Brief regering : Audit Wet politiegegevens
33 842 Evaluatie Wet politiegegevens en Wet justitiële en strafvorderlijke gegevens
Nr. 5 BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 21 april 2020
Middels deze brief informeer ik u over de uitkomsten van de privacy onderzoeken die
de Auditdienst Rijk (ADR) en de afdeling Concernaudit van de politie hebben verricht
naar de naleving van de Wet politiegegevens (Wpg) door de politie. De korpschef moet
op grond van artikel 33 van de Wpg ten minste elke vier jaar een externe privacy audit
laten verrichten. De auditrapporten zijn recent ook aangeboden aan de Autoriteit Persoonsgegevens.
De rapporten worden als bijlage bij deze brief mee gezonden1. Een korte inhoudelijke toelichting op de rapporten is bijgevoegd als bijlage bij
deze brief.
In december 2015 is het vorige auditrapport aangeboden aan uw Kamer.2
De politie heeft destijds, op verzoek van mijn ambtsvoorganger, een verbeterplan opgesteld
met daarin maatregelen die genomen moeten worden voor een betere naleving van de Wpg.
Daarbij kregen het autorisatieproces, rechten van betrokkenen en informatiebeveiliging
voorrang, omdat daar het te beschermen belang het grootst was. Daarnaast zijn er gedurende
de looptijd van het verbeterplan nieuwe regels bijgekomen als gevolg van de Europese
Richtlijn gegevensbescherming opsporing en vervolging (hierna: de dataprotectie richtlijn).3
Net zoals in de rest van de samenleving is het van groot belang dat de politie de
privacyregels, in casu de Wpg, naleeft. Veiligheid en het respecteren van privacy
zodat wij in vrijheid kunnen leven, zijn in onze maatschappij onlosmakelijk met elkaar
verbonden.
De voorliggende audits leiden tot de conclusie dat ten opzichte van de vorige keer
vooruitgang is geboekt. Dat is positief. De onderwerpen «rechten van betrokkenen»
en «autoriseren» scoren voornamelijk groen. Dat geldt ook voor de twee onderwerpen
«privacy by design» en «functionaris gegevensbescherming» die op grond van de dataprotectie
richtlijn aan de Wpg zijn toegevoegd.
Ondanks deze positieve ontwikkeling kan nog niet geoordeeld worden dat de politie
volledig conform de Wpg werkt. Reeds uit de audit van 2015, maar ook uit de evaluatie
van de Wpg is gebleken dat de wet op bepaalde onderdelen te complex is en onvoldoende
aansluit op de uitvoeringspraktijk.4 De beleidsvoorbereiding voor de herziening van de Wpg is mede daarom inmiddels in
gang gezet. Deze herziening heeft onder anderen tot doel de complexiteit voor de uitvoeringspraktijk
terug te dringen.5
Het verbeterprogramma dat in 2016 is opgestart naar aanleiding van het verbeterplan
wordt binnenkort opgeleverd. Het programma heeft beleidsmatige maatregelen genomen
die in de «opzet» voorzien. De eenheden moeten deze implementeren. Daarbij is het
een lijnverantwoordelijkheid binnen de politie om zorg te dragen voor de uitvoering.
De volgende vierjaarlijkse audit kan het bestaan en de werking van deze maatregelen
toetsen.
Naar aanleiding van de audits door de Auditdienst Rijk en de politie wordt een verbeterrapport
opgesteld waarin de maatregelen worden beschreven die getroffen worden ter verbetering
van de geconstateerde tekortkomingen. Ik zal uw Kamer daar vanzelfsprekend nader over
informeren.
De Minister van Justitie en Veiligheid,
F.B.J. Grapperhaus
BIJLAGE:
De bevindingen
Naar aanleiding van de audit in 2015 is in 2016 het «Verbeterplan Wet politiegegevens
en informatiebeveiliging» vastgesteld. Dit verbeterplan is aan uw Kamer aangeboden.6 Het doel van dit plan was de verbetermaatregelen voor de periode van 2016 tot en
met 2019 inzichtelijk te maken en tekortkomingen aan te pakken waar mogelijk. Op grond
van de Regeling periodieke audit politiegegevens moet vierjaarlijks een externe privacy
audit en jaarlijks een interne audit plaatsvinden. De politie heeft in 2016 aan de
Auditdienst Rijk (ADR) opdracht gegeven om een audit van de naleving van de Wet politiegegevens
uit te voeren over de periode 2015–2018. Vooruitlopende op de externe audit heeft
op de belangrijkste onderwerpen eerst een interne audit (door afdeling Concernaudit
van de politie) plaatsgevonden. Alle rapporten zijn aan mijn departement aangeboden
in februari 2020.
Proces en scope van de audit
In de audits zijn alleen die onderwerpen van de Wpg onderzocht waarvan door de politie
– ten tijde van het uitvoeren van het onderzoek – is aangegeven dat de verbetermaatregelen zijn afgerond. Dit zijn de onderwerpen «rechten
van betrokkene» en «autoriseren», twee van de onderwerpen die door mijn ambtsvoorganger
in de beleidsreactie op de vorige audit in 2015, als belangrijk zijn aangemerkt. Aan
de interne audit is een aantal onderwerpen toegevoegd die door implementatie van de
dataprotectie richtlijn in de Wpg zijn opgenomen. Dit zijn de onderwerpen «privacy
and security by design» (gegevensbescherming en beveiliging door ontwerp) en de «functionaris
voor gegevensbescherming».
De derde prioriteit was informatiebeveiliging, naar aanleiding van tekortkomingen
met betrekking tot het naleven van informatiebeveiligingsvoorschriften door de politie
in het Schengen Informatiesysteem (SIS-II) en het Europese Visum Informatiesysteem
(EUVIS). Die tekortkomingen zijn door de politie aangepakt. Ten aanzien van deze systemen
voeren de Autoriteit Persoonsgegevens en de Europese Commissie later dit jaar onderzoeken
uit naar de naleving.
Van de onderwerpen die niet zijn onderzocht, omdat de verbetermaatregelen niet waren
afgerond ten tijde van het uitvoeren van het onderzoek, zijn de – overwegend kritische
– constateringen uit de vorige privacy audit uit 2015 overgenomen. De onderzoeken
betreffen daarom geen controle van de oplevering van het verbeterprogramma. De rode
kleurcodering in deze audit wil op deze punten dus niet zeggen dat er geen verbeteringen
zijn, het geeft slechts aan dat deze ten tijde van het onderzoek niet volledig afgerond
waren en derhalve niet zijn onderzocht.
Inhoudelijke toelichting
De belangrijkste bevindingen luiden als volgt:
Rechten van betrokkene
De ADR beoordeelt het onderdeel «rechten van betrokkene» zowel in opzet als in bestaan
positief (groen). Dit is een stap voorwaarts ten opzichte van de conclusies uit de
audit in 2015. De afgelopen jaren is door de politie veel geïnvesteerd in de inrichting
van privacy-desks en het maken van uniform beleid voor het verwerken van aanvragen
van burgers (die bijvoorbeeld inzage willen in de verwerking van hun persoonsgegevens
door de politie). De privacy-desks werken landelijk uniform aan de hand van een werkinstructie
en modelbrieven.
Autoriseren
De eisen die gesteld zijn aan «autoriseren» worden voor het grootste gedeelte nageleefd
en scoren daarom groen in de audits. Dit resultaat is bereikt door de invoering van
een autorisatiemodel dat geldt voor de gehele politie en door een applicatie die leidinggevenden
de mogelijkheid geeft om medewerkers van de juiste autorisaties te voorzien in de
meest gebruikte politiesystemen. Een kwetsbaar punt is nog wel het intrekken van autorisaties
die zijn toegekend voordat bovengenoemde maatregelen zijn genomen. Intrekking van
deze autorisaties is nog niet met terugwerkende kracht afgerond. In het najaar van
2017 hebben de eerste opschoningsacties van oude autorisaties plaatsgevonden bij een
aantal politiesystemen waarin WPG en AVG-informatie verwerkt wordt en die door veel
politiemedewerkers gebruikt worden. Vorig jaar zijn bij deze belangrijke politiesystemen
de oude autorisaties verder geschoond en onder regie gebracht. Door de complexiteit
van het ICT-landschap bij de politie (de grote hoeveelheid applicaties en Eigen Beheerde
Omgevingen) en de grote hoeveelheid gebruikers kost het opschonen van alle oude autorisaties
tijd. Momenteel bestaat nog de kans dat er medewerkers zijn die vanuit het verleden
autorisaties hebben tot systemen waar zij eigenlijk geen toegang meer tot zouden moeten
hebben. Omdat het van groot belang is dat medewerkers over de juiste informatietoegang
beschikken (niet minder, maar ook niet meer dan nodig voor de uitvoering van hun taak),
heb ik de korpschef gevraagd blijvend te sturen op het opschonen van toegekende autorisaties.
Aanvullende onderwerpen: Privacy by Design en Functionaris gegevensbescherming
De wijziging van de Wpg per 1 januari 2019 ter implementatie van de dataprotectie
richtlijn was voor de politie de aanleiding om een functionaris voor gegevensbescherming
aan te stellen. Deze functionaris functioneert binnen een systeem van toezicht en
advies omtrent naleving van de Wpg, informeert en adviseert de korpschef en werkt
samen met de Autoriteit Persoonsgegevens. Het onderwerp voldoet daarmee aan de eisen
uit de Wpg.
Privacy and Security by design houdt in dat mechanismes voor de bescherming van persoonsgegevens
tijdens het ontwikkelen van de informatievoorziening worden ingebouwd. In alle door
de politie nieuw te ontwikkelen applicaties wordt de bescherming van persoonsgegevens
meegenomen. Het onderwerp is daarmee zowel in opzet als in bestaan volledig groen.
Ondertekenaars
-
Eerste ondertekenaar
F.B.J. Grapperhaus, minister van Justitie en Veiligheid