Beveiliging politiesystemen

Agent werkt met apps die niet aan de wet voldoen

Bits of Freedom (BoF), de Nederlandse stichting die zich inzet voor digitale burgerrechten. Beeld ANP
Bits of Freedom (BoF), de Nederlandse stichting die zich inzet voor digitale burgerrechten.Beeld ANP

De computersystemen die agenten gebruiken in hun dagelijkse werk scoren slecht in onderzoeken naar privacy en beveiliging. Bits of Freedom wil dat de Autoriteit Persoonsgegevens ingrijpt. 

Vrijwel geen van de politiesystemen waarmee agenten en rechercheurs dagelijks werken, voldoen aan de Wet politiegegevens. Gegevens worden bijvoorbeeld niet automatisch verwijderd als de wettelijke bewaartermijn erop zit of het ontbreekt aan een verplicht beveiligingsonderzoek om te kijken of de data goed beschermd zijn. In totaal scoort 89 procent van de applicaties een onvoldoende, blijkt uit een rapport van de politie zelf.

Dat rapport werd openbaar na een beroep op de Wet openbaarheid van bestuur (Wob) van Rejo Zenger, onderzoeker bij digitale burgerrechtenorganisatie Bits of Freedom. Het gaat bijvoorbeeld om applicaties waarmee agenten iemands identiteit kunnen controleren of waarmee aangiftes en verhoren worden opgenomen. De politie zelf bestempelde de in totaal 36 applicaties als ‘high risk’ omdat ze cruciaal zijn voor het werk en met veel gevoelige gegevens werken.

Volgens Zenger, die via de Wob ook de losse onderzoeken naar 35 van de 36 applicaties in handen kreeg, is het nog dramatischer gesteld. In de Wet politiegegevens staan alle regels over hoe de politie om moet gaan met data die ze verzamelt en opslaat. Maar het komt voor dat de politie aanvullende regels hanteert, die (nog) niet in de wet staan. Als je de applicaties langs de meetlat van dat politiebeleid legt, dan blijkt geen van de systemen de test te doorstaan, aldus Zenger. 

Slecht voor vertrouwen

Dat is volgens hem slecht voor het vertrouwen in de politie. “Een getuige van een liquidatie vertelt zijn verhaal niet aan de politie als hij daardoor zelf extra gevaar loopt. En als slachtoffer van bijvoorbeeld verkrachting wil je ook niet dat iemand die niets met het onderzoek te maken heeft in je aangifte kan snuffelen.”

Maar ook de politie zelf loopt risico, aldus Zenger. Het probleem van corrupte agenten die informatie doorspelen aan criminelen, neemt eerder toe dan af, merkte korpschef Henk van Essen afgelopen september nog op. Dus moet de autorisatie in de systemen goed geregeld zijn: iemand kan alleen toegang krijgen tot gegevens als hij daarvoor bevoegd is. Bij meer dan de helft van de cruciale systemen voldoet die autorisatie nog niet aan alle wettelijke eisen.

De politie zegt in een reactie dat ze bij de onderzoeken streng zijn geweest. Dat betekent dat ook als een applicatie maar op een klein punt niet op orde is, die niet voldoet. Bovendien moet je de scores volgens een politiewoordvoerder in de juiste context zien. Krijgt een applicatie bijvoorbeeld een onvoldoende voor informatiebeveiliging, dan betekent dat niet per definitie dat de opgeslagen gegevens slecht beveiligd zijn. Een onvoldoende krijg je ook als de verplichte regelmatige risico-analyse naar de beveiliging ontbreekt. Het risico voor de burger schat de politie daarom in als minimaal. 

Ingrijpen en boetes uitdelen

Het laatste onderzoek naar de applicaties werd eind vorig jaar uitgevoerd. Sindsdien zijn er geen grote verbeteringen doorgevoerd, bevestigt de politie. “Dit is een proces van de lange adem. Dat heeft te maken met beperkte capaciteit en een andere prioritering”, aldus de woordvoerder. Een deel van de applicaties die nu niet aan de wet voldoen, zullen bijvoorbeeld door nieuwe systemen worden vervangen.

Zenger vindt dat het lang genoeg heeft geduurd. Al in 2015 kondigde de politie een verbeterprogramma aan, maar nog altijd is de score bar slecht. “Het wordt tijd dat de Autoriteit Persoonsgegevens ingrijpt en boetes uitdeelt, zoals ik ook beboet wordt door de politie als ik stelselmatig en grootschalig de wet aan mijn laars lap.”

Overigens houdt de politie van één van de 36 applicaties de werking en naam geheim. Het openbaar maken zou de veiligheid in gevaar kunnen brengen. 

Lees ook:

Aleid Wolfsen: Gestolen data zijn veel erger dan een gestolen fiets

Opnieuw moet een onderzoek deze week uitwijzen of de Autoriteit Persoonsgegeven meer budget en meer mensen nodig heeft. Voorzitter Aleid Wolfsen weet al wat het antwoord is. ‘We zijn veel te traag, dat vindt iedereen.’

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2021 DPG Media B.V. - alle rechten voorbehouden