Zonder het vertrouwen van de burger kan de politie haar werk niet goed doen. Daarom is het belangrijk dat de politie ontzettend zorgvuldig omgaat met de gegevens over burgers. Maar uit een analyse van Bits of Freedom blijkt dat van alle 36 'mission critical'-systemen van de politie er geen eentje voldoet aan de regels rond privacy en informatiebeveiliging.

Mission critical

Het gaat om 36 systemenDe rapporten waarop deze analyse is gebaseerd, vind je onderin deze pagina die, naar eigen zeggen, "ten alle tijde draaiende moeten blijven, zodat de politie haar werk kan doen." Het zijn de systemen voor het registreren van veelplegers en kentekens, opnemen van aangiften en verhoren, uitwisselen van informatie tussen agenten, verwerken van vingerafdrukken, analyseren van grote bergen gevoelige gegevens en vele andere functies. Geen (!) van deze systemen voldoen aan de regels over privacy and security by design die volgen uit de wet en het beleid van de politie. Bij drie systemen is er zelfs helemaal "geen specifieke aandacht" hiervoor.

De tabel hieronder is een samenvatting van onze analyse: alles, behalve de grijze velden, horen groen te zijn.

Vooral op het gebied van informatiebeveiliging en privacy is het slecht gesteld met de systemen. Zo behouden agenten die van functie wisselen de toegang tot database uit hun eerdere functie, waardoor corrupte agenten onnodig toegang hebben tot veel informatie. Ook worden gegevens vaak veel te lang bewaard. En omdat de politie lang niet altijd alle risico's voor de beveiliging van de informatie in kaart heeft gebracht, is niet duidelijk of de huidige beveiliging afdoende is. De politie vertrouwt steeds meer op ICT, maar wij kunnen de politie niet vertrouwen met die ICT.

Iedereen de dupe

De risico's hiervan zijn enorm. De politie heeft immers uitgebreide bevoegdheden voor het verzamelen, bewaren, gebruiken en het aan derden verstrekken van persoonsgegevens, ook van mensen die niet als verdachte zijn aangemerkt. Maar dat kan alleen als we de politie ook kunnen vertrouwen dat zij verantwoord met die gegevens omspringt. Maar als dat ontbreekt is iedereen, ook de politie zelf, de dupe.

Want een getuige van een liquidatie vertelt zijn verhaal niet aan de politie als hij daardoor zelf extra gevaar loopt. Als je het slachtoffer bent van een verkrachting, dan is het laatste dat je wilt dat iemand die niets met dat onderzoek te maken heeft, in je aangifte snuffelt. Maar ook de politie heeft zelf baat bij een zorgvuldige omgang met gevoelige gegevens. Als de beveiliging van de gegevens niet op orde is, loopt de politie het risico dat een groot opsporingsonderzoek stuk loopt omdat een corrupte agent informatie lekt naar zware criminelen.

Lange historie van wetsovertreding

De grootschalige overtreding van wet- en regelgeving op het gebied van privacy en informatiebeveiliging is niet nieuw. 's Lands bekendste wetshandhaver heeft een lange historie van wetsovertredingen. Acht jaar geleden"Het is schokkend dat geen enkel korps voldoet aan alle wettelijke regels op dit gebied." maakten we ook al een analyse van de verslagen over de naleving van dezelfde wet. De uitkomst was diep- en dieptriest. Geen enkel korps voldeed aan alle wettelijke regels. Een enkel korps leefde minder dan twintig procent (!) van de normen na en dan nog slechts “op hoofdlijnen”. Sindsdien heeft de politie wel wat verbeteringen doorgevoerd, maar deze analyse laat zien dat de bescherming van gevoelige gegevens onverminderd belabberd is.

De verwachting voor de nabije toekomst is niet beter. In een statusupdateLees hier het verslag van de politie over de stand van zaken na een jaar constateert de politie "een negatieve uitkomst" en dat er "zelfs scores naar beneden zijn gegaan". Volgens de politie is "een realistische verwachting dat 50% van de applicaties aan het einde van 2020 voldoet aan de wettelijke eisen." Wat ons betreft geven ervaringen uit het verleden geen aanleiding zo optimistisch te zijn. Maar belangrijker: dat betekent ook dat de helft van de applicaties ook dan nog altijd niet voldoet aan de wettelijke eisen.

Politie moet beboet worden

Er moeten nu twee dingen gebeuren, wat ons betreft. Ten eerste moet de politie nu eindelijk eens gedwongen worden tot naleving van de wet. De Tweede Kamer moet boos zijn op de minister en hem niet langer weg laten komen met sussende woorden als "de politie doen het steeds beter". De tijd van gedogen is voorbij. En daarom wordt het ook hoog tijd dat de Autoriteit Persoonsgegevens gaat doen wat de politie zelf ook doet: boetes uitdelen. Het is gek voor de woorden dat de politie hier al jarenlang mee wegkomt.

Ten tweede is het belangrijk dat de minister bij de geplande wijziging van de wet niet alleen naar de wet zelf kijkt, maar ook kijkt naar de uitvoerbaarheidLees hier meer over de herziening van de Wet politiegegevens ervan. De politie zei eerder al eens dat gegevens die verwijderd moeten worden niet worden verwijderd omdat de computersystemen te oud zijn. Wil je zo'n nieuwe wet goed maken, dan moet je misschien ook investeren in de ICT-systemen van de politie.