Assurance-rapport Privacy audit Wpg 2015 FIOD

Transcriptie

1 Assurance-rapport Privacy audit Wpg 2015 FIOD

2 Colofon Titel Uitgebracht aan Privacy audit Wpg 2015 FIOD De heer J. van der Vlist, algemeen directeur FIOD Datum 1 augustus 2016 Kenmerk Inlichtingen Auditdienst Rijk

3 Inhoud Privacy audit Wet politiegegevens FIOD Opzet en bestaan per ultimo 2015 en de werking over 2015, van het stelsel van beheersmaatregelen, heeft niet voldaan aan het normenkader 5 1 Controleerbaarheid onvoldoende opgezet Protocolplichten zijn niet op orde Protocolplicht autorisaties is niet volledig Een aantal protocolplichten is niet ingericht Er zijn tekortkomingen bij ingerichte protocolplichten Instemmingen, toestemmingen in opzet niet controleerbaar 6 2 Geautomatiseerd vergelijken en In Combinatie Zoeken niet voldoende ingeperkt Autorisaties Geautomatiseerd vergelijken en In Combinatie Zoeken te ruim Gehanteerde definitie van Geautomatiseerd vergelijken te ruim Summ-IT functionaliteit beperkt zoekresultaten niet voldoende 7 3 Maatregelen verwijderen/vernietigen artikel 8 en 9 niet effectief Procedures verwijderen en vernietigen artikel 8 en 9 gegevens niet helder en eenduidig Afschermen artikel 8 gegevens niet effectief 8 4 Informatiebeveiliging goed op weg maar organisatorisch niet volledig ingebed 9 5 Gestage vooruitgang: vijf van de elf hoofdaspecten op orde 10 6 Vervolg: verbeterrapport en hercontrole 11 7 Verantwoording onderzoek Doel en scope van de privacy audit Gehanteerde standaarden en normenkader Uitgevoerde werkzaamheden Verspreiding rapport 13 8 Ondertekening 14 9 Bijlage(n) 15 Bijlage 1; Managementreactie 16 Bijlage 2; Tabel bevindingen per Wpg aspect 18

4 Privacy audit Wet politiegegevens FIOD 2015 De Wet politiegegevens (Wpg) bevat regels voor de verwerking van politiegegevens 1 en is van toepassing op die verwerking door de Politie, Rijksrecherche, Koninklijke Marechaussee en de bijzondere opsporingsdiensten. De Belastingdienst/FIOD is de bijzondere opsporingsdienst van het ministerie van Financiën en richt zich op het voorkomen en bestrijden van misbruik en oneigenlijk gebruik van wet- en regelgeving op de terreinen: fiscaal en douane, financieel-economisch en goederen. Ook levert de FIOD een bijdrage aan de bestrijding van georganiseerde (commune) criminaliteit met fiscale en financiële componenten. De FIOD verricht ook de opsporingstaak bij (zware) fraude met toeslagen en (zware) premiefraude. De Wpg bevat voor een verantwoordelijke de verplichting om eens in de vier jaar een privacy audit uit te laten voeren 2. De privacy audit heeft tot doel 3 op systematische wijze te toetsen of aan de bepalingen van de Wpg op adequate wijze uitvoering is gegeven. Hiertoe vindt een beoordeling plaats van de opzet, bestaan en werking van maatregelen en procedures die in de borging van de wettelijke eisen moeten voorzien. In opdracht van de heer J. van der Vlist, algemeen directeur FIOD, heeft de Auditdienst Rijk die privacy audit, zoals de FIOD deze in 2015 uit dient te laten voeren, verricht. De Wpg en het bijbehorende Besluit politiegegevens zijn op 1 januari 2008 van kracht geworden. In 2009 is, met het 'Besluit politiegegevens bijzondere opsporingsdiensten', de Wpg grotendeels van toepassing verklaard op de bijzondere opsporingsdiensten, waaronder de FIOD. Een aantal artikelen van de Wpg was vanaf de inwerkingtreding al van toepassing op de criminele inlichtingeneenheden van de bijzondere opsporingsdiensten. In 2011, zijnde 2 jaar na inwerkingtreding van de Wpg voor de bijzondere opsporingsdiensten als geheel, dienden de bijzondere opsporingsdiensten de eerste privacy audit te laten uitvoeren. Die is bij de FIOD in 2011 uitgevoerd. Daarna dient de privacy audit eens in de vier jaar uitgevoerd te worden. Omdat de Criminele inlichtingeneenheid (destijds CIE, nu Team Criminele Inlichtingen(TCI)) al twee jaar eerder onder de Wpg viel is bij de CIE van de FIOD in 2009/2010 de eerste privacy audit uitgevoerd. In de privacy audit van 2011 is de CIE weer meegenomen. De auditcyclus betreffende de CIE van de FIOD is daarmee gelijkgeschakeld met de auditcyclus van de FIOD als geheel. Deze tweede volledige privacy audit bij de FIOD omvat derhalve ook de verwerkingen door de TCI van de FIOD. 1 Een politiegegeven is elk persoonsgegeven dat in het kader van de uitoefening van de politietaak wordt verwerkt (Wpg, art.1.a) 2 Wet politiegegevens artikel 33 en Besluit Politiegegevens artikel 6:5 3 Conform artikel 2, lid 2 Regeling periodieke audit politiegegevens 4 Privacy audit Wpg 2015 FIOD

5 Opzet en bestaan per ultimo 2015 en de werking over 2015, van het stelsel van beheersmaatregelen, heeft niet voldaan aan het normenkader Op grond van onze werkzaamheden concluderen wij dat, de opzet en het bestaan per ultimo 2015, en de werking over de periode tot en met van het stelsel van maatregelen en procedures gericht op de bescherming van politiegegevens door de FIOD niet heeft voldaan aan het normenkader. Het oordeel heeft betrekking op de zogenaamde verwerkingen genoemd in de Wet politiegegevens. Het hierbij gehanteerde normenkader omvat de door de FIOD te nemen maatregelen. Tekortkomingen op deze vlakken hebben uiteindelijk geleid tot het geformuleerde oordeel. In onderstaande hoofdstukken 1 tot en met 4 zijn de belangrijkste bevindingen opgenomen die hebben geleid tot dit oordeel. Ook in hoofdstuk 5 gaan wij nog kort in op (bevindingen betreffende) enkele Wpg aspecten en de vooruitgang ten opzichte van de vorige privacy audit en hercontrole. Dit hoofdstuk hoort echter niet bij de onderbouwing van de oordelen. Hoofdstuk 6 bevat de door de verantwoordelijke te nemen vervolgstappen naar aanleiding van dit rapport. In hoofdstuk 7 geven wij nadere toelichting op de opzet en uitvoering van deze privacy audit. In bijlage 2 is de tabel met bevindingen per WPG hoofdaspect opgenomen. In deze tabel zijn ook de restrisico s voortkomende uit de tekortkomingen opgenomen. 5 Privacy audit Wpg 2015 FIOD

6 1 Controleerbaarheid onvoldoende opgezet 1.1 Protocolplichten zijn niet op orde Artikel 32 Wpg schrijft voor dat de verantwoordelijke zorg draagt voor de schriftelijke vastlegging van een aantal gegevens. Deze protocolplicht is bedoeld om toezicht en controle mogelijk te maken. Tekortkomingen in de inrichting van de protocolplichten beperken de mogelijkheid om de werking van maatregelen te beoordelen. De geconstateerde tekortkomingen op dit vlak zijn in deze audit een belangrijke oorzaak voor afkeurende verklaring op de werking. Hieronder zijn onze belangrijkste bevindingen daarover opgenomen Protocolplicht autorisaties is niet volledig Er is niet volledig voldaan aan de protocolplicht autorisaties: het ontbreekt aan (formele) vastleggingen voor de toegang tot individuele opsporingsdossiers. Ook biedt de applicatie Summ-IT, waarin de opsporingsdossiers worden gehouden, geen functionaliteit om de historie van autorisaties inzichtelijk te maken. Daarnaast geeft de postbus van de behandelaar van aanvragen, Functioneel Beheer, geen eenduidig inzicht in de historie van de verleende of ingetrokken autorisaties in het systeem. Dat betekent dat achteraf geen eenduidig onderzoek naar het verlenen van autorisaties in Summ-IT over een bepaalde periode kan worden uitgevoerd Een aantal protocolplichten is niet ingericht De volgende protocolplichten zijn niet ingericht: - geautomatiseerd vergelijken met andere dan politiegegevens; - rechtstreekse verstrekkingen; - verstrekken van artikel 10, 12 en 13 gegevens Er zijn tekortkomingen bij ingerichte protocolplichten De protocolplichten zijn met name procedureel geregeld en daarmee niet erg sterk zoals bijvoorbeeld logging zou kunnen zijn. Zo bestaat de protocolplicht onrechtmatige verwerkingen uit een meldingsprocedure bij het constateren van een (mogelijk) onrechtmatige verwerking. Er is daarnaast geen stelsel ingericht om onrechtmatige verwerkingen actief te constateren (logging en analyse op gebruik autorisaties bijvoorbeeld). De protocolgegevens worden, met uitzondering van die betreffende autorisaties, binnen de gebruikte primaire applicaties geregistreerd. Daarvan zijn geen (volledige en juiste) overzichten aan te maken over een bepaalde periode. Naast deze algemene zwakheden zijn er nog specifieke tekortkomingen: - de protocolplicht hernieuwde verwerking is in opzet niet volledig ten aanzien van de verplicht vast te leggen items; - verstrekkingen aan de contactambtenaar van de Belastingdienst worden in opzet ten onrechte uitgesloten van de protocolplicht verstrekken; - er is geen protocolmaatregel (bruikbare logging) ingebouwd in de functionaliteit Zoeken en speuren in SUMM-IT. O.i. betreft het gebruik op de wijze waarop het binnen FIOD is ingericht geautomatiseerd vergelijken. 1.2 Instemmingen, toestemmingen in opzet niet controleerbaar Ten aanzien van een aantal processen schrijft de Wpg voor dat in- of toestemming van de bevoegd functionaris en/of het bevoegd gezag vereist is. In procedures van de FIOD is over het algemeen wel opgenomen dát die toestemmingen nodig zijn en vastgelegd moeten worden. Er is echter niet uitgewerkt hoe die toestemmingen moeten worden verkregen en op welke wijze ze herkenbaar moeten worden vastgelegd. 6 Privacy audit Wpg 2015 FIOD

7 2 Geautomatiseerd vergelijken en In Combinatie Zoeken niet voldoende ingeperkt 2.1 Autorisaties Geautomatiseerd vergelijken en In Combinatie Zoeken te ruim Autorisaties met betrekking tot het geautomatiseerd vergelijken en het in combinatie zoeken 4 zijn in opzet, in de profielmatrix, te ruim toebedeeld. Zo is, bijvoorbeeld, Geautomatiseerd vergelijken van artikel 9 gegevens niet beperkt tot Informatiecoördinatie en TCI. Het is ook toebedeeld aan vele andere profielen. Een procedurebeschrijving voor het in voorkomende gevallen autoriseren van anderen dan TCI medewerkers, in overeenstemming met hoofd TCI, voor het Geautomatiseerd vergelijken, en het In Combinatie Zoeken, vanuit artikel 10 gegevens, hebben wij niet aan getroffen. In de profielmatrix zijn de betreffende autorisaties standaard ook aan andere dan TCI profielen toegekend. 2.2 Gehanteerde definitie van Geautomatiseerd vergelijken te ruim Geautomatiseerd vergelijken is een handeling die slechts mag worden uitgevoerd indien aan bepaalde criteria is voldaan. In de door FIOD gehanteerde definitie van Geautomatiseerd vergelijken is geen onderscheid gemaakt in de handeling geautomatiseerd vergelijken en de criteria waaronder deze handeling mag worden uitgevoerd. In de wet omschreven criteria zijn bij FIOD onderdeel van de definitie van Geautomatiseerd vergelijken in die zin dat als een gegevensvergelijking niet aan de criteria voldoet het door FIOD niet als geautomatiseerd vergelijken wordt beschouwd. Het door de FIOD in de definitie gehanteerd uitgangspunt, dat verificatie een ongerichte zoekslag betreft en dat daarvoor niets hoeft te worden geregistreerd, is o.i. niet juist. Dit kan leiden tot geautomatiseerde vergelijkingen die niet aan de criteria voldoen en te ruime autorisaties in systemen. Ook kan het ertoe leiden dat vergelijkingen die geprotocolleerd moeten worden dat niet worden. 2.3 Summ-IT functionaliteit beperkt zoekresultaten niet voldoende Met de functionaliteit Zoeken en Speuren kan geautomatiseerd gezocht worden in actieve gegevens binnen SUMM-IT. Wij beschouwen het gebruik van Zoeken en Speuren als geautomatiseerd vergelijken. SUMM-IT houdt bij de wijze waarop de gegevens worden getoond in Zoeken en Speuren, geen rekening met eventuele afschermingscoderingen van de gegevens. Gevonden gegevens worden getoond met vermelding van de code, maar niet met de bij de code behorende afscherming (uitgezonderd embargo onderzoeken). Ook kunnen (onder condities) afgeschermde artikel 8 gegevens gevonden worden als gezocht wordt vanuit andere dan 8.1 gegevens. 4 In Combinatie Zoeken wordt ook aangeduid met In Combinatie Met Elkaar Verwerken (ICMEV) 7 Privacy audit Wpg 2015 FIOD

8 3 Maatregelen verwijderen/vernietigen artikel 8 en 9 niet effectief 3.1 Procedures verwijderen en vernietigen artikel 8 en 9 gegevens niet helder en eenduidig De opzet (instructies/procedures) m.b.t. het verwijderen en het vernietigen van artikel 9 gegevens is niet helder en eenduidig. Dit kan o.i. tot onduidelijkheden leiden met als gevolg dat gegevens niet (tijdig) worden verwijderd of vernietigd. In deelwaarnemingen hebben wij een relevante hoeveelheid artikel 9 gegevens aangetroffen die al vernietigd hadden moeten zijn. Wij hebben geen beschrijving aangetroffen hoe de opdracht tot het verwijderen/vernietigen van artikel 8 gegevens moet worden gegeven en hoe dat wordt vastgelegd en wat er ten aanzien van het verwijderen en vernietigen van artikel 8 gegevens concreet moet gebeuren (bijvoorbeeld welke autorisaties moeten worden ingetrokken en welke niet). 3.2 Afschermen artikel 8 gegevens niet effectief Artikel 8 gegevens worden, in SUMM-IT, opgeslagen in registraties per maand ( maandbakken ). Deze worden, en zijn in 2015, op maandbasis achter schot geplaatst door het toekennen van de status raadplegen. Deze aldus afgeschermde maandbakken artikel 8 zijn echter niet echt afgeschermd: ze kunnen nog steeds ingezien worden door de artikel 8 geautoriseerden. Artikel 8 gegevens in samenwerkingsgebieden worden niet na 1 jaar achter schot gezet (maar na maximaal 2 jaar vernietigd). 8 Privacy audit Wpg 2015 FIOD

9 - Er - Toezicht 4 Informatiebevefliging goed op weg maar organisatorisch niet volledig ingebed Sinds de vorige privacy audit is goede vooruitgang geboekt op het gebied van informatiebeveiliging bij de FIOD (in de context van de WPG). Dit komt met name door de aanstelling van een security officer, die informatiebeveiliging als aandachtsgebied heeft, en door de vervanging van een aantal oudere systemen door een nieuw systeem. Er is voor de in 2015 gebruikte (opsporings)systemen sprake van getroffen beveiligingsmaatregelen. Weggelaten, art. 10, lid 2, b, Wob Dit geldt met name voor deal anger in gebruik zijnde systemen. Bij nieuwe ontwikkelingen speelt dit minder, omdat de security officer zich daar met name op richt. In de loop van de tijd nemen door vervanging van systemen de risico s in eerste instantie af. Echter indien de informatiebeveiliging van die systemen niet goed ingebed wordt in een reguliere PDCA cyclus, die momenteel niet volledig bestaat, bluff het risico bestaan dat de informatiebeveuliging daarna weer in kwaliteit afneemt. Dit mede doordat de kwaliteit daarvan al erg kwetsbaar is doordat deze sterk afhangt van de bemoeienissen van de security officer lidem FIOD betrekt IT diensten (exploitatie, beheer) van de Politie IV organisatie en Belastingdienst/CIE. Voor deze uitbestede IT (exploitatie, beheer) zijn overeenkomsten, SLA s en DAP s afgesloten met deze beheerders/leveranciers. In deze afspraken is aangegeven dat de dienstverlener met betrekking tot het beveiligingsniveau uitgaat van het basisbeveiligingsniveau van respectievelijk de politie en de Belastingdienst. Er zijn geen aanvullende elsen ten aanzien van de informatiebeveiliging met de dienstverleners overeengekomen. Momenteel constateren wij nog de volgende tekortkomingen. is, op het niveau van systemen (applicaties), geen geformaliseerde PDCA cyclus ten aanzien van de informatiebeveiliging die FIOD breed voor zowel staande als nieuwe systemen als leidraad geldt. - Er is geen volledige PDCA cyclus m.b.t. de informatiebeveiliging/het actueel houden van de risicoanalyses en beveuliging(splannen) van enkele staande systemen. - Voor SUMM-IT opsporing, SUMM-IT TCI en RES Bruto zijn expliciete risicoafwegingen en betrouwbaarheidseisen (evenals beveiligingsplannen) binnen de FIOD niet aangetroffen (als regulier te onderhouden opzet van het stelsel van beveiligingsmaatregelen). Van RBS Bruto is in 2016 een risicoanalyse opgesteld. - Het is onvoldoende inzichtelijk of de geboden basisbeveiligingsniveaus (inclusief bevoegdheden m.b.t. toegang tot gegevens etc.) van de bewerkers voldoen aan het vereiste betrouwbaarheidsniveau van de FIOD. op het voldoen aan de afgesproken niveaus is vanuit de verantwoordelijke niet geregeld. 9 I Privacy audit Wpg 2015 FIOD V

10 5 Gestage vooruitgang: vijf van de elf hoofdaspecten op orde In de voorgaande hoofdstukken hebben wij onze belangrijkste bevindingen vermeld die hebben geleid tot de oordelen zoals gegeven. Niettegenstaande die oordelen, zijn er ook aspecten die geheel in voldoende mate op orde zijn. Van de elf in de audit beoordeelde hoofdaspecten (zie bijlage 2) zijn er 5 in opzet en bestaan, en 4 daarvan ook ten aanzien van de werking over 2015, in voldoende mate op orde. Het betreft de aspecten: noodzakelijkheid/rechtmatigheid/ doelbinding, ter beschikking stellen, rechten betrokkenen, audits en privacy functionaris (uitgezonderd de werking). Wij constateren hierin, en ook in enkele van de aspecten die (desalniettemin) nog niet geheel op orde zijn, een verbetering ten opzichte van de voorgaande privacy audit en hercontrole. Er is zichtbaar veel inspanning en aandacht besteed aan de introductie van het nieuwe systeem SUMM-IT. Ten aanzien van het gebruik van dat systeem is veel documentatie (handleiding, instructies) opgesteld, toegesneden op specifieke gebruikersgroepen dan wel processen. Ook ten aanzien van het aspect informatiebeveiliging(sproces) is vooruitgang geboekt (zie ook hoofdstuk 4). Hoewel het aspect autorisaties als geheel nog niet voldoende op orde is, is met name de profielmatrix, als instrument bij het toekennen van rechten, in positief opzicht doorontwikkeld. In het algemeen is er qua hoeveelheid voldoende documentatie van de opzet. Wat ons betreft zal de inspanning in de nabije toekomst eerder gericht moeten zijn op het nader, in onderlinge samenhang, comprimeren, en op punten aanscherpen, van de documentatie als geheel, dan op het creëren van meer beschrijvingen. 10 Privacy audit Wpg 2015 FIOD

11 6 Vervolg: verbeterrapport en hercontrole De verantwoordelijke, zijnde de algemeen directeur FIOD, de heer J. van der Vlist, is op grond van artikel 4 lid 1 van de Regeling Periodieke Audit politiegegevens verplicht binnen drie maanden een verbeterrapport op te stellen waarin de maatregelen worden beschreven die getroffen zijn ter verbetering van de in de privacy audit geconstateerde tekortkomingen. Op grond van artikel 33 lid 3 Wet politiegegevens dient binnen een jaar een hercontrole plaats te vinden. Het rapport van de hercontrole moet, door de verantwoordelijke, worden aangeboden aan de Autoriteit Persoonsgegevens. 11 Privacy audit Wpg 2015 FIOD

12 7 Verantwoording onderzoek 7.1 Doel en scope van de privacy audit Het doel van de privacy audit is op systematische wijze te toetsen of aan de bepalingen van de Wpg op adequate wijze uitvoering is gegeven. De privacy audit FIOD heeft zich daartoe gericht op het stelsel van maatregelen en procedures waarmee de algemeen directeur van de FIOD beoogt te voldoen aan de beheersdoelstellingen die bij en krachtens de Wet politiegegevens voor de FIOD gelden ten aanzien van de verwerkingen van politiegegevens. De privacy audit was gericht op een beoordeling, met een redelijke mate van zekerheid, van de opzet en het bestaan per ultimo 2015, en de werking over de periode t/m Mede doordat de beoordeling van de werking, ook al het bestaan per ultimo 2015 omvat is de beoordeling van bestaan in deze audit opgevat als het geïnstrueerd zijn van de medewerkers van de betreffende opzet. Dat instrueren verloopt, in het geval van wijzigingen in instructies/procedures in het algemeen via het FIOD intranet (FIODnet). Concreet betekent dit dus dat wij in beginsel ten aanzien van het bestaan slechts hebben getoetst of de betreffende beschrijvingen op FIODnet waren geplaatst. Of conform de beschrijvingen wordt gewerkt is vervat in de werking. 7.2 Gehanteerde standaarden en normenkader De privacy audit is uitgevoerd volgens de richtlijn voor het uitvoeren van privacy audits van de Nederlandse Orde van EDP Auditors (NOREA), richtlijn De ADR hanteert een normenkader voor de privacy audit dat is afgeleid uit de volgende documenten en de latere wijzigingen daarop: Wet politiegegevens, de wet van 21 juli 2007, Staatsblad 300; Besluit politiegegevens, besluit van 14 december 2007; Besluit politiegegevens bijzondere opsporingsdiensten, besluit van 3 juli 2009; Regeling periodieke audit politiegegevens, de Regeling van de Minister van Justitie, de Minister van Binnenlandse Zaken en de Minister van Defensie van 9 december 2008, nr /08; Besluit verplichte politiegegevens, besluit van 4 oktober Uitgevoerde werkzaamheden Het onderzoek is uitgevoerd volgens een door de ADR opgestelde aanpak. De uitgevoerde werkzaamheden bevatten onder meer: deskresearch, interviews met medewerkers van de FIOD (o.a. privacy functionaris, security officer, teamleiders, beheerders, interne auditor, bedrijfsvoering) en de CI Officier van Justitie en het uitvoeren van deelwaarnemingen (in gegevensverwerkingen en dossiers) bij o.a. TCI, Infodesk, opsporingsteams, privacy functionaris en Functioneel Beheer. De concept bevindingen zijn op 28 juni 2016 besproken met de privacy functionaris en een senior medewerker bedrijfsvoering van de FIOD. Het concept rapport is op 15 juli 2016 besproken met de opdrachtgever, tevens verantwoordelijke. 12 Privacy audit Wpg 2015 FIOD

13 7.4 Verspreiding rapport De opdrachtgever, tevens verantwoordelijke, de heer J. van der Vlist, algemeen directeur FIOD, is eigenaar van dit rapport. Op grond van bepalingen in de wet politiegegevens dient de verantwoordelijke dit rapport te verstrekken aan de Autoriteit Persoonsgegevens. De ADR is de interne auditdienst van het Rijk. Dit rapport is primair bestemd voor de opdrachtgever met wie wij deze opdracht zijn overeengekomen. In de ministerraad is besloten dat het opdrachtgevende ministerie waarvoor de ADR een rapport heeft geschreven, het rapport binnen zes weken op de website van de rijksoverheid plaatst, tenzij daarvoor een uitzondering geldt. De minister van Financiën stuurt elk halfjaar een overzicht naar de Tweede Kamer met de titels van door de ADR uitgebrachte rapporten en plaatst dit overzicht op de website. 13 Privacy audit Wpg 2015 FIOD

14 8 Ondertekening Utrecht, 2 auqjtiis 2016 art. 10, lid 2, e, Wob Privacy Auditor Auditdienst Rijk 14 I Privacy audit Wpg 2015 FIOD

15 9 Bijlage(n) 15 Privacy audit Wpg 2015 FIOD

16 Bijlage 1; Managementreactie De Audit Dienst Rijk komt op basis van de privacy audit tot het oordeel dat de FIOD per ultimo 2015 niet (volledig) voldaan heeft aan het normenkader. Wel constateert de Audit Dienst Rijk een verbetering ten opzichte van de voorgaande privacy audit en hercontrole. Op een aantal van de door de Audit Dienst Rijk (verder: ADR) geconstateerde tekortkomingen, geef ik hieronder een reactie. Protocolplichten: De protocolplicht van artikel 32 Wpg is bedoeld om toezicht en controle mogelijk te maken. Door de ADR is geconstateerd dat een aantal protocolplichten niet is ingericht en de ingerichte protocolplichten zijn met name procedureel geregeld en daarmee niet erg sterk zoals bijvoorbeeld logging zou kunnen zijn. Op dit moment is het helaas niet mogelijk om vanuit Summit volledige overzichten te genereren over een bepaalde periode. Er is nog geen functionaliteit ingebouwd om volledige overzichten te genereren. De FIOD heeft er voor gekozen om in afwachting van een mogelijke aanpassing van Summit hiervoor geen aanvullende maatregelen te nemen. Hetzelfde geldt voor de logging. Wél wordt er intern gecontroleerd of en op welke wijze er is geprotocolleerd. Wat betreft de verstrekkingen door de FIOD aan de Belastingdienst, is het een terechte constatering van de ADR dat deze binnen de protocolplicht verstrekkingen horen te vallen. Dit zal dan ook worden aangepast. Geautomatiseerd vergelijken: De ADR is van mening dat de autorisaties met betrekking tot het geautomatiseerd vergelijken te ruim zijn toebedeeld. Geautomatiseerd vergelijken van artikel 9 Wpg gegevens is niet beperkt tot Informatiecoördinatie en TCI. De FIOD vindt het een vereiste om binnen een opsporingsonderzoek na te gaan of een persoon (al eerder) in beeld is/was. En is daarom ook van mening dat deze (minimale) gegevensvergelijking noodzakelijk is voor iedere rechercheur. De vergelijking blijft beperkt tot signalering van hit, no hit. In geval van een hit zal pas na toestemming van de betreffende bevoegd functionaris, de onderliggende informatie ter beschikking kunnen worden gesteld. In feite heeft iedere FIOD rechercheur dus een beperkte informatiecoördinatie rol. Maatregelen verwijderen/vernietigen niet effectief: Constatering is dat de opzet mbt het verwijderen en vernietigen van artikel 8 en 9 gegevens niet helder en eenduidig is waardoor het risico bestaat dat gegevens niet (tijdig) worden verwijderd of vernietigd. Door de FIOD was dit al eerder naar voren gekomen naar aanleiding van een interne controle. Er worden nu maatregelen genomen voor het herinrichten van het proces. Informatiebeveiliging: Volgens de ADR is er goede vooruitgang geboekt op het terrein van informatiebeveiliging van de FIOD. Punt van verbetering ziet de ADR in het beter 16 Privacy audit Wpg 2015 FIOD

17 organisatorisch inbedden (in de PDCA-cyclus) van het onderwerp. De FIOD is zich ervan bewust dat informatiebeveiliging momenteel systeem-, incidentgericht en informatiegedreven is vormgegeven. Toezicht: Door de ADR is aangegeven dat er risico s zitten aan het onvoldoende houden van toezicht. Ook is belangrijk dat de verschillende toezicht vormen op elkaar aansluiten. De FIOD is voornemens de uitgevoerde controles door de interne controleurs meer en beter in samenhang brengen met het toezicht van de privacyfunctionaris. Hans van der Vlist 17 Privacy audit Wpg 2015 FIOD

18 Bijlage 2; Tabel bevindingen per Wpg aspect In onderstaande tabel zijn per Wpg aspect de bevindingen uit ons onderzoek weergegeven. Daarbij is per aspect de evaluatie/beoordeling weergegeven d.m.v. een gekleurde bol. = aan de norm is voldaan = aan de norm is niet geheel voldaan = aan de norm is niet voldaan = niet controleerbaar door tekortkomingen protocolplicht Kolom O betreft de opzet, B het bestaan en W de werking. In de tekst zijn na de tekortkomingen ook risico s aangeduid. Bij de risico s is een inschatting gegeven van de mate van het risico. (H) = Hoog risico, (M) = gemiddeld risico, (L) = laag risico. Bevindingen O B W Noodzakelijkheid, rechtmatigheid en doelbinding Gevoelige gegevens Doelbinding, rechtmatigheid Herkomst en wijze van verkrijging In instructies is opgenomen dat gevoelige gegevens in beginsel niet mogen worden verwerkt. Het primaire opsporingssysteem ondersteunt het herkenbaar vastleggen van gevoelige gegevens. Bij deelwaarnemingen hebben wij geen gevoelige gegevens aangetroffen. Doelbinding en rechtmatigheid zijn, naast via de informatieverwerkingsprocessen (zie ook onderwerrp ter beschikking stellen) en de waarborgen in de opsporingsprocessen (buiten scope), geborgd door o.a. toezicht en controle door de CI Officier van justitie (10 en 12 verwerking) en doelmelding (art. 9). Artikel 9 verwerking vindt plaats binnen de doelen van de onderzoeken. Met betrekking tot de herkomst en wijze van verkrijging van politiegegevens is in de AO beschrijving aangegeven dát die moet worden vastgelegd. In de gebruikte systemen is het mogelijk om, direct of indirect, de herkomst en wijze van verkrijging vast te leggen c.q. deze door de wijze van vastlegging daaruit af te leiden (m.n. ook via de ter beschikking stellen proccessen). Er zijn interne en steekproefsgewijze controles geformuleerd op deze onderwerpen. Niet alle gedefinieerde controles zijn in 2015 conform opzet uitgevoerd. In deelwaarnemingen hebben wij vastgesteld dat die controles positieve resultaten opleveren. Juistheid, volledigheid, beveiliging Informatiebeveiliging Externe bewerkers Juistheid en nauwkeurigheid Sinds de vorige privacy audit is goede vooruitgang geboekt op het gebied van informatiebeveiliging bij de FIOD (in de context van de WPG). Dit komt met name door de aanstelling van een security officer die informatiebeveiliging als aandachtsgebied heeft en door de vervanging van een aantal oudere systemen door een nieuw systeem. 18 Privacy audit Wpg 2015 FIOD

19 Bevindingen 0 B W Er is, voorzover het het basisbeveiligingsniveau (departementaal vertrouwelijk) aangaat, sprake van een PDCA cyclus op Belastingdienstniveau waar FIOD onderdeel van is. Het betreffende beleid is het Belastingdienst brede beleid zoals vastgelegd in het Handboek Beveiliging Belastingdienst. Over het voldoen aan dit beleid legt de FIOD jaarlijks teen mate van) verantwoording af aan de Chief security officer (zelfanalyse, gericht op jaarlijks door MT BD vastgestelde doelstellingen, dus niet hele HBB). Voor nieuwe ontwikkelingen gelden ook de, binnen FIOD geformuleerde, architectuur- en beveiligingsprindpes van de FIOD ( Toetsingskader FIOD ). Ook is er een risicoregister waarin risico s FIOD breed zijn benoemd. Dit is echter niet ingebed in een risicomanagementproces. Voor een aantal politiesystemen zijn expliciete risicoafwegingen en betrouwbaarheidseisen (evenals beveiligingsplannen) binnen de FIOD niet aangetroffen (als regulier te onderhouden opzet van het stelsel van beveiligingsmaatregelen). Er is, op het niveau van systemen (applicaties), geen geformaliseerde PDCA cyclus ten aanzien van de informatiebeveiliging die FIOD breed voor zowel staande als nieuwe systemen als Ieidraad geldt. Controle (toezicht) ten aanzfen van informatiebeveiligingsaspecten is in opzet belegd bij, Bedrijfsvoering (Interne Controle). Bedrijfsvoering rapporteert in triaalrapportages aan het MT. Ook de security officer levert input aan die triaalrapportage. Er is voor de in 2015 gebruikte (opsporingssystemen) sprake van getroffen beveiligingsmaatregelen. Art. 10, lid 2, e, Wob Dit geldt met name voor de al anger in gebruik zijnde systemen. Bij nieuwe ontwikkelingen speelt dit minder, omdat de security officer zich daar met name op richt. In de loop van de tijd nemen door vervanging van systemen de risico s in eerste instantie af. Echter indien de informatiebeveiliging van die systemen niet goed ingebed wordt in een reguliere PDCA cyclus, die momenteel niet volledig bestaat, blijft het risico bestaan dat de informatiebeveiliging daarna weer in kwaliteit afneemt. Dit mede doordat de kwaliteit daarvan al erg kwetsbaar is doordat deze sterk afhangt van de bemoeienissen van de security officerlidem I Externe bewerkers: FIOD betrekt IT diensten (exploitatie, beheer) van de Politie IV organisatie en Belastingdienst/CIE. Voor deze uitbestede IT (exploitatie, beheer) zijn Overeenkomsten, SLA s en DAPs afgesloten met deze beheerders/leveranciers. In deze afspraken is aangegeven dat de dienstverlener m.b.t het beveiligingsniveau uitgaat van het basisbeveiligingsniveau van respectievelijk de politie en de Belastingdienst. Er zijn geen aanvullende eisen ten aanzien van de informatiebeveiliging met de dienstverleners overeengekomen. Toezicht op de naleving door de beheerders van de afgesproken beveiligingsmaatregelen (ic. het basisbeveiligingsniveau) is vanuit de verantwoordelijke (mandaat FIOD) niet geregeld. Er is (bijvoorbeeld) niet voorzien in het door de dienstverleners afgeven van verkiaringen waarin een onafhankelijke partij een oordeel geeft over de kwaliteit van het gevoerde beheer en de informatiebeveiliging ( TPM ). Risicoanalyses (A&K analyses) waarmee de gewenste beveiliging (betrouwbaarheidsniveau) kan worden afgemeten aan het geleverde niveau en daarmee de basis zijn voor mogelijk benodigde aanvullende beveiligingsmaatregelen, hebben wij niet aangetroffen (zie ook hierboven). B/CIE zeif heeft een zogenaamd In Control Statement afgegeven over Dit ICS is 19 I Privacy audit Wpg 2015 FIOD

20 Bevindingen O B W echter niet voorzien van een verklaring van een onafhankelijke partij. Vermeld is dat e.e.a. voldoet aan de vooraf door het MT gestelde eisen en dat M1 B/CIE verklaard in control te zijn. aangegeven is dat Beveiliging in de ICS is begrepen. De verklaring betreft de opzet en het bestaan, en deels werking. Restrisico is dat de IB niet blijvend van het vereiste niveau is (M) en dat niet inzichtelijk is of gedurende het jaar het niveau is behouden en dat de dienstverlener aan de afspraken heeft voldaan waardoor de FIOD niet zo nodig adequate compenserende maatregelen kan treffen (M). Juistheid en nauwkeurigheid van politiegegevens wordt bevorderd door instructies en door zogenaamde application controls. Hierop vindt in opzet controle plaats via steekproefsgewijze controles (Privacy Functionaris of Interne Controle) en direct toezicht en registercontrole door de CI OvJ. Tekortkomingen/ verbetermogelijkheden hierin: (opzet) - Er is, op het niveau van systemen (applicaties), geen geformaliseerde PDCA cyclus ten aanzien van de informatiebeveiliging die FIOD breed voor zowel staande als nieuwe systemen als leidraad geldt; - er is geen volledige PDCA cyclus m.b.t. de informatiebeveiliging/het actueel houden van de risicoanalyses en beveiliging(splannen) van enkele staande systemen. - Het is onvoldoende inzichtelijk of de geboden basisbeveiligingsniveaus (inclusief bevoegdheden m.b.t. toegang tot gegevens etc.) van de bewerkers voldoen aan het vereiste betrouwbaarheidsniveau van de FIOD. - Toezicht op het voldoen aan de afgesproken niveau s is vanuit de verantwoordelijke niet geregeld. (werking) - Voor SUMM-IT opsporing, SUMM-IT TCI en RBS Bruto zijn expliciete risicoafwegingen en betrouwbaarheidseisen (evenals beveiligingsplannen) binnen de FIOD niet aangetroffen (als regulier te onderhouden opzet van het stelsel van beveiligingsmaatregelen). (Van RBS Bruto is in 2016 een risicoanalyse opgesteld). - In opzet gedefinieerde steekproefgewijze controles m.b.t. juistheid en nauwkeurigheid van gegevens zijn in 2015 niet uitgevoerd. - De in opzet 2 maal per jaar uit te voeren registercontroles bij de TCI zijn in x uitgevoerd. Autorisaties Autorisatieprocedure Autorisatieprofielen Toegekende rechten in systemen De opzet van het systeem (procedures, hulpmiddelen etc.) waarin het onderwerp autorisaties wordt behandeld is o.i. in redelijke mate adequaat. Inhoudelijk zijn er op een aantal punten echter niet te veronachtzamen tekortkomingen. Het proces van totstandkoming en het beheer van de autorisaties is beschreven in een procedure. Hierin is, naast het proces voor FIOD medewerkers, ook een beschrijving opgenomen hoe autorisatieaanvragen voor personen die niet worden aangemerkt als ambtenaar van politie en voor personen die worden aangemerkt als ambtenaar van politie (bijvoorbeeld Inspectie-SZW, Recherche, Politie) maar niet onder de verantwoordelijkheid vallen van de directeur FIOD (artikel 6.5 Wpg), dienen plaats te vinden. Toe te kennen toegangsrechten zijn opgezet in de zogenoemde profielmatrix, waarin rechten (rollen) in applicaties zijn gekoppeld aan functies. Het MT FIOD heeft deze matrix initieel vastgesteld en het onderhoud daarvan gemandateerd aan het profielenoverleg. Voor de onderdelen verstrekken en ter beschikking stellen zijn binnen de profielen naar Wpg-regime artikel 8, artikel 9, artikel 10 en artikel 13 verwezen. 20 Privacy audit Wpg 2015 FIOD

21 Bevindingen O B W Alleen TCI medewerkers en enkele beheerders zijn geautoriseerd in applicaties TCI. Infodeskmedewerkers hebben, ondanks de tekortkoming in de profielenmatrix op dit punt, geen daadwerkelijke toegang tot TCI registraties. Tekortkomingen/ verbetermogelijkheden hierin (opzet): - Er is niet volledig voldaan aan de protocolplicht autorisaties. Voor toegang tot opsporingsdossiers is geen (formele) aanvraag en vastlegging. - Summ-IT biedt geen functionaliteit om de historie van autorisaties inzichtelijk te maken. Ook de postbus van FBI (functioneel beheer & interceptie) geeft geen eenduidig inzicht in de historie van de verleende of ingetrokken autorisaties, hoogstens in de soll-positie. Dat betekent dat achteraf geen eenduidig onderzoek naar het verlenen van autorisaties in Summ-IT over een bepaalde periode kan worden uitgevoerd. - Een beschrijving van de procedure/proces voor het in voorkomende gevallen autoriseren van anderen dan TCI medewerkers, in overeenstemming met hoofd TCI voor het In combinatie met elkaar verwerken van gegevens, of het geautomatiseerd vergelijken vanuit artikel 10 gegevens, hebben wij niet aan getroffen (2.2.2 bpg en bpg). - In de autorisatieprofielen bij het onderdeel Wpg-verwerkingen zijn autorisaties algemeen en ruim beschreven. Specifieke CRUD aanduiding (Create-Read-Update-Delete: opvoeren, raadplegen, wijzigen en verwijderen) is niet aangegeven. - Autorisaties met betrekking tot het geautomatiseerd vergelijken van artikel 9 en artikel 10 politiegegevens zijn in opzet (profielenmatrix) te ruim toebedeeld: bijvoorbeeld m.b.t. artikel 9 ook toegekend aan profielen opsporing met BOA, opsporing zonder BOA en vele anderen. Deze autorisaties mogen slechts worden toegekend aan Informatiecoördinatie en in voorkomende gevallen TCI. Artikel 10 ook toegekend aan Infodesk Centraal, deze autorisaties mogen slechts in voorkomende gevallen worden toegekend aan Informatiecoördinatie. - Autorisaties met betrekking tot het in combinatie met elkaar verwerken vanuit artikel 8 politiegegevens zijn in opzet (profielenmatrix) te ruim toebedeeld; het betreft niet alleen infomatiecoördinatie. - Autorisaties met betrekking tot het in combinatie met elkaar verwerken van (art 9 en 10) politiegegevens zijn in opzet (profielenmatrix) te ruim toebedeeld. Dit betreft zowel TCI medewerkers (nl. alle TCI medewerkers) als niet TCI medewerkers. Deze autorisaties mogen slechts worden toegekend aan TCI en Informatiecoördinatie en in voorkomende gevallen, in overeenstemming met hoofd TCI, aan Informatiecoördinatie - Aan artikel 7 lid 2 van het besluit verplichte politiegegevens, dat aangeeft dat 2 medewerkers van de TCI kunnen worden aangewezen voor autorisaties in artikel 10 verwerking van andere CI-en, wordt niet voldaan, want iedere medewerker van de TCI met toegang tot de FIOD artikel 10 verwerking in SUMM-IT kan de gegevens van andere CI s raadplegen. - Bij de TCI hebben 4 personen met instemming van de CI officier van justitie toegang tot het elektronische informantenregister (identificerende gegevens). Het betreft het hoofd en zijn 2 plaatsvervangers. Naast deze personen krijgt, onder toezicht van voornoemde personen, een medewerker toegang voor het verrichten van werkzaamheden. Deze medewerker heeft, volgens dit document, geen zelfstandige toegang. - Er hebben 25 medewerkers van ketenpartners (politie, justitie) toegang tot Summ-IT. Nagenoeg al deze autorisaties zijn verleend op basis van een individuele aanvraag, zonder dat vooraf een functieprofiel is toegekend. Er bestaan vanuit de opzet restrisico s met betrekking tot het te ruim verstrekken van toegangsrechten. Dit risico bestaat vooral op het gebied van geautomatiseerd vergelijken (GV) en (minder omvang) op het gebied van ICZ. Met name op het gebied van GV manifesteert dit risico zich ook: er zijn te ruim rechten toebedeeld waardoor te veel medewerkers toegang hebben tot politiegegevens waar zij uit oogpunt van bijvoorbeeld proportionaliteit, maar ook uit oogpunt van concretere regels uit de Wpg geen toegang toe zouden moeten hebben. (H) Op enkele formele waarborgen, m.n. op het gebied van instemming van het hoofd TCI voor bepaalde autorisaties (ook op het gebied van GV en ICZ) vertonen de procedures gebreken (M). Ook de controleerbaarheid laat op punten te wensen over: het risico is dat niet aantoonbaar is of de rechten hebben voldaan aan de opzet. Protocolplicht is niet geheel op 21 Privacy audit Wpg 2015 FIOD

22 Bevindingen O B W orde (M). Geautomatiseerd Vergelijken / In Combinatie Zoeken Geautomatiseerd Vergelijken In Combinatie Zoeken Coderen en zichtbaarheid gecodeerde gegevens Verdere verwerking Instemmingen bevoegde functionarissen en bevoegd gezag Opleidingen Dát geautomatiseerd vergelijken / In combinatie zoeken van gegevens is toegestaan en dat gegevens, in relatie daarmee gecodeerd, kunnen worden, is in diverse documenten beschreven (o.a. Handelingen WPG, Protocolplicht verwerkingen WPG FIOD). In de door FIOD gehanteerde definitie van Geautomatiseerd vergelijken is geen onderscheid gemaakt in de handeling geautomatiseerd vergelijken en de criteria waaronder deze handeling mag worden uitgevoerd. De definitie lijkt de suggestie op te wekken dat het voldoen aan de criteria bepalend is of de handeling geautomatiseerd vergelijken is. Een door de FIOD gehanteerde uitzondering (uitgangspunt), m.b.t. verificatie, bij de definitie van geautomatiseerd vergelijken is niet geheel juist en kan leiden tot het ten onrechte niet protocolleren van geautomatiseerde vergelijkingen. Bij Verificatie staat in de definitie vermeld dat dat een ongerichte zoekslag betreft en dat daarvoor niets hoeft te worden geregistreerd (zie ook bij protocolplicht). Het systeem Summ-IT bevat een functionaliteit Zoeken en speuren waarmee geautomatiseerd kan worden vergeleken (binnen de SUMM-IT registratie). Het in bijzondere gevallen met toestemming van het bevoegd gezag inzetten van In Combinatie Zoeken is in Protocolplicht verwerkingen beschreven. Opgenomen is dat de officier van justitie als bevoegd gezag opdracht geeft voor in combinatie met elkaar verwerken. In de beschrijving is vastgelegd dat de toestemming dient te worden vastgelegd in het journaal en ook het doel daarvan in het journaal moet worden vastgelegd. Met betrekking tot het ter beschikking stellen voor het verder verwerken van gegevens is in een instructie opgenomen dat de bevoegd functionaris voorgenomen doelafwijkend gebruik van de gegevens aan de criteria die de Wpg daarvoor stelt toetst, voordat hij instemming verleent. Aangegeven is dat de hij zijn instemming op voorhand al kan geven door de gegevens te coderen. Bevoegd functionarissen zijn aangewezen. Tekortkomingen/ verbetermogelijkheden hierin (opzet): - De door de FIOD gehanteerde uitzondering (uitgangspunt) en het gestelde dat verificatie geen Geautomatiseerd vergelijken is bij de definitie van geautomatiseerd vergelijken is niet geheel juist en kan leiden tot het ten onrechte niet protocolleren van geautomatiseerde vergelijkingen. - SUMM-IT houdt bij Zoeken en Speuren (functionaliteit voor geautomatiseerd vergelijken) geen rekening met de coderingen bij de wijze waarop de gegevens worden getoond. - Het ontbreekt aan opzet (beschrijving) met betrekking tot de eisen waaraan medewerkers die GV of ICZ uitvoeren, moeten voldoen en de wijze waarop gewaarborgd is dat zij daaraan voldoen alvorens zijn GV en ICZ uitvoeren. In de praktijk leidt dit o.i. niet tot noemenswaardige risico s. - Er is niet (voldoende) uitwerking gegeven aan de controleerbare wijze van geven en vastleggen van de opdrachten (tot ICZ) en de vereiste instemmingen de bevoegde functionaris en/of het bevoegde gezag. - Op FIODnet geen (duidelijke, gemakkelijk te vinden) info te vinden over aangewezen bevoegd functionarissen (wie zijn aangewezen); wel mandaatbesluit, handreiking bevoegd functionarissen etc. - via Zoeken en Speuren worden (onder condities) ook afgeschermde artikel 8 gegevens 22 Privacy audit Wpg 2015 FIOD

23 Bevindingen O B W gevonden als gezocht wordt vanuit andere dan 8.1 gegevens (dus artikel 9 gegevens). Risico s zijn dat rechten met betrekking tot GV te ruim worden uitgegeven doordat bepaalde handelingen niet als GV worden aangemerkt, maar wel als GV aan te merken zijn (M). Ook bestaat het risico dat (achteraf) niet helder aantoonbaar is dat de vereiste toestemmingen/instemmingen zijn gegeven dan wel verkregen (M) en een verwerking daardoor als onrechtmatig bestempeld zou kunnen worden (M). Voor medewerkers kan het onduidelijk zijn wie in een bepaald geval de bevoegd functionaris is (L). Het niet voldoende afgeschermd zijn van de artikel 8 gegevens die achter schot staan, voor Zoeken en Speuren heeft als risico s in zich dat ook die gegevens onrechtmatig verwerkt worden (M). Ook bestaat het risico dat gegevens ondanks codering verwerkt worden (M). Bewaartermijnen en vernietiging Achter schot zetten artikel 8 na 1 jaar Verwijderen/vernietigen artikel 8 Verwijderen/vernietigen artikel 9 Verwijderen/vernietigen artikel 10 en 12 Niet verstrekken verwijderde gegevens Hernieuwde verwerking In diverse beschrijvingen en instructies zijn de eisen en procedures ten aanzien van het afschermen, verwijderen en vernietigen van gegevens, met meer en mindere diepgang beschreven. Ook zijn in deverse documenten de mogelijkheid tot weigeren genoemd met verwijzing naar de BPG, maar niet in alle gevallen is ook verwezen naar de weigeringsgronden van het BPG BOD. Artikel 8 gegevens worden opgeslagen in maandbakken. Deze worden, en zijn in 2015, op maandbasis afgeschermd door het toekennen van de status raadplegen. Het tijdig verwijderen en vernietigen van artikel 10 en artikel 12 gegevens is voldoende geborgd en uitgevoerd. Dat verwijderde gegevens niet verstrekt worden is in voldoende mate geborgd. Ook de eisen met betrekking tot hernieuwde verwerking van verwijderde gegevens zijn voldoende geborgd. In deelwaarnemingen hebben wij beide niet aangetroffen. Tekortkomingen/ verbetermogelijkheden hierin (opzet): - afgeschermde maandbakken artikel 8 zijn niet echt afgeschermd: ze kunnen nog steeds ingezien worden door de artikel 8 geautoriseerden. - Niet beschreven hoe de opdracht tot verwijderen/vernietigen van artikel 8 gegevens moet worden gegeven en of en hoe dat wordt vastgelegd (controleerbaarheid) - Geen beschrijving aangetroffen wat verwijderen en vernietigen van artikel 8 gegevens concreet betekent (wat moet er gedaan worden om iets te verwijderen/vernietigen), Bijvoorbeeld welke autorisaties moeten worden ingetrokken en welke niet. - De opzet (instructies/procedures) m.b.t. verwijderen artikel 9 gegevens is niet helder en eenduidig. - Artikel 8 gegevens in samenwerkingsgebieden worden niet na 1 jaar achter schot gezet (maar na 2 jaar max vernietigd). - Het vernietigenproces, m.n. betreffende artikel 9 is in opzet in diverse documenten in enige mate beschreven, maar is, door verschillen tussen die documenten niet eenduidig beschreven en uitgewerkt en daardoor onduidelijk. Het risico is dat artikel 8 gegevens niet tijdig worden verwijderd/vernietigd (M) met daardoor een gering risico op het ten onrechte gebruiken van die gegevens (L). Door de onduidelijkheden in de instructies bestaan risicos op niet tijdige en volledige, en ten aanzien van die aspecten, controleerbare verwijdering maar ook tot het risico van te vroege verwijdering(m). Er bestaat een risico dat met name artikel 9 gegevens niet tijdig en volledig vernietigd worden (H).Onze deelwaarnemingen onderstrepen de bevindingen m.b.t. artikel Privacy audit Wpg 2015 FIOD

24 Bevindingen O B W Ter beschikking stellen Ter beschikking stellen aan geautoriseerde personen Instemmingen bevoegde functionarissen en bevoegd gezag Geheimhouding Weigeringsgronden De opzet ten aanzien van het ter beschikking stellen is in diverse documenten beschreven. Daarbij komt ook geheimhouding voldoende aan bod. De wijze waarop politiegegevens exclusief TCI gegevens, buiten FIOD ter beschikking worden gesteld is, voorzover dit via de infodesk loopt, voldoende beschreven in de Werkinstructie Infodesk. Hierop vindt 2 keer per jaar (interne) controle plaats door een senior medewerker van de Infodesk. Dit is ook uitgevoerd in In 2015 heeft ook de privacy functionaris bij de Infodesk een controle uitgevoerd. In opzet hebben wij geen beschrijving aangetroffen dat ter beschikking stellen buiten FIOD altijd via de infodesk moet lopen. En wij hebben, buiten de infodesk, geen proces/procedure beschrijving aangetroffen waarin is aangegeven hoe het ter beschikking stellen van artikel 9 gegevens aan externe partijen binnen het politiedomein plaats moet vinden. De wijze waarop gegevens tussen registraties binnen SUMM-IT (binnen FIOD) kunnen worden overgedragen is beschreven in een instructie (betreft van 9 naar andere 9, evt. 8). In Summ-IT bestaat hiertoe een functionaliteit berichtenserver. Het ter beschikking stellen van informatie door de TCI is voldoende beschreven in het proceshandboek CIE. Ter beschikking stellen vindt plaats onder verantwoordelijkheid en direct toezicht van de TCI OvJ. In opzet (OM instructies) controleert de TCI OvJ 2x per jaar de gegevensverwerkingen van de TCI op grond van instructies van het OM. Praktisch wordt dat 1x per jaar uitgevoerd waarbij het directe toezicht compenseert. In deelwaarnemingen bij de TCI hebben wij geen bijzonderheden (afwijkingen) aangetroffen. In 2015 is 1 incident geregistreerd (via protocolplicht onrechtmatige verwerking) waarbij geheimhouding kan zijn geschaad. Verder geen aanwijzingen ontvangen van schendingen geheimhouding. Tekortkomingen/ verbetermogelijkheden hierin: (opzet) - In Handelingen Wpg en in de Handreiking Bevoegd functionaris is wel gerefereerd aan de weigeringsgronden van de BPG, maar niet aan die van artikel 4 BPG BOD. - In de procedures is voor een aantal gevallen niet aangegeven hoe de benodigde instemming moet worden verkregen en hoe deze moet worden vastgelegd - Tussen documenten bestaan inconsistenties ten aanzien van het, in bepaalde gevallen, al dan niet benodigd zijn van toestemming van het bevoegd gezag (bestaan) - Op FIODnet geen (duidelijke, gemakkelijk te vinden) info te vinden over aangewezen bevoegd functionarissen (wie zijn aangewezen); wel mandaatbesluit, handreiking bevoegd functionarissen etc. Instemmingen zijn in opzet niet controleerbaar waardoor risico bestaat dat niet kan worden vastgesteld dat e.e.a. met de juiste instemming is gebeurd en het risico bestaat dat e.e.a. zonder de juiste instemmingen/toestemming gebeurd (M). Voor medewerkers kan het onduidelijk zijn wie in een bepaald geval de bevoegd functionaris is (L). Verstrekken Verstrekken aan - opsporingsambtenaren en gezagsdragers (art. 16) - inlichtingendiensten en buitenlandse opsporingsinstanties (art. 17) - derden structureel voor alle regio s (art. 18) 24 Privacy audit Wpg 2015 FIOD