Vergroot contrast

Politiekorpsen overtreden wet bij opvragen telecomgegevens via CIOT

De gegevensuitwisseling tussen de opsporingsdiensten en telecommunicatieaanbieders via het Centraal Informatiepunt Onderzoek Telecommunicatie (CIOT) vindt niet plaats overeenkomstig de toepasselijke wet- en regelgeving met de daarin opgenomen waarborgen tegen misbruik van de bestanden. Dat concludeert het College bescherming persoonsgegevens (CBP) na onderzoek bij het CIOT, het regionaal politiekorps Haaglanden en de Dienst Nationale Recherche (DNR) van het Korps Landelijke Politiediensten (KLPD).

Burgers moeten erop kunnen vertrouwen dat zorgvuldig met hun telecomgegevens wordt omgegaan en dat alleen bevoegde personen gebruik maken van de bestanden bij het CIOT. Het CBP heeft onder meer geconstateerd dat formele procedures voor het toekennen en intrekken van autorisaties voor toegang tot het CIOT-informatiesysteem (CIS) bij de korpsen Haaglanden en DNR ontbreken en dat niet alle autorisaties aan de opsporingsambtenaren en de medewerkers van het CIOT rechtsgeldig zijn verleend.

Daarnaast is de beveiliging van de telecomgegevens bij rechtstreekse opvragingen door opsporingsdiensten bij de telecommunicatieaanbieders – dus zonder tussenkomst van het CIOT – onderzocht. Het CBP concludeert dat er in dergelijke gevallen geen sprake is van een adequate beveiliging. Het gaat hier om gevoelige gegevens waarvoor zware beveiligingseisen gelden om verlies of onrechtmatige verwerking van de gegevens door onbevoegden te voorkomen.

Tot slot is ook de rechtmatigheid van een aantal specifieke bevragingen onderzocht. Het CBP concludeert dat bij het korps Haaglanden 5 van de 11 en bij de DNR 9 van de 11 onderzochte bevragingen in strijd met de wet zijn.

Overtredingen wet

Het CBP heeft onder meer geconstateerd dat bij de korpsen Haaglanden en DNR formele procedures voor het toekennen en intrekken van autorisaties voor toegang tot het CIS ontbreken. De formele procedures zijn van belang om te waarborgen dat alleen bevoegde gebruikers toegang hebben tot het systeem en dat onbevoegde toegang wordt voorkomen.

Ook heeft het CBP geconcludeerd dat de autorisaties voor toegang tot het CIS aan zowel de medewerkers van het CIOT die beheerstaken uitvoeren op het CIS als aan de opsporingsambtenaren niet rechtsgeldig zijn verleend. Rechtsgeldige autorisaties vormen een waarborg tegen toegang door willekeurige personen tot in dit geval zeer gevoelige gegevens.

Uit het onderzoek is ook gebleken dat de rechtstreekse bevragingen door de onderzochte opsporingsdiensten aan de telecommunicatieaanbieders – buiten het CIOT om – via een openbare telefoonlijn zonder aanvullende beveiligingsmaatregelen worden verzonden. Het CBP concludeert dat er geen sprake is van een passend beveiligingsniveau.

De combinatie van bijvoorbeeld identificerende gegevens met gegevens van een misdrijf levert zeer gevoelige gegevens op. Hiervoor moeten extra beveiligingsmaatregelen worden getroffen om de vertrouwelijkheid en de integriteit van de gegevens te waarborgen. Het CBP concludeert dat er sprake is van strijd met de wet omdat er geen extra beveiligingsmaatregelen zijn genomen om deze gevoelige gegevens te beveiligen.

Tot slot is ook de rechtmatigheid van een aantal specifieke bevragingen onderzocht. Het CBP concludeert dat bij het korps Haaglanden 5 van de 11 en bij de DNR 9 van de 11 onderzochte bevragingen in strijd met de wet zijn, in die zin dat de korpsen de betreffende bevragingen van het CIS niet konden verantwoorden.