Audit Wet politiegegevens
Evaluatie Wet politiegegevens en Wet justitiële en strafvorderlijke gegevens
Brief regering
Nummer: 2020D15162, datum: 2020-04-21, bijgewerkt: 2024-02-19 10:56, versie: 3
Directe link naar document (.pdf), link naar pagina op de Tweede Kamer site, officiële HTML versie (kst-33842-5).
Gerelateerde personen:- Eerste ondertekenaar: F.B.J. Grapperhaus, minister van Justitie en Veiligheid
Onderdeel van kamerstukdossier 33842 -5 Evaluatie Wet politiegegevens en Wet justitiële en strafvorderlijke gegevens.
Onderdeel van zaak 2020Z07116:
- Indiener: F.B.J. Grapperhaus, minister van Justitie en Veiligheid
- Voortouwcommissie: vaste commissie voor Justitie en Veiligheid
- 2020-05-07 22:10: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
- 2020-05-11 10:45: Procedures en brieven (Procedurevergadering), vaste commissie voor Justitie en Veiligheid
- 2020-06-08 09:30: Veiligheid (Notaoverleg), vaste commissie voor Justitie en Veiligheid
- 2020-06-10 14:15: Aanvang middagvergadering: Regeling van werkzaamheden (Regeling van werkzaamheden), TK
Preview document (🔗 origineel)
Tweede Kamer der Staten-Generaal | 2 |
Vergaderjaar 2019-2020 |
33 842 Evaluatie Wet politiegegevens en Wet justitiële en strafvorderlijke gegevens
Nr. 5 BRIEF VAN DE MINISTER VAN JUSTITIE EN VEILIGHEID
Aan de Voorzitter van de Tweede Kamer der Staten-Generaal
Den Haag, 21 april 2020
Middels deze brief informeer ik u over de uitkomsten van de privacy onderzoeken die de Auditdienst Rijk (ADR) en de afdeling Concernaudit van de politie hebben verricht naar de naleving van de Wet politiegegevens (Wpg) door de politie. De korpschef moet op grond van artikel 33 van de Wpg ten minste elke vier jaar een externe privacy audit laten verrichten. De auditrapporten zijn recent ook aangeboden aan de Autoriteit Persoonsgegevens. De rapporten worden als bijlage bij deze brief mee gezonden1. Een korte inhoudelijke toelichting op de rapporten is bijgevoegd als bijlage bij deze brief.
In december 2015 is het vorige auditrapport aangeboden aan uw Kamer.2
De politie heeft destijds, op verzoek van mijn ambtsvoorganger, een verbeterplan opgesteld met daarin maatregelen die genomen moeten worden voor een betere naleving van de Wpg. Daarbij kregen het autorisatieproces, rechten van betrokkenen en informatiebeveiliging voorrang, omdat daar het te beschermen belang het grootst was. Daarnaast zijn er gedurende de looptijd van het verbeterplan nieuwe regels bijgekomen als gevolg van de Europese Richtlijn gegevensbescherming opsporing en vervolging (hierna: de dataprotectie richtlijn).3
Net zoals in de rest van de samenleving is het van groot belang dat de politie de privacyregels, in casu de Wpg, naleeft. Veiligheid en het respecteren van privacy zodat wij in vrijheid kunnen leven, zijn in onze maatschappij onlosmakelijk met elkaar verbonden.
De voorliggende audits leiden tot de conclusie dat ten opzichte van de vorige keer vooruitgang is geboekt. Dat is positief. De onderwerpen «rechten van betrokkenen» en «autoriseren» scoren voornamelijk groen. Dat geldt ook voor de twee onderwerpen «privacy by design» en «functionaris gegevensbescherming» die op grond van de dataprotectie richtlijn aan de Wpg zijn toegevoegd.
Ondanks deze positieve ontwikkeling kan nog niet geoordeeld worden dat de politie volledig conform de Wpg werkt. Reeds uit de audit van 2015, maar ook uit de evaluatie van de Wpg is gebleken dat de wet op bepaalde onderdelen te complex is en onvoldoende aansluit op de uitvoeringspraktijk.4 De beleidsvoorbereiding voor de herziening van de Wpg is mede daarom inmiddels in gang gezet. Deze herziening heeft onder anderen tot doel de complexiteit voor de uitvoeringspraktijk terug te dringen.5
Het verbeterprogramma dat in 2016 is opgestart naar aanleiding van het verbeterplan wordt binnenkort opgeleverd. Het programma heeft beleidsmatige maatregelen genomen die in de «opzet» voorzien. De eenheden moeten deze implementeren. Daarbij is het een lijnverantwoordelijkheid binnen de politie om zorg te dragen voor de uitvoering. De volgende vierjaarlijkse audit kan het bestaan en de werking van deze maatregelen toetsen.
Naar aanleiding van de audits door de Auditdienst Rijk en de politie wordt een verbeterrapport opgesteld waarin de maatregelen worden beschreven die getroffen worden ter verbetering van de geconstateerde tekortkomingen. Ik zal uw Kamer daar vanzelfsprekend nader over informeren.
De Minister van Justitie en Veiligheid,
F.B.J. Grapperhaus
BIJLAGE:
De bevindingen
Naar aanleiding van de audit in 2015 is in 2016 het «Verbeterplan Wet politiegegevens en informatiebeveiliging» vastgesteld. Dit verbeterplan is aan uw Kamer aangeboden.6 Het doel van dit plan was de verbetermaatregelen voor de periode van 2016 tot en met 2019 inzichtelijk te maken en tekortkomingen aan te pakken waar mogelijk. Op grond van de Regeling periodieke audit politiegegevens moet vierjaarlijks een externe privacy audit en jaarlijks een interne audit plaatsvinden. De politie heeft in 2016 aan de Auditdienst Rijk (ADR) opdracht gegeven om een audit van de naleving van de Wet politiegegevens uit te voeren over de periode 2015–2018. Vooruitlopende op de externe audit heeft op de belangrijkste onderwerpen eerst een interne audit (door afdeling Concernaudit van de politie) plaatsgevonden. Alle rapporten zijn aan mijn departement aangeboden in februari 2020.
Proces en scope van de audit
In de audits zijn alleen die onderwerpen van de Wpg onderzocht waarvan door de politie – ten tijde van het uitvoeren van het onderzoek – is aangegeven dat de verbetermaatregelen zijn afgerond. Dit zijn de onderwerpen «rechten van betrokkene» en «autoriseren», twee van de onderwerpen die door mijn ambtsvoorganger in de beleidsreactie op de vorige audit in 2015, als belangrijk zijn aangemerkt. Aan de interne audit is een aantal onderwerpen toegevoegd die door implementatie van de dataprotectie richtlijn in de Wpg zijn opgenomen. Dit zijn de onderwerpen «privacy and security by design» (gegevensbescherming en beveiliging door ontwerp) en de «functionaris voor gegevensbescherming».
De derde prioriteit was informatiebeveiliging, naar aanleiding van tekortkomingen met betrekking tot het naleven van informatiebeveiligingsvoorschriften door de politie in het Schengen Informatiesysteem (SIS-II) en het Europese Visum Informatiesysteem (EUVIS). Die tekortkomingen zijn door de politie aangepakt. Ten aanzien van deze systemen voeren de Autoriteit Persoonsgegevens en de Europese Commissie later dit jaar onderzoeken uit naar de naleving.
Van de onderwerpen die niet zijn onderzocht, omdat de verbetermaatregelen niet waren afgerond ten tijde van het uitvoeren van het onderzoek, zijn de – overwegend kritische – constateringen uit de vorige privacy audit uit 2015 overgenomen. De onderzoeken betreffen daarom geen controle van de oplevering van het verbeterprogramma. De rode kleurcodering in deze audit wil op deze punten dus niet zeggen dat er geen verbeteringen zijn, het geeft slechts aan dat deze ten tijde van het onderzoek niet volledig afgerond waren en derhalve niet zijn onderzocht.
Inhoudelijke toelichting
De belangrijkste bevindingen luiden als volgt:
Rechten van betrokkene
De ADR beoordeelt het onderdeel «rechten van betrokkene» zowel in opzet als in bestaan positief (groen). Dit is een stap voorwaarts ten opzichte van de conclusies uit de audit in 2015. De afgelopen jaren is door de politie veel geïnvesteerd in de inrichting van privacy-desks en het maken van uniform beleid voor het verwerken van aanvragen van burgers (die bijvoorbeeld inzage willen in de verwerking van hun persoonsgegevens door de politie). De privacy-desks werken landelijk uniform aan de hand van een werkinstructie en modelbrieven.
Autoriseren
De eisen die gesteld zijn aan «autoriseren» worden voor het grootste gedeelte nageleefd en scoren daarom groen in de audits. Dit resultaat is bereikt door de invoering van een autorisatiemodel dat geldt voor de gehele politie en door een applicatie die leidinggevenden de mogelijkheid geeft om medewerkers van de juiste autorisaties te voorzien in de meest gebruikte politiesystemen. Een kwetsbaar punt is nog wel het intrekken van autorisaties die zijn toegekend voordat bovengenoemde maatregelen zijn genomen. Intrekking van deze autorisaties is nog niet met terugwerkende kracht afgerond. In het najaar van 2017 hebben de eerste opschoningsacties van oude autorisaties plaatsgevonden bij een aantal politiesystemen waarin WPG en AVG-informatie verwerkt wordt en die door veel politiemedewerkers gebruikt worden. Vorig jaar zijn bij deze belangrijke politiesystemen de oude autorisaties verder geschoond en onder regie gebracht. Door de complexiteit van het ICT-landschap bij de politie (de grote hoeveelheid applicaties en Eigen Beheerde Omgevingen) en de grote hoeveelheid gebruikers kost het opschonen van alle oude autorisaties tijd. Momenteel bestaat nog de kans dat er medewerkers zijn die vanuit het verleden autorisaties hebben tot systemen waar zij eigenlijk geen toegang meer tot zouden moeten hebben. Omdat het van groot belang is dat medewerkers over de juiste informatietoegang beschikken (niet minder, maar ook niet meer dan nodig voor de uitvoering van hun taak), heb ik de korpschef gevraagd blijvend te sturen op het opschonen van toegekende autorisaties.
Aanvullende onderwerpen: Privacy by Design en Functionaris gegevensbescherming
De wijziging van de Wpg per 1 januari 2019 ter implementatie van de dataprotectie richtlijn was voor de politie de aanleiding om een functionaris voor gegevensbescherming aan te stellen. Deze functionaris functioneert binnen een systeem van toezicht en advies omtrent naleving van de Wpg, informeert en adviseert de korpschef en werkt samen met de Autoriteit Persoonsgegevens. Het onderwerp voldoet daarmee aan de eisen uit de Wpg.
Privacy and Security by design houdt in dat mechanismes voor de bescherming van persoonsgegevens tijdens het ontwikkelen van de informatievoorziening worden ingebouwd. In alle door de politie nieuw te ontwikkelen applicaties wordt de bescherming van persoonsgegevens meegenomen. Het onderwerp is daarmee zowel in opzet als in bestaan volledig groen.