ICT-systemen politie niet op orde: iedereen de dupe

19/11
Zonder het vertrouwen van de burger kan de politie haar werk niet goed doen. Daarom is het belangrijk dat de politie ontzettend zorgvuldig omgaat met de gegevens over burgers. Maar uit een analyse van Bits of Freedom blijkt dat van alle 36 \'mission critical\'-systemen van de politie er geen eentje voldoet aan de regels rond privacy en informatiebeveiliging.

Mission criticalHet gaat om 36 systemen die, naar eigen zeggen, \`ten alle tijde draaiende moeten blijven, zodat de politie haar werk kan doen.\` Het zijn de systemen voor het registreren van veelplegers en kentekens, opnemen van aangiften en verhoren, uitwisselen van informatie tussen agenten, verwerken van vingerafdrukken, analyseren van grote bergen gevoelige gegevens en vele andere functies. Geen (!) van deze systemen voldoen aan de regels over privacy and security by design die volgen uit de wet en het beleid van de politie. Bij drie systemen is er zelfs helemaal \`geen specifieke aandacht\` hiervoor.

De tabel hieronder is een samenvatting van onze analyse: alles, behalve de grijze velden, horen groen te zijn.

Vooral op het gebied van informatiebeveiliging en privacy is het slecht gesteld met de systemen. Zo behouden agenten die van functie wisselen de toegang tot database uit hun eerdere functie, waardoor corrupte agenten onnodig toegang hebben tot veel informatie. Ook worden gegevens vaak veel te lang bewaard. En omdat de politie lang niet altijd alle risico\'s voor de beveiliging van de informatie in kaart heeft gebracht, is niet duidelijk of de huidige beveiliging afdoende is. De politie vertrouwt steeds meer op ICT, maar wij kunnen de politie niet vertrouwen met die ICT.

Iedereen de dupeDe risico\'s hiervan zijn enorm. De politie heeft immers uitgebreide bevoegdheden voor het verzamelen, bewaren, gebruiken en het aan derden verstrekken van persoonsgegevens, ook van mensen die niet als verdachte zijn aangemerkt. Maar dat kan alleen als we de politie ook kunnen vertrouwen dat zij verantwoord met die gegevens omspringt. Maar als dat ontbreekt is iedereen, ook de politie zelf, de dupe.

\'s Lands bekendste wetshandhaver heeft een lange historie van wetsoverstredingen.

Want een getuige van een liquidatie vertelt zijn verhaal niet aan de politie als hij daardoor zelf extra gevaar loopt. Als je het slachtoffer bent van een verkrachting, dan is het laatste dat je wilt dat iemand die niets met dat onderzoek te maken heeft, in je aangifte snuffelt. Maar ook de politie heeft zelf baat bij een zorgvuldige omgang met gevoelige gegevens. Als de beveiliging van de gegevens niet op orde is, loopt de politie het risico dat een groot opsporingsonderzoek stuk loopt omdat een corrupte agent informatie lekt naar zware criminelen.

Lange historie van wetsovertredingDe grootschalige overtreding van wet- en regelgeving op het gebied van privacy en informatiebeveiliging is niet nieuw. \'s Lands bekendste wetshandhaver heeft een lange historie van wetsovertredingen. Acht jaar geleden maakten we ook al een analyse van de verslagen over de naleving van dezelfde wet. De uitkomst was diep- en dieptriest. Geen enkel korps voldeed aan alle wettelijke regels. Een enkel korps leefde minder dan twintig procent (!) van de normen na en dan nog slechts “op hoofdlijnen”. Sindsdien heeft de politie wel wat verbeteringen doorgevoerd, maar deze analyse laat zien dat de bescherming van gevoelige gegevens onverminderd belabberd is.

Het is hoog tijd dat de toezichthouder gaat doen wat de politie zelf ook doet: boetes uitdelen.

De verwachting voor de nabije toekomst is niet beter. Uit een statusupdate van de politie constateert \`nog eerst een negatieve uitkomst\` en dat er \`zelfs scores naar beneden zijn gegaan\`. Volgens de politie is \`een realistische verwachting dat 50% van de applicaties aan het einde van 2020 voldoet aan de wettelijke eisen.\` Wat ons betreft geven ervaringen uit het verleden geen aanleiding zo optimistisch te zijn. Maar belangrijker: dat betekent ook daar de helft van de applicaties ook dan nog altijd niet voldoet aan de wettelijke eisen.

Politie moet beboet wordenEr moeten nu twee dingen gebeuren, wat ons betreft. Ten eerste moet de politie moet nu eindelijk eens gedwongen worden tot naleving van de wet. De Tweede Kamer moet boos zijn op de minister en hem niet langer weg laten komen met sussende woorden als \`de politie doen het steeds beter\`. De tijd van gedogen is voorbij. En daarom wordt het ook hoog tijd dat de Autoriteit Persoonsgegevens gaat doen wat de politie zelf ook doet: boetes uitdelen. Het is gek voor de woorden dat de politie hier al jarenlang mee wegkomt.

Een getuige van een liquidatie vertelt zijn verhaal niet aan de politie als hij daardoor zelf extra gevaar loopt.

Ten tweede is het belangrijk dat de minister bij de geplande wijziging van de wet niet alleen naar de wet zelf kijkt, maar ook kijkt naar de uitvoerbaarheid ervan. De politie zei eerder al eens dat gegevens die verwijderd moeten worden niet worden verwijderd omdat de computersystemen te oud zijn. Wil je zo\'n nieuwe wet goed maken, dan moet je misschien ook investeren in de ICT-systemen van de politie.

AchtergrondDe analyse is gebaseerd op 35 rapporten, met in totaal zo\'n 750 pagina\'s, die we boven tafel kregen met een verzoek op grond van de Wet openbaarheid van bestuur. Dat ging niet zonder slag of stoot. De politie weigerde eerst de documenten openbaar te maken omdat informatie over deze kwetsbaarheden \`de veiligheid van de samenleving in gevaar [zou] brengen.\` Opmerkelijk is dat die kwetsbaarheden na al die tijd nog steeds niet zijn opgelost. De rechter kwam er aan te pas om de politie te dwingen op ons bezwaar te beslissen. Eén rapport houdt de politie nog altijd angstvallig geheim. We zijn daarom opnieuw naar de rechter gestapt.

Alle openbaar gemaakte rapporten
agora
amazone
anpr-falconi
avr
blueview40
bosz
bluespot-monitor
bvh
bvid20
bviib
dcs
digibon-pdb
fotoconfrontatiemodule
hansken
havank
ibase
internetaangifte
kantoorautomatisering
livejournaalpolitie
lsv
mappenstandaard
meos
orion
personenserver
pshv
pshvm
raffinaderij
sbv-sireneberichtenverkeer
servicemodule
signalering-mutatie-client
summit
tris
verificatiemodule
vros
zuis

Datum: donderdag 19 november 2020, 06:00
Bron: BitsOfFreedom
Categorie: Internet en ICT
Tags: Bergen, Limburg, Noord-Holland

Gerelateerde berichten:

Reacties:

Er zijn nog geen reacties op dit bericht.


Website by Web Chemistry