WODC: Glazen privacy. Knelpuntenonderzoek uitvoering Wet politiegegevens (Wpg)

Pro Facto heeft samen met Arena Consulting onderzocht wat de verklaringen zijn voor de knelpunten rond de uitvoering en uitvoerbaarheid van de privacywetgeving die geldt voor de politie (Wet politiegegevens). Aanleiding voor het onderzoek was de constatering in 2011 dat de implementatie van de privacywetgeving bij de politie nog onvoldoende op orde was. Tevens waren er signalen vanuit de politieorganisatie dat de wet moeilijk uitvoerbaar was: complex, niet goed aansluitend bij de opgaven waar de politie voor staat en veel bureaucratie met zich meebrengend. Het onderzoek is uitgevoerd aan de hand van een uitvoerige documentenstudie een groot aantal gesprekken met politie, Openbaar Ministerie, de Koninklijke Marechaussee, bijzondere opsporingsdiensten, het ministerie van Veiligheid en Justitie, College Bescherming Persoonsgegevens (CBP), de Nationale Ombudsman, advocaten, gemeenten en regionale samenwerkingsverbanden en wetenschappers.

De belangrijkste conclusie van het onderzoek is dat niet kan worden gesproken van een absoluut slechte naleving of een onmogelijke uitvoerbaarheid. De praktijk is vooral een worsteling bij het vinden van een balans tussen het borgen van de privacy van betrokken (personen waarvan de politie gegevens verwerkt) en het effectief kunnen uitvoeren van politietaken. Uit het onderzoek komen vier verklaringen voor deze worsteling.

Verklaring 1: kenmerken van de wetgeving
De structuur van de wet sluit niet goed aan bij de organisatie en processen bij de uitoefening van politietaken. Zo zijn bewaartermijnen voor de aanpak van georganiseerde criminaliteit of de oplossing van zogenaamde coldcases waarschijnlijk te beperkt. De strikte scheiding die de wet hanteert tussen dagelijkse politietaken (surveillance, hulpverlening etc.) en opsporing (doen van onderzoek) blijkt in de praktijk ook moeilijk te maken en te organiseren. De status van gegevens is dynamisch en dat sluit niet aan bij de statische labeling in de wetgeving.

Verklaring 2: (technologische) ontwikkelingen en eisen aan de politie
Daarnaast lijkt de wetgeving niet meer goed te passen bij technologische ontwikkelingen en de plaats van informatie in de samenleving. Met name als het gaat om de beschikbaarheid van grote hoeveelheden digitale gegevens, nieuwe analyse- en opsporingsmethoden en de rol die social media spelen. Deze ontwikkelingen beteken ook dat de opgaven voor de politie zijn veranderd (internationalisering criminaliteit, opkomst cybercrime etc.).

Verklaring 3: de aanpak bij de implementatie
Daar staat tegenover dat de implementatie bij de politie ook niet de aandacht heeft gehad die nodig is geweest. De vereiste meer bedrijfsmatige borging van de (informationele) privacy heeft weinig prioriteit gehad van de politieleiding. Dit is veranderd na de landelijke aandacht voor de gebrekkige naleving en de vorming van de nationale politie. Bij de implementatie lag het accent sterk op de technisch-juridische vertaling in protocollen en ICT. Er is weinig aandacht geweest voor de cultuurverandering richting een meer bedrijfsmatige borging van de privacy.

Daarbij heeft de Wpg zelf mogelijk mede een rol gespeeld door de complexiteit bij de interpretatie en door vergaande eisen te stellen aan de inrichting van de organisatie en vooral te sturen op toezicht op de naleving van de wet en niet op de verinnerlijking van het bedrijfsmatig omgaan met privacy.

Verklaring 4: de startcondities bij de politie als geheel
Een belangrijke verstorende factor is de versnipperde ICT geweest. Toen de Wpg in 2008 in werking trad werd aangenomen dat de politie binnen afzienbare tijd over één (samenhangende) ICT-voorziening zou beschikken. Dat is niet bewaarheid waardoor de implementatie, bijvoorbeeld als het gaat om protocolleren (zoals het vastleggen van verstrekking van informatie aan derden), autorisaties (wie mag welke informatie gebruiken?) of het borgen van de kwaliteit van gegevens (juist, eenduidig, corrigeerbaar) niet goed of alleen op omslachtige wijze mogelijk was. Dit heeft samen met de complexiteit van de wet zelf en de bedrijfstechnische benadering bij de implementatie, de Wpg een bureaucratisch imago bezorgd.

Conclusie en aanbevelingen
De worsteling in de praktijk is een afspiegeling van fragiele en dynamische balans tussen het privacybelang en het belang bij de uitoefening van politietaken. Naar beide kanten toe zijn verbeteringen nodig en mogelijk. De politie zal in elk geval werk moeten maken van een goede borging van de kwaliteit van de gegevens en ook een bedrijfsmatige borging van het privacybelang in de werkprocessen (naast de ‘mores’ rond privacy). De wetgeving is aan enige revisie toe. Vooral als het gaat om de bewaartermijnen voor specifieke politietaken, de statische verwerkingsregimes die niet aansluiten bij de dynamiek van status van informatie en het terughoudender zijn wat betreft organisatie-eisen (die niet aansluiten bij de feitelijke organisatie). Daarnaast is een politieke heroverweging nodig rond de vraag of het privacybegrip in de Wpg nog wel aansluit bij de huidige maatschappelijke opvattingen over privacy en de verwachtingen die worden gesteld aan de politie.

Klik hier om het eindrapport te downloaden.

Zoeken