Het dossier-Lisa: datalek bij de politie

Op basis van de beschikbare berichtgeving is duidelijk dat ongeveer 1.700 politieambtenaren het politiedossier van Lisa hebben ingezien zonder taakgerelateerde noodzaak. Welke gegevens precies ingezien konden worden, is niet duidelijk. Gemeld is dat het 112-gesprek en het onderzoeksdossier afgeschermd waren. 

Politiegegevens bevatten vaak zeer gevoelige informatie. Dat geldt in dit geval des te meer, omdat het gaat om gegevens van een minderjarige die slachtoffer is geworden van een ernstig misdrijf. In zulke situaties is een strikte en zorgvuldige omgang met autorisatie en toegang essentieel. Juist daar lijkt het te zijn misgegaan.

De verwerking van politiegegevens valt hoofdzakelijk onder de Wet politiegegevens (‘Wpg’) en het Besluit politiegegevens (‘Bpg’). De Wpg stelt de hoofdregels: toegang moet noodzakelijk zijn voor het uitvoeren van een politietaak. Het Bpg vult deze wet aan met specifieke verplichtingen. Beide stukken regelgeving regelen hoe toegang tot politiegegevens moet worden ingericht en gecontroleerd.

Relevante verplichtingen zijn onder meer:

• Autorisatiebeheer (art. 6a lid 2 Wpg): politiegegevens mogen alleen worden verwerkt door ambtenaren voor wie dit noodzakelijk is voor de uitvoering van hun concrete taak.
• Logging (art. 32a Wpg): er moet worden vastgelegd wie welke gegevens raadpleegt, zodat toezicht en verantwoording mogelijk is.
• Passende technische en organisatorische maatregelen (art. 36c lid 3 Wpg): de beveiliging moet zodanig zijn ingericht dat onbevoegde toegang wordt voorkomen.
• Periodieke controle (art. 4a Wpg): audits en systematische controles moeten worden uitgevoerd om fouten tijdig te signaleren. 

Uit de berichtgeving blijkt dat de politie de logging naar alle waarschijnlijkheid correct heeft uitgevoerd; zonder deze logregistraties was de omvang van het incident namelijk niet vastgesteld. 

Tegelijkertijd laat het feit dat zoveel medewerkers het dossier konden raadplegen zien dat de autorisatie- en beveiligingsmaatregelen niet in lijn zijn met de eisen uit de Wpg. Dat dit niet eerder in een periodieke controle is gesignaleerd, roept aanvullende vragen op.

De Wpg kent niet letterlijk de term “datalek”, maar hanteert het begrip “inbreuk op de beveiliging.” Feitelijk komt dat neer op hetzelfde fenomeen: de vernietiging, het verlies, de wijziging, de bekendmaking of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte politiegegevens. 

In de situatie rond het dossier van Lisa is wel degelijk sprake van een inbreuk op de beveiliging. Politieagenten die niet geautoriseerd waren het politiedossier te raadplegen, hebben dit desondanks gedaan. De Wpg verplicht in zulke gevallen tot:

• interne melding en documentatie; en,
• melding aan de Autoriteit persoonsgegevens binnen 72 uur.

Volgens nieuwsberichten is de AP inmiddels op de hoogte gebracht.

Dit datalek is met grote waarschijnlijkheid het gevolg van tekortkomingen in het datasysteem van de politie. Op het eerste gezicht duidt de inbreuk op:

• een schending van het noodzakelijkheidsbeginsel: de gegevens zijn breder toegankelijk geweest dan voor de uitvoering van een politietaak noodzakelijk was;
• een schending van het autorisatiebeginsel: autorisaties zijn niet beperkt geweest tot medewerkers die deze daadwerkelijk nodig hadden; en,
• onvoldoende technische en organisatorische maatregelen: het systeem heeft onvoldoende verhinderd dat onbevoegde medewerkers toegang konden krijgen.

Wat de vervolgstappen zijn, moet nog blijken. Er worden in ieder geval gesprekken gevoerd met de 1.700 politieambtenaren die de gegevens hebben geraadpleegd. Deze gesprekken zijn slechts een eerste stap. 

Onder de Wpg is de korpschef verwerkingsverantwoordelijke. Dat betekent dat zij verantwoordelijk is voor:

• naleving van de Wpg; en daarmee
• het treffen van passende technische en organisatorische maatregelen; en,
• het voorkomen van ongeoorloofde toegang tot politiegegevens.

Het feit dat zoveel medewerkers zonder functionele noodzaak toegang bleken te hebben tot het dossier, duidt op een onvoldoende ingerichte autorisatiestructuur. Het is dan ook aannemelijk dat de korpschef hierin is tekortgeschoten. Zij zal moeten zorgen dat er passende maatregelen worden genomen om het beveiligingsniveau te verhogen. De Autoriteit Persoonsgegevens kan op grond van de Wpg handhavend optreden, waaronder het opleggen van een boete aan de korpschef. Of de toezichthouder daartoe daadwerkelijk zal overgaan, moet nog blijken.

Om een datalek in de toekomst te voorkomen, kan de korpschef voorbeeld nemen aan het eerdere probleem in de zorg, waarbij zorgmedewerkers ongeoorloofd de zorgdossiers van bekende Nederlanders inzagen. Veel zorginstellingen hebben dat probleem opgelost door deze gegevens te pseudonimiseren, zodat alleen medewerkers met een directe behandelrelatie de gegevens konden herleiden. Een dergelijke aanpak ligt ook voor de hand bij politiedossiers die bijzonder gevoelig zijn of veel maatschappelijke aandacht krijgen. Dat kan helpen om inzage zonder noodzaak aanzienlijk te beperken.

Het incident onderstreept dat hier sprake is van een ernstige tekortkoming in de bescherming van politiegegevens. Dat zoveel ambtenaren zonder noodzaak inzage konden verkrijgen, laat zien dat de huidige toegangsbeperkingen onvoldoende werken. De politie – in het bijzonder de korpschef – zal daarom maatregelen moeten treffen om de toegang tot politiedossiers strenger te beperken en beter te beheersen.