image

Politie moet boete betalen wegens gebrekkige databescherming

donderdag 20 september 2018, 10:01 door Redactie, 23 reacties

De Nationale Politie moet een boete van 40.000 euro betalen omdat het gegevens onvoldoende beschermt, zo laat de Autoriteit Persoonsgegevens weten. In 2015 onderzocht de toezichthouder hoe de Nationale Politie gegevens verwerkte bij het gebruik van het nationaal Schengeninformatiesysteem.

De Autoriteit Persoonsgegevens stelde vijf problemen vast en legde de politie een dwangsom van 200.000 euro op om ze te verhelpen. Binnen de gestelde termijn werden vier problemen opgelost. Het vijfde probleem, de controle van logbestanden, werd niet op tijd verholpen. Bij het systeem waarmee inkomende en uitgaande personen en goederen in het Schengengebied worden gecontroleerd, hoort een logsysteem dat gebruikersactiviteiten vastlegt.

Niet alle medewerkers van de Nationale Politie die toegang hebben tot dit systeem mogen ongelimiteerd alle politiegegevens gebruiken of inzien. Daarom moet de Nationale Politie de logbestanden regelmatig en proactief controleren. Iets dat niet gebeurde, zo bleek uit de controle van de toezichthouder. Volgens de Autoriteit Persoonsgegevens is het controleren van logbestanden een belangrijk hulpmiddel om misbruik op te sporen.

Daarnaast beschikt de politie over veel gevoelige informatie die het goed moet beveiligen. "Daarom moet de Nationale Politie logbestanden regelmatig en proactief controleren", zo laat de toezichthouder weten. Op dit moment beoordeelt de Autoriteit Persoonsgegevens opnieuw of de Nationale Politie aan de controle-eisen voldoet. Wanneer de politie de beveiliging niet aanpast kan er opnieuw een dwangsom worden opgelegd.

De politie stelt in een verklaring dat het ontbreken van de specifieke beveiligingsmaatregel niet betekende dat de betreffende gegevens niet goed beveiligd waren. Inmiddels zou de werkwijze zijn aangepast om aan de bezwaren van de Autoriteit Persoonsgegevens tegemoet te komen.

Reacties (23)
20-09-2018, 10:14 door Anoniem
Niemand is immuun,. maar uiteindeljik kost dit ook geld.
De belastingbetaler draait hier voor op qua kosten of minder politie in het veld, of meer parkeer en snelheidsboetes.
20-09-2018, 10:29 door Anoniem
Niemand is immuun,. maar uiteindeljik kost dit ook geld.

Niemand is immuun. Maar dit soort zaken horen prioriteit te krijgen, bij het opzetten van systemen voor opsporings- en inlichtingendiensten. Amateuristisch gepruts, waarbij levens op het spel kunnen staan.

De belastingbetaler draait hier voor op qua kosten of minder politie in het veld, of meer parkeer en snelheidsboetes.

De belastingbetaler draait op voor alle kosten die de overheid maakt. Wil je dat de politie wel, of niet, zorgvuldig om gaat met de gevoelige gegevens die zij op slaan ? Het argument kosten vind ik complete kolder in het kader van deze discussie. Het gaat bovenal om professionaliteit.

Overigens is de boete *ook* kolder. Is ten eerste vestzak-broekzak. En ten tweede is de politiek zelf verantwoordelijk voor dergelijke misstanden. Als werkgever van de politie.
20-09-2018, 10:52 door Anoniem
Wat ik niet begrijp; die politie moet een boete betalen aan de AP, de politie word betaald van belastinggeld... Wat doet de AP met dat geld? Gaat dat weer de schatkist in? Zo ja, dan is de boete toch alleen symbolisch?
20-09-2018, 10:58 door Anoniem
Boete is geen kolder, die gaat van het politiebudget af.
20-09-2018, 11:45 door Anoniem
"De politie stelt in een verklaring dat het ontbreken van de specifieke beveiligingsmaatregel niet betekende dat de betreffende gegevens niet goed beveiligd waren."

Uhh, dat betekent het juist wel. Als je niet door hebt dat controle op wie toegang krijgt tot het systeem deel uitmaakt van de beveiliging, dan besef je niet dat elk systeem in principe kwetsbaar is en controle nodig heeft. Dat is een ernstig gebrek in het begrijpen wat beveiliging is.
20-09-2018, 11:49 door Anoniem
Boete het zal wel.
Wat veel belangrijker is, de roverheid, in dit artikel, de politie.
Is nog niet eens in staat om data te beschermen, laat staan beschermen van u en ik.
Er zijn trouwens wel mensen die goed beschermd worden, criminelen en vul zelf maar in.
20-09-2018, 12:44 door Anoniem
En zo lopen er meer zaken.

De politie deelt zeer gevoelige informatie uit de politie-systemen met commerciële exploitanten.

Antecedenten, uitgebreide persoons-informatie (doopnamen, bsn's)

De AP zit er nu bovenop en gaat echt vorderen.

Eindelijk.

Teveel data ligt al op straat !
20-09-2018, 13:11 door Anoniem
citaat: "Niet alle medewerkers van de Nationale Politie die toegang hebben tot dit systeem mogen ongelimiteerd alle politiegegevens gebruiken of inzien. Daarom moet de Nationale Politie de logbestanden regelmatig en proactief controleren. Iets dat niet gebeurde, zo bleek uit de controle van de toezichthouder. Volgens de Autoriteit Persoonsgegevens is het controleren van logbestanden een belangrijk hulpmiddel om misbruik op te sporen."


Daarin is de politie niet de enige.

Het probleem begint al bij de definitie van de events die men wil loggen en frequentie. Daarnaast de opslagruimte. Laat staan de controle en correlatie v.h. geheel.

Ik stel voor dat AP in ieder geval alle overheids onderdelen en bedrijven aan een streng onderzoek onderwerpt op met name dit punt.

Je kan beveiligen wat je wilt maar als je niet frequent test en controleert houdt alles op...oja de maatregelen nog :)
20-09-2018, 13:27 door Anoniem
"De politie stelt in een verklaring dat het ontbreken van de specifieke beveiligingsmaatregel niet betekende dat de betreffende gegevens niet goed beveiligd waren."
Door Anoniem: "De politie stelt in een verklaring dat het ontbreken van de specifieke beveiligingsmaatregel niet betekende dat de betreffende gegevens niet goed beveiligd waren."

Uhh, dat betekent het juist wel. Als je niet door hebt dat controle op wie toegang krijgt tot het systeem deel uitmaakt van de beveiliging, dan besef je niet dat elk systeem in principe kwetsbaar is en controle nodig heeft. Dat is een ernstig gebrek in het begrijpen wat beveiliging is.

Inderdaad. het staat zelfs vermeld in hoofdstuk 1 van CISSP.

Ik weet niet wie die woordvoerder heeft ingefluisterd maar die heeft hem absoluut niet helder. Dit kan zelfs zeer grote invloed hebben op strafzaken.
20-09-2018, 13:32 door Anoniem
Boete is geen kolder, die gaat van het politiebudget af.

Sure, en wat hebben we eraan indien de overheid, die politiek verantwoordelijk is, dergelijke boetes oplegt ? Wat beter is, is de minister van justitie zijn verantwoordelijkheid laten nemen, zodat hij zorgt dat het probleem wordt verholpen.

Indien jij op je werk een fout maakt, zou jij het dan geen kolder vinden indien jouw werkgever -die verantwoordelijk is voor het werk wat jij oplevert- jou boetes zou gaan opleggen ?

De overheid moet zorgen voor goede compliancy frameworks waar politiesystemen aan *moeten* voldoen voordat ze operationeel gebruikt mogen worden. Waardoor je niet geconfronteerd wordt met deze problematiek. Dat is logisch.
20-09-2018, 13:42 door Anoniem
Boetes van de overheid aan de overheid lijken me vrij zinloos.
Roep liever de verantwoordelijken op het matje en laat ze beterschap beloven en houd ze daar dan ook aan.
20-09-2018, 13:42 door Anoniem
Boete is geen kolder, die gaat van het politiebudget af.

Nogal logisch dat het van het politie budget af gaat. Dat staat los van de vraag of het kolder is. Het is ook kolder wanneer de overheid, als eigenaar/werkgever van de NS, de NS boetes oplegt wanneer ze doelstellingen niet halen. Hiervoor is de overheid als eigenaar/werkgever zelf verantwoordelijk.

Dat een boete van budget af gaat, dat snapt iedereen.
20-09-2018, 14:21 door Anoniem
Ik weet niet wie die woordvoerder heeft ingefluisterd maar die heeft hem absoluut niet helder. Dit kan zelfs zeer grote invloed hebben op strafzaken.

Taak van zo'n woordvoerder is enkel damage control. Staat los van de vraag of hij begrijpt hoe onzinnig de uitspraak is.

Dat is een ernstig gebrek in het begrijpen wat beveiliging is.

Het is het bagatelliseren van problemen richting buitenwereld. Wellicht dat de medewerker begrijpt dat de werkelijkheid erger is; dan nog zal hij dat niet met ons delen.
20-09-2018, 14:25 door Anoniem
Zo controleerde de politie niet proactief op het onbevoegd en ongeoorloofd gebruik van N.SIS II. Wanneer politiemedewerkers van dit systeem gebruik maken, moet dat worden gemonitord.

Dit is bewust, en dit is zo sinds jaar en dag. Men vindt dergelijke controles maar lastig bij het uitvoeren van de dagelijkse werkzaamheden. Zie ook het boek 'Onder de Tap' uit 2006, waarin ingegaan wordt op het bewust niet controleren van audit trails bij onder meer de tapkamers van de politie. Nu 12 jaar later zijn de problemen nog net zo.

Onder de Tap: Afluisteren in Nederland
https://www.bol.com/nl/p/onder-de-tap/1001004002726648/
20-09-2018, 14:50 door Anoniem
Leuk die discussie hier over een boete en wie er dan voor opdraait.

Het punt dat de AP maakt is vanuit privacy gezien essentieel en ik begrijp dat zij hier wel een punt van maakt. Maar los daarvan, er zijn ook andere overwegingen waarom het controleren van het gebruik van informatie uit politiesystemen erg belangrijk is. Dan zou je zomaar eens vroegtijdig kunnen ontdekken dat collega's mogelijk nog andere belangen hebben dan die van de baas, tenzij je natuurlijk graag je kop in het zand steekt.
20-09-2018, 15:04 door Anoniem
De overheid die zichzelf een boete oplegt, in dit geval aan de politie. Geld rondpompen. Volstrekt zinloos.

Tijd om de Kafka brigade in te schakelen? http://www.kafkabrigade.nl
20-09-2018, 16:56 door Anoniem
Door Anoniem: Wat ik niet begrijp; die politie moet een boete betalen aan de AP, de politie word betaald van belastinggeld... Wat doet de AP met dat geld? Gaat dat weer de schatkist in? Zo ja, dan is de boete toch alleen symbolisch?
Dat gaat inderdaad de schatkist in. Het is wel een hap uit het budget van de politie, dus die organisatie heeft er hinder van dat ze hun zaken niet op orde houden, net als een niet-overheidsorganisatie last van een boete heeft.
Door Anoniem: Sure, en wat hebben we eraan indien de overheid, die politiek verantwoordelijk is, dergelijke boetes oplegt ? Wat beter is, is de minister van justitie zijn verantwoordelijkheid laten nemen, zodat hij zorgt dat het probleem wordt verholpen.
Waarop iedereen die nu loopt te loeien dat de overheid het niet goed doet zou loeien dat de overheid zichzelf voortrekt door zichzelf geen boetes op te leggen.

Het punt is dat er niet één grote overheid is, er is een uitgebreid stelsel van overheidsorganisaties die hun eigen leidinggevenden hebben die ruimte hebben om zelf invulling te geven aan hoe ze de organisatie aansturen. Die confronteren met negatieve gevolgen van dingen die ze niet goed hebben opgepakt is net zo effectief als bij welke andere organisatie dan ook.

Als boetes aan overheden niet effectief zijn, waarom zouden boetes aan bedrijven dat dan wel zijn? Daar kan je net zo goed zeggen dat je iemand aan de top zijn/haar verantwoordelijkheid laat nemen. Hoe dan? Kan de AP forceren dat een minister of een directie of een raad van commissarisen verantwoordelijkheid neemt? Nee. Maar AP kan wel boetes opleggen. Vandaar dat je dat ziet gebeuren.
20-09-2018, 18:42 door Anoniem
Door Anoniem: Boete is geen kolder, die gaat van het politiebudget af.
Het zou van ieders loon moeten afgaan van wie bij de politie werkt (een percentage).
Maar dan gaan ze staken.
20-09-2018, 21:33 door karma4
N SIS II is een eu verordening net zoals de GDPR. Lees even artikel 10 en 16.
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32006R1987&from=NL
Er staat veel over het inbrengen van de gegevens de controle op correctheid en bewaartermijnen..
Nergens staat dat elke bevraging gelogd moet worden.

Dat lijkt het AP nu wel te eisen. Een sleepnet met een bij voorbaat verdacht kwalificatie van elke politietmedewerker.
Ik weet niet war het AP die eis vandaan gehaald heeft, hij lijkt me disproportioneel en een grote privacy inbreuk.
Het is me helaas eerder opgevallen dat het AP zich niet aan de wet wil houden en eigen regels verzint.

Stel we trekken die houding door.
- Elke ov-chip reis moet op naam van deur te deur gevolgd kunnen worden.
- Elke vuilstorting moet op naam van de storter gevolgd kunnen worden.
- elke opvraging een auto kenteken moet gevolgd worden wie dat gedaan heeft
- De telefoonlocatie bijvoorbeeld in een winkel moet je exact kunnen volgen, … op naam.
Iets klopt er niet, het is niet consequent.


.
21-09-2018, 01:53 door [Account Verwijderd]
Door Anoniem: Boete is geen kolder, die gaat van het politiebudget af.
Dat zal de burger helpen, in een tijd dat de budgetten van de politie al historisch terug geschroefd zijn. De overheid snijdt dus gewoon in zijn eigen vinger, en de burger wordt de dupe. Evenals de agenten op straat.

Andere kant van de medaille: natúúrlijk moet data van de politie beter beschermd worden. Maar in plaats van "vestzak-broekzakboetes" uit te delen kunnen ze dat geld (en nog meer dan die 40K alleen) ook gebruiken om te investeren in betere security.
21-09-2018, 08:07 door Anoniem
Door Anoniem:
Boete is geen kolder, die gaat van het politiebudget af.


Indien jij op je werk een fout maakt, zou jij het dan geen kolder vinden indien jouw werkgever -die verantwoordelijk is voor het werk wat jij oplevert- jou boetes zou gaan opleggen ?

Nee, dat zou ik geen kolder vinden. Dat geld wordt dan niet door mij ontvangen, en kan een stimulans zijn om te zorgen dat dit zich niet herhaalt. Maar het kan ook een reden zijn om dit te betwisten als de boete onterecht zou zijn of te hoog.
21-09-2018, 08:29 door Anoniem
Door karma4: N SIS II is een eu verordening net zoals de GDPR. Lees even artikel 10 en 16.
https://eur-lex.europa.eu/legal-content/NL/TXT/HTML/?uri=CELEX:32006R1987&from=NL
Er staat veel over het inbrengen van de gegevens de controle op correctheid en bewaartermijnen..
Nergens staat dat elke bevraging gelogd moet worden.

Dat lijkt het AP nu wel te eisen.
Dat N.SIS II van toepassing is wil niet zeggen dat de GDPR niet meer van toepassing is, en dat is de wet waar AP toezichthouder op is. Dat iets niet in N.SIS II staat zegt niet alles. Het zal ook niet zo concreet in de GDPR staan, maar dat wil nog steeds niet zeggen dat het niet geldt. De AP en andere waakhonden hebben namelijk ruimte om de consequenties van wat er wel in staat te interpreteren. Sterker nog, zonder een interpretatie aan de GDPR te geven valt er niets te handhaven, zonder interpretatie van geldende principes kan je die namelijk niet met de concrete maatregelen die organisaties nemen vergelijken.

AP legt het belang van de controle van logbestanden uit, ze zien het in deze context als een noodzakelijke stap om aan de voorwaarden die de GDPR stelt te kunnen voldoen.

AP zal echt wel af en toe discutabele interpretaties en invullingen hanteren. Uiteindelijk heb je rechters om daar correcties in aan te brengen, jurisprudentie gaat dan onderdeel uitmaken van de interpretaties en invullingen. Zo werken die dingen.
21-09-2018, 20:31 door karma4 - Bijgewerkt: 21-09-2018, 20:34
Door Anoniem: e]
Dat N.SIS II van toepassing is wil niet zeggen dat de GDPR niet meer van toepassing is, en dat is de wet waar AP toezichthouder op is. Dat iets niet in N.SIS II staat zegt niet alles. ….

Waar ik het over heb is:
- https://www.autoriteitpersoonsgegevens.nl/nl/nieuws/cbp-nationale-politie-en-de-koninklijke-marechaussee-hebben-sis-ii-onvoldoende-op-orde
Het CBP is de nationale toezichthouder op het Nederlandse deel van het Schengen Informatiesysteem (N.SIS II).

Als ze die taak uitvoeren is het gewoon verkeerd als ze in dat kader ineens de GDPR gaan gebruiken in de evaluatie.
+ Stel dat een politieagent iemand zonder reden aanhoudt en dan ineens gericht op zoek gaat naar drugs (uiterlijk verdachte) dan staan we op de achterste benen.
+ Als de belastingdienst kentekens van ANPR verkregen via politiecamera-s of van een parkeerbedrijf gebruikt dan vinden we dat niet goed.
+ Als een hulpdienst met spoed rijd geven we die meteen en bekeuring wegens gevaar en snelheidsovertreding.

Zie je hier echt niet de functioncreep van het AP met de meerdere petten?
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.