Het Ministerie van Justitie en Veiligheid werkt aan nieuwe regels om er voor te zorgen dat de politie zorgvuldig omgaat met gegevens over ons. Maar de politie lapt nu ook de huidige regels al lange tijd grootschalig aan de laars. Nieuwe regels hebben alleen zin als je de problemen die leiden tot de gebrekkige naleving van de huidige regels óók oplost.

Fundament voor vertrouwen

De regels in de Wet politiegegevens zijn het fundament voor het vertrouwen in de politie. Die wet regelt namelijk hoe de politie om moet gaan met de gevoelige persoonsgegevens van burgers. Die regels moeten ervoor zorgen dat je nauwelijks extra gevaar loopt als je getuige bent van een liquidatie en je verhaal doet bij de politie. Die moeten ervoor zorgen dat je er vanuit kunt gaan dat jouw aangifte van seksueel geweld niet ook door agenten die niets met het onderzoek te maken hebben bekeken wordt. En dat al die gegevens überhaupt niet langer worden bewaard dan nodig is. De regels zijn ook heel fijn voor de politie zelf: het risico dat een opsporingsonderzoek spaak loopt doordat een corrupte agent zaken uit een dossier lekt aan criminelen is daardoor kleiner.

Tenminste, als die regels worden nageleefd. Maar de ironie wil dat Nederlands bekendste handhaver van regels, zelf regels stelselmatig en op grote schaal overtreedt. Als een agent een andere functie krijgt, dan kan het goed zijn dat hij de toegang tot de databases van zijn vorige functie behoudt. Gegevens die al lang verwijderd hadden moeten worden blijven oneindig beschikbaar in de systemenZo schreef ik eerder op mijn blog. En de politie heeft geen overzicht van de gegevens die zij met andere organisaties deelt. We schreven acht jaar geleden al over de belabberde nalevingDe politie overtreedt op de grote schaal de wet als het op de bescherming van persoonsgegevens aankomt,.. Destijds voldeed geen enkel korps van de politie aan alle normen. Sommige schonden zelfs 80 procent van de normen. Sindsdien is de situatie ietsje pietsje verbeterd, maar het is niets om over naar huis te schrijvenDat lees je terug in deze privacy audit uit 2019.

Tureluurs

Dat moet natuurlijk anders, maar daar komen we een andere keer op terug. Er speelt namelijk meer. Op dit moment denkt het Ministerie van Justitie en Veiligheid na over het vernieuwen van deze regels. Daarom spraken we eerder deze zomer met de ambtenaren die daar mee bezig zijn. We drukten hen op het hart om niet alleen te kijken naar hoe lang gegevens bijvoorbeeld bewaard mogen worden of wie er onder welke omstandigheden bij mag, maar ook naar grotere ontwikkelingen die van invloed zijn.

De nieuwe wetgeving moet reflecteren op het veranderende gebruik van gegevens door de politie. De politie werkt steeds vaker samen met andere partijen voor toegang tot gegevens. Dat kunnen gegevens uit sensoren zijn of informatie die bijvoorbeeld op het internet is verzameld. Ook analyseert de politie steeds vaker enorme hoeveelheden gegevens om tot nieuwe inzichten te komen. Bovendien worden gegevens meer en meer gebruikt voor het voorspellen van strafbare feiten of verstoringen van de openbare orde. Dat heet 'predictive policing' en doet inderdaad denken aan Minority ReportTrailer: Minority Report. Daardoor is er ook minder vaak sprake van een directe koppeling tussen het werken met gegevens en een specifieke zaak of verdachte. Dat zijn allemaal nieuwe ontwikkelingen waar je rekening mee moet houden als je de Wet politiegegevens wilt vernieuwen.

Ook moet de politie veel transparanter worden over de manier waarop zij omgaat met gegevens. Dat doet ze helaas niet uit zichzelf; dat moet worden afgedwongen. We hebben de afgelopen jaren steeds weer een beroep moeten doen op de Wet openbaarheid van bestuur om de verslagen van onderzoeken naar de naleving van de Wet politiegegevens boven tafel te krijgen. Zo vaak dat de politie blijkbaar een beetje tureluurs van ons werd en aangaf een deel van die rapporten vanaf nu maar zelf alvast openbaar te maken. We deden ook een poging om een compleet overzicht te krijgen van de organisaties met wie de politie gegevens deelt. Dat kon de politie ons niet geven want dat overzicht hadden ze zelf ook niet. Frappant. Een nieuwe wet is in ieder geval een uitstekend moment om dat soort dingen goed te regelen.

Nieuwe regels in oude zakken

Maar misschien wel het allerbelangrijkste: de ambtenaren moeten ook verder kijken dan alleen deze regels. De politie legde bijvoorbeeld eerder al eens uit waarom gegevens die verwijderd moeten worden niet worden verwijderd: de computersystemen zijn te oud. Het is daarom ontzettend belangrijk dat de ambtenaren ook nadenken over de uitvoering van de regels. En als we naar de nieuwe regels voor de geheime diensten kijken, is het ook heel belangrijk om naar de implementatie van die regels te kijken, want daar gaat het ook vaak misDaar kregen ze namelijk een vette dikke onvoldoende voor. De bewaartermijn voor gegevens vaststellen heeft weinig zin als in de praktijk de gegevens niet verwijderd kunnen worden. Wil je zo'n nieuwe wet goed maken, dan moet je misschien ook investeren in de ICT-systemen van de politie.

En om toch nog even op de handhaving van die regels terug te komen: de politie staat vaak voorop om te zeggen dat het invoeren van regels die 'niet handhaafbaar' zijn zinloos is. Dat gaat hier ook op: lang nadenken over de bewaartermijn van gegevens is vrij zinloos als je niet ook bedenkt hoe het naleven van die regels kan worden afgedwongen. Het ministerie moet daarom ook nadenken over hoe zij de handhaving van die regels verstevigt. En niet zo'n klein beetje ook. Het ministerie moet uitzoeken hoe de politie jarenlang de regels kon overtreden en de Autoriteit Persoonsgegevens op dit dossier vrijwel onzichtbaar en ineffectief bleef. En als de capaciteit van de toezichthouder onvoldoende was, dan moet een herziening van de wet ook gepaard gaan met een capaciteitsuitbreiding van de Autoriteit Persoonsgegevens.

Of nee, voor dat soort verbeteringen hoeft de minister eigenlijk helemaal niet te wachten op de nieuwe regels.