Zonder het vertrouwen van de burger kan de politie haar werk niet goed doen. Daarom is het belangrijk dat de politie zorgvuldig omgaat met de gegevens over burgers. In 2019 wobden we de evaluatie van 36 high-risk applicaties van de politie. Bijna een jaar later kregen we die evaluatie (zo'n 750 pagina's) eindelijk boven tafel. Wat bleek? Van alle 36 "mission critical"-systemen van de politie, voldoet er geen eentje aan de regels rond privacy en informatiebeveiliging. Onze analyse haalde uitgebreid het nieuws: Trouw opende ermee op de voorpagina en er was onder andere aandacht voor bij het NOS Journaal, NRC, Volkskrant en NU.nl.
De grootschalige overtreding door de politie van wet- en regelgeving op het gebied van privacy en informatiebeveiliging is niet nieuw. 's Lands bekendste wetshandhaver heeft een lange historie van wetsovertredingen. Onze conclusie was daarom tweeledig. Ten eerste is het tijd dat er consequenties worden verbonden aan het falen van de politie. Ofwel: de Autoriteit Persoonsgegevens moet de wet gaan handhaven. Dat is zelfs long overdue. Ten tweede moet bij de vernieuwing van de Wet politiegegevens niet alleen aandacht zijn voor welke nieuwe regels nodig zijn met betrekking tot het veranderende gebruik van gegevens door de politie. Er moet óók aandacht zijn voor de implementatie en handhaving van die regels. Anders hebben we straks weer glanzende nieuwe regels, maar geen agent die zich eraan houdt. En daarvan wordt iedereen de dupe, politie incluis.
The police cannot do their job properly if they lack the public’s trust and confidence. It is therefore important that the police handle citizens’ data with due care. In 2019, we submitted a FOIA request asking for the assessment reports of the police’s 36 high-risk applications. We got our hands on the report (approx. 750 pages) almost a year later. What did we learn? Of the 36 ‘mission-critical’ systems used by the police, not one complies with the rules on privacy and information security. Our analysis made the news: daily newspaper Trouw opened with it on the front page, and it was covered by the Dutch television news broadcaster NOS Journaal, as well as the daily newspapers NRC, Volkskrant and NU.nl, among others.
The large-scale violation by the police of law and policy in the field of privacy and information security is not new. The country’s best-known law enforcer has a long history of breaking the law. Our conclusion therefore was twofold. Firstly, it is time that the police’s failures have real consequences. In other words, the Dutch Data Protection Authority must enforce the law. In fact, this is long overdue. Secondly, the renewal of the Dutch Police Data Act (Wet politiegegevens, Wpg) should not only focus on what new rules are needed with regard to the changing use of data by the police. Attention must also be paid to the implementation and enforcement of these rules. Otherwise, we may have a lovely set of shiny new rules, but not a single police officer that complies with them. And for that everyone, including the police, will pay the price.