Het is slecht gesteld met de informatiesystemen en applicaties waar de politie mee werkt en op vertrouwt. Niet één van de systemen voldoet aan de regels die de overheid stelt op het gebied van privacy en informatiebeveiliging. Zowel de burger als de politie zelf dreigt daar de dupe van te worden.Dat zegt Rejo Zenger, beleidsadviseur en onderzoeker bij Bits of Freedom.
De belangenorganisatie analyseerde 36 zogeheten ‘mission-critical’ systemen, informatiesystemen en toepassingen die te allen tijde naar behoren horen te functioneren zodat de politie haar werk kan doen. Dan moet je denken aan systemen voor het registreren van veelplegers en kentekens, opnemen van aangiften, vastleggen van verhoren, verwerken van vingerafdrukken van verdachten en het uitwisselen van informatie tussen agenten. Volgens Bits of Freedom voldoet geen van deze systemen aan de regels van privacy and security by design.
Op het gebied van privacybescherming en informatiebeveiliging is het naar eigen zeggen ‘diep- en dieptriest’. Als een politieagent van functie wisselt, hoort zijn autorisatie te worden ingetrokken waar hij uit hoofde van zijn vorige functie toegang tot had. Anders heeft hij toegang tot gegevens waar hij helemaal niet voor geautoriseerd is. Hierdoor loop je het risico dat een agent gevoelige informatie doorspeelt aan criminelen. Verhalen van corruptie bij de politie zijn helaas niets nieuws onder de zon.
Bits of Freedom stelt verder dat gegevens vaak te lang worden bewaard. Ook is het niet duidelijk of de huidige beveiliging afdoende is, omdat de politie lang niet altijd alle risico’s van de beveiliging van informatie in kaart brengt. “ De politie vertrouwt steeds meer op ICT, maar wij kunnen de politie niet vertrouwen met die ICT”, aldus Zenger.
De risico’s zijn volgens de belangenorganisatie enorm. De politie heeft uitgebreide bevoegdheden voor het verzamelen, bewaren, gebruiken en het aan derden verstrekken van persoonsgegevens. Niet alleen van criminelen, maar ook van mensen die niet als verdachte zijn aangemerkt.
Bits of Freedom schetst een aantal voorbeelden. Als een getuige het gevaar loopt dat zijn verhaal en gegevens naar buiten worden gebracht, vertelt hij waarschijnlijk niet wat hij weet. Iemand die het slachtoffer is van verkrachting, durft mogelijk geen aangifte te doen in de wetenschap dat ongeautoriseerde personen in de aangifte kunnen neuzen.
Niet alleen burgers, maar ook de politie zelf loopt door de slechte beveiliging van informatiesystemen onnodig risico, bijvoorbeeld als een onderzoek stukloopt omdat een corrupte agent informatie naar criminelen lekt.
Het is niet de eerste keer dat Bits of Freedom het onderwerp aan de kaak stelt. In 2012 constateerde de belangenorganisatie ook al dat de wet- en regelgeving op het gebied van privacy en informatiebeveiliging op grote schaal werd overtreden. Geen enkel politiekorps voldeed destijds aan alle wettelijke eisen. Zenger concludeert dat de politie sindsdien wel de nodige verbeteringen heeft doorgevoerd. Desalniettemin blijkt uit de nieuwste analyse dat de bescherming van gevoelige gegevens “onverminderd belabberd” is.
Op korte termijn rekent de politie niet op verbetering. In een verslag schrijft de politie dat ze “nog eerst een negatieve uitkomst” verwacht. Naar schatting voldoet tegen het einde van het jaar slechts de helft van de applicaties aan de wettelijke eisen.
Bits of Freedom wil dat de politie niet langer op haar handen zit en actie onderneemt. Allereerst moet de politie gedwongen worden om de geldende wet- en regelgeving op het gebied van privacy en informatiebeveiliging na te leven. Volgens de belangenvereniging is het noodzakelijk dat de Tweede Kamer boos wordt op de minister van Justitie en Veiligheid en sussende woorden als ‘het gaat steeds beter’ niet langer accepteert. Ook is het de hoogste tijd dat de Autoriteit Persoonsgegevens zich met deze zaak bemoeit en boetes oplegt. “Het is te gek voor woorden dat de politie hier al jaren mee wegkomt”, zo zegt Bits of Freedom.
Ferd Grapperhaus, de minister van Justitie en Veiligheid, heeft eveneens huiswerk. Bits of Freedom vindt dat hij niet alleen naar de geplande wijziging van de wetgeving zelf moet kijken, maar tevens naar de uitvoerbaarheid daarvan. “De politie zei eerder al eens dat gegevens die verwijderd moeten worden niet worden verwijderd omdat de computersystemen te oud zijn. Wil je zo’n nieuwe wet goed maken, dan moet je misschien ook investeren in de ICT-systemen van de politie”, aldus Zenger.
