De politie is misschien wel de grootste veelpleger: al meer dan zeven jaar overtreedt zij grote delen van de wet die bepaalt hoe zij met gevoelige gegevens van burgers om moet gaan.

Om onze vrijheid te beschermen heeft de politie ingrijpende bevoegdheden gekregen voor het verwerken van gegevens van burgers. Omdat dat vrijwel altijd om hele gevoelige gegevens gaat, stelt de wet voorwaarden aan die manier waarop de politie met gegevens van burgers om mag gaan.¹ Een zorgvuldige naleving van die regels is belangrijk omdat het een voorwaarde is voor vertrouwen van de burger in de politie. Bovendien loopt de politie anders het risico haar werk voor niets te doen: het zou eeuwig zonde zijn als strafzaken stranden door een onzorgvuldige omgang met gegevens.

Eén van de regels in die wet is dat jaarlijks gecontroleerd wordt of de politie zich zelf wel aan die wet houdt. Maar als die controle al plaatsvindt, dan blijkt dat de politie op geen enkele norm een voldoende scoort. Hoewel er soms wel iets op papier geregeld is, bestaat er in de praktijk niets dat lijkt op wat er ooit met de wet bedoeld was. Dat geldt ook voor de vijf normen die door de politie zelf als risico zijn aangemerkt. Dat zijn de normen waarvoor “het niet voldoen aan de [wet] de grootste impact heeft”: het goed regelen van de toegang tot de gegevens,² het naleven van de bewaartermijnen,³ het verantwoord delen van gegevens, de rechten van burgers en het goed bijhouden van wat er met de gevoelige gegevens gebeurt. Dat blijkt uit het verslag van een onderzoek dat dit jaar werd gedaan.

De politie overtreedt de wet al jaren. Met het van kracht worden van de wet in 2008 hadden de regels al geïmplementeerd moeten zijn. Maar uit onderzoek van Bits of Freedom vier jaar later bleek dat destijds ook al “werkelijk geen enkel korps dat aan alle wettelijke regels [voldoet]” en dat bij de Koninklijke Marechaussee “zich nog nooit iemand [lijkt] te hebben bekommerd om de gevoeligheid van persoonsgegevens: zij leeft minder dan twintig procent van de normen na”. Twee jaar later was dat nog niet anders. En nu, meer dan zeven jaar na introductie van het kader, nog altijd niet.

Freedom Inc vindt dat de minister van Veiligheid en Justitie ervoor moet zorgen dat de politie alle middelen krijgt om de komende paar maanden het beleid op orde te brengen en zich aan de wet te houden. Nog jaren de tijd nemen, zoals de minister wil, daar is echt geen tijd meer voor. En zolang gevoelige gegevens bij de politie niet in veilige handen zijn, kan er ook geen sprake zijn van uitbreiding van bevoegdheden. Het zou buitengewoon bizar zijn dat, gegeven de rampzalige resultaten, de politie zou mogen bijhouden waar elke onverdachte automobilist is gezien,⁴ providers voor de politie de locatie en het communicatiegedrag van elke onverdachte burger preventief en langdurig bij moeten houden⁵ of dat de politie in mag breken op alles dat een computer is.⁶

Documenten

• Privacy audit Wpg 2015 (29 oktober 2015)
• Reactie minister van Veiligheid en Justitie op Privacy audit Wpg 2015 (7 december 2015)

1. Het gaat om de Wet politiegegevens, kortweg de Wpg, die op 1 januari 2008 van kracht werd. ↩

2. En dat is een realistisch risico met grote impact. Zo schrijft het NRC over de zaak van de politiemol: “De verdachte agent had toegang tot vertrouwelijke informatie omdat de rechercheleiding vergeten was de autorisatiecodes van M. in te trekken toen hij door de AIVD niet werd goedgekeurd voor een vertrouwensfunctie.” ↩

3. De politie moet gegevens na verloop van tijd weer uit het systeem verwijderen. Dat gebeurt niet, met als gevolg dat gegevens veel te lang bewaard worden. Zoals bijvoorbeeld hier. ↩

4. Wijziging van het Wetboek van Strafvordering in verband met de regeling van het vastleggen en bewaren van kentekengegevens door de politie. ↩

5. Wet bewaarplicht telecommunicatiegegevens ↩

6. Wet computercriminaliteit 3 ↩