CBP: Nationale Politie en de Koninklijke Marechaussee hebben SIS II onvoldoende op orde

Het College bescherming persoonsgegevens (CBP) constateert dat de Nationale Politie en de Koninklijke Marechaussee een aantal organisatorische beveiligingsmaatregelen voor het Schengen Informatiesysteem N.SIS II onvoldoende op orde heeft. Dit kan er onder meer toe leiden dat dat niet-geautoriseerde medewerkers in dit systeem onbevoegd kunnen werken.

Toezichthouder

Het Schengen Informatiesysteem is ingericht voor controle van inkomend en uitgaand personen- (en -goederenverkeer)in het Schengengebied. Het CBP is de nationale toezichthouder op het Nederlandse deel van het Schengen Informatiesysteem (N.SIS II). Op Europees niveau is een aantal afspraken gemaakt waaraan de partijen die aangesloten zijn dit informatiesysteem zich moeten houden. Het CBP heeft in het kader van verplicht periodiek onderzoek bij deze partijen gecontroleerd of de voorschriften ten aanzien van N.SIS II worden nageleefd.

Nationale Politie

Uit het onderzoek blijkt dat de Nationale Politie de organisatorische beveiligingsmaatregelen voor N.SIS II onvoldoende heeft nageleefd. Zo heeft de Nationale Politie onder meer niet een verplicht beveiligingsplan voor dit systeem vastgesteld en beschikt zij niet over een autorisatieprocedure die beschrijft welke medewerkers toegang tot N.SIS II mogen krijgen. De toegekende autorisaties worden niet regelmatig gecontroleerd. De geautoriseerde medewerkers die N.SIS II gebruiken, worden niet systematisch gecontroleerd op het gebruik van de gegevens.

In Nederland is het de Nationale Politie die volgens de internationale afspraken de centrale verantwoordelijkheid heeft voor N.SIS II. Als beheerder van N.SIS II dient de Nationale Politie onder meer over personeelsprofielen te beschikken waarin de taken en verantwoordelijkheden worden omschreven van de personen die bevoegd zijn om toegang te krijgen tot N.SIS II. Uit het CBP-onderzoek blijkt dat er geen personeelsprofielen zijn opgesteld.

Koninklijke Marechaussee

De Koninklijke Marechaussee heeft eveneens onvoldoende organisatorische maatregelen genomen om het N.SIS II te beveiligen. Zij heeft geen autorisatieprocedure voor N.SIS II en controleert niet regelmatig of de toegekende autorisaties correct zijn. Het CBP heeft geconstateerd dat soms medewerkers ten onrechte toegang hadden dan wel te ruime toegang hadden tot het systeem. Dit is al tijdens het onderzoek aangepast door de Koninklijke Marechaussee. Het gebruik van het systeem door medewerkers wordt bovendien niet systematisch gecontroleerd. Ook informeert de Marechaussee geregistreerde personen niet over de controle van hun gegevens en hun rechten, terwijl zij daar wel toe verplicht is.