Transcript De kwetsbaarheid van politiegegevens

WETGEVING
John Smits, Niko Struiksma, Robert Tuinenburg & Anna Sibma
Dr. J.M. Smits, Arena Consulting, dr. N. Struiksma, Pro Facto,
mr. R.P. Tuinenburg, OM, mw.mr. A. Sibma, Pro Facto.
De kwetsbaarheid van
politiegegevens
De Wet Politiegegevens regelt de bescherming van de privacy. Maar de vraag is of dat wel goed gebeurt. Zijn
politieorganisaties er voldoende voor toegerust? Het wordt tijd dat de politiek zich over dit vraagstuk buigt.
O
p 1 januari 2008 is de Wet politiegegevens
(Wpg) in werking getreden.1 De Wpg en bijbehorende Algemene Maatregelen van Bestuur
schrijven voor hoe politie, Koninklijke marechaussee
(Kmar) en de Rijksrecherche met politiegegevens
(persoonsgegevens die bij de uitoefening van de politietaak worden verwerkt) moeten omgaan. De Wpg
geldt ook voor bijzondere opsporingsdiensten.
Uit audits uit 2011 van het ministerie van Veiligheid
en Justitie bleek dat de implementatie van de Wpg
op veel punten tekort schoot, onder meer bij de
beveiliging, de autorisaties, de registratie van verstrekking van gegevens aan derden en het interne
toezicht.2 Gelijktijdig hadden de organisaties vraagtekens gezet bij de uitvoerbaarheid van de wet.
Wettelijk kader
De privacywetgeving in Nederland heeft haar grondslag in Europese regelgeving, onder meer in het Europees verdrag voor de Rechten van de Mens (1950),
het Data-protectieverdrag (1981) en de Privacyrichtlijn (1995). De Europese richtlijnen zijn in de Wet
bescherming persoonsgegevens (Wbp) vertaald. Belangrijke uitgangspunten zijn dat deze alleen mogen
worden verwerkt voor het specifieke doel waarvoor
betrokkene ze heeft verstrekt, alleen mogen worden
doorgegeven als die daartoe expliciet toestemming
geeft en dat er voor hem of haar een volledig inzagerecht is.
De Nederlandse wetgever heeft - anders dan in de
meeste Europese landen - voor de uitoefening van politietaken een aparte privacywet in het leven geroepen.
Het belangrijkste motief was dat politiegegevens moeten kunnen worden verwerkt zonder expliciete toestemming van de betrokkene (zoals een verdachte).
O P EN B A A R B E S T UUR M A A RT 2 0 1 4
Bovendien moeten opsporingsdiensten persoonsgegevens onderling vrij kunnen uitwisselen en onder voorwaarden met andere instanties kunnen delen, zoals de
belastingdienst of gemeenten. Opsporingsdiensten
moeten persoonsgegevens ook kunnen combineren en
hergebruiken, ook al gaat het om een ander doel dan
waarvoor zij oorspronkelijk zijn verzameld.
Bij politiegegevens gaat het om gevoelige gegevens
omdat de juistheid van de persoonsgegevens niet altijd vaststaat en onzorgvuldig gebruik de belangen
van een opsporingsonderzoek of van de burger kunnen schaden (stigmatisering, reputatieschade). De
Wpg bevat daarom extra waarborgen ter afscherming en voor de kwaliteit van politiegegevens. Als
geheel beoogt de Wpg een balans aan te brengen tussen verwerkingsmogelijkheden bij de politie en bescherming van de privacy.
Naleving
Eind 2011 bleek uit audits dat de naleving van de
Wpg bij de politie op veel punten tekort schoot, zoals
de borging van de bescherming van persoonsgegevens
in de organisatie en in werkprocessen. De auditoren
van het ministerie van Veiligheid en Justitie constateerden onder meer de volgende tekortkomingen:
t gebrekkig beheer en onderhoud van de autorisaties
(wie mag welke gegevens gebruiken) en het maken
van onderscheid in verwerkingsdoeleinden (waarvoor mogen gegevens worden gebruikt),
1
2
Tweede Kamer, 2006-2007, nr. 30.327. Besluit politiegegevens, Besluit politiegegevens bijzondere opsporingsdiensten, Besluit verplichte politiegegevens en Wpg-machtigingsbesluit
RIEC’s/werkproces integrale casusanalyse.
Departementale Auditdienst van het ministerie van Veiligheid & Justitie, Audit Wpg KLPD,
Rijksrecherche en 24 politiekorpsen, 2011/2012.
11
Bernhard Richter | Schutterstock.com
WETGEVING
t het niet borgen van het aanhouden van de wettelijke verwerkings- en verwijderingstermijnen,
t het ontbreken van specifieke spelregels voor het
verstrekken van politiegegevens aan derden zoals
gemeenten en het vastleggen (protocolleren) van
die verstrekkingen,
t het niet uitvoeren van privacy-audits en onvoldoende invulling van intern toezicht.
Alhoewel er aanzienlijke verschillen tussen de korpsen waren, voldeed geen enkel korps aan alle eisen.
Tegenover het beeld van een slechte implementatie
Medewerkers en leidinggevenden ervaren
de Wpg als complex
van de Wpg staan signalen van diensten en medewerkers. Er werd gemeld, dat de Wpg qua structuur en normering niet bij de politiepraktijk aan3
12
J. Smits, N. Struiksma, A. Sibma & J. Roodnat, Glazen Privacy - knelpuntenonderzoek uitvoering
Wet politiegegevens (Wpg), Deventer-Groningen, 2013.
sluit en dat de wet (daarmee) ook niet op alle
punten goed uitvoerbaar is. Medewerkers en leidinggevenden ervaren de Wpg als complex. Het
gaat bijvoorbeeld om de interpretatie van begrippen als ‘verwerking’ en ‘realisatie verwerkingsdoel’
en om de vraag wanneer, aan wie en onder welke
voorwaarden gegevens mogen worden verstrekt.
Daarnaast brengt de Wpg veel bureaucratie met
zich mee, zoals het protocolleren van verwerkingen,
het bijhouden van de status van de gegevens en het
actueel houden van autorisaties.
Als geheel is er een ‘worstelende praktijk’ tussen
wetsconforme uitvoering en uitvoerbaarheid in het
licht van politietaken. De worsteling is in zekere zin
opmerkelijk, omdat de achterliggende doelstellingen
van de Wpg (balans tussen verwerkingsmogelijkheden bij de uitoefening van politietaken en bescherming van de (informationele) privacy) breed worden
gedeeld.
Autonomie
Uit onderzoek komen vier clusters van factoren naar
voren die de worsteling kunnen verklaren.3 In de
eerste plaats gaat de Wpg uit van aannames over de
politieorganisatie die in de praktijk (nog) niet zijn
OP ENBAAR BEST UUR M A A RT 2014
WETGEVING
ingevuld. Om te beginnen bestond de politieorganisatie bij het in werking treden van de Wpg uit 25
min of meer autonome regionale korpsen en een landelijk korps. Dit betekende dat er grote verschillen
waren in de wijze waarop met politiegegevens werd
omgegaan (aandacht voor privacy in het algemeen,
invulling ict). Ook waren er naar schatting zo’n
16.000 functieomschrijvingen die een adequaat beheer van autorisaties moeilijk maakten.
Een belangrijk element in de beleidstheorie van de
Wpg is een bedrijfsmatige borging van privacy. Dit
stond ver af van de heersende privacycultuur bij de
politie, waar borging van de informationele privacy
vooral een zaak was van de medewerkers zelf (‘dat
regelen we zelf wel’) en niet als een verantwoordelijkheid van de leiding. De Wpg werd daardoor gezien als een formele verplichting. De (strategische)
noodzaak van implementatie werd pas groter na interventie van het CBP in 2011 en publieke en politiek druk (na openbaarmaking van de audits via Bits
of Freedom) in 2012/2013).
Daarnaast ging de Wpg ervan uit dat de politie binnen afzienbare tijd over één (samenhangend) ict-systeem zou beschikken. Dat was - en is nog steeds niet het geval. Door de fragmentatie van systemen,
het verouderde karakter ervan (geen beeldmateriaal
kunnen opslaan), het niet goed aansluiten op de
Wpg en het gebrek aan gebruiksgemak (bij het protocolleren) werd de naleving vooral als administratieve last ervaren.
Implementatie
De tweede verklaring voor de moeizame verhouding
tussen wet en praktijk is de wijze van implementatie
van de Wpg. De invoering van de Wpg had bij
korpsleidingen weinig prioriteit. Hierdoor leefden
ook op de werkvloer nut en noodzaak van de Wpg
niet sterk.
De implementatie werd veelal ondergebracht bij een
privacyfunctionaris, een korpsjurist met privacy in
het takenpakket. Deze was vaak naast verantwoordelijke van de implementatie ook gewoon korpsjurist.
Dat betekende dat hij of zij ook andere taken had,
zoals de behandeling van Wob-verzoeken. De effectieve tijd voor de implementatie van de Wpg of het
houden van toezicht bleef daardoor beperkt.
Materieel lag de aandacht bij de implementatie
vooral op de procedurele en juridische vertaling van
de Wpg naar werkprocessen, organisatie en ict, en
veel minder op de kanteling in het denken over de
O PEN B AA R B E S T UUR M AA RT 2 0 1 4
(bedrijfsmatige) borging van informationele privacy.
Er was vooral veel aandacht voor protocollen en
formats en weinig voor de essentie van de Wpg, voor
verhoging van bewustwording (politiebelang) en
draagvlak voor het (bedrijfsmatig) omgaan met informationele privacy. In het denken over de Wpg is
pas een kanteling gekomen door publieke en politieke druk en de vorming van de Nationale politie
met meer centrale sturing.
Dagelijkse dynamiek
De derde factor die de worsteling tussen wetsconforme uitvoering en uitvoerbaarheid kan verklaren,
ligt in de Wpg. De wet is gestructureerd aan de
hand van verschillende verwerkingsdoeleinden: dagelijkse politietaken, gericht onderzoek, bedreiging
rechtsorde. Hieraan zijn autorisaties, verstrekkingenregimes, verwerkingsmogelijkheden en verwerkingsstermijnen gekoppeld.
Dit veronderstelt een geordende wereld qua status en
gebruik van gegevens. In de praktijk veranderen gegevens echter continu van karakter, context, status
en betekenis. Daarnaast zijn de bewaartermijnen tot
vijf jaar na verwerking vooral voor de aanpak van
zware criminaliteit, het in beeld brengen van criminele netwerken en het oplossen van cold cases beperkend. De statische structuur van de Wpg sluit ook
onvoldoende aan op de dynamiek en pluriformiteit
in politiedossiers.
Een bijkomend knelpunt is dat de Wpg niet op alle
punten goed aansluit bij andere wetgeving die voor
informationele privacy en de uitoefening van politietaken geldt, in het bijzonder voor verschillen in bewaartermijnen, zoals de Archiefwet, Wet justitiële en
strafvorderlijke gegevens, het recht op kennisneming
(Wet openbaarheid bestuur, Wetboek van Strafvordering) en regels voor het delen of verstrekken van
gegevens bij samenwerking tussen instanties (Wet
bescherming persoonsgegevens, Wet justitiële en
strafvorderlijke gegevens).
Met het opnemen van organisatie-interne eisen in de
Wpg over autorisaties, protocollering, audits en toezicht lijkt de wetgever ook te hebben willen sturen
op enige disciplinering van de politieorganisatie.
Daarbij ligt het accent op intern (privacyfunctionaris) en extern (CBP) toezicht en op de in de wet genoemde instrumenten als protocollering, monitoring, evaluatie en het uitvoeren van audits.
Door het accent te leggen op toezicht als borgingsinstrument, werd de Wpg mede gezien als bevestiging
13
WETGEVING
van de afrekencultuur binnen de politie. De protocollering heeft bijvoorbeeld een drieledig doel: het
achteraf kunnen controleren of verwerking juist
heeft plaatsgevonden, het kunnen traceren van eventueel onjuiste gegevens en het stimuleren van de bewustwording van medewerkers.
In de praktijk wordt protocollering echter vooral ervaren als toezicht en draagt de protocollering niet bij
tot bewustwording. Doordat de organisatie-eisen
niet goed aansluiten bij de (dynamiek) in organisatie
en werkprocessen, worden ze vooral als bureaucratiserend ervaren.
Context
De vierde factor is de veranderende omgeving waarbinnen de politie opereert en politiegegevens worden
gebruikt. De eisen die worden gesteld aan de maatschappelijke verwachtingen die er zijn over de uitoefening van politietaken en de mogelijkheden die er
zijn om (politie)gegevens te verwerken, zijn daardoor
ook veranderd.
Het algemene beeld van de Wpg is een
worstelende praktijk
De aard (cybercrime), de verschijningsvorm (netwerken) en de schaal (internationaal) van criminaliteit
vragen om een andere en nieuwe aanpak. Technologische ontwikkelingen spelen daarbij een grote rol.
Nieuwe vormen van criminaliteit en inzet van ict bij
criminele activiteiten maken een goede informatiepositie van de politie steeds belangrijker. Dat biedt
ook nieuwe mogelijkheden, bijvoorbeeld als het gaat
om de verwerking van grote hoeveelheden data of
het gebruik van realtime-data. Maar de grenzen tussen wat kan, wat nodig is en wat zou moeten mogen
zijn nog niet scherp te trekken en zullen waarschijnlijk in beweging blijven.
Hetzelfde geldt voor het gebruik van sociale media,
openbare bronnen (internet) en het maatschappelijk
denken over en handelen rond informationele privacy. Bij de uitoefening van politietaken is nog niet
duidelijk waar de grenzen liggen. Het is niet altijd
duidelijk waar de grenzen van informationele privacy liggen en waar die van de werkbaarheid van de
Wpg in het licht van prestaties die van de politie
worden verwacht.
14
Ontschotting
Het algemene beeld van de Wpg is een worstelende
praktijk, waarbij de dilemma’s tussen een effectieve
en efficiënte uitoefening van politietaken en informationele privacybelangen voelbaar zijn. Er kan dan
ook niet eenduidig worden geconcludeerd dat de wet
niet goed wordt uitgevoerd of dat de wet niet uitvoerbaar zou zijn.
Maar het is wel duidelijk dat er een andere balans
moet worden gevonden tussen verwerkingsmogelijkheden om politietaken goed te kunnen uitoefenen
en de mate waarin de politie de bescherming van
persoonsgegevens adequaat in de organisatie heeft
geborgd. Dit is van belang voor de geloofwaardigheid van de politie: een effectieve en efficiënte organisatie met oog voor de risico’s die aan persoonsgegevens zijn verbonden.
Voor een effectieve uitoefening van politietaken is
het strikte juridische onderscheid dat de Wpg maakt
tussen dagelijkse politietaken en het doen van (gericht) onderzoek niet werkbaar. Dit vraagt om ontschotting van de wet. Dit is mogelijk zonder afbreuk
te doen aan de bescherming van de informationele
privacy. De specifieke verwerkingsregimes zijn in de
wet al in algemene zin geregeld, namelijk in artikel 3
dat verwerking alleen toestaat bij noodzaak, rechtmatigheid en doelbinding. Ontschotting biedt de
organisatie meer mogelijkheden om de naleving van
de Wpg aan de hand van de eigen werkprocessen te
modelleren, in plaats van de werkprocessen naar de
Wpg te moeten modelleren.
Dit geldt ook voor de verwerkingstermijnen. Voor
het gros van de politietaken moet een verwerkingstermijn van vijf jaar voldoende zijn. Voor de aanpak
van zware en georganiseerde criminaliteit en cold
cases is dit echter tekort. Het dilemma is dat vooraf
niet altijd kan worden bepaald welke gegevens op
een later moment relevant kunnen zijn. Alles bewaren is vanuit privacy-oogpunt geen optie. Alles na
afloop van de (huidige) wettelijke bewaartermijnen
vernietigen is vanuit het oogpunt van opsporing
geen verstandige keuze.
De bescherming van de informationele privacy mag
echter niet zonder meer aan het opsporingsbelang
ondergeschikt worden gemaakt. Als voor een verlengde bewaartermijn wordt gekozen - en het uitstellen of afzien van vernietiging - zal dat op basis van
een gekwalificeerde en controleerbare afweging moeten gebeuren. Bovendien zal voor extra beveiliging
van gegevens moeten worden gezorgd en waarborgen
OP ENBAAR BEST UUR M A A RT 2014
WETGEVING
bij de verwerking (speciale toestemming) geschapen.
Langer bewaren zal in ieder geval met een stijging
van de beheerskosten gepaard gaan.
Kwaliteit
Tegen het voorgaande spreekt dat de politie nog onvoldoende in control is als het gaat om bescherming
van persoonsgegevens. Vanuit het oogpunt van informationele privacybescherming is het borgen van
de kwaliteit van gegevens verreweg de belangrijkste
slag die de politie moet maken. Onder meer de juistheid en corrigeerbaarheid van gegevens en de (digitale) beveiliging moeten zijn gegarandeerd. Dit vereist
zowel adequate ict-voorzieningen als een goede balans tussen bedrijfsmatige en professionele borging
van informationele privacy.
De oriëntatie in de implementatie en beoordeling
was sinds 2008 sterkt rule based: invoering en beoordeling van de naleving naar de letter van de wet.
Hierdoor heeft de Wpg het beeld van een formele
verplichting niet van zich af kunnen werpen. De uitvoering is administratief zwaar belast en zijn er onvoldoende prikkels om de eigen verantwoordelijkheid te nemen, ook op de werkvloer. Er is nu een
kanteling gaande in de richting van een risk-based
benadering: waar zitten voor de politie de grootste
risico’s van het niet in control zijn?
Het is raadzaam kritisch te kijken naar het dominante sturingsmodel in de Wpg, namelijk dat van
het toezicht. Dit wordt mede veroorzaakt doordat
het protocolleren, uitvoeren van audits en de privacyfunctionaris in de Wpg onder het hoofdstuk
toezicht zijn geplaatst, terwijl de - ook door de wetgever bedoelde - primaire functie van deze instrumenten niet toezicht is, maar kwaliteitsborging.
Toezichtinstrumenten werken voor organisaties niet
alleen bureaucratiserend. Het is zelfs niet aannemelijk dat zij aan het beschermingsniveau van politiegegevens bijdragen. Het verdient de voorkeur een
veel duidelijker onderscheid in de kwaliteitsborging
te maken die de verantwoordelijkheid is van de politie en het wettelijk toezicht door de externe toezichthouder, het CBP.
Risico
Het is niet duidelijk in hoeverre de gebrekkige naleving tot schendingen van informationele privacy
heeft geleid. Op basis van de beleidstheorie van de
Wpg is het risico op schending en inbreuk op de
persoonlijke levenssfeer aanwezig. Op basis van de
O PEN B AA R B E S T UUR M AA RT 2 0 1 4
registratie van klachten over de politie en gesprekken
met de Nationale Ombudsman, het CBP en de Nederlandse Orde van Advocaten (NOVA) kan de conclusie worden getrokken, dat zich geen systematische
schendingen voordoen, maar wel incidenten.
De politie is onvoldoende in control als het gaat
om bescherming van persoonsgegevens
Zo zijn er jaarlijks enkele tientallen (bij de korpsstaf
geregistreerde) incidenten rond het lekken van gegevens, het schenden van de geheimhoudingsplicht en
oneigenlijk gebruik van politiegegevens. Klachten
richten zich met name op de onjuistheid van gegevens waar burgers mee worden geconfronteerd, bijvoorbeeld bij een antecedentenonderzoek of het op
basis van politiegegevens onterecht als mogelijke verdachte worden aangemerkt.
Dit raakt een fundamenteel punt van de Wpg. De
wet regelt vooral hoe een organisatie moet borgen
dat risico’s op inbreuken in de informationele privacy zo klein mogelijk zijn. Het niet voldoen aan dergelijke eisen (het niet uitvoeren van audits, het niet
protocolleren) is als zodanig nog geen inbreuk op de
informationele privacy of persoonlijke levenssfeer.
Of sprake is van een inbreuk daarop moet per concreet geval worden bekeken en is afhankelijk van de
context waarin en de functie waarvoor politiegegevens worden gebruikt. De vraag is of de organisatieeisen die de Wpg onder toezicht stelt, ook feitelijk
aan het voorkomen van inbreuken op de privacy bijdragen. Is de wet in het licht van haar doelstellingen
ook effectief en daarmee doelmatig?
Besluit
Er moet een politieke afweging over de gewenste
informatiepositie van de politie en andere opsporingsdiensten worden gemaakt, mede tegen de achtergrond van veranderingen in organisatie en verschijningsvormen van criminaliteit, maatschappelijke
verwachtingen, technische mogelijkheden voor opsporing, veranderende opvattingen over informationele privacy, het delen van gegevens en de daarmee
samenhangende risico’s voor de privacy. De balans
tussen het effectief uitoefenen van politietaken en
het beschermen van de informationele privacy zal
opnieuw moeten worden opgemaakt.
15