Nieuws: de politie blijkt op grote schaal de wet te overtreden

Bart de Koning
Correspondent Politie & Criminaliteit
Foto: Niels Wenstedt / Hollandse Hoogte

De politie overtreedt op grote schaal de Wet politiegegevens, zo blijkt uit een net verschenen privacy-audit. Zo heeft de politie procedures voor het verlenen én intrekken van autorisaties structureel niet op orde. Dat kan zeer ernstige gevolgen hebben. Denk aan politiemol Mark M., die ten onrechte toegang had tot gevoelige recherche-informatie.

Het blijft iets waar je met je verstand niet bij kunt. had jarenlang toegang tot recherchedatabanken, hoewel hij niet door de screening van de AIVD was gekomen. In plaats van hem met onmiddellijke ingang te verwijderen, kreeg M. een ander baantje binnen de politie. De rechercheleiding vergat daarbij om zijn autorisatie in te trekken.

Volgens het OM heeft hij zodoende uit tientallen onderzoeken onrechtmatige informatie verkregen en volgde hij automatisch 23 verdachten. Daarnaast verkreeg hij volgens NRC Handelsblad de afgelopen vier jaar via 27.971 ‘actieve bevragingen’ in politiesystemen informatie.

Het is voor buitenstaanders nauwelijks te bevatten dat de politie zo slordig met zeer gevoelige informatie omgaat, maar voor kenners is het helaas geen verrassing. De politie overtreedt al sinds de invoering in 2008 structureel de

Alleen maar zware onvoldoendes

Ook uit de laatste audit, die minister Ard van der Steur gisteren naar de Kamer stuurde, komt weer een schokkend beeld naar voren. Privacy-onderzoeker plaatste de documenten gisteren als eerste op de site van

In de begeleidende aan de Kamer schijft Van der Steur: ‘Uit de privacy-audit naar de naleving van de Wpg blijkt dat de politie op essentiële punten nog onvoldoende aan de wet voldoet.’ Ook bij het en het Europees Visum Informatiesysteem ‘tonen de onderzoeken tekortkomingen in de naleving door de politie,’ schrijft Van der Steur, om te concluderen: ‘Het beeld dat uit deze rapportages naar voren komt, baart mij vanzelfsprekend zorgen.’

Dat zou ook een keer tijd worden, want, zoals Rejo Zenger terecht de politie heeft sinds de invoering van de Wpg alleen maar zware onvoldoendes gehaald.

Op vijf risicogebieden scoort de politie de kleur ‘rood’, onvoldoende dus. Het gaat hier om:

  • Autorisaties, dus de vraag wie toegang heeft tot welke gegevens. ‘Er is nog geen landelijke procedure voor autorisaties opgesteld,’ stelt de audit vast. Het autorisatieproces is ‘onvoldoende op orde’, iedere eenheid doet het op haar eigen manier. ‘Slechts bij één van de eenheden is een procedure aangetroffen voor het intrekken van autorisaties.’ En: ‘Ten slotte worden er geen gestructureerde controles uitgevoerd op autorisaties.’ Dat Mark M. jarenlang zijn gang kon gaan was dus geen incident, het was het gevolg van een structureel gebrek aan controle.
  • Verstrekkingen, dus het verstrekken van politie-informatie aan bijvoorbeeld burgemeesters en buitengewoon opsporingsambtenaren. De politie let daarbij nog onvoldoende op het ‘noodzakelijkheids-, proportionaliteits- en subsidiariteitsbeginsel.’ Dus: moet de politie de informatie wel verstrekken en kunnen we eventueel ook minder informatie geven?
  • Rechten van betrokkenen, dus de rechten van de burgers die bij de politie geregistreerd staan. De audit concludeert: ‘Kennisneming en verzoek om verbetering, aanvulling, verwijdering of afscherming zijn op dit moment nog onvoldoende op orde en voldoen daarmee niet aan de Wpg-eisen.’
  • Protocolleren. De politie moet eenduidige regels hebben over hoe ze informatie verwerkt en bewaart. Dat gebeurt ‘nog niet conform de Wpg.’
  • En bewaartermijnen. De politie mag informatie niet eeuwig bewaren. De Wpg schrijft voor verschillende soorten gegevens verschillende bewaartermijnen voor. Die zijn volgens de audit ‘onvoldoende op orde.’ ‘Dit komt mede omdat deze niet zijn geborgd in de IT. De medewerkers dienen zelf schoningstermijnen in de gaten te houden en handmatig te schonen. Dit gebeurt meestal niet.’

De politie overtreedt dus herhaaldelijk de wet. Dat is alleen al om principiële redenen ernstig: als de politie al structureel de wet overtreedt, wat voor voorbeeld is dat dan voor de rest van Nederland?

Rechercheurs die ik erover spreek, maken zich daar ernstige zorgen over: ‘Het ondermijnt onze legitimiteit.’ Informatie is de grondstof van de politie, daar moet de politie dus zorgvuldig mee omgaan.

Privacy interesseert de meeste politiemensen nauwelijks

In werkelijkheid interesseert het de meeste politiemensen nauwelijks. Privacy is iets voor speciale privacyfunctionarissen, niet voor gewone agenten en rechercheurs. De privacy-audit bevestigt dat gebrek aan belangstelling in de conclusies: ‘De grootste oorzaak hiervan lijkt te zijn dat de Wpg binnen de politie wordt gezien als een ‘losstaand project’.’

Dat is – naast het feit dat de politie structureel de wet overtreedt – om nog een aantal redenen ernstig. We hebben hier te maken met het oude misverstand dat privacy en veiligheid elkaar in de weg zitten. Met andere woorden: als je boeven wilt vangen, dan moet je niet gehinderd worden door regeltjes uit de Wet politiegegevens. Maar het voorbeeld van Mark M. laat zien dat veiligheid niet zonder privacy kan: wie de bescherming van zijn persoonsgegevens niet op orde heeft, neemt onverantwoorde risico’s. Zeker als het gaat om zeer gevoelige recherche-informatie.

De politie en het OM zijn nu koortsachtig alle informatie die Mark M. uit de politiesystemen heeft gehaald aan het nalopen om te zien welke onderzoeken zijn beschadigd, welke strategische informatie is gelekt en welke getuigen of informanten er gevaar lopen. Niet eerder werd zo pijnlijk duidelijk hoe hol de frase ‘wie niets te verbergen heeft, hoeft nergens bang voor te zijn’ eigenlijk is.

Het voorbeeld van Mark M. laat zien dat veiligheid niet zonder privacy kan: wie de bescherming van zijn persoonsgegevens niet op orde heeft, neemt onverantwoorde risico’s

De politie ontduikt al zeven jaar de wet en niemand binnen de organisatie, op het ministerie of in de Tweede Kamer voelt zich kennelijk geroepen om eens in te grijpen. Van der Steur heeft ook niet echt haast. ‘De politie zal deze wetgeving structureel goed moeten gaan naleven.’

Lees deze zin rustig nog een keer. De minister schrijft hier aan de Kamer dat de politie zich aan de wet moet gaan houden.

Eenvoudig is dat niet, zo meldt Van der Steur: ‘De korpschef zal het in de Wpg voorgeschreven verbeterplan aangrijpen om deze problemen aan te pakken. Realisme is daarbij op zijn plaats. Het zal jaren duren voordat alle genoemde knelpunten zullen zijn opgelost.’

Hoeveel organisaties zijn er in dit land die al zeven jaar de wet overtreden en van de minister er nog een paar jaar bij krijgen?

Het verontrustende bij dit alles is dat het kabinet alweer bezig is om de politie nog meer bevoegdheden te geven – en dus ook de beschikking over nog veel meer informatie. Zoals Rejo Zenger schrijft: ‘Zolang gevoelige gegevens bij de politie niet in veilige handen zijn, kan er ook geen sprake zijn van uitbreiding van bevoegdheden. Het zou buitengewoon bizar zijn dat, gegeven de rampzalige resultaten, de politie zou mogen bijhouden waar elke onverdachte automobilist is gezien, providers voor de politie de locatie en het communicatiegedrag van elke onverdachte burger preventief en langdurig bijhouden, of dat de politie in mag breken op alles dat een computer is.’

Lees verder: