Privacy

Vrijwel geen van de systemen waarmee agenten en rechercheurs werken, voldoen aan de wet

De computersystemen die agenten gebruiken in hun dagelijkse werk scoren slecht in onderzoeken naar privacy en beveiliging. Bits of Freedom wil dat de Autoriteit Persoonsgegevens ingrijpt. 

Vrijwel geen van de politiesystemen waarmee agenten en rechercheurs dagelijks werken, voldoen aan de Wet politiegegevens. Gegevens worden bijvoorbeeld niet automatisch verwijderd als de wettelijke bewaartermijn erop zit of het ontbreekt aan een verplicht beveiligingsonderzoek om te kijken of de data goed beschermd zijn. In totaal scoort 89 procent van de applicaties een onvoldoende, blijkt uit een rapport van de politie zelf.

Dat rapport werd openbaar na een beroep op de Wet openbaarheid van bestuur (Wob) van Rejo Zenger, onderzoeker bij digitale burgerrechtenorganisatie Bits of Freedom. Het gaat bijvoorbeeld om applicaties waarmee agenten iemands identiteit kunnen controleren of waarmee aangiftes en verhoren worden opgenomen. De politie zelf bestempelde de in totaal 36 applicaties als ‘high risk’ omdat ze cruciaal zijn voor het werk en met veel gevoelige gegevens werken.

Volgens Zenger, die via de Wob ook de losse onderzoeken naar 35 van de 36 applicaties in handen kreeg, is het nog dramatischer gesteld. In de Wet politiegegevens staan alle regels over hoe de politie om moet gaan met data die ze verzamelt en opslaat. Maar het komt voor dat de politie aanvullende regels hanteert, die (nog) niet in de wet staan. Als je de applicaties langs de meetlat van dat politiebeleid legt, dan blijkt geen van de systemen de test te doorstaan, aldus Zenger. 

Slecht voor vertrouwen

Dat is volgens hem slecht voor het vertrouwen in de politie. “Een getuige van een liquidatie vertelt zijn verhaal niet aan de politie als hij daardoor zelf extra gevaar loopt. En als slachtoffer van bijvoorbeeld verkrachting wil je ook niet dat iemand die niets met het onderzoek te maken heeft in je aangifte kan snuffelen.”

Maar ook de politie zelf loopt risico, aldus Zenger. Het probleem van corrupte agenten die informatie doorspelen aan criminelen, neemt eerder toe dan af, merkte korpschef Henk van Essen afgelopen september nog op. Dus moet de autorisatie in de systemen goed geregeld zijn: iemand kan alleen toegang krijgen tot gegevens als hij daarvoor bevoegd is. Bij meer dan de helft van de cruciale systemen voldoet die autorisatie nog niet aan alle wettelijke eisen.

De politie zegt in een reactie dat ze bij de onderzoeken streng zijn geweest. Dat betekent dat ook als een applicatie maar op een klein punt niet op orde is, die niet voldoet. Bovendien moet je de scores volgens een politiewoordvoerder in de juiste context zien. Krijgt een applicatie bijvoorbeeld een onvoldoende voor informatiebeveiliging, dan betekent dat niet per definitie dat de opgeslagen gegevens slecht beveiligd zijn. Een onvoldoende krijg je ook als de verplichte regelmatige risico-analyse naar de beveiliging ontbreekt. Het risico voor de burger schat de politie daarom in als minimaal. 

Ingrijpen en boetes uitdelen

Het laatste onderzoek naar de applicaties werd eind vorig jaar uitgevoerd. Sindsdien zijn er geen grote verbeteringen doorgevoerd, bevestigt de politie. “Dit is een proces van de lange adem. Dat heeft te maken met beperkte capaciteit en een andere prioritering”, aldus de woordvoerder. Een deel van de applicaties die nu niet aan de wet voldoen, zullen bijvoorbeeld door nieuwe systemen worden vervangen.

Zenger vindt dat het lang genoeg heeft geduurd. Al in 2015 kondigde de politie een verbeterprogramma aan, maar nog altijd is de score bar slecht. “Het wordt tijd dat de Autoriteit Persoonsgegevens ingrijpt en boetes uitdeelt, zoals ik ook beboet wordt door de politie als ik stelselmatig en grootschalig de wet aan mijn laars lap.”

Overigens houdt de politie van één van de 36 applicaties de werking en naam geheim. Het openbaar maken zou de veiligheid in gevaar kunnen brengen. 

Creatieve naamgevers

De naamgevers van de applicaties die agenten en rechercheurs dagelijks gebruiken in hun werk, zijn creatief geweest. Zo worden veelplegers geregistreerd in het systeem ‘Amazone’. En wordt ‘Agora’ door politieteams gebruikt om samen te werken en documenten met elkaar te delen. De naam verwijst naar een Grieks dorpsplein waar in de oudheid de laatste nieuwtjes werden uitgewisseld. 

In totaal kent de politie 36 van die applicaties die cruciaal zijn voor het dagelijkse werk van agenten en rechercheurs. De systemen, waarvan sommige meer dan tien jaar oud zijn, moeten het werk makkelijker maken en er bovendien voor zorgen dat onderzoeken gestructureerd en controleerbaar verlopen. De applicaties staan bol van gegevens, over lopende onderzoeken, over verdachten, getuigen en slachtoffers van misdrijven. 

Om erachter te komen of de systemen deugen op het gebied van privacy en beveiliging liet de politie in 2019 zogeheten nulmetingen uitvoeren. Aan de hand van criteria uit de Wet politiegegevens kregen de 36 applicaties een score toebedeeld. Er bleek flink wat mis. 

Weinig verbetering

Een criterium uit de wet is bijvoorbeeld om het beleid van het bewaren en verwijderen van gegevens op orde te hebben. Zo wordt voorkomen dat data langer worden bewaard dan wettelijk mag. Dat gaat onder meer mis bij ‘BHV’, het grootste en belangrijkste registratiesysteem van de politie, dat onder meer processen-verbaal bevat. Bij de nulmeting uit april 2019 scoort BHV een ‘dikke onvoldoende’ op dit gebied. In de voortgangsreportage die de politie later dat jaar opstelde, is dat niet verbeterd.

Nog een regel uit de wet is dat de politie regelmatig de beveiliging van de applicaties moet laten onderzoeken om te kunnen garanderen dat de opgeslagen gegevens veilig zijn. Dat moet regelmatig omdat “in een snel veranderende wereld de informatiebeveiliging van vandaag voldoende is, maar morgen is achterhaald”, leggen de onderzoeken uit. 

Ontbrekend beveiligingsonderzoek

22 van de 35 applicaties (het rapport over één applicatie bleef geheim) krijgen de laagste score voor informatiebeveiliging. Eind 2019 blijkt dat iets verbeterd, maar nog steeds bungelen 19 applicaties onderaan. Vaak ontbreekt het beveiligingsonderzoek, of is dat verouderd. Hoewel de politie benadrukt dat dat niet betekent dat de applicaties zo lek zijn als een mandje, is er ook geen garantie dat alles op orde is.

Er worden in de onderzoeken ook problemen aangekaart die specifiek zijn voor een bepaald computersysteem. Neem de mogelijkheid om aangifte online te doen. De IP-adressen van burgers die aangifte doen worden dertig dagen bewaard, zonder dat duidelijk is waarom. Volgens de wet mag het opslaan van gegevens zonder dat daar een reden voor is niet. Of bij het systeem ‘AVR’, waarmee verhoren kunnen worden opgenomen en opgeslagen: uit de nulmeting blijkt dat gebruikers zichzelf konden aanmerken als leidinggevenden en daardoor toegang hadden tot alle verhoren, ook van zaken waar ze niets mee te maken hadden. 

Lees ook 

Advies: Politie, stop met nieuw ICT-platform, want het werkt niet

Opnieuw dreigt een ICT-debacle bij de politie. Het nieuwe systeem voor de centrale opslag van gegevens waar sinds 2012 aan wordt gewerkt, is risicovol, nodeloos ingewikkeld en duur, concludeert het Bureau ICT-toetsing (Bit). 

Aleid Wolfsen: Gestolen data zijn veel erger dan een gestolen fiets

Opnieuw moet een onderzoek deze week uitwijzen of de Autoriteit Persoonsgegeven meer budget en meer mensen nodig heeft. Voorzitter Aleid Wolfsen weet al wat het antwoord is. ‘We zijn veel te traag, dat vindt iedereen.’

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2020 DPG Media B.V. - alle rechten voorbehouden