 198) worden gevoerd bij een Criminele Inlichtingen Eenheid van een Nederlands Politiekorps; g. verstrekken: het bekendmaken of ter beschikking stellen van gegevens, voor zover zulks geheel of grotendeels steunt op gegevens die in een politieregister zijn opgenomen of die door verwerking daarvan, al dan niet in verband met andere gegevens zijn verkregen. Artikel 2. Doelstelling en reikwijdte van het protocol 1. Doelstelling van dit protocol is het mogelijk maken, dat uit het PDN-K gegevens worden verstrekt over een bepaald opsporingsonderwerp teneinde verdere daadwerkelijke opsporing te kunnen realiseren of te ondersteunen; 2. Dit protocol is van toepassing op het verstrekken aan het KPNA van gegevens uit het PDN-K alsmede op het verstrekken aan een poltiekorps van gegevens uit een register dat in gebruik is bij het KPNA. Artikel 3. Vastlegging verstrekkingen 1. Verstrekkingen van gegevens die uit het PDN-K op basis van dit protocol worden gedaan, worden vastgelegd conform de bepalingen bij of krachtens de Wet politieregisters. 2. Het eerste lid is van overeenkomstige toepassing op verstrekkingen van gegevens uit een register of een politieregister dat bij het KPNA in gebruik is. Artikel 4. Beveiliging ontvangen gegevens 1. Indien aan het KPNA uit het PDN-K gegevens worden verstrekt, draag het KPNA zorg voor de nodige voorzieningen van technische en organisatorische aard ter beveiliging van de gegevens tegen onbevoegde kennisnemen, wijziging of verstrekking daarvan. 2. Nederland zal onderstuening bieden bij het opzetten van de in het eerste lid bedoelde voorzieningen. 3. De beheerder van registers of politieregisters die bij het KPNA in gebruik zijn, wijst functionarissen van het KPNA aan die geautoriseerd zijn tot het ontvangen en 22 Uitwisseling van politiegegevens tussen de Nederlandse Antillen en Nederland - april 2006

24 verwerken van gegevens in het kader van dit protocol. 4. De beheerder van een register of een politieregister dat bij het KPNA in gebruik is, bepaalt vooraf schriftelijk welke personen onder welke voorwaarden technische werkzaamheden aan het register of het politieregister kunnen verrichten. Artikel 5. Terzake van toepassing zijnde regime met betrekking tot de bescherming van de persoonlijke levenssfeer Ten aanzien van gegevens die uit het PDN-K op basis van dit protocol aan het KPNA zijn verstrekt, zal gehandeld worden in overeenstemming met de in Nederland vigerende Wet politieregisters. Artikel 6. Beheerder en gegevens 1. Het PDN-K wordt ingevolge artikel 1, eerste lid, onderdeel f, sub 5, van de Wet politieregisters beheerd door de korpsbeheerder van de regiopolitie Haaglanden. 2. In het reglement betreffende het register zijn bepalingen opgenomen omtrent de gegevens die in het kader van de hier bedoelde gegevensuitwisseling mogen worden verstrekt. 3. De gegevens worden uitsluitend vertrekt ter beantwoording van een via PDN-K gestelde vraag. 4. De gegevens worden maximaal vier weken bewaard. Na afloop van deze termijn worden de gegevens zonder menselijke tussenkomst vernietigd. Artikel 7. Handhaving privacybescherming 1. Met betrekking tot PDN-K ziet het College bescherming persoongegevens toe op de werking, overeenkomstig het bij en krachtens de Wet politieregisters bepaalde en het belang van de bescherming van de persoonlijke levenssfeer in het algemeen. 2. Met betrekking tot de registers of politieregisters die op de Nederlandse Antillen worden gevoerd en waarin gegevens worden opgenomen, die afkomstig zijn uit het PDN-K, doet de Minister van Justitie van de Nederlandse Antillen periodiek de uitvoering van dit protocol door een onafhankelijke persoon of instantie controleren. 3. De onafhankelijke persoon of instantie brengt rapport uit over de controle. 4. Indien uit de controle blijkt dat niet wordt voldaan aan de regels van het protocol, neemt de Minister van Justitie van de Nederlandse Antillen de nodige maatregelen. Artikel 8. Rechten van de belanghebbende op kennisneming en verbetering 1. De korpschef van het KPNA deelt een ieder op diens verzoek binnen vier weken mede of en zo ja welke deze persoon betreffende gegevens in een register op de Nederlandse Antillen zijn opgenomen. Hij verstrekt daarbij tevens desgevraagd inlichtingen over de herkomst van de gegevens en over degenen aan wie deze zijn verstrekt. Hij doet daarbij geen mededelingen in schriftelijke vorm. 2. Een mededeling als bedoeld in het eerste lid blijft achterwege, voor zover het de verstrekking van gegevens door of aan een criminele inlichtingdienst betreft of wanneer een gewichtig belang van een derde dan wel het beland van de goede uitvoering van de politietaak daartoe noodzaken. 3. Degene aan wie overeenkomstig het eerste lid van dit artikel mededeling is gedaan van hem betreffende gegevens, kan de betreffende beheerder schriftlijk verzoeken deze te verbeteren, aan te vullen, te verwijderen of af te schermen, indien deze feitelijk onjuist, voor het doel van het register onvolledig of niet ter zake dienend zijn dan wel in strijd met een wettelijk voorschrift in het register voorkomen. Het verzoek behelst de aan te brengen wijzigingen. 4. De beheerder bericht de verzoeker binnnen vier weken na ontvangst van het verzoek schriftelijk of dan wel in hoeverre hij daaraan voldoet. Een weigering is met redenen omkleed. 5. De beheerder draagt zorg dat een beslissing tot verbetering, aanvulling, 23