Regionaal politiekorps Brabant Zuid-Oost. Rapportage van definitieve bevindingen

Vergelijkbare documenten
Rapportage van definitieve bevindingen

Rapportage van definitieve bevindingen

Regionaal politiekorps Flevoland. Rapportage van definitieve bevindingen

Onderzoek bij het KLPD naar door Nederland ingevoerde gegevens in het Europol Informatiesysteem. z

ANPR Rotterdam-Rijnmond

ANPR IJsselland. Onderzoek naar de verwerking van no-hits bij de inzet van Automatic Number Plate Recognition. Regionaal politiekorps IJsselland

De CIO van de Immigratie- en Naturalisatiedienst. Postbus EH DEN HAAG AANTEKENEN

Definitieve bevindingen SPITZ Midden-Holland

College bescherming persoonsgegevens. Rapport definitieve bevindingen

Minister van Financiën. Postbus EE Den Haag

De Minister van Justitie

Definitieve bevindingen MC/Lelystad

De minister voor Rechtsbescherming drs. S. Dekker Postbus EH Den Haag

Brief aan de minister voor Rechtsbescherming drs. S. Dekker Postbus EH Den Haag

de minister van Veiligheid en Justitie Ontwerpbesluit tot aanpassing van het Besluit politiegegevens

Samenvatting Onderzoek naar de politieregisters bij de Criminele Inlichtingen Eenheden van Bijzondere Opsporingsdiensten (z en z )

rechtmatigheid POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Prins Clauslaan 20

Stichting RDC. Informatieverplichting

Zorgverzekeraars Nederland Definitieve bevindingen Ambtshalve onderzoek aangaande toepassing Controle op Verzekering van VECOZO B.V.

Vangnetregeling huursubsidie

Regiopolitie. Prins Clauslaan 20 Uw brief Postbus Bijlagen 1

De Minister van Justitie

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Randstad Nederland B.V.

Definitieve bevindingen Rijnland ziekenhuis

Definitieve bevindingen Centrale Huisartsenpost Gorinchem

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking pre-employment screening van Adecco Group Nederland; z

De Minister van Veiligheid en Justitie. Postbus EH DEN HAAG

Ad 2. Verbetering regeling identiteitsvaststelling verdachten en veroordeelden Dit onderdeel van het wetsvoorstel bevat drie wijzigingen.

Eerste Kamer der Staten-Generaal

De minister van Sociale Zaken en Werkgelegenheid Wijziging in SZW wetgeving

Secretariaat De Eendracht (BETA) Voorafgaand onderzoek Verklaring omtrent rechtmatigheid Definitief besluit. Geachte A,

Bevindingen De bevindingen van het CBP luiden als volgt:

Datum 8 november 2016 Onderwerp Antwoorden Kamervragen over het bericht dat de politie foto s neemt van personen en hun identiteitsbewijzen

De minister van Veiligheid en Justitie. Postbus EH DEN HAAG. Wetgevingsadvies invoering flexibel cameratoezicht.

Bij brief heeft het CBP u laten weten de beslissing op het bezwaarschrift te verdagen.

verklaring omtrent rechtmatigheid

Stichting Waarschuwingsregister Logistieke Sector. z Postbus KS ZOETERMEER

Op grond van de verstrekte informatie concludeert het CBP dat de FAD voornemens is het Protocol op een aantal punten te wijzigen.

Dienst Maatschappelijke Ontwikkeling ONS KENMERK z

Ministerie van Infrastructuur en Milieu. Advies concept wetsvoorstel Basisregistratie Ondergrond. Geachte,

Afdeling Werk en Inkomen Gemeente Enschede

Politiegegevens. Hoe ga je daar mee om als buitengewoon opsporingsambtenaar

de minister voor Jeugd en Gezin Ontwerpbesluit verwijsindex risicojongeren

U heeft contact gezocht met het College bescherming persoonsgegevens (CBP) inzake het navolgende.

De Minister van Economische Zaken. Advies over de novelle behorende bij het wetvoorstel 31374

de minister van Economische Zaken, de heer mr L.J. Brinkhorst Postbus EC Den Haag Ministeriële regeling afsluitingen

======================================================== 1 Raadsbesluit 2009/371/JBZ, PbEU L 121/37

Winkelier. Winkelier creditcard; definitieve bevindingen

Na overleg met de gerechten, adviseert de Raad als volgt. 1

De Minister van Sociale Zaken en Werkgelegenheid Wetgevingsadvies AMvB wijziging Besluit SUWI

Ons kenmerk z Contactpersoon

Tweede Kamer der Staten-Generaal

De minister van Justitie De heer dr E.M.H. Hirsch Ballin Postbus EH Den Haag

Nederlands Instituut van Psychologen inzagerecht testgegevens

Convenant voor gegevensuitwisseling tussen Politie en beveiligingsorganisaties en organisatoren van evenementen

1. In artikel 126nba, eerste lid, onderdeel d, wordt het woord verwerkt telkens vervangen door : opgeslagen.

de bank ambtshalve onderzoek de bank Definitieve Bevindingen

De Minister van Sociale Zaken en Werkgelegenheid Postbus LV Den Haag

Op de voordracht van Onze Minister van Veiligheid en Justitie van Wetgeving en Juridische Zaken, nr. ;

Minister van Justitie. Naar aanleiding van uw verzoek bericht ik u als volgt.

Politie Infodesk II. Onderzoek naar de waarborgen voor de bescherming van persoonsgegevens bij de Infodesk

Ontwerpbesluit inzake de verklaring omtrent de rechtmatigheid van de verwerking van screeningsgegevens van Curriculum Vitae Zeker B.V.; z

Het College bescherming persoonsgegevens (CBP) heeft een onderzoek gedaan naar aanleiding van de klacht bij brief van 10 maart 2006 A.

Aan de minister van Justitie Ontwerpbesluit bloedtest in strafzaken in geval van een ernstige besmettelijke ziekte

De minister van Infrastructuur en milieu

Advies Ontwerpbesluit tot vaststelling van nadere regels voor het vastleggen en bewaren van kentekengegevens

uitspraak van de meervoudige kamer van 27 juli 2016 in de zaak tussen

t.a.v. de hoofdofficier van justitie ONS KENMERK z

de Minister van Justitie de heer mr. E.H.M. Hirsch Ballin Postbus EH DEN HAAG

Privacyreglement personeelsinformatie gemeente Heerenveen

De voorgestelde wijzigingen hebben betrekking op de volgende onderwerpen.

Privacyreglement. Stichting Rapucation Postbus NL Amsterdam

Verwerking van de verstrekte gegevens door de Politie vindt plaats overeenkomstig de Wet Politie Gegevens.

Het CBP voldoet hierbij aan dit verzoek. Kader

Arbodienst. Klacht; verzoeker/arbodienst

1.1 persoonsgegeven: elk gegeven betreffende een geïdentificeerd of identificeerbaar persoon.

Op drie punten uit uw brief van 23 februari 2006 zal het CBP hieronder nog nader ingaan.

Privacyreglement. WerkPro privacyreglement pagina: 1 van 5 Versiedatum: Eigenaar: Bedrijfsjurist

AANGETEKEND Rijnland Ziekenhuis last onder dwangsom. Geachte A,

c) persoonsgegeven: elk gegeven betreffende een geïdentificeerde of identificeerbare natuurlijke persoon;

z Rapport van definitieve bevindingen April 2011 POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10

Ons kenmerk z

SAFECIN. Postbus BE APELDOORN. Voorafgaand onderzoek Protocol SAFECIN; besluit rechtmatigheidsverklaring

De voorgestelde wijziging in artikel I B geven het CBP aanleiding tot het maken van de volgende op- en aanmerkingen.

Privacyreglement van De Zaak van Ermelo

het Ministerie van Infrastructuur en Milieu Hoofddirectie bestuurlijke en juridische zaken Postbus EX DEN HAAG

Rapport. Datum: 22 december 2006 Rapportnummer: 2006/391

De Staatssecretaris van Volksgezondheid, Welzijn en Sport. Postbus EJ DEN HAAG. Advisering Besluit langdurige zorg.

De loop van de procedure Op 1 juni 2007 hebben IGZ en CBP een bezoek gebracht aan het OZG Lucas in het kader van het hiervoor genoemde onderzoek.

de wet: de Wet bescherming persoonsgegevens; persoonsgegeven: elk gegeven over een geïdentificeerde of identificeerbare natuurlijke

Rapport. Datum: 30 september 2005 Rapportnummer: 2005/302

Privacyreglement. Datum Januari 2017 Versie 2.0 Pagina s 6 (inclusief voorpagina)

Datum 16 Juni 2014 Onderwerp Beantwoording Kamervragen over het bericht dat politie particuliere data plundert

Gelders Archief. Defintieve bevindingen inzake onderzoek Gelders Archief. Geachte,

Ook zet het CBP vraagtekens bij de noodzaak voor het van toepassing verklaren van het gehele hoofdstuk VIII van de AWBZ.

SCA Hygiene Products Zeist B.V. AANGETEKEND. Eindbrief onderzoek CBP. Geachte directie,

Privacy statement Autocross Masters

In de werkgroep over DIS/TTP heeft het CBP in meerdere instanties nadrukkelijk op deze aandachtspunten gewezen.

Transcriptie:

POSTADRES Postbus 93374, 2509 AJ Den Haag BEZOEKADRES Juliana van Stolberglaan 4-10 TEL 070-88 88 500 FAX 070-88 88 501 E-MAIL info@cbpweb.nl INTERNET www.cbpweb.nl Regionaal politiekorps Brabant Zuid-Oost Onderzoek naar de naleving van bewaartermijnen door de CIE z2011-00940 Rapportage van definitieve bevindingen DATUM Mei 2012

Inhoud CIE Brabant Zuid-Oost 1

De Criminele Inlichtingeneenheden (CIE s) bij de politie, Koninklijke Marechaussee, Rijksrecherche en Bijzondere opsporingsdiensten (BOD s) verwerken politiegegevens om inzicht te verkrijgen in de betrokkenheid van personen bij het beramen en plegen van ernstige en georganiseerde misdrijven; dit zijn gegevens omtrent zware criminaliteit (verder: zwacri). Hiertoe wordt informatie verzameld en verwerkt over verdachten, over betrokkenen maar ook over niet-verdachten. De CIE verkrijgt informatie onder meer door informanten te raadplegen. Deze informatie is niet altijd even betrouwbaar. Daarom kan gezegd worden dat de CIE werkt met zachte gegevens: gegevens waarvan de juistheid en volledigheid onvoldoende vaststaan. Verwerking van dergelijke zeer gevoelige gegevens vormt een risico voor degenen over wie informatie wordt verwerkt; het enkele gegeven dat een persoon is opgenomen in een zwacri-bestand wijst immers op mogelijke of veronderstelde betrokkenheid bij zware criminele activiteiten en kan gevolgen hebben voor diens bejegening. Ook voor de informanten waarvan de CIE afhankelijk is voor het verkrijgen van informatie en voor de CIE zelf in verband met het afbreukrisico van onderzoeken vormt deze verwerking een risico. CIE-verwerkingen bestaan uit gevoelige informatie die voor een deel relatief onbetrouwbaar is. Deze verwerkingen zijn doorgaans langdurig van aard. Dit terwijl effectieve opsporing gediend is met actuele gegevens die niet vervuild zijn met niet (meer) ter zake dienende informatie. De wetgever heeft dan ook -kort gezegd- voor de verwerking van zwacri-gegevens een uiterste bewaartermijn bepaald van vijf jaar, zolang de gegevens noodzakelijk zijn: wanneer zwacri-gegevens niet langer noodzakelijk zijn voor het doel van de verwerking, dienen zij verwijderd te worden. De onbepaaldheid van de noodzakelijkheid levert hierbij problemen op: de wetgever heeft voor de invulling daarvan geen gedetailleerde voorschriften gesteld. Bovendien zouden de CIE s de capaciteit niet in huis hebben om deze arbeidsintensieve toets uit te voeren. 1 Het niet-naleven van bewaartermijnen waardoor gegevens langer bewaard worden dan noodzakelijk is voor het doel van de verwerking vormt zodoende een reëel risico voor de rechtmatige verwerking van zwacri-gegevens. Dat de betrokkene over het algemeen niet op de hoogte zal zijn van de verwerking van diens gegevens en zodoende zijn rechten niet kan uitoefenen draagt hieraan bij. Controle op de naleving van de bewaartermijnbepalingen is daarom van groot belang. Het CBP is als toezichthouder hiermee belast. Daarnaast dient de verantwoordelijke uitvoering te geven aan zijn eigen verantwoordelijkheid ten aanzien van de rechtmatige verwerking van gegevens. Dit doet hij onder meer door zorg te dragen voor interne controle door de privacyfunctionaris. 1 Mr. dr. H.H. Kielman, Politiële gegevensverwerking en privacy: naar een effectieve waarborging, Zutphen: WPS 2010. Daarnaast zijn gesprekken gevoerd met X, Y en Z. CIE Brabant Zuid-Oost 2

Het onderzoek beoogt vast te stellen in hoeverre de verantwoordelijke de nodige maatregelen heeft getroffen opdat de CIE zich houdt aan de geldende bewaartermijnen ten aanzien van politiegegevens zoals bedoeld in artikel 10, eerste lid onder a Wet politiegegevens (Wpg). Het onderzoek is daarmee uiteindelijk gericht op de naleving door de CIE van de Wpg voor zover het gaat om het rechtmatig bewaren van deze gegevens. In de eerste plaats is nagegaan of de verantwoordelijke maatregelen heeft getroffen opdat de gegevens worden verwijderd of vernietigd zodra zij niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verwerkt of dit door een wettelijke bepaling wordt vereist. In de tweede plaats is onderzocht, gelet op het belang dat de verantwoordelijke zijn eigen verantwoordelijkheid erkent en overeenkomstig handelt, of deze maatregelen zich ook uitstrekken tot de interne controle op de verwerking van zwacri-gegevens door de privacyfunctionaris. Bij brief van 15 november 2011 heeft het CBP het hoofd van de CIE Brabant Zuid-Oost alsmede de privacyfunctionaris van het korps verzocht om inlichtingen. Deze informatie is op 30 november respectievelijk 2 december 2011 verstrekt. Uit de ontvangen inlichtingen, zowel van de CIE Brabant Zuid-Oost alsmede van andere onderzochte CIE s, blijkt dat een automatische schoningsmodule voor de verwerking van zwacri-gegevens is ontwikkeld met als doel deze landelijk beschikbaar te maken. Om een volledig beeld te verkrijgen van de schoning van zwacri-gegevens door middel van deze module was een nadere toelichting en demonstratie hiervan geïndiceerd. Dit is aldus bij brief van 27 februari 2012 meegedeeld. Nadat het tweemaal is uitgesteld, heeft het CBP uiteindelijk op 14 maart 2012 een bezoek gebracht aan de CIE Brabant Zuid-Oost teneinde nadere inlichtingen van algemene strekking te verkrijgen met betrekking tot de automatische schoningsmodule. Tijdens dit bezoek heeft tevens een demonstratie van deze schoningsmodule plaatsgevonden. Op 3 april 2012 heeft het CBP aan de verantwoordelijke van het regionaal politiekorps Brabant Zuid-Oost, de korpsbeheerder, de Rapportage van voorlopige bevindingen naar aanleiding van het onderzoek toegezonden. Bij brief van 18 april 2012 is namens de verantwoordelijke op deze bevindingen gereageerd. Deze reactie heeft niet geleid tot aanpassing van de bevindingen en/of de conclusies zoals weergegeven in de Rapportage van voorlopige bevindingen. Het CBP heeft zelf het juridisch kader aangepast waar het de frequentie van de periodieke controle betrof. Dit heeft evenmin gevolgen voor de bevindingen en/of conclusies. Gelet op het voorgaande worden de bevindingen van het CBP hiermee definitief vastgesteld. CIE Brabant Zuid-Oost 3

Juridisch kader Uitgangspunt is dat politiegegevens worden verwerkt zolang dit noodzakelijk is voor het betreffende doel (artikel 3, eerste lid Wpg). Zodra de gegevens niet langer noodzakelijk zijn voor het doel waarvoor ze worden verwerkt, dienen zij ingevolge artikel 4, tweede lid Wpg te worden verwijderd/vernietigd. De verantwoordelijke dient hiertoe de nodige maatregelen te treffen om hieraan gevolg te kunnen geven, net als wanneer enige wettelijke bepaling die verwijdering of vernietiging vereist. Dit laatste betreft de uiterste bewaartermijnen die meer specifiek per doel voor het verwerken van gegevens zijn aangegeven. 2 In artikel 10, zesde lid Wpg wordt de verwerkingstermijn van zwacri-gegevens nader uitgewerkt. Daarin wordt in de eerste plaats bepaald dat zwacri-gegevens dienen te worden verwijderd zodra zij niet langer noodzakelijk zijn voor het doel van de verwerking. Hiertoe heeft de wetgever voorzien in een periodieke controle. In de Memorie van Toelichting bij de Wet van 26 november 2009 3 is de invulling van de periodieke controle vervolgens afgestemd op de regeling van de audit. 4 In artikel 3, eerste lid Regeling periodieke audit politiegegevens is bepaald dat de verantwoordelijke ervoor zorg dient te dragen dat tenminste jaarlijks een interne audit plaatsvindt. 5 Hieruit volgt dat zwacri-gegevens jaarlijks dienen te worden geschoond, waarbij de gegevens die niet langer noodzakelijk zijn voor het doel dienen te worden verwijderd. Invulling van het noodzakelijkheidscriterium maakt onderdeel uit van de maatregel betreffende de periodieke controle; dit bewerkstelligt immers een eenduidige toetsing en controle. Standpunt van het CBP 6 ten aanzien van de beoordeling of een geregistreerd gegeven in het algemeen nog noodzakelijk is voor het doel van de verwerking luidt dat, naast het belang van de geregistreerde allereerst meer in het algemeen in ogenschouw zal moeten worden genomen of het voor de politie, op basis van ervaringsregels uit de politiepraktijk, noodzakelijk is om dergelijke gegevens voor een bepaalde termijn te registreren. De uiterste bewaartermijnen per doel waarin de Wpg voorziet gelden hierbij als buitengrens. Daarnaast vergt de beoordeling van de rechtmatigheid van het handhaven van de betreffende gegevens een beoordeling in concreto. Deze beoordeling van de binnengrens ziet op een afweging van het belang van de registratie voor de uitvoering van de politietaak enerzijds tegen de belangen van betrokkene bij verwijdering anderzijds. Alle omstandigheden van het geval 2 Tweede Kamer, 2005-2006, 30 327, nr. 3, p. 32. 3 Wet van 26 november 2009, houdende partiële wijziging van het Wetboek van Strafrecht, Wetboek van Strafvordering en enkele aanverwante wetten in verband met rechtsontwikkelingen, internationale verplichtingen en geconstateerde wetstechnische gebreken en leemten. 4 Tweede Kamer, vergaderjaar 2007-2008, 31 391, nr. 3, p. 13. 5 Op grond van artikel 33, vijfde lid Wpg j artikel 6:5, vijfde lid Bpg j artikel 3, eerste lid Regeling periodieke audits politiegegevens. 6 Advies aan de rechtbank Utrecht, 6 december 2004, z2004-01392. CIE Brabant Zuid-Oost 4

kunnen daarbij een rol spelen. Deze beoordeling kan leiden tot verwijdering van de gegevens nog voordat de uiterste bewaartermijn is verlopen. In de tweede plaats is voor de verwerking van gegevens op grond van artikel 10, eerste lid, onder a Wpg de uiterste bewaartermijn gesteld op vijf jaar na de laatste opname van gegevens die blijk geven van de noodzaak tot de gegevensverwerking. 7 Hieruit volgt dat de toegevoegde gegevens bepalend zijn voor de uiterste verwerkingstermijn van politiegegevens van de betrokkene: het laatste gegeven waaruit de noodzaak tot verwerking blijkt is het beginpunt van de maximale bewaartermijn. Het kunnen vaststellen van dit beginpunt en de daarop volgende termijn is een nodige maatregel in de zin van artikel 4, tweede lid Wpg. Omdat de vijfjaartermijn gekoppeld is aan de laatste opname van gegevens die de noodzaak van de verwerking van betrokkene betreffende gegevens ondersteunt, is uitvoering van de periodieke noodzakelijkheidstoets op de gegevens uiterst relevant voor het instellen, wijzigen en daarmee kunnen naleven van de vijfjaartermijn. Zonder deze toets, waarin zowel het verloop van de vijfjaartermijn als de omstandigheden van het geval ten behoeve van de toetsing in concreto moeten worden meegenomen, kan naleving van de wettelijke bepaling omtrent de uiterste bewaartermijn niet worden gegarandeerd. Bevindingen Voordat informatie wordt opgenomen op grond van artikel 10, eerste lid onder a Wpg wordt gecontroleerd of deze voldoet aan de gestelde criteria, waaronder de lijst met delicten. Het beginpunt van de maximale bewaartermijn wordt bepaald aan de hand van de laatste zwacri-waardige informatie die bij het betreffende subject is geregistreerd. Elke maand voor afloop van de vijfjaartermijn vindt schoning plaats, aldus het Hoofd CIE. Met behulp van een automatische schoningsmodule, die vanaf 20 oktober 2011 in gebruik is genomen, kunnen voor schoning in aanmerking komende CIE-subjecten eenvoudig worden geselecteerd. Schoning wordt halfjaarlijks uitgevoerd, zo blijkt uit controle die door de CIE Officier van Justitie is uitgevoerd op de handelswijze van de CIE: Elk half jaar worden door de CIE schoningslijsten uitgedraaid met de namen van de CIE-subjecten, waarna er handmatig a.d.h.v. de laatste zwacri-rapportage bekeken wordt of er gronden zijn om dit CIE-subject te moeten schonen (voldoet de informatie nog aan de criteria voor opslag of wordt de 5-jaars termijn overschreden). 8 Gevraagd naar de toetsing van de noodzaak geeft het hoofd CIE aan dat verwerking van gegevens over personen noodzakelijk kan zijn omdat de politie een informatiepositie moet opbouwen om zicht te kunnen krijgen en behouden op ontwikkelingen en verschijnselen die een ernstige bedreiging van de rechtsorde vormen. Raadpleging van het Proceshandboek CIE, waarnaar in de beantwoording verwezen wordt, levert geen nadere invulling van de periodieke noodzaakstoets op. 7 Artikel 10, zesde lid Wpg; zie ook: Tweede Kamer, 2005-2006, 30 327, nr. 3, p. 51. 8 Rapportage verantwoording werkzaamheden C.I.E. Politieregio Brabant Zuid Oost ingevolge de Instructie controle C.I.E.-gegevensverwerking over de periode 1 oktober 2008 tot en met 19 januari 2010. CIE Brabant Zuid-Oost 5

Beoordeling De halfjaarlijkse controle zoals de CIE Brabant Zuid-Oost die uitvoert, ziet blijkens de verstrekte informatie ofwel op de vraag of de informatie nog voldoet aan de criteria voor opslag, ofwel op het niet overschrijden van de vijfjaarstermijn. De bij wet voorgeschreven noodzaaktoets, die meer specifiek dient te zien op een belangenafweging ten aanzien van de verwerkte gegevens, komt hierin niet terug. Evenmin blijkt uit de overige bevindingen dat een belangenafweging plaatsvindt; er wordt alleen gekeken naar de opnamecriteria zoals opgenomen in artikel 10, eerste lid onder a Wpg. Het niet uitvoeren van een periodieke toets op de noodzaak van de verwerkte gegevens voor het doel van de verwerking is in strijd met artikel 10, zesde lid Wpg. Dit leidt ertoe dat de verantwoordelijke onvoldoende maatregelen heeft getroffen om gegevens die niet langer noodzakelijk zijn voor het doel waarvoor zij verwerkt worden, te verwijderen. Dit is in strijd met artikel 4, tweede lid Wpg. Ten aanzien van de maximale bewaartermijn merkt het CBP het volgende op. Geen gevolg wordt gegeven aan de verplichting periodiek de verwerkte gegevens te toetsen op noodzakelijkheid voor het doel van de verwerking. Daardoor is niet aannemelijk geworden dat voldoende maatregelen zijn getroffen om de gegevens te verwijderen uiterlijk na vijf jaar na de datum van de laatste verwerking van de gegevens die blijk geven van de noodzaak tot het verwerken van de politiegegevens van betrokkene. Zonder deze toets wordt uitsluitend uitgegaan van een maximale bewaartermijn op basis van de opname van de laatste zwacri-waardige informatie die bij het betreffende subject is geregistreerd. Hiermee wordt miskend dat deze informatie in een later stadium niet langer noodzakelijk kan blijken te zijn, zodat de uiterste bewaartermijn eerder valt dan voorzien. Dit klemt te meer nu hiermee eveneens de noodzaak van de opname van het subject pas tegen het einde van de maximale termijn wordt beoordeeld. De verantwoordelijke schiet daarmee ten aanzien van de benodigde maatregelen om politiegegevens te verwijderen zodra dit door enige wettelijke bepaling wordt vereist, tekort. Dit is in strijd met artikel 4, tweede lid Wpg. Conclusie: de verantwoordelijke handelt in strijd met artikel 10, zesde lid Wpg voor zover het betreft het niet uitvoeren van de periodieke toets op de noodzaak van de verwerkte gegevens voor het doel van de verwerking. Conclusie: de verantwoordelijke handelt in strijd met artikel 4, tweede lid Wpg nu hij onvoldoende maatregelen heeft getroffen opdat politiegegevens worden verwijderd zodra zij niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verwerkt of dit door enige wettelijke bepaling wordt vereist. Naar aanleiding van de demonstratie en toelichting van de automatische schoningsmodule bij de CIE is gebleken dat deze module beperkt is tot het automatisch bepalen van de uiterste bewaartermijn. Hiertoe wordt vijf jaar bij de datum van het laatst opgenomen zwacri-waardige gegeven automatisch opgeteld. Een actieve instelling van de CIE is vervolgens nodig om, door middel van een door de CIE Brabant Zuid-Oost 6

CIE zelf ingestelde peildatum, de te schonen subjecten desgevraagd te laten verschijnen. Deze peildatuminstelling kan per CIE verschillen. Wanneer de module niet actief wordt bevraagd, loopt deze door zonder een signaal af te geven. De module biedt daarmee geen garantie voor het tijdig schonen van de artikel 10, eerste lid sub a Wpg-gegevens. Daarbij is eveneens opgevallen dat de module enkel bijdraagt aan het houden van zicht op de maximale bewaartermijn; een handvat voor de verplichte periodieke toets op de noodzakelijkheid van de verwerking van de gegevens in relatie tot het doel van de verwerking daarvan biedt de instelling van de schoningsmodule niet. Het CBP concludeert dan ook dat de module de CIE kan ondersteunen in het handhaven van de uiterste bewaartermijn, maar dat deze niet geschikt is als nodige maatregel in de zin van artikel 4, tweede lid Wpg, zeker niet waar het de noodzakelijkheidstoets betreft. Juridisch kader De verantwoordelijke treft de nodige maatregelen teneinde zorg te dragen dat de voorgeschreven bewaartermijnen worden nageleefd. 9 Om de grenzen te bewaken die in de wet zijn gesteld, waaronder de bewaartermijnen en gronden daarvoor, voorziet de Wpg in intern toezicht: de verantwoordelijke is verplicht een privacyfunctionaris te benoemen die onder meer als taak heeft gegevensverwerkingen te controleren. 10 Hiermee ondersteunt hij de verantwoordelijke in zijn verantwoordelijkheid de wettelijke verplichtingen na te leven. 11 Om uitvoering te kunnen geven aan zijn controlerende taak zal de privacyfunctionaris toegang dienen te krijgen tot de betreffende gegevens, voor zover hij deze behoeft voor de uitvoering van zijn taak; de verantwoordelijke verleent deze op grond van artikel 4, vijfde lid Wpg. Vervolgens zal de invulling van voornoemde taak blijken uit een vorm van concreet onderzoek dat de privacyfunctionaris heeft uitgevoerd waarvan de bevindingen zijn opgenomen in zijn jaarverslag ingevolge artikel 34, derde lid Wpg. Hieruit kan worden afgeleid of de verantwoordelijke de benodigde maatregelen heeft getroffen om naleving van de bewaartermijnen te bevorderen. Bevindingen Uit de beantwoording van de schriftelijke vragen blijkt dat een nadere invulling is gegeven aan de toegang tot politiegegevens als bedoeld in artikel 4, vijfde lid Wpg. De privacyfunctionarissen beschikken over een basisautorisatie; deze ziet niet op CIEgegevens. Indien zij toegang nodig hebben tot verwerkingen waar deze 9 Artikel 4, tweede lid Wpg. 10 Artikel 34,eerste lid Wpg. En: MvT p. 89 Teneinde zorg te dragen dat de door het wetsvoorstel voorgestelde grenzen in de praktijk niet worden overschreden, is het van belang passende waarborgen te creëren. Het wetsvoorstel voorziet hiertoe in twee vormen van intern toezicht. Ten eerste verplicht het wetsvoorstel de verantwoordelijke tot het periodiek laten uitvoeren van evaluaties en privacy audits ter controle op de naleving van de wet. [ ] Ten tweede verplicht de wet de verantwoordelijke tot het aanwijzen van een privacyfunctionaris. Deze functionaris heeft mede tot taak de verwerking van de gegevens te controleren en de verantwoordelijke te adviseren ten aanzien van de naleving van deze wet. 11 MvT p. 91. CIE Brabant Zuid-Oost 7

basisautorisatie geen toegang toe verleent wordt deze in praktijk probleemloos geregeld, aldus de privacyfunctionaris. Verder blijkt dat de privacyfunctionaris noch in 2010 noch in 2011 onderzoek heeft uitgevoerd naar (de naleving van de bewaartermijnen van) gegevensverwerkingen door de CIE. Tot slot stelt het CBP vast dat de privacyfunctionaris over 2010 een jaarverslag met bevindingen heeft opgesteld en deze naar het CBP heeft gezonden. Uit dit jaarverslag blijkt niet dat de privacyfunctionaris een onderzoek heeft uitgevoerd naar de CIEverwerkingen. De privacyfunctionaris constateert in zijn jaarverslag onder het kopje Conclusies en aanbevelingen dat zijn controlerende taak in 2010 beperkt tot uiting kwam, mede als gevolg van capaciteitsgebrek. Beoordeling Nu uit de bevindingen niet is gebleken dat de privacyfunctionaris controle heeft uitgevoerd op de naleving van de bewaartermijnen van CIE-gegevens, schiet de invulling van de maatregel inhoudende interne controle tekort. Dit is verplicht gesteld om de grenzen van de Wpg te bewaken. Daarmee heeft de verantwoordelijke onvoldoende maatregelen getroffen om naleving van de bewaartermijnen te bevorderen. Dit klemt te meer nu hij in dit kader onvoldoende in de gelegenheid wordt gesteld zijn controlerende taak volledig uit te voeren; dat de privacyfunctionaris aangeeft desgevraagd toegang te kunnen krijgen maakt dit niet anders. Hiermee handelt de verantwoordelijk in strijd met artikel 4, tweede lid Wpg j artikel 34, eerste lid Wpg. Conclusie: de verantwoordelijke heeft onvoldoende maatregelen getroffen om de interne controle te bevorderen en handelt daarmee in strijd met artikel 4, tweede lid Wpg j artikel 34, eerste lid Wpg. CIE Brabant Zuid-Oost 8

Het doel van het onderzoek was vast te stellen in hoeverre de verantwoordelijke de nodige maatregelen heeft getroffen opdat de CIE zich houdt aan de geldende bewaartermijnen ten aanzien van politiegegevens zoals bedoeld in artikel 10, eerste lid onder a Wpg. In de eerste plaats is nagegaan of de verantwoordelijke maatregelen heeft getroffen opdat de gegevens worden verwijderd of vernietigd zodra zij niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verwerkt of dit door een wettelijke bepaling wordt vereist. In de tweede plaats is onderzocht, gelet op het belang dat de verantwoordelijke zijn eigen verantwoordelijkheid erkent en overeenkomstig handelt, of deze maatregelen zich ook uitstrekken tot de interne controle op de verwerking van zwacri-gegevens door de privacyfunctionaris. De conclusies ten aanzien van de twee te onderzoeken onderdelen zijn de volgende: Ten aanzien van de bewaartermijnen De verantwoordelijke handelt in strijd met artikel 10, zesde lid Wpg voor zover het betreft het niet uitvoeren van de periodieke toets op de noodzaak van de verwerkte gegevens voor het doel van de verwerking. Daarmee handelt de verantwoordelijke in strijd met artikel 4, tweede lid Wpg nu hij onvoldoende maatregelen heeft getroffen opdat politiegegevens worden verwijderd zodra zij niet langer noodzakelijk zijn voor het doel waarvoor ze zijn verwerkt of dit door enige wettelijke bepaling wordt vereist. Ten aanzien van de controle door de privacyfunctionaris De verantwoordelijke heeft onvoldoende maatregelen getroffen om de interne controle te bevorderen en handelt daarmee in strijd met artikel 4, tweede lid Wpg j artikel 34, eerste lid Wpg. CIE Brabant Zuid-Oost 9

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback