De politie gaat oneigenlijk gebruik van informatie uit politiesystemen sneller detecteren. Recente corruptiezaken onderstrepen het belang van verscherpte aandacht voor de aanpak van het lekken van informatie. Dat antwoordt minister Grapperhaus (Justitie en Veiligheid) op vragen van het CDA.
“Het lekken van informatie brengt naast de inbreuk op de privacy van betrokkenen mogelijk de veiligheid van operaties en mensen in gevaar”, aldus de minister. “Daarom wordt een systeem en werkwijze ontwikkeld om vroegtijdig mogelijk misbruik door gericht binnendringen van politiesystemen (hacken) en lekken van informatie van binnenuit te detecteren en voorkomen.”
Het systeem geeft een indicatie of mogelijk sprake is van ‘afwijkend’ zoekgedrag op basis van een groot aantal indicatoren, waaronder het historische patroon van bevraging en een vergelijking met het gemiddelde bevragingspatroon van collega’s. Deze indicatoren zijn gebaseerd op input en ervaringen van experts binnen de politieorganisatie plus de analyse van casuïstiek. Een voorbeeld van een indicator is het doen van bevragingen met betrekking tot een onderzoek waar de betreffende functionaris geen rol in heeft.
De minister merkt op dat ‘afwijkend zoekgedrag’ niet perse ‘fout gedrag’ betekent. Grapperhaus: “Om te zorgen dat er geen sprake is van automatische besluitvorming en er altijd een mens meekijkt en beslist, wordt een indicatie door specialisten geanalyseerd en gewogen. Als er aanleiding is tot actie, wordt dit besproken met de leidinggevende. Die maakt een nadere afweging voor het vervolg. In de gevallen dat sprake is van een harde verdenking van bijvoorbeeld corruptie in relatie tot georganiseerde criminaliteit wordt een passende aanpak gekozen.”
Actief loggen
De verwerking van informatie door de politie wordt uitgevoerd binnen de wettelijke kaders van de Wet politiegegevens (WPG). Artikel 3 WPG vereist dat politiegegevens slechts worden verwerkt voor zover dit behoorlijk en rechtmatig is. Door middel van actief loggen van de verwerking van politiegegevens kan de rechtmatigheid van de verwerking worden gecontroleerd. Het bijhouden en beoordelen daarvan volgt daarnaast uit artikel 4a WPG. Daarin is geregeld dat de politie passende technische en organisatorische maatregelen moet treffen om een passend beveiligingsniveau te waarborgen.
Deze verplichting tot informatiebeveiliging vereist dat ‘logbestanden van gebeurtenissen die gebruikersactiviteiten, uitzonderingen en informatiebeveiligingsgebeurtenissen registreren, behoren te worden gemaakt, bewaard en regelmatig worden beoordeeld’. In de WPG is tevens een expliciete verplichting voor de politie opgenomen om langs elektronische weg een aantal verwerkingen van politiegegevens in geautomatiseerde systemen vast te leggen (artikel 32a WPG).
Deze verplichting tot logging vloeit voort uit EU richtlijn 2016/680 betreffende de gegevensbescherming inzake opsporing en vervolging. De logbestanden mogen uitsluitend worden gebruikt om te controleren of de gegevensverwerking rechtmatig is, om interne controle uit te oefenen, om de integriteit en de beveiliging van de gegevens te garanderen en om strafrechtelijke procedures te waarborgen.