Ministerie van Veiligheid en Justitie
Audit Wpg Rijksrecherche Rapport
Datum Status
23 december 2011 Definitief
DEFINITIEF
1
Audit Wpg Rijksrecherche
1
23 december 2011
Colofon
Afzendgegevens
Departementale Auditdienst Kalvermarkt 53 2511 CB Den Haag Postbus 20301 2500 EH Den Haag www. rijksoverheid. nh/venj
Contactpersonen
drs. D. van Ilpenhof RE CISA drs. ing. B. Numan RO CIA
Senior auditors T 070 370 65 60 F
[email protected] Projectnaam
Audit Wet Politiegegevens
Ons kenmerk
DDS/5714756/11
Auteurs
J.C. van Praat RE RA
Pagina 3 van 30
1
DEFINITIEF
1
Audit Wpg Rijksrecherche
23 december 2011
Inhoud
Colofon
3
-
1.
Assurance Verklaring
2
Samenvatting
-
-
7
9
3
Inleiding
3.1 3.2 3.3 3.4 3.5 3.6 3.7 3.8
Algemeen 17 Aanleiding 17 Doelstelling, aard en scope van de opdracht Afbakening 18 Normenkader 18 Beperkingen voor de privacy audit 18 Onderzoeksmethoden en werkwijze 18 Doelgroep van het rapport 19
17
-
-
-
17
-
-
-
-
-
4
Bevindingen
4.1 4.2 4.3 4.4 4.5 4.6 4.7 4.8 4.9 4.10 4.11 4.12 4.13 4.14
Inleiding 21 Verantwoordelijke (artikel 1.f) 23 Kwaliteitsaspecten van politiegegevens (artikel 3 en 4) 23 Gevoelige gegevens (artikel 5) 24 Autorisatie (artikel 6) 24 Geautomatiseerd Vergelijken/In combinatie met elkaar verwerken (artikel 11) Bewaartermijnen (artikel 14) 26 Ter beschikking stellen van politiegegevens (artikel 15) 27 Verstrekken (artikel 16/24) 27 Rechten van betrokkenen (artikel 25/28) 28 Protocolplicht (artikel 32) 28 Audits (artikel 33) 29 Privacy functionaris (artikel 34) 30 Functionaris Gegevensbescherming (artikel 36) 30
-
21
-
-
-
-
-
-
25
-
-
-
-
-
-
-
-
Pagina 5 van 30
DEFINITIEF
1
Audit Wpg Rijksrecherche
Pagina 6 van 30
1 23 december 2011
DEFINITIEF
1
Audit Wpg Rijksrecherche
1
23 december 2011
Assurance Verklaring
In oktober 2011 heeft de Departementale Auditdienst (DAD) van het ministerie van Veiligheid en Justitie (VenJ) in opdracht van het College van Procureurs-generaal een privacy audit op grond van de Wet politiegegevens (Wpg) uitgevoerd naar de verwerkingen die in de Wpg zijn beschreven bij de Rijksrecherche. Deze privacy audit had tot doel op systematische wijze te toetsen of aan de bepalingen van de Wpg op adequate wijze uitvoering is gegeven ten aanzien van de in de wet genoemde verwerkingen bij de Rijksrecherche. Dit onderzoek is uitgevoerd conform de richtlijn 3600N, ‘Assurance-opdrachten met betrekking tot de bescherming van persoonsgegevens (privacy audits) van juni 2006, van de NIVRA en de NOREA. Op grond van onze werkzaamheden concluderen wij dat het stelsel van maatregelen en procedures gericht op de bescherming van de politiegegevens, betrekking hebbende op de in de Wpg genoemde artikelen bij de Rijksrecherche, naar de stand van oktober 2011, in opzet, bestaan en werking niet volledig heeft voldaan aan de vereisten zoals genoemd in de Wpg. Deze conclusie is onderworpen aan de inherente beperkingen die elders in dit assurance-rapport zijn genoemd. Het oordeel heeft betrekking op de zogenaamde verwerkingen genoemd in de Wpg. Het hierbij gehanteerde normenkader omvat de door de Rijksrecherche te nemen maatregelen. Ook is gebleken dat de Rijksrecherche voor het volledig kunnen voldoen aan de Wpg eisen mede afhankelijk is van besluiten die buiten de Rijksrecherche dienen te worden genomen, bijvoorbeeld op landelijk niveau door de minister van VenJ of het Openbaar Ministerie. Tekortkomingen op al deze vlakken hebben uiteindelijk geleid tot het geformuleerde oordeel. De verantwoordelijke, zijnde het College van Procureurs-generaal is, op grond van artikel 4 lid 1 van de Regeling Periodieke Audit Politiegegevens, verplicht binnen drie maanden een verbeterrapport op te stellen waarin de maatregelen worden beschreven die getroffen zijn ter verbetering van de in de privacy audit geconstateerde tekortkomingen. Op grond van artikel 4 lid 3 dient hercontrole plaats te vinden. Wij adviseren deze hercontrole te laten uitvoeren door de interne auditfunctie van de Rijksrecherche. Het verbeterrapport en de uitgevoerde hercontrole zullen in de navolgende jaren door de privacy auditor worden beoordeeld.
Pagina 7 van 30
DEFINITIEF
1
Audit Wpg Rijksrecherche
1
23 december 2011
Den Haag, 23 december 2011 De Directeur van de
an Praat RE RA
Pagina 8 van 30
entale Auditdienst
DEFINITIEF
1
Audit Wpg Rijksrecherche
1
23 december 2011
Samenvatting
De Rijksrecherche heeft vanuit de inherente attitude van veel recherchemedewerkers en de persoonlijke invulling van een aantal sleutelfunctionarissen in het kader van de Wpg veel goede dingen gedaan op het gebied van privacy bescherming enerzijds en het voorzichtig omgaan met informatie anderzijds. De Rijksrecherche heeft in opzet een aantal zaken goed opgepakt zoals het autorisatiebeleid en procedures voor bewaartermijnen. Verder is er over het algemeen sprake van een hoog Wpg bewustzijn bij de specifieke informatieverwerkende afdelingen. Niettemin voldoet het door ons beschouwde stelsel van maatregelen nog niet in opzet, bestaan en werking aan de vereisten van de Wpg. De bevindingen vanuit de privacy audit zijn hieronder samengevat per artikellid in volgorde van de oordeelsvorming binnen de onderscheiden thema’s. Criteria: • Groen = Er wordt in hoofdlijnen voldaan aan de norm. • Oranje = Er wor~dt niet of niet geheel voldaan aan de norm of er is een acceptabel actieplan. • Rood = Er wordt niet voldaan aan de norm en er is geen acceptabel actieplan. • Grijs = Niet van toepassing. Norm
Aspect
Bevinding en oordeel
Art. 1.f Verantwoordeli ke 1.f Mandaatbesluit
Er is een mandaatbesluit waarin de algemeen directeur van de Rijksrecherche is gemandateerd voor de uitvoering van de Wpg. Hiermee wordt voldaan aan de Wpg. Art. 3 en 4 Kwaliteitsasoecten van oolitieoeoevens Bij de Rijksrecherche is alleen sprake van 8.1 en 9.1 Onderscheid onderzoek artikel 9 onderzoeken. Het gevraagde Dagelijkse Politietaak (8) onderscheid is daarom niet van toepassing. versus Bepaald geval (9) Bij de Rijksrecherche is alleen sprake van 3.1 t/m Noodzakelijkheid (8) artikel 9 onderzoeken waardoor dit niet van 3.3 (8) Doelbinding toepassing is. Rechtmatigheid 4.1 (8) Juistheid Volledigheid De Organisatie rondom de eerste vastlegging 3.1 t/m Noodzakelijkheid (9) van gegevens is goed geregeld en Doelbinding 3.4 vastgelegd in het proceshuis. Verder heeft de Rechtmatigheid (9) voortgang van de onderzoeken voortdurend Herkomst en wijze van de aandacht van het management. Voor de 4.1 (9) verkrijging vastlegging wordt gebruik gemaakt van Juistheid Summ IT en daarin zijn voldoende Nauwkeurig geprogrammeerde controles opgenomen die Volledigheid de juistheid, nauwkeurigheid en volledigheid van de gegevensverwerking waarborgen. Hiermee wordt voldaan aan de Wpg. De afdeling CIE is bij het infoproces 3.4 (10 en Noodzakelijkheid (10 en Pagina 9 van 30
DEFINITIEF
1
Audit Wpg Rijksrecherche
1
23 december 2011
Norm
Aspect
Bevinding en oordeel
12)
12) Doelbinding Rechtmatigheid Herkomst en wijze van verkrijging Juistheid Nauwkeurig Volledigheid
betrokken, vanwege de bijzondere aard van hun werkzaamheden, zoals genoemd in de criteria van artikelen drie en vier wordt hier specifiek aandacht aan besteed. Daarbij is in de opzet het voldoen aan deze criteria, zeker bij de CIE vanwege de toezichthoudende r.l van het Openbaar Ministerie (de CIE OvJ) en het landelijk gebruik van het proceshandboek CIE, goed verzorgd. Hiermee wordt voldaan aan de Wpg. Er is momenteel geen sprake van voldoende scheiding tussen de ICT-functie en de gebruikersorganisatie. Hierdoor ontstaat het risico op onrechtmatig gebruik. De regels met betrekking tot toegangsbeveiliging zijn verder wel adequaat vastgelegd en ook de werking hiervan is voldoende. Het autorisatiebeheer is bij de Rijksrecherche wel voldoende geregeld. Hiermee wordt deels voldaan aan de Wpg.
4.1 (10 en 12)
4.3
Beveiliging
Art. .5 Gevoelioe Gesevens,
• Gevoelige gegevens
Art. 6 Autorisatie • Korpsautorisatiematrix
• Aanvraag proces
• Wijziging en verwijdering
• Autorisatiebeheer CIE
Pagina 10 van 30
Er zijn geen niet-toegestane gegevensverzamelingen gebaseerd op gevoelige gegevens aangetroffen. De verwerking van gevoelige gegevens vindt slechts plaats in aanvulling op de verwerkinq van andere politiegegevens en voor zover dit voor het doel van de verwerking onvermijdelijk is. Hiermee wordt voldaan aan de Wpg. In de documentatie is adequaat beschreven hoe de bevoegdheden zijn geregeld. Deze regels zijn vervolgens ook toegepast in de systemen. Hiermee wordt voldaan aan de Wpg. Elke autorisatieaanvraag wordt goedgekeurd door de daartoe bevoegde functionarissen. Dit is ook vastgelegd in de procesbeschrijving. Hiermee wordt voldaan aan de Wpg. De procedure met betrekking tot wijziging en verwijdering is vastgelegd en deze wordt ..k toegepast. Hiermee wordt voldaan aan de Wpg. Binnen de Rijksrecherche wordt onderscheid gemaakt tussen autorisaties op netwerkniveau, op applicatieniveau en op verwerkingsniveau. Voor elk niveau is het autorisatiebeheer adequaat vastgelegd en in de praktijk toegepast. Hiermee wordt voldaan aan de Wpg.
DEFINITIEF
1
Audit Wpg Rijksrecherche
1
23 december 2011
Norm
Aspect
Bevinding en oordeel
32.1.c
Protocollering autorisaties
Autorisatiewijzigingen worden schriftelijk vastgelegd en goedgekeurd door bevoegde functionarissen. Hiermee wordt voldaan aan de Wpi.
32.3 voor 32.1.c
Bewaren protocolgegevens autorisaties
De brondocumenten worden goed bewaard. Hiermee wordt voldaan aan de Wpg.
Art. 11 Geautomatiseerd veroeli kenen in combinatie zoeken’
• Hanteerbare interpretatie
• Aangewezen functionarissen
32.1.d en Protocollering 11.1, 32.1.h 11.2, 11.4 en 11.5 32.3 voor Bewaren 32.1.d en protocolgegevens 11.1, 32.1.h 11.2, 11.4 en 11.5 Art. 14 Bewaarterminen 8.2 en 8.3 (8) van 1 tot 5 jaar
8.6
(8) verwijderen na 5 jaar
14.1 (8)
(8) vernietigen na 5 jaar verwijderd
9.4
(9) verwijderen na OH plus 1/2 jaar
Binnen de Rijksrecherche wordt niet geautomatiseerd vergeleken en in combinatie met elkaar verwerkt. Niet van toepassing. Niet van toepassing. Niet van toepassing. Niet van toepassing. Niet van toepassing.
Bij de Rijksrecherche is alleen sprake van artikel 9 onderzoeken waardoor dit niet van toepassing_is. Bij de Rijksrecherche is alleen sprake van artikel 9 onderzoeken waardoor dit niet van toepassing_is. Bij de Rijksrecherche is alleen sprake van artikel 9 onderzoeken waardoor dit niet van toepassing_is. Vanwege het achterwege blijven van een adequate berichtgeving van het Openbaar Ministerie is intern gekozen voor een periode van 1 jaar. Met betrekking tot de archiverin. is bij de Rijksrecherche een project ingericht om de bestaande achterstanden in het schonen,
14.1 (9)
(9) vernietigen na 5 jaar verwijderd (10) verwijderen na 5 jaar geen
verwijderen c.q. definitief vernietigen van gegevens op te lossen. Verwacht wordt dat de archiefproblematiek ultimo 2012 opgelost zal zijn. Hiermee_wordt_deels_voldaan_aan_de_Wpg. Via een geautomatiseerde procedure worden gegevens na 5 jaar daadwerkelijk verwijderd. Hiermee wordt voldaan aan de Wil. Binnen de Rijksrecherche wordt het CIEhandboek volledig gevolgd. Pagina 11 van 30
DEFINITIEF
Norm
14.1 (10)
1
Audit Wpg Rijksrecherche
1
23 december 2011
Aspect
Bevinding en oordeel
subjectwaardige registratie (10) vernietigen na 5 jaar verwijderd
Hiermee wordt voldaan aan de Wpg.
14.3
Hernieuwde verwerking
32.1.e
Protocollering 14.3
32.3 voor 32.1.e
Bewaren protocolgegevens 14.3
12.2
(12) verwijderen na 4 maanden
12.6
(12) controleren en vernietigen
Art. 15 Ter beschikkin’ stellen • Infodesk voor bevraging
• Codering
• Aanwijzing Bevoegd Functionaris
• Opleiding Bevoegd Functionaris
15.2
Weigeringg ronden
Pagina 12 van 30
Binnen de Rijksrecherche wordt het CIE handboek volledig gevolgd. Hiermee wordt voldaan aan de Wpg. Indien er sprake is van hernieuwde verwerking wordt toestemming gegeven door het regiohoofd of het hoofd CIE. Hiervan wordt altijd een proces-verbaal opgemaakt en goedgekeurd door de Officier van Justitie. Hiermee wordt voldaan aan de Wpg. Het hiervoor genoemde proces-verbaal wordt vervolgens vastgelegd in Summ IT. Hiermee wordt voldaan aan de Wpg. Gegevens worden opgeslagen in Summ IT waarna de formele bewaarprocedure wordt gevolgd. Hiermee wordt voldaan aan de Wpg. Verdere verwerking van gegevens vindt binnen 4 maanden plaats. Zo niet, worden de gegevens verwijderd. Hiermee wordt voldaan aan de Wpg. Gegevens worden uiterlijk 10 jaar na laatste verwerking vernietigd. Hiermee wordt voldaan aan de Wpg. De RR stelt gegevens ter beschikking aan onder andere de KMAR en de politie. Er is een procedure ‘ter beschikking stellen’. Het ter beschikking stellen van gegevens loopt altijd via de BF, langs bevoegd gezag en met toestemming van de officier. Hiermee wordt voldaan aan de Wpg. De Rijksrecherche is terughoudend in het ter beschikking stellen van informatie en maakt in alle gevallen een zeer zorgvuldige afweging (met toestemming van de officier). Hiermee wordt voldaan aan de Wpg. Bij de Rijksrecherche zijn als bevoegd functionaris aangewezen: regiohoofd + plv er en hoofd RIS en plv-er. Hiermee wordt voldaan aan de Wpg. De bevoegd functionarissen zijn intern opgeleid door een docent van de Politieacademie. Hiermee wordt voldaan aan de Wpg. De bevoegd functionarissen zijn op de hoogte van de wettelijke weigeringsgronden in relatie tot de verplichting van het ter beschikking stellen. Echter voor de RR geldt een uitzondering: de RR is niet verplicht om informatie ter beschikking te stellen (artikel
DEFINITIEF
Norm
1
Audit Wpg Rijksrecherche
1
23 december 2011
Aspect
Bevinding en oordeel 15 lid 2 WPG, 2.13 BPG).
Art. 16 t m 24 Verstri~ekkin Verstrekkingenwijzer (landelijk)
• Proces voor convenanten
• Proces voor Art. 20 lesluiten • Verstrekkingenschema (regio)
• Proces voor geautomatiseerde verstrekking Geheimhouding 7.2 32.1.f
Protocollering verstrekking
Deze wordt gebruikt bij de Rijksrecherche. Alle medewerkers van de Rijksrecherche hebben tijdens de WPG opleiding een verstrekkingenwijzer ontvangen. Hiermee wordt voldaan aan de Wpg. Er is een convenant afgesloten met de belastingdienst, waarmee het verstrekken van gegevens formeel is geregeld. Hiermee wordt voldaan aan de Wpg. Goedkeuring is nodig van de CIE OvJ. Hiermee wordt voldaan aan de Wpg. Er wordt alleen structureel aan de Belastingdienst verstrekt en daar is een convenant voor. Voor incidentele verstrekkingen wordt de WPG verstrekkingenwijzer gehanteerd en is een procedure ‘verstrekkingen’ opgesteld. Het besluit tot verstrekking wordt door de BF in overleg met de officier genomen. Geautomatiseerde verstrekkingen komen niet voor bi de R[ksrecherche. In het convenant met de belastingdienst is de geheimhoudingsplicht formeel vastgelegd. Hiermee wordt voldaan aan de Wpg. Alle verstrekkingen, indien van toepassing, verlopen via de Infodesk waarbij de uiteindelijke goedkeuring door de bevoegd functionaris wordt afgestemd met de CIE OvJ.
32.3 voor 32. 1.f
Bewaren protocolgegevens verstrekking • Toezicht door leidinggevenden op verstrekkingen en protocollering
Art. 25 t m 31 RéGbten vande bet•r~okkene 25.1 Verzoek om kenn isnem ing
28.1 t/m 28.3
Correctie
Hiermee wordt voldaan aan de Wpg. Alle verstrekkingen worden vastgelegd door de infodesk in Summ IT. Hiermee wordt voldaan aan de Wpg. Alle verstrekkingen worden afgestemd met de bevoegd functionaris en de CIE OvJ. Hiermee wordt voldaan aan de Wp!. Verzoeken om kennisneming worden afgehandeld door de privacyfunctionaris. Dergelijke verzoeken komen sporadisch voor. Voor het laatste verzoek is vastgesteld dat de in het proceshuis vastgelegde procedure zorgvuldig is doorlopen. Hiermee wordt voldaan aan de Wpg. Ook correcties worden formeel afgehandeld door de privacyfunctionaris. Tot op heden is dit nog niet voorgekomen. Hiermee wordt voldaan aan de Wil.
Art. 32 Protocololi€ht Pagina 13 van 30
DEFINITIEF
Norm
1
Audit Wpg Rijksrecherche
1
23 december 2011
Bevinding en oordeel
Aspect 1
32.1.c d e f en hb~ehandeld bi ~herna~si Protocollering doel 9.2 en onderzoek 32.1.a 32.3 voor 32.1.a
Bewaren protocolgegevens doel onderzoek
13.4 en 32.1.b
Protocollering Art. 13 gegevensverzamelingen
32.3 voor 32.1.b
Bewaren protocolgegevens Art. 13 gegevensverzamelingen
32.1.g
Protocollering onrechtmatige handeling
32.3 voor 32. 1.g
Bewaren protocolgegevens onrechtmatige handeling
32.2
Gemeenschappelijke verwerking
Art. 33 ~udits Interne audit-functie RPAP 3.1
RPAP 3.4
Interne audit-plan
RPAP 3.6
Interne audit-rapport
Art.:34 ~P~iMâc~ Afufletiona~is 34.1 en Benoemd en gemeld 34.4
________________________
Pagina 14 van 30
Het is verplicht het doel van het onderzoek vast te leggen in het plan van aanpak, in Summ IT en het zaakvolgsysteem. Hiermee wordt voldaan aan de Wpg. Hiervoor is al aangegeven dat alles adequaat wordt vastgelegd en bewaard conform de wettelijke eisen. Hiermee wordt voldaan aan de Wpg. Na afronding van een onderzoek wordt een kopie van het voorblad gemaakt ten behoeve van de landelijke systemen. Hierop vindt geen monitoring plaats. Hierdoor is niet gegarandeerd dat alle relevante informatie wordt vastgelegd in de landelijke systemen. Hiermee wordt deels voldaan aan de Wpg. Alle informatie is vastgelegd in Summ IT en daarvoor gelden de wettelijke bewaartermijnen. Hiermee wordt voldaan aan de Wpg. Dergelijke signalen zijn tot op heden niet binnengekomen. Procedureel is het goed geregeld. Bekeken wordt wat de mogelijkheden t.a.v logging zijn. Hiermee wordt voldaan aan de Wpg. In de procedures is vastgelegd dat voldaan moet worden aan de wettelijke eisen met betrekking tot het bewaren. Daarmee is het goed geregeld. Hiermee wordt voldaan aan de Wpg. Deze taak is voorbehouden aan de CIE en ~e Infodesk. Deze activiteit komt zeer beperkt voor bij de Rijksrecherche. Hiermee wordt voldaan aan de Wpg. De interne audit is in 2010 uitgevoerd en voldeed aan de daaraan te stellen eisen. In 2011 is geen interne audit uitgevoerd. Hiermee wordt deels aan de Wpg voldaan. De in 2010 uitgevoerde interne audit is gebaseerd op een auditplan waar alle onderwerpen in zijn opgenomen. Hiermee wordt voldaan aan de Wpg. De rapportage van de Interne auditor uit 2010 voldoet aan alle daaraan te stellen eisen. Hiermee wordt voldaan aan de Wpg. Er is een privacyfunctionaris aangesteld en gemeld bij het CBP.
DEFINITIEF
Norm
1
Audit Wpg Rijksrecherche
Aspect
1
23 december 2011
E
Bevinding en oordeel
Hiermee wordt voldaan aan de Wpg. Er zijn onvoldoende mogelijkheden om met Overzicht over 34.2 name de toezichthoudende functie naar protocollering behoren uit te voeren. Hiermee wordt niet voldaan aan de Wpg. Over 2010 is een jaarverslag opgesteld. Jaarverslag Hiermee wordt voldaan aan de Wpg. ÖDtioneel Art. 36 Functionaris Geoevensbeschermin~ Er is geen functionaris gegevensbescherming 36.1 en Benoemd benoemd. 36.2 Niet van toepassing. Wbp 63.3 Gemeld Niet van toepassing. Wbp 64.1 Toezichthoudende rol t/m 64.4
Pagina 15 van 30
DEFINITIEF
1
Audit Wpg Rijksrecherche
1
23 december 2011
Inleiding
3.1 Algemeen In opdracht van het College van Procureurs-generaal heeft de DAD van het ministerie van VenJ een privacy audit uitgevoerd bij de Rijksrecherche uit hoofde van de Wpg, deze audit dient twee jaar na inwerkingtreding van de wet uitgevoerd te worden (Wpg artikel 33 lid 1). De opdracht is beschreven in het document ‘Plan van aanpak Audit Wet Politiegegevens’ d.d. 08-09-2011 met kenmerk DDS/5706209/11. De audit is uitgevoerd bij de Rijksrecherche in de maand oktober 2011. 3.2 Aanleiding De nieuwe Wpg, die op 1 januari 2008 in werking is getreden: • biedt meer armslag voor het gebruik van persoonsgegevens; • voorziet in mogelijkheden om gegevens, die voor een bepaald doel zijn verwerkt, te gebruiken voor andere doelen; • biedt meer mogelijkheden voor verstrekking van politiegegevens aan personen en instanties buiten de politiesector; • voorziet ook in waarborgen voor de burger tegen ongerechtvaardigde inbreuken op diens persoonlijke levenssfeer. De Wpg schrijft ‘de verantwoordelijke’ voor om periodiek een privacy audit uit te laten voeren op de naleving van de regels die als gevolg van die wet van toepassing zijn op het verwerken van politiegegevens (artikel 33 lid 1). Tevens dient ‘deze verantwoordelijke’ tijdig opdracht te verstrekken aan een auditinstelling om de vierjaarlijkse privacy audit uit te voeren. De DAD is voor 2011 benoemd als de externe auditor voor de audit naar de implementatie van de Wpg voor de Rijksrecherche. 3.3 Doelstelling, aard en scope van de opdracht Het doel van de audit is: ‘Het in beeld brengen in welke mate per thema van de wet wordt voldaan aan de eisen van de Wpg binnen de Rijksrecherche. Waar mogelijk geven wij assurance over het al dan niet volledig voldoen aan de vereisten zoals genoemd in de Wpg. Het in beeld brengen van de knelpunten en schriftelijk uitbrengen van advies.’ De privacy audit richt zich op het stelsel van maatregelen en procedures waarmee het College van Procureurs-generaal beoogt te voldoen aan de beheersdoelstellingen die bij of krachtens de Wpg gelden. Binnen deze audit richten wij ons (conform de artikelen van de Wpg) op de volgende thema’s: a. Noodzakelijkheid, rechtmatigheid en doelbinding (artikel 3); b. Juistheid, volledigheid en beveiliging politiegegevens (artikel 4); c. Autorisaties (artikel 6); d. Geautomatiseerd vergelijken en in combinatie met elkaar verwerken (artikel 11); e. Bewaartermijnen (artikel 14); f. Ter beschikking stellen van politiegegevens (artikel 15); g. Verstrekkingen (artikel 16 t/m 24); Pagina 17 van 30
DEFINITIEF
h. i. j. k. 1.
1
Audit Wpg Rijksrecherche
1
23 december 2011
Rechten van betrokkenen (artikel 25 t/m 31); Protocoiplicht (artikel 32); Audits (artikel 33); Privacyfunctionaris (artikel 34); Functionaris gegevensbescherming (artikel 36).
Deze audit richt zich op de opzet, het bestaan, en waar mogelijk, de werking van de implementatie van de Wpg bij de Rijksrecherche. Pas wanneer wij, tijdens het uitvoeren van de audit hebben geconstateerd dat de opzet en het bestaan aan de daaraan te stellen eisen voldoen voeren wij aanvullende werkzaamheden uit om de goede werking vast te stellen. 3.4 Afbakening De audit wordt uitgevoerd aan de hand van het normenkader dat wij voor dit doel hebben opgesteld. Het normenkader beslaat de 12 thema’s uit de Wpg afgezet tegen de relevante wetsartikelen (artikel 8, 9, 10, 12 en 13). De audit is gericht op bovengenoemde objecten en aspecten voor zover deze vallen onder de verantwoordelijkheid van de Rijksrecherche. 35 Normenkader De DAD heeft in het voortraject van deze privacy audit in 2011 een normenkader opgesteld dat is afgestemd met de Stuurgroep Wpg. Dit normenkader voor de privacy audit is afgeleid uit de navolgende documenten: • Wet politiegegevens, de wet van 21 juli 2007, houdende regels inzake de bescherming van politiegegevens. • Besluit politiegegevens, besluit van 14 december 2007, houdende bepalingen ter uitvoering van de Wet politiegegevens. • Regeling periodieke audit politiegegevens, de Regeling van de Minister van Justitie, de Minister van Binnenlandse Zaken en Koninkrijksrelaties en de Minister van Defensie van 9 december 2008, nr. 5578598/08, houdende nadere regels ten aanzien van het toezicht op de naleving van de bij of krachtens de Wet politiegegevens gegeven voorschriften. 3.6 Beperkingen voor de privacy audit Onze audit is gericht op het geven van een oordeel over het stelsel van maatregelen en procedures met betrekking tot de aangegeven verwerkingen van politiegegevens en de overige genoemde objecten. Incidentele inbreuken op het stelsel die leiden tot beschadiging van de belangen van individuele personen of het niet naleven van de op de bescherming van persoonsgegevens betrekking hebbende wet- en regelgeving behoeven daarom niet altijd te zijn geconstateerd. 3.7 Onderzoeksmethoden en werkwijze De privacy audit is uitgevoerd conform de richtlijnen voor het uitvoeren van EDP audits van de Nederlandse Orde van EDP Auditors (NOREA). Het onderzoek is uitgevoerd door het houden van interviews onder medewerkers en leidinggevenden van de Rijksrecherche, deelwaarnemingen in de procesbeschrijvingen en andersoortige documentatie en deelwaarnemingen in i nformatiesystemen. Pagina 18 van 30
DEFINITIEF
1
Audit Wpg Rijksrecherche
1
23 december 2011
Wij hebben onze werkzaamheden uitgevoerd in oktober 2011. Het conceptrapport met bevindingen is op 1 november 2011 besproken met het management van de Rijksrecherche. Het eindrapport is met inachtneming van het ontvangen commentaar vastgesteld. 3.8 Doelgroep van het rapport Het auditrapport is vertrouwelijk en niet bestemd voor het maatschappelijk verkeer. voeren deze audit uit in opdracht van het College van Procureurs-generaal. De specifieke doelgroep waarvoor het rapport is bestemd bestaat uit: • Onze opdrachtgever zoals bovengenoemd; • Het management van de Rijksrecherche; • De voorzitter van het College Bescherming Persoonsgegevens. Wij
Het rapport mag uitsluitend met toestemming van het College van Procureurs generaal aan derden ter beschikking worden gesteld. De opdrachtgever is verantwoordelijk voor de verspreiding, ook binnen de doelgroep, van het rapport.
Pagina 19 van 30
DEFINITIEF
1
Audit Wpg Rijksrecherche
1
23 december 2011
Bevindingen
4.1 Inleiding
De nieuwe Wet politiegegevens (Wpg), die op 1 januari 2008 in werking is getreden, biedt meer armslag voor het gebruik van persoonsgegevens, voorziet in mogelijkheden om gegevens, die voor een bepaald doel zijn verwerkt, te gebruiken voor andere doelen en biedt meer mogelijkheden voor verstrekking van politiegegevens aan personen en instanties buiten de politiesector. Daarnaast voorziet de nieuwe wet in waarborgen voor de burger tegen ongerechtvaardigde inbreuken op diens persoonlijke levenssfeer. 4.1.1
Bevindingen
We hebben vastgesteld dat vanuit de inherente attitude van veel recherchemedewerkers en de persoonlijke invulling van een aantal sleutelfunctionarissen in het kader van de Wpg veel goede dingen worden gedaan op het gebied van privacy bescherming enerzijds en het voorzichtig omgaan met informatie anderzijds. Verder is er over het algemeen sprake van een hoog Wpg bewustzijn bij de specifieke informatieverwerkende afdelingen. Er is binnen de Rijksrecherche een organisatieplan beschikbaar waaruit blijkt hoe de organisatie is ingericht. Onder de directie ressorteren vier regionale afdelingen, de afdeling Recherche Informatie Specialismen (RIS) en de bedrijfsvoering. Verder wordt de directie ondersteund door een stafbureau. De regionale afdelingen zijn belast met operationele taken met betrekking tot het proces opsporing. Binnen de afdeling bedrijfsvoering opereert de ICT-afdeling. Binnen deze afdeling zijn vijf personen werkzaam die elkaar onderling kunnen vervangen. In principe is deze afdeling belast met alle taken die van een ICT-afdeling verwacht mogen worden. Omdat ze elkaar onderling vervangen, is er sprake van een ongewenste functievermenging als het gaat om de noodzakelijke scheiding tussen gebruikers- en automatiseringsorganisatie en binnen de automatiseringsorganisatie tussen de ontwikkelfunctie en de beheerfunctie. Met name het feit dat de servicedesk als onderdeel van de ICT-functie belast is met functionele taken (bv. toekennen van autorisaties) is de scheiding tussen ICT en de gebruikersorganisatie onvoldoende geborgd. Met betrekking tot de ontwikkeling van informatiesystemen wordt in belangrijke mate gesteund op de leverancier Flex-ID. Toch kan ook binnen de ICT functie rechtstreeks worden ingegrepen in programmatuur waardoor ontwikkeling en beheer door elkaar gaat lopen. De relatief geringe omvang van de afdeling maakt het min of meer noodzakelijk dat bovengenoemde vermengingen ontstaan. Uit onze gesprekken is gebleken dat momenteel oriënterende besprekingen worden gevoerd met het Openbaar Ministerie met als doel om in de nabije toekomst gebruik te gaan maken van de ICT voorzieningen bij het Openbaar Ministerie. Een dergelijke ontwikkeling wordt toegejuicht omdat dit de genoemde functievermengingen kan oplossen. In de organisatiebeschrijvingen is voldoende concreet aangegeven wat de functie en de taak is van de betreffende onderdelen. hierbij zijn de proceseigenaren concreet aangewezen. Ook de bevoegde functionarissen zijn benoemd. Zowel voor de organisatiebeschrijvingen als de procesbeschrijvi ngen wordt binnen de Rijksrecherche gebruikgemaakt van het Proceshuis, een geautomatiseerd systeem waarin alle beschrijvingen gestructureerd en systematisch zijn vastgelegd. Tevens zijn er instructies voor het proces opsporing. Deze instructies zijn voorzien van processchema’s en een stappenplan. Voor het proces informatie wordt gebruik Pagina 21 van 30
DEFINITIEF
1
Audit Wpg Rijksrecherche
1
23 december 2011
gemaakt van het proceshandboek Criminele Inlichtingen Eenheid (CIE) (verwerven informatiepositie zware en georganiseerde criminaliteit) d.d. 20 mei 2011. Met betrekking tot de informatiesystemen staat het systeem Summ IT centraal. Inmiddels is de meest recente versie van Summ IT uitgerold en het wordt als basissysteem gebruikt voor het opsporingsproces. De CIE maakt voor haar gegevensverwerking nog gebruik van de zogenaamde Paul Schouten Database (PSDB), een in eigen beheer ontwikkelde applicatie in Microsoft Access. Het is de bedoeling deze op korte termijn te gaan vervangen door Summ IT. De registratie van informanten vindt plaats op een stand-alone computer. Dit betreft een laptop die goed beveiligd wordt opgeslagen in een kluis en onder direct beheer staat van de CIE-coördinator en het verantwoordelijk lid van het MT van de Rijksrecherche. Binnen de Rijksrecherche wordt verder gebruik gemaakt van de traditionele Microsoft Office applicaties. De hiermee vastgelegde gegevens worden vervolgens “opgehangen” in Summ IT waarmee de gecentraliseerde opslag van gegevens goed is geregeld. Het is in principe niet toegestaan onderzoeksgegevens elders opgeslagen te hebben. Verder functioneert binnen de RIS-afdeling de Infodesk waar politiegegevens kunnen worden opgevraagd. Om dit te kunnen doen is een convenant afgesloten met de Politieregio Gelderland-Zuid. Naar verwachting zal op korte termijn deze indirecte aansluiting met de landelijke systemen worden omgezet naar een rechtstreekse aansluiting. Voor hun dagelijkse activiteiten maakt de Infodesk gebruik van de applicaties NSIS-LIST/RDW, Internet, DEVOA, Kadaster, Kamer van Koophandel, CIOT en EPICC. Tenslotte wordt er nog gebruikgemaakt van applicaties voor het doorzoeken van politiegegevens. Het betreft Zylab/Zyfind en Forensic Websearch. Hierbij wordt Zylab gebruikt voor het scannen van grote hoeveelheden gegevens. Een punt van aandacht betreft de borging en naleving van de Wpg in de managementcontrolcyclus. Positief punt betreft het gebruik van het zaakvolgsysteem. In dit systeem worden initieel alle nieuwe onderzoeken vastgelegd en vervolgens wordt ook de voortgang van de onderzoeken gedocumenteerd in het zaakvolgsysteem. Deze voortgang komt vervolgens tweewekelijks aan de orde in het operationele MT. Wanneer het echter gaat om de monitoring in het kader van de Wpg, is nog verbetering mogelijk. We hebben vastgesteld dat met name de privacyfunctionaris onvoldoende mogelijkheden heeft om inzicht te krijgen in het gebruik van met name de geautomatiseerde systemen. Het ontbreken van een goede logging in zowel Summ IT als in de PSDB in combinatie met het niet hebben van adequate bevoegdheden in beide systemen, maakt het voor de privacyfunctionaris niet mogelijk om aan de monitoring voldoende inhoud te geven. Gezien de problematiek rond de ICT-functie (functievermenging) worden hier toch wel grote risico’s gelopen die op korte termijn opgelost zullen moeten worden. We merken hierbij tevens op dat ook de privacyfunctionaris hiervoor voldoende tijd vrij zal moeten maken. Doordat binnen de Rijksrecherche de privacyfunctionaris ook andere taken uitvoert, dreigt de aandacht voor de Wpg naar de achtergrond te verdwijnen. In navolging met de mogelijke verschuiving van de ICT-functie naar het Openbaar Ministerie is het te overwegen ook de privacyfunctie over te hevelen naar het Openbaar Ministerie. 4.1.2 Verbeterpunten • Vanwege de aangetroffen functievermengingen rond het gebruik van de ICT geven wij in overweging om deze op korte termijn over te hevelen naar het Openbaar Ministerie. Naast de genoemde beveiligingsrisico’s is ook de sterke afhankelijkheid van een kleine Organisatie hiermee opgelost. Pagina 22 van 30
DEFINITIEF
•
1
Audit Wpg Rijksrecherche
1
23 december 2011
Het gebruik van de PSDB moet op korte termijn worden gestopt. Overweeg zo snel mogelijk om alles vast te leggen in Summ IT, waarbij wel opgemerkt wordt dat er sprake za! moeten zijn van strikt (fysiek) gescheiden databases in Summ IT.
•
Zorg voor beheersingsmaatregelen voor naleving en borging van de Wpg in de managementcontrolcyclus. Met name de privacyfunctionaris zal veel aandacht moeten besteden aan de monitoring, zeker vanwege de problematiek rond de ICT-functie.
4.2 Verantwoordelijke (artikel 1.f) Mandaatbesluit 4.2.1
Norm
Net als onder de oude Wet Politieregisters (Wpolr) is ook in de Wpg de korpsbeheerder er verantwoordelijk voor, dat de nodige maatregelen worden getroffen zodat politiegegevens juist, nauwkeurig en proportioneel worden verwerkt en op tijd worden verwijderd. Conform artikel 1f Wpg is door ieder korps een mandaatbesluit opgesteld waarin formeel wordt aangeduid dat de korpsbeheerder zijn mandaat geeft aan de korpschef voor het implementeren van maatregelen om te voldoen aan de Wpg 4.2.2
Bevindingen
Er is een mandaatbesluit waarin de algemeen directeur van de Rijksrecherche is gemandateerd voor de uitvoering van de Wpg. 4.3 Kwaliteitsaspecten van politiegegevens (artikel 3 en 4) 4.3.1
Norm
De verwerking van politiegegevens dient op grond van de artikelen 3 en 4 van de Wpg te voldoen aan criteria als rechtmatigheid, doelbinding en noodzakelijkheid (artikel 3) en volledigheid, juistheid en beveiliging (artikel 4). 4.3.2
Bevindingen
Het voldoen aan de bepalingen van deze artikelen is een aangelegenheid waarbij bijna alle medewerkers van de Rijksrecherche zijn betrokken. Niettemin is in het bijzonder van belang dat het zwaartepunt van het voldoen aan deze criteria ligt bij de eerste vastlegging van gegevens. Met name de organisatie rond de eerste vastlegging van gegevens is een sterk punt bij de Rijksrecherche. In het opsporingsproces worden alle gegevens vastgelegd in Summ IT waarbij systeemtechnisch is gewaarborgd dat bij het aanmaken van een onderzoek een projectvoorstel aanwezig is. Tevens is het bij het aanmaken van een onderzoek noodzakelijk ook de bevoegde medewerkers aan te wijzen. Het zijn ook alleen deze medewerkers die gegevens kunnen vastleggen in Summ IT. Verder is het niet toegestaan om op de eigen (persoonlijke) systemen onderzoeksgegevens vast te leggen. Bij het aanmaken van een onderzoek is procedureel geregeld dat het onderzoek ook vastgelegd wordt in het zaakvolgsysteem. De voortgang van de onderzoeken heeft nadrukkelijk de aandacht van het management. Gemiddeld zijn ongeveer tien onderzoeken onderhanden. De privacyfunctionaris ontvangt alle vergaderstukken inclusief het voortgangsoverzicht uit het zaakvolgsysteem. Door deze procedure is ook de volledigheid rond de aanmaak van onderzoeken voldoende geborgd. Ook wordt hierdoor de privacyfunctionaris tijdig in kennis gesteld. Pagina 23 van 30
DEFINITIEF
1
Audit Wpg Rijksrecherche
1
23 december 2011
De bij het informatieproces betrokken afdeling CIE wordt aan de criteria genoemd in de artikelen drie en vier vanwege de bijzondere aard van hun werkzaamheden specifiek aandacht besteed. Daarbij is in de opzet het voldoen aan deze criteria, zeker bij de CIE vanwege de toezichthoudende rol van het Openbaar Ministerie (de CIE OvJ) en het landelijk gebruik van het proceshandboek CIE, goed verzorgd. Ten aanzien van de Infodesk geldt dat de Rijksrecherche nog niet aangesloten is op de landelijke politiesystemen. Vraagstellingen lopen altijd via de infodesk die de vraag weer uitzet bij de Infodesk van de Politieregio Gelderland-Zuid. De terugontvangen informatie wordt altijd doorgegeven aan de bevragende collega die de gegevens vervolgens opneemt in Summ IT waarin het onderzoeksdossier wordt bijgehouden. 4.3.3
Verbeterpunten
In zijn algemeenheid kan worden gesteld dat aan de eisen van de artikelen 3 en 4 in voldoende mate wordt voldaan. Concrete verbeteringen zijn niet echt noodzakelijk. Wel dient overwogen te worden om zo snel mogelijk aansluiting te verkrijgen met de landelijke politiesystemen waardoor het opvragen van informatie beter beheerst kan worden. 4.4 Gevoelige gegevens (artikel 5) 4.4.1
Norm
De verwerking van politiegegevens betreffende iemands godsdienst of levensovertuiging, ras, politieke gezindheid, gezondheid, seksuele leven, alsmede persoonsgegevens betreffende het lidmaatschap van een vakvereniging vindt slechts plaats in aanvulling op de verwerking van andere politiegegevens en voor zover dit voor het doel van de verwerking onvermijdelijk is. De bevindingen zullen hieronder worden gecategoriseerd in rechtmatigheid, volledigheid, juistheid en beveiliging. 4.4.2
Bevindingen
Er zijn geen niet-toegestane gegevensverzamelingen gebaseerd op gevoelige gegevens aangetroffen binnen de Rijksrecherche. 4.5 Autorisatie (artikel 6) 4.5.1
Norm
Volgens artikel 6 Wpg is de verantwoordelijke onder meer belast met het voeren van een systeem van autorisaties dat voldoet aan de vereisten van zorgvuldigheid en evenredigheid en wordt zorg gedragen voor een schriftelijke vastlegging van de toekenning van autorisaties (protocolplicht). 4.5.2
Bevindingen
De autorisaties vormen het belangrijkste aandachtsgebied als het gaat om het onderwerp toegangsbeveiliging. Omdat het onderzoek bij de Rijksrecherche veelal zelfstandig wordt uitgevoerd en er ook het nodige gedaan wordt op de eigen kantoren, is ook de fysieke beveiliging een belangrijk punt van aandacht. We hebben geconstateerd dat de toegang tot alle gebouwen van de Rijksrecherche (Den Haag, Zwolle en Den Bosch) aan de daaraan te stellen eisen voldoet. Tijdens bezoeken in Den Haag en Zwolle hebben we dat ook via eigen waarneming vast kunnen stellen. In zijn algemeenheid wordt gebruik gemaakt van pasjes (met chip) om toegang te krijgen tot het gebouw. Het betreft anonieme en dus blanco kaartjes, die alleen aan eigen medewerkers ter beschikking worden gesteld. Voor tijdelijke Pagina 24 van 30
DEFINITIEF
1
Audit Wpg Rijksrecherche
1
23 december 2011
medewerkers en bezoekers worden eenmalige pasjes ter beschikking gesteld en bezoekers worden altijd opgehaald bij binnenkomst en naar buiten begeleid bij vertrek. Binnen het gebouw in Den Haag is er sprake van een strakke fysieke scheiding tussen de CIE en de rest van het gebouw. Verder zijn ook het archief, de voorraadkelder en de tapkamer alleen toegankelijk na toestemming van het Hoofd Bedrijfsvoering. Ten behoeve van de toegang wordt een computersysteem onderhouden door de ICT-afdeling. Nieuwe medewerkers wordt hier toegang verleend op basis van goedgekeurde documenten afkomstige van de afdeling PZ en het hoofd van de betreffende afdeling. De logische toegangsbeveiliging is wel een punt van aandacht. Bij de Rijksrecherche is er sprake van logische toegangbeveiliging op netwerk-, applicatie- en verwerkingsniveau. De toegang tot het netwerk wordt over het algemeen geregeld bij indiensttreding volgens de hiervoor omschreven procedure. Voor onderzoekers geldt vervolgens ook dat toegang wordt verkregen tot de toepassingen die voor de betreffende onderzoeker van toepassing zijn. In zijn algemeenheid geldt dat ook aan de ICT-medewerkers autorisaties worden gegeven op applicatieniveau. De autorisaties op verwerkingsniveau (dus binnen de applicatie bv. voor een onderzoek) is belegd bij de teamleider voor het betreffende onderzoek. Zoals in de vorige paragraaf al is aangegeven, hebben ook de ICT-medewerkers toegang tot Summ IT waardoor zij in staat zijn ook op verwerkingsniveau de autorisaties te regelen. Aangezien het gebruik van logging nog een punt van aandacht is binnen de Rijksrecherche, is het ook niet mogelijk inzicht te krijgen in de wijzigingen die in de autorisaties hebben plaatsgevonden. In het bijzonder geldt dit voor de autorisatiewijzigingen die gedurende het onderzoek worden aangebracht. Bovendien wordt hierbij nog vermeld dat de privacyfunctionaris op dit moment onvoldoende mogelijkheden heeft om het autorisatiebeheer te kunnen bewaken. Hiermee is er in feite sprake van een oncontroleerbare situatie, hetgeen om een snelle oplossing vraagt gezien de beveiligingsrisico’s die hieruit voortvloeien. 4.5.3 Verbeterpunten Als verbeterpunten zijn te noemen: • De ICT-functie mag geen toegang hebben tot de applicaties die binnen de Rijksrecherche worden gebruikt. Het is de functioneel beheerder c.q. de gebruiker die de toegang tot gegevens moet regelen. Nu is er sprake van een ongewenste functievermenging. • Met betrekking tot de logische toegangsbeveiliging moet een concreet beleid worden uitgewerkt met betrekking tot het gebruik van logging. Belangrijk aandachtspunt hierbij is het maken van een keuze welke gegevens moeten worden gelogd. De logging is een belangrijk hulpmiddel bij de bewaking van het gebruik van de toegang tot systemen en daarin opgeslagen gegevens. Deze logging is bovendien noodzakelijk om invulling te kunnen geven aan de protocolplicht. • De monitoring op de wijzigingen in het toegangsbeveiligingssysteem en in de autorisaties moet op korte termijn ingevuld worden. Hierbij is een belangrijke rol weggelegd voor de privacyfunctionaris. Bovendien zijn hiermee de leidinggevenden beter in staat de autorisaties van de eigen medewerkers te beoordelen. 4.6 Geautomatiseerd Vergelijken/In combinatie met elkaar verwerken (artikel 11.) 4.6.1
Norm
Voor het onderzoek kunnen politiegegevens die voor dat onderzoek zijn verwerkt, geautomatiseerd worden vergeleken met andere politiegegevens die worden Pagina 25 van 30
DEFINITIEF
Audit Wpg Rijksrecherche
1
23 december 2011
verwerkt op grond van artikel 8 of 9 teneinde vast te stellen of verbanden bestaan tussen de betreffende gegevens. De gerelateerde gegevens kunnen, na instemming van de daartoe bevoegde functionaris, zijnde de leider van het betreffende onderzoek of zijn plaatsvervanger, voor dat onderzoek verder worden verwerkt. Indien politiegegevens in combinatie met elkaar worden verwerkt, worden van die verwerking nader genoemde gegevens vastgelegd (protocolplicht). 4.6.2
Bevindingen
Geautomatiseerd vergelijken en in combinatie met elkaar verwerken zijn activiteiten die met name worden uitgevoerd door analisten bij de CIE en de Infodesk. Aanvullend geldt in het geval van gecombineerd met elkaar verwerken de regel dat toestemming nodig is van het bevoegd gezag, in dit geval de CIE-officier van Justitie. In het plan van aanpak moet worden aangegeven in hoeverre er sprake is van gecombineerd verwerken. Dit plan van aanpak wordt ter goedkeuring voorgelegd aan de CIE-officier waardoor ook van zijn goedkeuring blijk wordt gegeven. Overigens komen beide onderwerpen bij de Rijksrecherche nauwelijks voor. 4.6.3
Verbeterpunten
In principe zijn er binnen de Rijksrecherche adequate maatregelen genomen om de processen geautomatiseerd vergelijken en in combinatie met elkaar verwerken goed te laten verlopen. Tot op heden hebben deze activiteiten binnen de Rijksrecherche nog niet plaatsgevonden. 4.7 Bewaartermijnen (artikel 14) 4.7.1
Norm
Politiegegevens worden vernietigd zodra zij niet langer noodzakelijk zijn voor de uitvoering van de dagelijkse politietaak (artikel 8) en worden in ieder geval uiterlijk vijf jaar na de datum van eerste verwerking verwijderd. Politiegegevens die niet langer noodzakelijk zijn voor het doel van het onderzoek, worden verwijderd, of worden gedurende een periode van maximaal een halfjaar verwerkt teneinde te bezien of zij aanleiding geven tot een nieuw onderzoek als bedoeld in artikel 9 of een nieuwe verwerking als bedoeld in artikel 10, en na verloop van deze termijn worden verwijderd.
4.7.2
Bevindingen
Voor de Rijksrecherche is er geen sprake van een dagelijkse politietaak en gelden alleen de bepalingen van artikel 9 en 10. In principe betekent dit dat na afsluiting van een onderzoek de vastgelegde gegevens gedurende maximaal een halfjaar ter beschikking kunnen blijven. Dit is nodig om na te gaan of de gegevens aanleiding kunnen geven tot een nieuw onderzoek. Een probleem met betrekking tot het afsluiten van een onderzoek heeft betrekking op het afgeven van de zogenaamde afloopberichten door het Openbaar Ministerie. Een dergelijk bericht is nodig omdat dan het onderzoek afgesloten kan worden en de termijn van een halfjaar gaat lopen. Om toch pragmatisch te kunnen werken is binnen de Rijksrecherche door het management bepaald dat na het intern afsluiten van een onderzoek een termijn wordt aangehouden van één jaar. Uitgangspunt hierbij is dat over het algemeen afloopberichten toch later zullen komen dan het moment van het intern afsluiten van een onderzoek. Verder bestaat er binnen de Organisatie van de Rijksrecherche voldoende duidelijkheid over de bewaartermijnen. Het vervolgens handhaven van de bewaartermijnen wordt automatisch bewaakt Pagina 26 van 30
DEFINITIEF
1
Audit Wpg Rijksrecherche
1
23 december 2011
door Summ IT die op de relevante momenten een signaal afgeeft voor het veiligstellen c.q. verwijderen van de opgeslagen gegevens. Met betrekking tot de archivering is bij de Rijksrecherche intern een project ingericht om de bestaande achterstanden in het schonen, verwijderen c.q. definitief vernietigen van gegevens op te lossen. Tijdens het onderzoek was men gevorderd tot het volledig schonen van de archieven (papier en digitaal) tot het jaar 1996. Vanaf dit moment was er ook sprake van digitale archieven en men is bezig om de archieven bij te werken tot en met 2006. Dit jaar is relevant omdat hiervoor de bewaartermijn van vijf jaar nog van toepassing is. Dat dit een langdurig proces is heeft alles te maken met de omvang van met name de papieren archieven waarbij ook nog nagegaan moet worden in hoeverre er sprake is van cultureel erfgoed of historisch onderzoek. Binnen de Rijksrecherche is geregeld dat deze laatste genoemde archieven overgebracht zullen worden naar het Nationaal Archief. 4.7.3
Verbeterpunten
Het verdient aanbeveling op zo kort mogelijke termijn te voldoen aan de bewaartermijnen zoals deze vastgelegd zijn in de Wpg. Verder is het belangrijk de intern afgesproken “bewaartermijn” van één jaar af te stemmen met het College van Procureurs-generaal. 4.8 Ter beschikking stellen van politiegegevens (artikel 15) 4.8.1
Norm
De verantwoordelijke stelt politiegegevens ter beschikking aan personen die door hemzelf dan wel door een andere verantwoordelijke zijn geautoriseerd voor de verwerking van politiegegevens, voor zover zij deze behoeven voor de uitvoering van hun taak. 4.8.2
Bevindingen
De onderzoeken die de Rijksrecherche uitvoert vallen onder de categorie van de “embargo-onderzoeken” waardoor de Rijksrecherche zelf kan bepalen of politiegegevens aan anderen ter beschikking worden gesteld. 4.8.3
Verbeterpunten
Vanwege het beperkt toepasbaar zijn van deze regel zijn hier geen bijzonderheden te vermelden. 4.9 Verstrekken (artikel 16/24) 4.9.1
Norm
Paragraaf 3 van de Wpg omvat de artikelen waarin verstrekkingen van politiegegevens aan anderen dan de politie en de Marechaussee worden geregeld. In de artikelen 16 t/m 24 worden deze verstrekkingen nader uitgewerkt. Artikel 20 regelt de omstandigheden en voorwaarden voor de verstrekkingen aan derden structureel voor samenwerkingsverbanden. 4.9.2
Bevindingen
Binnen de Rijksrecherche worden in uitzonderingsgevallen politiegegevens verstrekt aan anderen dan de politie en de Marechaussee. Ten behoeve van de ook hier geldende incidentele gegevensuitwisseling met de belastingdienst, is een convenant afgesloten waarmee het ter beschikking stellen van gegevens formeel is geregeld. Verder is binnen de Rijksrecherche afgesproken dat alle verstrekkingen lopen via de Infodesk waarbij de uiteindelijke goedkeuring wordt afgestemd met de CIE-officier Pagina 27 van 30
DEFINITIEF
1
Audit Wpg Rijksrecherche
1
23 december 2011
van Justitie. In het Proceshuis is een gedetailleerd processchema opgenomen met betrekking tot de verstrekking van politiegegevens. 4.9.3 Verbeterpunten Mede gezien de beperkte omvang van de verstrekking van politiegegevens zijn hier geen verbeteringen nodig. 4.10 Rechten van betrokkenen (artikel 25/28) 4.10.1 Norm
De verantwoordelijke deelt een ieder op diens schriftelijk verzoek binnen zes weken mede of, en zo ja welke, deze persoon betreffende politiegegevens zijn vastgelegd. 4.10.2 Bevindingen Verzoeken om kennisneming worden binnen de Rijksrecherche allemaal afgehandeld door de privacyfunctionaris. Deze verzoeken komen nauwelijks voor (één of twee keer per jaar). Zelf hebben we kennis genomen van het laatste verzoek en daaruit bleek dat deze procedure zorgvuldig is doorlopen. Er zijn dan ook geen verbeterpunten te noemen. 4.11 Protocoiplicht (artikel 32) 4.11.1 Norm
De verantwoordelijke (i.c. het College van Procureurs-generaal) draagt zorg voor de schriftelijke vastlegging van: • de doelen van artikel 9 onderzoeken; • gegevens die op grond van ondersteunende taken worden vastgelegd (artikel 13); • de toekenning van autorisaties; • de geautomatiseerde vergelijking of het in combinatie met elkaar verwerken van politiegegevens; • de geautomatiseerde vergelijking van gegevens met openbare bronnen; • de hernieuwde verwerking van politiegegevens op grond van artikel 9 of 10; • de verstrekking van politiegegevens; • signalen van onbevoegde of onrechtmatige verwerkingen. Deze gegevens worden bewaard, tenminste tot de datum waarop de laatste controle (audit) is verricht. 4.11.2 Bevindingen De doelen van artikel 9 onderzoeken; Met betrekking tot de protocolplicht geldt in zijn algemeenheid dat er altijd sprake zal moeten zijn van deugdelijke schriftelijke vastlegging van alles wat vastgelegd moet worden. Hierbij is het in de eerste plaats belangrijk het doel van het onderzoek vast te leggen. Binnen de Rijksrecherche vindt dat plaats op verschillende plaatsen (plan van aanpak, vastlegging in Summ IT en het zaakvolgsysteem). Hierbij is sprake van een gecoördineerde actie waardoor de doelen in de verschillende systemen niet uit elkaar lopen. Gegevens die op grond van ondersteunende taken worden vastgelegd (artikel 13); Binnen de Rijksrecherche is afgesproken dat na afronding van een onderzoek een kopie van het voorblad wordt gemaakt ten behoeve van de landelijke systemen. Dit voorblad wordt verstuurd door de Infodesk. Geconstateerd is dat geen monitoring plaatsvindt op het altijd versturen van deze voorbladen waardoor het risico Pagina 28 van 30
DEFINITIEF
1
Audit Wpg Rijksrecherche
23 december 2011
aanwezig is dat niet alle relevante informatie wordt vastgelegd in de landelijke systemen, dit geldt met name voor het systeem HKS. De toekenning van autorisaties Met betrekking tot de protocolplicht inzake autorisaties wordt gewezen op het ontbreken van een adequate logging met betrekking tot de wijzigingen in bevoegdheden. Hierdoor is ook monitoring op het autorisatieproces niet echt mogelijk. De geautomatiseerde vergelijking of het in combinatie met elkaar verwerken van politiegegevens Eerder is al aangegeven dat deze taak voorbehouden is aan de CIE en de Infodesk. Deze activiteit komt zeer beperkt voor bij de Rijksrecherche. De geautomatiseerde vergelijking van gegevens met openbare bronnen Eerder is al aangegeven dat deze taak voorbehouden is aan de CIE en de Infodesk. De hernieuwde verwerking van polîtiegegevens op grond van artikel 9 of 10 Indien hiervan sprake, is wordt toestemming gegeven door het regiohoofd of het hoofd CIE. Hiervan wordt altijd een proces-verbaal opgemaakt en goedgekeurd door de OvJ. Dit proces-verbaal wordt vervolgens vastgelegd in Summ IT. De verstrekking van politiegegevens Ook de verstrekking van politiegegevens komt nauwelijks voor bij de Rijksrecherche. Signalen van onbevoegde of onrechtmatige verwerkingen Dergelijke signalen zijn tot op heden bij de Rijksrecherche nog niet binnen gekomen. 4.12 Audits (artikel 33)
4.12.1 Norm Bij regeling kan bepaald worden dat ter voorbereiding op de controle, bedoeld in het eerste lid, interne audits plaatsvinden en kunnen regels worden, opgesteld over de wijze waarop deze audits worden verricht. 4.12.2 Bevindingen Binnen de Rijksrecherche is in 2010 een interne audit uitgevoerd die geleid heeft tot een rapportage op 30 november 2010. Naar aanleiding van deze audit is een aantal verbeteracties in gang gezet die op het moment van ons onderzoek nog niet helemaal afgerond zijn, doch wel de aandacht hebben van het management. De betreffende medewerker die de interne audit heeft uitgevoerd heeft deze audit eenmalig uitgevoerd waardoor er op dit moment geen duidelijkheid is over de hernieuwde uitvoering van een interne audit en wie dat dan zou moeten doen. Overigens is de audit conform de regelgeving uitgevoerd en zijn alle in het kader van de Wpg relevante aspecten aan de orde geweest. De audit is niet uitgevoerd conform de standaarden van beroepsorganisatie voor IT-Aud itors. Wij als externe auditors hebben daadwerkelijk gebruikgemaakt van de rapportage van de interne auditor en daarbij nadrukkelijk aandacht besteed aan de afloop van de aanbevelingen die door de interne auditor zijn voorgesteld in zijn rapportage. 4.12.3 Verbeterpunten Nadrukkelijk zal een interne auditor aangesteld moeten worden. Wellicht kan overwogen worden dit in nauw overleg met het Openbaar Ministerie te doen. Daar Pagina 29 van 30
DEFINITIEF
1
Audit Wpg Rijksrecherche
1
23 december 2011
beschikt men over een interne auditafdeling die deze interne audit uit zou kunnen voeren. Omdat 2011 praktisch voorbij is, geven wij in overweging om deze interne audit begin 2012 uit te voeren. Hierbij kan in het bijzonder aandacht worden besteed aan de afwikkelingen van de aanbevelingen naar aanleiding van deze rapportage. 4.13 Privacy functionaris (artikel 34) 4.13.1 Norm
De privacyfunctionaris ziet namens de verantwoordelijke toe op de verwerking van politiegegevens overeenkomstig het bij of krachtens de wet bepaalde en dient de verantwoordelijke van advies. 4.13.2 Bevindingen
Bij de Rijksrecherche is formeel een privacyfunctionaris aangesteld die tevens aangemeld is bij het College Bescherming Persoonsgegevens. Het betreft hier een parttime functie en we hebben geconstateerd dat de privacyfunctionaris over onvoldoende mogelijkheden beschikt om de toezichthoudende functie naar behoren te verrichten. Hieraan moet nadrukkelijk inhoud worden gegeven. Met name gaat het om de bewaking van de bevoegdheden ten aanzien van het gebruik van de geautomatiseerde systemen binnen de Rijksrecherche. De privacyfunctionaris heeft over 2010 een jaarverslag opgesteld. Hiervan hebben we kennisgenomen en vastgesteld dat alle taken die voor de privacyfunctionaris gelden aan de orde zijn gekomen. 4.13.3 Verbeterpunt
Laat de privacyfunctionaris uitvoering geven aan de wettelijke genoemde taken en een start maken met activiteiten van de toezichthoudende taak. 4.14 Functionaris Gegevensbescherming (artikel 36) 4.14.1 Norm
De functionaris gegevensbescherming ziet namens de verantwoordelijke toe op de beveiliging van politiegegevens overeenkomstig het bij of krachtens de wet bepaalde en dient de verantwoordelijke van advies. 4.14.2 Bevindingen
Binnen de Rijksrecherche is geen sprake van een functionaris gegevensbescherming. Er is wel een informatiebeveiligingsfunctionaris werkzaam doch dit betreft een externe medewerker die een adviserende rol vervult richting het management. Met name het onderwerp informatiebeveiliging komt hiervoor niet of nauwelijks aan de orde binnen de Rijksrecherche. 4.14.3 Verbeterpunt
Vanwege de problematiek rond de autorisaties (inrichting van de logging) en het ontwikkelen van een concreet beleid met betrekking tot de informatiebeveiliging, geven wij in overweging de huidige informatiebeveiligingsfunctionaris de opdracht te geven deze twee aspecten concreet uit te werken.
Pagina 30 van 30