De Autoriteit Persoonsgegevens ("AP") heeft wederom vastgesteld dat de beveiliging van het systeem waarmee de Nationale Politie inkomende en uitgaande personen en goederen in het Schengengebied controleert, het N.SIS II-systeem, niet voldoet. De AP legt nu voor de tweede keer een last onder dwangsom voor de gebrekkige beveiliging. De dwangsom bedraagt EUR 50.000,-.
Wat ging vooraf?
In 2015 startte de AP (destijds College Bescherming Persoonsgegevens) ambtshalve een onderzoek naar de verwerkingen van persoonsgegevens binnen het N.SIS II-systeem door de Nationale Politie.
Op grond van artikel 4 lid 3 van de Wet Politiegegevens is de Nationale Politie verplicht passende technische en organisatorische maatregelen te nemen om politiegegevens te beveiligen. Met name tegen onbedoelde of onrechtmatige vernietiging, wijziging, ongeoorloofde mededeling of toegang. De AP concludeerde dat de Nationale Politie deze verplichting onvoldoende heeft nageleefd. De AP benoemde de volgende concrete punten:
- Geen beveiligingsplan;
- Toegangsrechten niet juist geregeld;
- Geen autorisatieprocedure of controle op toegekende autorisaties;
- Geen goede respons op beveiligingsincidenten;
- Geen degelijke opleiding van personeel;
- Geen regelmatige controle logfiles.
De AP oordeelde dat de Nationale Politie maatregelen moest nemen om te voldoen aan het vereiste van een adequate beveiliging en legde een last onder dwangsom op van EUR 200.000,-. In september 2018 bleek dat de Nationale Politie de logfiles nog altijd niet regelmatig controleert. Als gevolg daarvan verbeurde zij een dwangsom van EUR 40.000,-.
Geen regelmatige controle logbestanden
In december 2018 heeft de AP opnieuw gecontroleerd of regelmatige controle op logfiles plaatsvindt. Dit bleek niet het geval. De Nationale Politie heeft slechts een tijdelijke en deels handmatige controle op onrechtmatige verwerkingen ingevoerd. Deze controle kwalificeert niet als een proactieve controle op onrechtmatige verwerkingen. De Nationale Politie verkrijgt nog steeds geen actueel en representatief beeld van onrechtmatige toegang of onrechtmatig gebruik van politiegegevens. Daarom is volgens de AP nog steeds sprake van een overtreding van artikel 4 lid 3 Wet politiegegevens.
De AP bepaalt dat de Nationale Politie voor 19 februari 2019 de beveiliging op orde moet hebben, anders moet zij een dwangsom betalen. De dwangsom bedraagt EUR 50.000,- met een maximum van EUR 320.00,-.
Wat betekent dit voor de praktijk?
Adequate beveiliging van persoonsgegevens is niet alleen van belang voor de Nationale Politie. Artikel 32 Algemene Verordening Gegevensbescherming ("AVG") bepaalt dat organisaties die persoonsgegevens verwerken passende technische en organisatorische maatregelen moeten nemen. Een informatiebeveiligingsbeleid is in dat kader een essentiële eerste stap, evenals de implementatie van een plan-do-check-act cyclus. De AP kan hier dus op controleren en schroomt niet om handhavend op te treden.
De Autoriteit Persoonsgegevens ("AP") heeft wederom vastgesteld dat de beveiliging van het systeem waarmee de Nationale Politie inkomende en uitgaande personen en goederen in het Schengengebied controleert, het N.SIS II-systeem, niet voldoet. De AP legt nu voor de tweede keer een last onder dwangsom voor de gebrekkige beveiliging. De dwangsom bedraagt EUR 50.000,-.
Wat ging vooraf?
In 2015 startte de AP (destijds College Bescherming Persoonsgegevens) ambtshalve een onderzoek naar de verwerkingen van persoonsgegevens binnen het N.SIS II-systeem door de Nationale Politie.
Op grond van artikel 4 lid 3 van de Wet Politiegegevens is de Nationale Politie verplicht passende technische en organisatorische maatregelen te nemen om politiegegevens te beveiligen. Met name tegen onbedoelde of onrechtmatige vernietiging, wijziging, ongeoorloofde mededeling of toegang. De AP concludeerde dat de Nationale Politie deze verplichting onvoldoende heeft nageleefd. De AP benoemde de volgende concrete punten:
- Geen beveiligingsplan;
- Toegangsrechten niet juist geregeld;
- Geen autorisatieprocedure of controle op toegekende autorisaties;
- Geen goede respons op beveiligingsincidenten;
- Geen degelijke opleiding van personeel;
- Geen regelmatige controle logfiles.
De AP oordeelde dat de Nationale Politie maatregelen moest nemen om te voldoen aan het vereiste van een adequate beveiliging en legde een last onder dwangsom op van EUR 200.000,-. In september 2018 bleek dat de Nationale Politie de logfiles nog altijd niet regelmatig controleert. Als gevolg daarvan verbeurde zij een dwangsom van EUR 40.000,-.
Geen regelmatige controle logbestanden
In december 2018 heeft de AP opnieuw gecontroleerd of regelmatige controle op logfiles plaatsvindt. Dit bleek niet het geval. De Nationale Politie heeft slechts een tijdelijke en deels handmatige controle op onrechtmatige verwerkingen ingevoerd. Deze controle kwalificeert niet als een proactieve controle op onrechtmatige verwerkingen. De Nationale Politie verkrijgt nog steeds geen actueel en representatief beeld van onrechtmatige toegang of onrechtmatig gebruik van politiegegevens. Daarom is volgens de AP nog steeds sprake van een overtreding van artikel 4 lid 3 Wet politiegegevens.
De AP bepaalt dat de Nationale Politie voor 19 februari 2019 de beveiliging op orde moet hebben, anders moet zij een dwangsom betalen. De dwangsom bedraagt EUR 50.000,- met een maximum van EUR 320.00,-.
Wat betekent dit voor de praktijk?
Adequate beveiliging van persoonsgegevens is niet alleen van belang voor de Nationale Politie. Artikel 32 Algemene Verordening Gegevensbescherming ("AVG") bepaalt dat organisaties die persoonsgegevens verwerken passende technische en organisatorische maatregelen moeten nemen. Een informatiebeveiligingsbeleid is in dat kader een essentiële eerste stap, evenals de implementatie van een plan-do-check-act cyclus. De AP kan hier dus op controleren en schroomt niet om handhavend op te treden.