Tweede Kamer aan zet: dwing naleving regels door politie af
- 19 november 2020
- Foto: Andreea Popa
De Wet politiegegevens moet er voor zorgen dat de politie verantwoord omgaat met gevoelige gegevens. Onze gevoelige gegevens. Maar de politie overtreedt deze regels al jarenlang en op enorme schaal. Toch komt ze er al die tijd mee weg. Hoe kan dat?
Politie als veelpleger
Uit een analyseICT-systemen politie niet op orde: iedereen de dupe die we vanochtend publiceerdenTrouw: Vrijwel geen van de systemen waarmee agenten en rechercheurs werken, voldoen aan de wet bleek dat geen van de 36 'mission critical'-systemen van de politie voldoet aan de regels rond privacy en informatiebeveiliging. Dat weten we nu pas, nadat we de politie dwongen deze verslagen openbaar te maken. Maar dit is al jaren de realiteit. In een van de geanalyseerde rapporten staat: "Binnen VROS worden belangrijke gegevens verwerkt over lopende en afgesloten recherche-onderzoeken. [...] Echter het is een legacy applicatie waarvan de ontwikkeling al jaren stilstaat [...]." De ontwikkeling staat dus al jarenlang stil. Er is al jarenlang sprake van een dikke vette onvoldoende. Al die systemen worden al jarenlang gebruikt en het is echt niet zo dat bij de introductie ervan de regels wél werden nageleefd.
Want als de rechter je vrijspreekt, wil je ook niet langer als verdachte vermeld blijven staan. Dat gebeurt nu wel vaak.
En ook dat is eigenlijk geen nieuws. In 2012 deden we al een onderzoek naar de naleving van deze regels door de politie. Onze conclusie destijds: "Het is diep triest gesteld met de bescherming van gegevens van de burger bij de politie." Geen enkel korps voldeed aan alle gestelde eisen. Een enkel korps leefde zelfs minder dan twintig procent van de normen na. En dat ook nog slechts "op hoofdlijnen". Soms is het gebrek aan naleving een gevolg van verouderde ICT-infrastructuur waar de politie mee moet werken, maar soms ging het om relatief eenvoudige problemen, zoals het beheer van autorisaties. De reactie van de minister? "Realisme is op zijn plaats. Het zal jaren duren voordat alle genoemde knelpunten zijn opgelost." En sommige overtredingen zouden alleen op te lossen zijn door niet de politie, maar de wet aan te passen. Dat was eind 2015. Vijf jaar later zijn we nog nauwelijks verder.
Handhaving van de wet
De politie is dus eigenlijk een veelpleger. En dat terwijl het gaat om ontzettend gevoelige gegevens van iedereen in ons land. Vaak gaat het om gegevens van mensen in een uiterst kwetsbare positie. Hoe kan dat? Helaas is de publieke druk niet groot genoeg. De belangrijkste media besteden er alleen aandacht aan als er ook een slachtoffer geïnterviewd kan worden. Maar een getuige van een liquidatie die zijn verhaal niet aan de politie durft te vertellen uit angst dat zijn gegevens bij criminelen terechtkomt, vertelt zijn verhaal ook niet op televisie. En dus blijft de publieke verontwaardiging uit en voelt niemand druk om hier iets aan te doen. De politie kan dit probleem blijven negeren, en de minister kan, zonder écht verbetering af te dwingen, ermee weg komen.
Al die systemen worden al jarenlang gebruikt en het is echt niet zo dat bij de introductie ervan de regels wél werden nageleefd.
En ja, als jij langdurig en op grootschalige wijze de wet negeert, dan krijg je een wetshandhaver achter je aan. Bij de politie is dat de Autoriteit Persoonsgegevens. Zij handhaaft de wet die de politie zou moeten dwingen om verantwoord met onze gevoelige gegevens om te gaan. Maar waarom zat de Autoriteit Persoonsgegevens de politie niet achter haar broek? Het antwoord is eenvoudig: een gebrek aan capaciteit. In een interview in Trouw zei de baas van de 180 fte die bij de toezichthouder werken: "[...] [D]e Autoriteit Financiële Markten [heeft] nu zo’n zeshonderd fte. En de AFM houdt alleen toezicht op de financiële markten, wij in principe op alles, omdat overal persoonsgegevens kunnen worden verwerkt." Wij weten niet precies hoe groot de afdeling is die zich bezighoudt met de politie en justitie, maar het zijn er duidelijk te weinig.
Tweede Kamer aan zet
Als we niet willen dat de politie de komende jaren een veelpleger blijft moet de Tweede kamer nu echt eens in actie komen. Komende week behandelt zij de begroting van het Ministerie van Justitie en Veiligheid. Een uitstekend moment om er voor te zorgen dat de Autoriteit Persoonsgegevens de capaciteit, en daarmee de slagkracht, krijgt die zij nodig heeft. Want dat is wat we nu nodig hebben: de lange arm van de Autoriteit Persoonsgegevens. Het wordt tijd dat de toezichthouder gaat doen wat de politie zelf altijd doet: dikke vette boetes uitdelen. En dat kan alleen als ze voldoende menskracht heeft om onderzoek te doen.
Als jij langdurig en op grootschalige wijze de wet negeert, dan krijg je de politie achter je aan. Maar wie zit achter de politie aan?
Maar voor de lange termijn is overigens veel meer nodig. Voor sommige problemen is het voldoende als iemand de politie achter haar broek zit. Dingen als het "autorisatiebeheer" (simpel gezegd: wie mag wanneer in welke database) is iets dat relatief snel goed te organiseren is. Elke andere grote organisatie doet dat ook. Net als het goed in kaart brengen van de beveiligingsrisico's. Echt geen rocket science.
Meer is nodig
Andere zaken vragen meer investering, zoals het op orde brengen van de ICT-infrastructuur van de politie. Aan sommige van die systemen is al jaren niet ontwikkeld, en het beheer hangt soms aan één enkele ambtenaar. Dat vraagt om een forse investering in die systemen, maar ook in het slim organiseren van die upgrade. En niet alleen de infrastructuur en organisatie van de politie moet op de schop, ook in de rest van de strafrechtelijke keten moet er iets veranderen. Want als de rechter je vrijspreekt, wil je niet langer als verdachte in de politiesystemen vermeld blijven staan. Dat gebeurt nu wel vaak, omdat de zogenaamde afloopberichten de politie nooit bereiken of, als dat wel gebeurt, met de hand moeten worden afgehandeld.
Het is misschien veel werk dat verzet moet worden, maar het moet wel gebeuren. We hebben er niets aan als we, als maatschappij, bewaartermijnen voor politiegegevens afspreken, maar de politie niet ook de systemen geven waarmee zij die gegevens na afloop van de termijn kan verwijderen. Er moet snel een einde komen aan de jarenlange en grootschalige overtreding van de wet door de politie.