Pagina 3 van 22 Rapport Wpg 2018 / Rechten van de …...Pagina 5 van 22 Rapport Wpg 2018 / Rechten...

Pagina 3 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0

Inhoudsopgave

Documentinformatie .................................................................................................................... 2

Inhoudsopgave............................................................................................................................ 2

1. Samenvatting / belangrijkste bevindingen ................................................................................ 4

2. Context .................................................................................................................................... 5 2.1. Aanleiding audit ............................................................................................................................... 5 2.2. Doelstelling van de audit en onderzoeksvraag ............................................................................... 5 2.3. Werkwijze ........................................................................................................................................ 5

2.3.1. Scope audit ............................................................................................................................ 5 2.3.2. Onderzoeksmethoden ........................................................................................................... 6 2.3.3. Normenkader ......................................................................................................................... 6 2.3.4. Relatie met andere onderzoeken .......................................................................................... 7

3. Bevindingen ............................................................................................................................. 8 3.1. Bevindingen over de organisatie ..................................................................................................... 8

3.1.1. Governance ........................................................................................................................... 9 3.1.2. Inrichting privacydesks .......................................................................................................... 9

3.2. Bevindingen Handleiding Rechten van de Betrokkene (Opzet) ................................................... 10 3.3. Bevindingen proces Rechten van de Betrokkene (Bestaan) ........................................................ 11

3.3.1. Indienen verzoek om kennisneming (stap 1) ....................................................................... 11 3.3.1. Registreren verzoek om kennisneming (stap 2) .................................................................. 12 3.3.2. Controleren juistheid verzoek om kennisneming (stap 3) ................................................... 12 3.3.3. Verzamelen politiegegevens (stap 4) .................................................................................. 13 3.3.4. Beoordelen politiegegevens (stap 5) ................................................................................... 14 3.3.5. Uitvoeren kennisneming in persoon (stap 6) ....................................................................... 15 3.3.6. Afsluiten en archiveren dossier (stap 7) .............................................................................. 16 3.3.7. Verzoeken tot wijziging ........................................................................................................ 17 3.3.8. Kosten .................................................................................................................................. 18 3.3.9. Status per eenheid .............................................................................................................. 18

4. Ondertekening ....................................................................................................................... 19

5. Managementreactie ............................................................................................................... 20

Refertes .................................................................................................................................... 21


1. Samenvatting / belangrijkste bevindingen

Concernaudit heeft een onderzoek uitgevoerd naar onderdelen van de Wet politiegegevens (Wpg). Het

doel van het onderzoek is vaststellen in hoeverre de Politie voldoet aan de Wpg. In deze rapportage gaan

wij in op het onderdeel Rechten van de Betrokkene.

De centrale onderzoeksvraag van deze audit is:

Geeft de Politie in opzet en bestaan en werking op adequate wijze uitvoering aan de bepalingen bij of

krachtens de Wpg voor zover die betrekking hebben op Rechten van de Betrokkene?

Het antwoord op deze vraag luidt:

Op basis van de uitgevoerde werkzaamheden is het eindoordeel dat de Politie in voldoende mate uitvoering geeft aan de bepalingen bij of krachtens de Wpg voor Rechten van de Betrokkene. Voor de ‘Opzet’ is vastgesteld dat de Handleiding ‘Rechten van de Betrokkene’ in voldoende mate invulling geeft aan de bepalingen zoals die zijn opgenomen in de Wpg. Voor het ‘Bestaan’ hebben wij binnen het kader van Rechten van de Betrokkene vastgesteld dat

de privacydesks in de eenheden de te verrichten inzageactiviteiten (stap 1 t/m 7) in voldoende

mate uitvoeren overeenkomstig de Handleiding ‘Rechten van de Betrokkene’.

In figuur 1 is de landelijke status van opzet en bestaan weergegeven van de Rechten van de Betrokkene.

Figuur 1. Samenvattend oordeel.

De onderbouwing van het oordeel is opgenomen in hoofdstuk drie.


2. Context

2.1. Aanleiding audit

Centrale en lokale overheden, uitvoeringsorganisaties, Politie en ministerie van Justitie en Veiligheid

beschikken over een grote hoeveelheid, vaak gevoelige, persoonsgegevens. De Politie verzamelt

persoonsgegevens van burgers zonder dat zij daar toestemming voor geven. Zij moeten er dan op

kunnen vertrouwen dat de overheid zich bij de verwerking van de persoonsgegevens aan de regels

houdt. Sinds januari 2008 is de Wet politiegegevens (Wpg) van kracht. In deze wet is geregeld waar de

Politie aan moet voldoen bij het verwerken van persoonsgegevens in het kader van de politietaak. Eén

van de wettelijke eisen is het periodiek (laten) uitvoeren van interne en externe audits.

De interne audit moet per jaar voor een deel van de Wpg of een deel van de organisatie worden

uitgevoerd. De voor u liggende rapportage is in dit kader gemaakt.

2.2. Doelstelling van de audit en onderzoeksvraag

De jaarlijkse interne audit heeft tot doel op systematische wijze toetsen of op adequate wijze uitvoering is

gegeven aan de bepalingen van de wet. Hiervoor heeft een beoordeling plaatsgevonden van de opzet en

bestaan van maatregelen en procedures die in naleving van de wettelijke eisen moeten voorzien. De

onderzoeksvraag voor deze audit luidt:

Geeft de Politie in opzet en bestaan en werking op adequate wijze uitvoering aan de bepalingen bij of

krachtens de Wpg voor zover die betrekking hebben op Rechten van de Betrokkene?

2.3. Werkwijze

De scope en de gehanteerde onderzoeksmethoden worden hierna toegelicht.

2.3.1. Scope audit De ‘opzet’ is het ontwerp op papier en is meestal het ‘beleid’ dat de organisatie heeft opgesteld. Dit

gebeurt vaak in de vorm van processen aangevuld met beheersingsmaatregelen met het oogmerk de

output zeker te stellen. In feite is dit de architectuur. Als de ‘opzet’ is bepaald, kan in de praktijk bij de

eenheden worden vastgesteld of de ontworpen processen en beheersingsmaatregelen daadwerkelijk

bestaan. Daarbij is het zo dat het ‘bestaan’ vaststaat als een ontworpen proces/beheersingsmaatregel

minimaal één keer heeft gewerkt. De ’ werking’ kan worden vastgesteld wanneer het bestaan over een

bepaalde periode in ogenschouw wordt genomen, meestal een periode van een jaar.

Werking is in cyclus drie niet onderzocht omdat in de audit cyclus twee 2011 - 2014 het bestaan niet is

vastgesteld. De reden hiervoor was de reorganisatie politie 2013 waarin de politie nog niet als één

organisatie functioneerde.

Volgens de Wpg heeft de interne audit betrekking op één of meer onderdelen van de wet. De audit heeft

als doel op systematische wijze toetsen, of aan de bepalingen van de wet op adequate wijze uitvoering is

gegeven.

Wij hebben tijdens interviews vastgesteld dat sinds het Vooronderzoek Hercontrole Wpg in maart 2018 geen verbeteractiviteiten binnen de organisatieonderdelen zijn afgerond op de Wpg-onderwerpen die leiden tot gedeeltelijk of geheel voldoen aan de Wpg (andere score dan rood). Voor deze onderwerpen gaan wij dan ook uit van de resultaten van de audit cyclus 2 zoals die zijn weergegeven in het rapport

privacy audit Wpg 2015 van de externe auditor de ADRi. Alleen op de onderwerpen Rechten van de


Betrokkene en Autorisaties zijn verbeteractiviteiten volledig afgerond die mogelijk kunnen leiden tot het gedeeltelijk of volledig voldoen aan het Wpg. Dit is dan ook in de scope van de interne audit over 2018.

In dit rapport beperkt Concernaudit (CA) zich tot de bevindingen van Rechten van de Betrokkene omdat

dit onderwerp dermate omvangrijk is dat dit een eigen rapport verdient. Voor het totaalbeeld van het

gehele privacy onderzoek 2018 over naleving van de Wpg verwijzen wij naar de parallel uitgebrachte

rapport Interne audit Wpg derde cyclus 2015-2018.ii

2.3.2. Onderzoeksmethoden

Dit onderzoek is getrapt uitgevoerd. Als eerste is getoetst of de centraal vastgestelde Handleiding

Rechten van de Betrokkene in voldoende mate invulling geeft aan de wet. Vervolgens is onderzocht of de

eenheden volgens deze Handleiding werken. De optelsom van de hierdoor opgedane bevindingen geeft

het antwoord op de onderzoeksvraag.

Het onderzoek is gebaseerd op interviews en documentenstudie. Voor de interviews zijn de privacydesks

in alle eenheden bezocht en aanvullend zijn sleutelfunctionarissen gesproken; zoals de Functionaris

Gegevensbescherming, de Gegevensautoriteit, de projectleider implementatie Wpg en de voorzitter van

de stuurgroep Verbeterprogramma Wpg en IB. De belangrijkste documenten die als basis dienen voor het

onderzoek zijn uiteraard de Wpg zelf zoals deze van kracht was over geheel 2018iii en de Handleiding

‘Rechten van de Betrokkene’iv. In de Handleiding is opgenomen hoe politiemedewerkers, die betrokken

zijn bij de uitvoering van ‘Rechten van de Betrokkene’ inzageverzoeken kunnen afhandelen. Specifiek de

onderdelen kennisneming van politiegegevens (artikel 25 Wpg) en wijzigen van politiegegevens (artikel

28 Wpg).

We hebben onze opdracht uitgevoerd overeenkomstig Nederlands recht, en de NOREA Richtlijn 3000,

“Richtlijn Assurance-opdrachten door IT-auditors”. Dit vereist dat wij voldoen aan de voor ons geldende

ethische voorschriften en onze werkzaamheden zodanig plannen en uitvoeren dat een redelijke mate van

zekerheid wordt verkregen over de vraag of de interne beheersingsmaatregelen, in alle van materieel

belang zijnde aspecten, op afdoende wijze zijn opgezet en bestaan.

2.3.3. Normenkader

Generiek

Per 1 januari 2019 is de nieuwe Wpg van kracht geworden. Omdat dit onderzoek betrekking heeft op

2018 wordt het normenkader gevormd door de Wpg zoals die gedurende geheel 2018 gold.

Specifiek

Het normenkader dat is gehanteerd is gebaseerd op de handleiding ‘Rechten van de Betrokkene’. Het

doel van ‘Rechten van de Betrokkene’ is om de burger waarborgen te geven tegen ongerechtvaardigde

inbreuk(en) op zijn persoonlijke levenssfeer. Met deze handleiding, waarin ook de beleidsregel uitvoeren

‘recht op kennisneming’ is opgenomen, wordt ernaar gestreefd binnen de Politie uniform en eenduidig

naar de burgers te handelen en te communiceren conform de wet.

Criterium

Wanneer één eenheid niet voldoet aan de Wpg, dan voldoet de Politie als geheel niet aan de Wpg.

Toelichting: als een eenheid tekortkomingen heeft, dan kan dit aanleiding zijn om het oordeel negatief

voor de politie als geheel uit te laten vallen.

In de tabellen is opgenomen op welke wijze het oordeel tot stand is gekomen. Het oordeel is gebaseerd

op drie invalshoeken, het handboek voldoet aan de wet, de eenheden voeren de wet uit volgens het

handboek en de optelsom over alle eenheden waarbij de politie voldoet wanneer alle eenheden aan de


wet voldoen. De kleur rood betekent: voldoet niet of nergens aan de bepalingen uit de Wpg. Oranje staat

voor: voldoet niet geheel, meer dan twee of meer aspecten voldoen niet. Groen wil zeggen dat het geheel

voldoet aan de bepalingen uit de Wpg zoals die gold tot 1 januari 2019. Bij meerdere indicatoren per norm

wordt een afweging gemaakt waarbij voor een groene score een licht afwijking (1 * oranje) wordt

geaccepteerd.

2.3.4. Relatie met andere onderzoeken

De interne audit moet minimaal één keer per jaar worden uitgevoerd. De voor u liggende rapportage is in

dit kader gemaakt.

De externe privacy audit wordt eens in de vier jaar verricht. De Politie heeft hiervoor de Audit Dienst Rijk

(ADR) als externe auditor gevraagd een oordeel te geven over de mate waarin de Politie voldoet aan het

naleven van de bepalingen uit de Wpg.

Het oordeel van de ADR over de tweede cyclus over de jaren 2011 tot en met 2014 luidde:

…‘Op grond van onze werkzaamheden concluderen wij dat het stelsel van maatregelen en procedures gericht op de bescherming van de politiegegevens, betrekking hebbende op de in de Wpg genoemde artikelen, naar de stand van ultimo december 2014, in opzet, bestaan en werking niet of niet geheel heeft voldaan aan de vereisten zoals genoemd in de Wpg.’…

Het eind 2017 en begin 2018 uitgevoerde jaarlijkse Vooronderzoek Hercontrole Wpg dat door CA is uitgevoerd heeft geleid tot de volgende bevindingen:

De eerste vraag was: “Welke tijdens de privacy audit cyclus 2 geconstateerde gebreken op het gebied van de ‘opzet’ conform de Wpg-bepalingen zijn per 1 maart 2017 verholpen door het Landelijk Verbeter Programma (LVP; thans Verbeterprogramma Wet Politiegegevens en Informatiebeveiliging )?”

Op basis van het verbeterrapport van het LVP en het gespreksverslag met de voorzitter LVP hebben wij vastgesteld dat een jaar na de start van het verbeterprogramma van geen enkel onderwerp alle acties zijn afgerond. Het gevolg hiervan is dat op het gebied van de ‘opzet’ geen gebreken zijn verholpen. Ten opzichte van de resultaten van de 2e auditcyclus zijn per 1 maart 2017 in ‘opzet’ alleen verbeteringen zichtbaar op het onderdeel ‘Rechten van de Betrokkene’. De beleidsproducten hiervan waren tijdens Auditcyclus 2 reeds als ‘voldoende’ bevonden. In 2016 zijn deze beleidsproducten in samenspraak met de eenheden verbeterd en door de voorzitter van de stuurgroep LVP opnieuw vastgesteld.

De tweede vraag was: “Welke tijdens de privacy audit cyclus 2 geconstateerde gebreken op het gebied van het ‘bestaan’ conform de Wpg-bepalingen zijn per 1 maart 2017 verholpen door de eenheden?”

Op het gebied van het ‘bestaan’ is van 5 eenheden vernomen dat zij van mening zijn dat het ‘bestaan’ van ‘Rechten van de Betrokkene’ gereed is voor hercontrole.

Voor de derde cyclus, die loopt van 1 januari 2015 t/m 31 december 2018, is het voornemen van de ADR

het oordeel derde kwartaal van 2019 vast te stellen. De ADR steunt hierbij op de door de Politie

aangeleverde jaarlijkse rapporten van de derde cyclus. Dit is conform afspraak en bovendien efficiënt

omdat de jaarlijkse interne onderzoeken zodanig zijn uitgevoerd dat de externe auditor hierop maximaal

kan steunen.


3. Bevindingen

De centrale onderzoeksvraag van deze audit is:

Geeft de Politie in opzet en bestaan op adequate wijze uitvoering aan de bepalingen bij of krachtens de

Wpg voor zover die betrekking hebben op Rechten van de Betrokkene?

Deze vraag wordt beantwoord aan de hand van twee invalshoeken:

In hoeverre zijn de vereisten vanuit de Wpg in opzet aanwezig en bieden deze voldoende beheersing voor het voldoen aan de wettelijke eisen? (opzet)

In hoeverre wordt de opzet voor de Wpg gevolgd binnen de eenheden? (bestaan)

Uit het onderzoek naar de opzet blijkt dat de eerste invalshoek, waarbij de handleiding ‘Rechten van de

Betrokkene’ is getoetst aan de Wpg, voldoende beheersingsmogelijkheden biedt om te voldoen aan de

wet.

De tweede invalshoek van het onderzoek naar het werken volgens de Handleiding in de eenheden

(bestaan), geeft ook een voldoende resultaat. Uit het onderzoek blijkt dat in alle eenheden een

privacydesk is ingericht en dat deze privacydesks vragen (art 25 en art 28) van burgers binnen de

gestelde termijnen beantwoorden overeenkomstig de intentie van de wet. Er zijn soms redenen waarom

de termijn niet wordt gehaald zoals eenheidsoverschrijdende gevallen, internationale verzoeken en

uitgebreide verzoeken die meerdere personen betreffen. In deze gevallen nemen de eenheden

maatregelen.

Het antwoord op de centrale onderzoeksvraag luidt daarom:

Op basis van de uitgevoerde werkzaamheden is het eindoordeel dat de Politie in voldoende mate uitvoering geeft aan de bepalingen bij of krachtens de Wpg voor Rechten van de Betrokkene. Voor de ‘Opzet’ is vastgesteld dat de Handleiding ‘Rechten van de Betrokkene’ in voldoende mate invulling geeft aan de bepalingen zoals die zijn opgenomen in de Wpg. Voor het ‘Bestaan’ hebben wij binnen het kader van Rechten van de Betrokkene vastgesteld dat de

privacydesks in de eenheden de te verrichten inzageactiviteiten in voldoende mate uitvoeren

overeenkomstig de Handleiding ‘Rechten van de Betrokkene’.

In de paragrafen hierna vindt u de onderbouwing van de antwoorden. Voor de bevindingen is gebruik

gemaakt van de verslagen van de gehouden interviews (bestaan). Om de opzet te toetsen is vooral

gebruik gemaakt van aangeleverde documenten. Dit is specifiek aangegeven in de subparagrafen.

3.1. Bevindingen over de organisatie

Tijdens interviews is aangegeven dat ten tijde van de reorganisatie de inrichting van privacydesks niet is

meegenomen. Iedere eenheid is daarom vrij om de privacydesk naar eigen idee vorm te geven en in te

richten. In bestaan is dat terug te zien op de manier waarop de privacydesks bij de eenheden verschillend

zijn ingericht en gepositioneerd in de organisatie. De privacydesk is formeel niet ingericht (niet

opgenomen in het landelijk inrichtingsplan NP;

Risico

Het risico bestaat dat door de decentrale keuzes over de inrichting, de taken, verantwoordelijkheden en

bevoegdheden verschillend zijn vormgegeven binnen de eenheden met als gevolg dat uniform werken en

de besturing hiervan moeilijk is te realiseren.


3.1.1. Governance

Het Verbeterplan Wet politiegegevens en Informatiebeveiliging v is door de Gegevensautoriteit (GA)

gemaakt voor de gehele politieorganisatie. De realisatie van de deelplannen is de verantwoordelijkheid

van de stuurgroep die hiertoe de programmamanager opdracht geeft. Deze stuurt op het bereiken van de

voorgestelde oplossingen. De uitvoering van de Wpg ligt bij de eenheden. Om relevant zicht op de

uitvoering te krijgen is door CA het Three Lines of Defense-model gehanteerd met een kleine toevoeging

voor de vierde en vijfde lijn.

Het Three Lines of Defense-model ziet er als volgt uit. Eerste lijnmanagement is de besturingslaag die

verantwoordelijk is voor de uitvoering van effectieve en efficiënte bedrijfsprocessen. Dit betekent voor alle

duidelijkheid dat op zowel strategisch niveau, tactisch niveau als op operationeel niveau het

lijnmanagement hiervoor verantwoordelijk is. Daarnaast is de eerste lijn verantwoordelijk voor het

ontwerpen en (eventueel) toepassen van beheersingsmaatregelen bij gebeurtenissen die deze

bedrijfsprocessen dreigen te verstoren, om hierdoor te borgen dat organisatiedoelen worden bereikt.

De tweede lijn is: ‘Control & Riskmanagement’ en de privacyfunctionarissen. Deze tweede lijn

ondersteunt de eerste lijn. De derde lijn is de interne auditfunctie die wordt uitgeoefend door Concernaudit

(CA). De Functionaris Gegevensbescherming (FG) geeft aan dat ook hij is gepositioneerd als

derdelijnsfunctie. De vierde lijn is de externe auditfunctie, die voor deze audit door de Audit Dienst Rijk

(ADR) is ingevuld. De vijfde lijn is de externe toezichthouder in de vorm van de Autoriteit

Persoonsgegevens (AP). Iedere lijn steunt op de voorliggende lijn.

De derde lijn CA zou dus moeten kunnen steunen op monitoring van gesignaleerde risico’s door de

controlfunctie. Probleem hierbij is dat de tweede lijn in onvoldoende mate voor de Wpg is ingericht bij de

Politie. In de paragraaf Visie van het document ‘Visie op Control’ is opgenomen dat Concerncontrol van

plan is een tweede lijnsfunctie in te richten. Consequentie van deze situatie is dat de eerste lijn nog niet

adequaat wordt/is ondersteund door de tweede lijn. Meerdere geïnterviewde partijen geven aan dat de

besturing hierdoor wordt bemoeilijkt terwijl de Wpg voor de Politie als gegevensverwerkende organisatie

een hygiënefactor van groot belang is. Hierdoor moet de derde lijn steunen op de eerste lijn, die alleen

verantwoordelijk is voor het richten (visie, missie en strategie) en inrichten (werken aan de organisatie).

Dit is een knelpunt.

Risico

Het risico bestaat dat eerste lijnmanagement onvoldoende (priori)tijd en aandacht geeft aan ‘Wpg

compliant werken’ omdat de tweede lijn Control, Risicomanagement en Compliance in onvoldoende mate

is ingericht terwijl deze inrichting een belangrijke voorwaarde is om te groeien in volwassenheid van

gegevensverwerking en daarbij tegelijkertijd voldoen aan de bepalingen uit de Wpg.

3.1.2. Inrichting privacydesks

Bij het opstellen van het inrichtingsplan tijdens de reorganisatie (2013) bij de vorming naar één

politiekorps is de inrichting van de privacydesks niet voorgeschreven. De eenheden mochten de inrichting

van privacydesks zelf bepalen en dat hebben zij gedaan. Het resultaat is dat de privacydesks allemaal

verschillend zijn georganiseerd.

De privacydesks zijn voor een groot deel kwetsbaar ingericht. Ongeveer de helft van de eenheden geeft

aan te werken met tijdelijke krachten. Vaak zijn dit tijdelijk tewerkgestelden (in minimaal één geval al

langer dan drie jaar), bovenformatieve medewerkers of stagiaires. Om het werk te kunnen doen, hebben

privacydeskmedewerkers soms wel en soms niet de beschikking over de poortwachtersrol om achter

‘schotten’ in de systemen te kunnen zoeken naar informatie.


Het aantal informatieverzoeken dat wordt verwerkt, verschilt sterk. Eenheden OON en RTD zitten aan de

bovenkant met ca 4700 en 4100 verzoeken op jaarbasis. De eenheden ENN en OOB zitten aan de

onderkant van het spectrum met ca 170 en 225 verzoeken per jaar. Dit hangt samen met de verschillende

manieren van werken. ENN geeft aan alleen art 25 Wpg inzage/informatie verzoeken te behandelen.

Verzoeken die niet art 25 Wpg gerelateerd zijn, worden door de (DRIO) van de eenheid afgehandeld. In

een andere eenheid wordt het Wpg-loket gebruikt voor alleen de moeilijke gevallen, de rest gebeurt in de

basisteams.

Er zijn in basis drie modellen die door de eenheden worden gevolgd. De ‘minimale variant’ houdt in:

alleen de inzageverzoeken (art. 25) worden afgehandeld. De meest voor de hand liggende variant is: alle

inzageverzoeken en verstrekkingen worden afgehandeld. Andere eenheden committeren zich aan een

meer uitgebreid model: de ‘maximale variant’. Dat wil zeggen dat de privacydesk activiteiten uitvoert op

het vlak van:

o Inzageverzoeken;

o Verstrekkingen;

o Convenanten;

o WOB verzoeken.

In bijvoorbeeld de eenheid RTD voert de privacydesk ook de WOB-verzoeken en Verstrekkingen uit. In

2019 komt convenantenbeheer hier nog bij. In eenheid AMS is de privacydesk nog in oprichting en

ondergebracht bij Juridische Zaken, onderdeel van de sector Staf. De privacydesk i.o. bestaat alleen nog

uit een Wpg-loket, Rechten van de Betrokkene is daarin ondergebracht.

Minstens vijf eenheden maken er melding van dat de beschikbare capaciteit onvoldoende is voor het

werkaanbod.

Risico

Het risico bestaat dat de continuïteit van de afhandeling van inzageverzoeken in gevaar komt omdat de

bezetting van privacydesks grotendeels bestaat uit tijdelijke krachten. Deze medewerkers zijn geneigd te

vertrekken zodra zij een betere functie krijgen aangeboden waardoor voortdurend capaciteit- en

kennisborging in de organisatie een knelpunt is.

3.2. Bevindingen Handleiding Rechten van de Betrokkene (Opzet)

Voor het beoordelen van de opzet van Rechten van de Betrokkene is gebruik gemaakt van documenten

die door de GA beschikbaar zijn gesteld. Voor het beoordelen van de opzet zijn de Handleiding en de

modelbrieven gebruiktvi.

Voor de opzet is vastgesteld dat de Handleiding in voldoende mate invulling geeft aan de bepalingen uit

de Wpg.


Figuur 2 In we ke mate is de Handleiding RvB in lijn met de Wpg

3.3. Bevindingen proces Rechten van de Betrokkene (Bestaan)

Het gaat erom hoe procesmatig in de Rechten van de Betrokkene wordt voorzien. In feite gaat het hier

om het ‘bestaan’ van de maatregelen om te voldoen aan de Wpg. Hiervoor is een inzageproces ingericht.

Het inzageproces omvat de volgende activiteiten:

1) Indienen verzoek om kennisneming;

2) Registreren verzoek om kennisneming;

3) Controleren juistheid verzoek om kennisneming;

4) Verzamelen politiegegevens;

5) Beoordelen politiegegevens;

6) Uitvoeren kennisneming in persoon;

7) Afsluiten en archiveren dossier.

Hierna worden alle activiteiten nader toegelicht.

3.3.1. Indienen verzoek om kennisneming (stap 1)

Iedere burger kan een verzoek om kennisneming indienen bij de Politie met de vraag welke gegevens

over hem of haar zijn geregistreerd. De eenheden hebben onderling afgesproken dat dit hoort te

gebeuren in de eenheid waar de verzoeker woont. Het verzoek mag in eigen woorden en is formatvrij.


Een inzageverzoek moet wel schriftelijk per brief, E-mails zijn niet toegestaan. Hiervoor is een landelijk

uniforme werkwijze vastgesteld in de handleiding, paragraaf 2.3:

‘Alleen verzoeken ingediend per brief worden in behandeling genomen. ‘Een verzoek dat via e-

mail of fax binnenkomt wordt inhoudelijk niet in behandeling genomen. De Politie heeft

uitdrukkelijk de elektronische weg niet open gesteld en derhalve worden op deze wijze

binnengekomen verzoeken geweigerd (artikel 2:15 Awb).’

De uitzondering op deze regel is de Landelijke Eenheid. Hier worden veel verzoeken behandeld

afkomstig uit het buitenland die bijna altijd per mail binnenkomen. Het grote verschil met de andere

eenheden is dat de Landelijke Eenheid aanspreekpunt is voor het nationale Opsporingsregister (OPS) en

het Schengen Informatie Systeem (SIS II). In het OPS bevinden zich de signaleringen die als gevolg van

internationale rechtshulpverzoeken via INTERPOL aan onder andere Nederland zijn gestuurd en in het

SIS II zijn signaleringen opgenomen van alle 26 deelnemende landen. De achterliggende vraag is vaak:

“Ben ik gesignaleerd en kan ik veilig reizen naar Nederland?”

Verschillende eenheden geven aan dat er een standaardbrief op www.politie.nl gereed staat voor het

doen van inzageverzoeken. Deze brief hebben wij niet aangetroffen. Het probleem is dat informatie over

de Wpg op www.politie.nl voor geïnteresseerden summier en niet op eenvoudige wijze is te vinden.

Momenteel is de tendens waarneembaar dat AVG- en Wpg-verzoeken door elkaar lopen waardoor

burgers een Wpg verzoek doen op basis van een AVG-brief die ergens op internet is gevonden.

Risico

Het risico bestaat dat het vertrouwen in de Politie als gegevensverwerkende organisatie afneemt omdat

op www.politie.nl informatie voor een verzoeker (verzoek art.25 en art.28) lastig vindbaar is, waardoor

deze niet in lijn met de Wpg worden voorzien van informatie waarop deze verzoekers volgens de Wpg

recht hebben. Wij achten het risico laag omdat er alternatieve mogelijkheden zijn voor de verzoeker (o.a.

bellen, langslopen) om hier informatie over te vinden, maar de ‘klantvriendelijkheid’ op internet kan

aanzienlijk beter.

3.3.1. Registreren verzoek om kennisneming (stap 2)

Bij het merendeel van de eenheden worden binnenkomende schriftelijke verzoeken door Documentaire

Informatie Voorziening (DIV) gescand waarna de verzoeken worden gemaild naar het mailadres van de

privacydesk. Daarna verschillen de werkwijzen in de eenheden. Sommige eenheden drukken het digitale

dossier van DIV af en bewaren dit als hardcopy in een dossier (mapje); bijvoorbeeld DHG en RTD.

Andere eenheden openen op de G:\ of O:\ schijf een digitaal dossier op naam van de verzoeker.

Bijvoorbeeld in de eenheden OON en ZWB.

In het merendeel van de eenheden wordt met behulp van Excel/Outlook de werkvoorraad gemonitord en

aan termijnbewaking gedaan.

Risico

Het risico bestaat dat registreren niet volledig, tijdig en juist gebeurt. Dit risico achten wij laag omdat in het

merendeel van de eenheden een monitoringfunctie is ingericht waardoor eventuele gebreken aan het licht

komen.

3.3.2. Controleren juistheid verzoek om kennisneming (stap 3)

Het verzoek wordt beoordeeld om een schone intake te borgen; dat wil zeggen dat het verzoek voldoet

aan de voorwaarden om ingenomen te worden voor verdere behandeling. Zo moet het verzoek zijn

gedaan over en door de natuurlijke persoon zelf en het verzoek moet zijn voorzien van een kopie


identiteitsbewijs. De verzoeker kan zich laten vertegenwoordigen door een advocaat. In dat geval moet er

tevens een machtiging zijn bijgevoegd waarin is opgenomen dat de verzoeker wordt vertegenwoordigd

door deze advocaat.

Als een kopie ID ontbreekt, dan nemen de eenheden contact op met de indiener van het verzoek. Voor

het bieden van verzuimherstel (bijv. geen ID meegezonden) wordt gebruik gemaakt van de landelijke

formatbrieven.

Bij veel verzoeken om informatie zit er meer achter dan alleen een verzoek om de eigen gegevens in te

zien. Belangrijk bij de beantwoording van het verzoek is het verhaal achter het verzoek te kennen.

Informatie kan mogelijk worden gebruikt voor geschillen (bv. met buren), echtscheidingen of andere

persoonlijke bedoelingen (bv. voogdij). Persoonsgegevens van anderen dan de verzoeker, zoals die van

buren of (ex-)partners mogen niet worden gedeeld omdat dit in strijd is met de Wpg.

Wanneer de aanvraag in orde is bevonden, wordt ter bevestiging een standaardbrief verzonden waarin

wordt verklaard dat wordt gestart met de behandeling van het verzoek. De datum aanvang van de

beantwoordingstermijn van 6 weken start op de datum waarop het verzoek ontvankelijk is.

Een groot deel van de verzoeken heeft betrekking op:

o Relaties

o Burenruzies

o Huiselijk geweld

o Echtscheidingen

o Voogdij

o Kinderen

o Onenigheid na politieoptreden

o Rouwverwerking

o Ongelukken

o Zelfmoord

o Second opinion bij bijvoorbeeld aanrijtijd discussies

Een deel van de binnengekomen verzoeken om informatie zijn geen art. 25 Wpg verzoeken maar

verzoeken om Verstrekkingen art.16-24 Wpg (het verstrekken van politiegegevens aan andere

organisaties dan Politie en Konklijke Marechaussee). Deze verzoeken worden niet overal door de

privacydesk afgedaan maar in een aantal gevallen ook door een andere afdeling bij de eenheid.

Risico

Het risico bestaat dat bij onvoldoende controle van het ID, gegevens in strijd met de Wpg aan derden

wordt gegeven. Dit risico achten wij laag omdat bij daadwerkelijke inzage nog een keer om het ID wordt

gevraagd. Soms wordt alleen de aanduiding van de schriftelijke documenten via de post verzonden. Dan

wordt niet het ID gecontroleerd. Dit gebeurt in tweede instantie alsnog als de verzoeker de onderliggende

documenten wil inzien.

3.3.3. Verzamelen politiegegevens (stap 4)

Als er mogelijk informatie bij een andere eenheid bekend is, dan wordt contact met die eenheid gezocht.

Landelijk is afgesproken dat de eenheid waar de verzoeker woont het verzoek afhandelt. In gevallen waar

de verzoeker sinds kort in een eenheid woont, wordt overleg gepleegd met de eenheid waar de verzoeker

vandaan komt.

De vraag van de verzoeker wordt zo nodig in telefonisch overleg met de verzoeker zo specifiek mogelijk

gemaakt. Dat scheelt vaak veel uitzoekwerk omdat de verzoeker soms alleen geïnteresseerd is in een

specifieke gebeurtenis. Bijvoorbeeld: “Hoe lang duurde het voordat de politie ter plaatse was?” In de regel


raadpleegt de privacydesk-medewerker als eerste BVH, BVI-IB en Blue Spot Monitor. Uit deze systemen

kan blijken dat aanvullend onderzoek nodig is in andere systemen of bij andere eenheden.

Het verder verzamelen van politiegegevens gebeurt afhankelijk van de eenheid óf door Dienst Regionale

Informatie Organisatie (DRIO) óf Regionaal Informatie Knooppunt (RIK) of soms door de privacydesk-

medewerker zelf. In het laatste geval is het nodig dat de privacydesk-medewerker de beschikking heeft

over de raadpleegrechten van een poortwachtersrol. De poortwachter is een rol met extra

raadpleegrechten waardoor deze rol gegevens kan raadplegen die voor anderen niet (meer) zichtbaar

zijn; dit heeft te maken met de bewaartermijnen van gegevens. Wanneer dit niet het geval is en de

poortwachter zelf alle gegevens opzoekt, dan is de privacydesk afhankelijk van inspanningen van DRIO

of RIK zonder dat de privacydesk kan nagaan hoe betrouwbaar het opzoekwerk is uitgevoerd (in o.a.

Summ-IT door Team Criminele Inlichtingen) en Team Openbare Orde Inrichting (TOOI). Bij de

privacydesk is ook niet altijd bekend in welke systemen allemaal is gezocht naar politiegegevens. Ook de

aansturing van de poortwachter bij gegevens ouder dan 5 jaar wordt soms - maar niet altijd - geregeld

door DRIO. Bij het nemen van een besluit om informatie te delen met de verzoeker is dit een inbreuk op

de invulling van de eigen verantwoordelijkheid van de gemandateerde (want de gemandateerde weet niet

zeker of alle relevante gegevens ook daadwerkelijk gevonden zijn en aan hem voorgelegd).

Door de medewerker privacydesk wordt niet standaard op de O:\ schijf gezocht naar filmpjes, foto’s,

geluidsfragmenten tenzij hiervoor een bijzondere aanwijzing of vraag naar is; bijvoorbeeld in het kader

van rouwverwerking. Dit is overigens geen Wpg-aangelegenheid maar service of hulpverlening door de

politie.

Met enige regelmaat worden gegevens gevonden in de systemen die ouder zijn dan vijf jaar en daarom al

verwijderd hadden moeten zijn. In opzet is het zo dat na een jaar gegevens achter ‘het schot’ geplaatst

worden. Na vijf jaar worden immers politiegegevens verwijderd en na tien jaar worden de gegevens

vernietigd (Bewaartermijnen art.14 Wpg).

De privacydesk-medewerkers hebben niet standaard poortwachters-leesrechten waardoor de door

andere organisatieonderdelen aangeleverde gegevens niet getoetst kunnen worden op juistheid,

tijdigheid en volledigheid. Voor extra complicaties zorgen externe gegevensdragers, zoals mobiele

devices, USB sticks e.d. zowel werkgerelateerd als privé. Deze categorie wordt niet standaard

onderzocht.

Risico

Het risico bestaat dat de Politie als gegevensverwerkende organisatie reputatieschade oploopt omdat de

Politie niet in lijn met de Wpg de juiste, volledige en actuele informatie aan de verzoeker oplevert doordat

controlemogelijkheden op de aangeleverde gegevens ontbreken. Reputatie wordt in dit kader gezien als

de optelsom van ervaringen van personen en organisaties die een directe relatie hebben met de Politie.

3.3.4. Beoordelen politiegegevens (stap 5)

Bij het beoordelen van de verzamelde politiegegevens wordt vastgesteld wat wel en wat niet ter inzage

wordt gegeven aan de verzoeker. Het voorkomen van de herleidbaarheid naar natuurlijke personen uit de

ter inzage aangeboden informatie is de belangrijkste insteek, namen worden onleesbaar gemaakt.

Meestal gebeurt dit anonimiseren door een medewerker privacydesk maar bij de eenheid LIB wordt de

verkregen informatie van de CIE en de TCI door de afdelingen zelf geanonimiseerd. De belangrijkste

toegepaste werkwijzen zijn:

- Namen worden geanonimiseerd. Ook die van verbalisanten. Dienstnummers blijven wel staan

vanwege o.a. het eventueel indienen van klachten;

- Informatie over lopende zaken worden in beginsel niet gedeeld met de verzoeker want hierdoor

zouden deze zaken kunnen worden geschaad;


- Datums worden weggehaald als deze te specifiek zijn waardoor personen herleid kunnen worden;

- Indien een ouder vraagt om de geregistreerde gegevens van een minderjarig kind, zullen zelfs de

gegevens van het eigen kind worden geanonimiseerd;

- Het blurren van video- en fotomateriaal is vaak lastig en arbeidsintensief te doen, daarom is het laten

zien van beeldmateriaal lastig omdat daar meestal ook andere personen op staan.

Bij de meeste eenheden formuleert de privacydesk het antwoord op de vraag van de verzoeker. Voor

toestemming tot deling van de informatie wordt in de regel contact opgenomen met de bron. Dat is de

eigenaar van de gegevens. De lijnmanager en eigenaar van de gegevens nemen het besluit om al dan

niet te delen met de verzoeker. Er is ook een eenheid waar de bevoegd functionaris dit besluit neemt. In

andere eenheden is het een DRIO-functionaris. Indien geen inzage kan worden gegeven, dan wordt de

weigeringsgrond aan de verzoeker meegedeeld. Dit gebeurt vaak na consultatie van Juridische Zaken of

na overleg met de privacy-adviseur Wpg.

De teamchef of het hoofd Operatien of ook wel de privacyfunctionaris tekent namens de KC de brief c.q.

het besluit waarin de verwijzingen naar de verschillende systemen zijn opgenomen met een korte

omschrijving, dus zonder feitelijke inhoud.

Risico

Het risico bestaat dat de verzamelde gegevens onjuist en onvolledig worden beoordeeld met als gevolg

dat informatie wordt gedeeld die niet gedeeld had mogen worden (onrechtmatige verstrekking). Het risico

schatten wij laag in maar desondanks verdient het aanbeveling te streven naar uniformiteit van de

processen met adequaat opgeleide medewerkers binnen de Politie.

3.3.5. Uitvoeren kennisneming in persoon (stap 6)

Wanneer het dossier compleet is, krijgt de verzoeker een landelijk ontwikkelde standaardbrief met een

overzicht waarop zijn vermeld: de identificatienummers, de incidenten en de datum. Hierna wordt de

verzoeker benaderd, soms telefonisch soms schriftelijk, om een afspraak te maken voor inzage. De

inzage vindt meestal bij de front-office plaats vanwege de veiligheid (alarmknop) en de nabijheid van

operationele collega’s. Soms hanteert een eenheid zoveel mogelijk een vaste locatie, andere eenheden

hanteren meerdere locaties waar inzage kan plaatsvinden.

Het merendeel van de eenheden begeleidt de inzage met twee personen. Dit zijn in de regel

privacydeskmedewerkers of medewerkers van het Verstrekkingenloket of de coördinator of een privacy

functionaris. In het kader van rouwverwerking is er vaak iemand bij van Forensische Opsporing (FO) of de

familiere hercheur. Eén eenheid geeft aan dat zedenzaken worden gedaan door alléén de coördinator

Zeden (NOH).

Bij aanvang wordt volgens de richtlijnen nagegaan of de persoon is, wie deze zegt dat hij is. Indien er een

metgezel (bv. advocaat, familielid) aanwezig is, moet betrokkene aangeven geen bezwaar tegen de

aanwezigheid van deze personen te hebben. De meest gehanteerde werkwijzen zijn:

Bij de inzage wordt naar de legitimatie gevraagd. Ook eventuele ‘bijzitters’ moeten zich legitimeren en

advocaten moeten hun ID (en soms hun advocatenpas kunnen) tonen;

Eerst legt de politiemedewerker de procedure uit en geeft toelichting op wat zich in het dossier kan

bevinden. Vooral komt aan de orde dat bij inzage geen informatie over derden wordt gegeven;

De afgedrukte stukken in het dossier zijn gedeeltelijk ‘gezwart’, om te voorkomen dat informatie

onbedoeld wordt gedeeld;

Er mogen geen foto’s gemaakt worden tijdens de inzage;

Aantekeningen mogen worden gemaakt. Letterlijk overschrijven mag alleen in het geval de

politiemedewerker positief oordeelt. Want mogelijk wordt het dan een Verstrekking;

10


Betrokkenen mogen het dossier zelf inzien, zelden wordt het dossier voorgelezen (t.b.v. slecht

lezenden).

Wanneer de uitgetrokken tijd niet voldoende is, dan wordt in de regel een nieuwe afspraak gemaakt. MDN

geeft na afloop van een inzageafspraak degenen die zijn gekomen een bewijs mee dat zij op het bureau

zijn geweest. Hierop staan: datum, namen, documentnummers van wat is getoond met hierbij per

documentnummer het artikel met de eventuele weigeringsgrond, de nummers van de getoonde ID’s plus

de handtekeningen van de aanwezigen.

Risico

Het risico bestaat dat aan een natuurlijk persoon politiegegevens worden getoond welke niet getoond

hadden mogen waardoor er kans is op misbruik en/of schade voor lopende politieonderzoeken en

datalekken. Gezien de genomen beheersingsmaatregelen achten wij dit risico laag.

3.3.6. Afsluiten en archiveren dossier (stap 7)

De Wpg schrijft niet voor hoe een dossier afgesloten en gearchiveerd moet worden. Het afsluiten en

archiveren van een dossier is een activiteit die verschillend wordt opgepakt in de eenheden.

Een aantal eenheden meldt dat collega’s bij het afsluiten van het dossier worden geïnformeerd door het

aanmaken van een melding.

- ENN maakt na afloop een E63 registratie aan in BVH met als doel informeren van

politiefunctionarissen dat een verzoek is ingediend en dat dit verzoek is afgehandeld.

- Enkele andere eenheden maken in BVH een melding aan via een I90-formulier met hetzelfde doel.

- RTD heeft daarentegen de keuze gemaakt geen formulieren aan te maken.

Archivering vindt eveneens verschillend plaats. Voor zover aangegeven zijn de werkwijzen als volgt:

ENN

- Na 6 weken wordt het dossier gesloten, (afwachtend tot verstrijken van de termijn voor beroep) de correspondentie gaat naar DIV. Het digitale dossier wordt door de privacydesk zelf bewaard.

OON

- Na de inzage wordt het geanonimiseerde dossier bij DIV digitaal ingelezen en daarna vernietigd; - Het grote dossier wordt bewaard om deze op termijn in te lezen in Documentum. Het dossier zelf

wordt opgeborgen in een kluis.

MDN

- Na afloop van de inzageafspraak wordt het fysieke dossier ingescand en wordt digitaal bewaard op de afdelingsschijf;

- De eerder aan de Politie toegezonden kopieën van ID’s worden vernietigd; - De aanvraag, de bevestiging, de ingescande en getoonde documenten gaan ook in digitale vorm naar

DIV; - DIV bewaart deze ingescande documenten in digitale vorm; - De fysieke documenten worden in mappen in het afdelingsarchief 2 jaar bewaard. Daarna gaan zij

naar het archief en worden nog eens 3 jaar bewaard.

NOH

- Als de casus kan worden gesloten, dan gaan de papieren in de versnipperaar.

RTD

- Na een half jaar schoont de privacydesk het dossier op; - Besluiten worden digitaal bewaard, het fysieke dossier wordt vernietigd. Soms wordt een dossier

langer bewaard als duidelijk is dat het nog niet afgelopen is na de inzage omdat er vermoedelijk een vervolg komt.


ZWB

Inzageverzoeken worden in digitale mapjes en fysieke dossiers opgeslagen onder documentnummer en

naam verzoeker. Twee varianten:

o Artikel 25 inzageverzoeken

o Artikel 32 Protocolplicht verstrekkingen (Verwerking op de O: \-schijf is sowieso noodzakelijk bij

gebrek van Documentum)

- Wanneer een besluit wordt gecommuniceerd aan de verzoeker dan gaat een digitale kopie naar DIV en wordt digitaal opgeslagen;

- Het fysieke dossier wordt nadat het is ingezien vernietigd. Hieraan liggen praktische redenen ten grondslag (veel ruimte). Daarnaast wordt de archiefwet gehanteerd.

OOB

- Er wordt zelfs een besluit verstuurd wanneer wordt doorverwezen naar het OM, omdat het dossier niet meer bij de Politie ligt.

LIB

- Het inzagedossier gaat direct door de versnipperaar; - Het originele dossier wordt samen met de I90 en het verslagje naar DIV gezonden ter archivering; - Het originele dossier blijft ook op de G\: schijf van de afdeling bewaard.

Risico

Het risico is dat niet wordt voldaan aan afsluiten archiveringseisen omdat zicht op afsluiten en

archivering ontbreekt door het gebrek aan uniformiteit. Wij achten het risico laag omdat dossiers ook

digitaal worden opgeslagen en indien nodig opnieuw samengesteld kunnen worden. Desondanks verdient

het aanbeveling te streven naar uniformiteit binnen de Politie.

3.3.7. Verzoeken tot wijziging

Bij de eenheden komen de verzoeken tot verbetering, aanvulling, verwijdering of afscherming op dezelfde

manier binnen als inzageverzoeken, dus schriftelijk. Digitale verzoeken tot wijziging/verwijdering worden

afgewezen met een standaardbrief omdat wijzigingsverzoeken net als inzageverzoeken schriftelijk

moeten worden ingediend. Wijzigingsverzoeken doorlopen dezelfde zeven stappen van de Handleiding

als inzageverzoeken. Omwille van de compactheid van het rapport wordt in één subparagraaf

weergegeven waarin de afhandeling van wijzigingsverzoeken belangrijk verschilt ten opzichte van

inzageverzoeken.

Wat in de systemen is geregistreerd, is de interpretatie van de agenten. Indien een inzageverzoeker het

hier niet mee eens is kan een verzoek tot correctie worden gedaan. Dit moet schriftelijk en gemotiveerd

worden aangegeven. Het verzoek tot correctie of verwijdering komt meestal na een inzageverzoek maar

kan ook meteen worden ingediend zonder dat gegevens zijn ingezien.

Aanpassingen van de context/beleving van de wijkagent worden nooit gehonoreerd. Bovendien als het

gaat om een verklaring n.a.v. een verhoor, dan heeft de verzoeker hiervoor destijds ook getekend.

Verzoeken met betrekking tot feiten kunnen wel worden gehonoreerd. Bijvoorbeeld de verzoeker vraagt:

“Waarom staat er ‘HIV-gevaarlijk’ als medische indicatie?” Als door de Politie niet meer is te herleiden wat

de reden is van deze omschrijving, dan wordt het verzoek gehonoreerd. Meegewogen wordt of de

wijziging relevant is of niet. Indien de wijziging niet relevant is, wordt niets gewijzigd. Wanneer het om

ontactische formuleringen gaat, komt het voor dat de verbalisant wordt aangesproken.

Eén eenheid geeft aan dat, wanneer een verzoek tot correctie op grond van art 28 wordt ingediend, de

privacydeskmedewerker contact opneemt met de verbalisant. Indien de verbalisant akkoord is, worden

acties uitgezet om formuleringen via Functioneel Beheer aangepast te krijgen. Dit proces loopt volgens

een deel van de geïnterviewden niet altijd soepel. Er zijn gevallen bekend dat ondanks


aanpassingsverzoeken de formuleringen niet zijn aangepast. Bij een andere eenheid brengt de

privacydesk de verzoeker met de verbalisant in contact met als doel uitleg en toelichting te geven. Ook

eventuele wijzigingen kunnen worden besproken. Het komt ook voor dat de privacyfunctionaris het

verzoek beoordeelt en afhandelt. Hiervoor gaat hij binnen de organisatie op zoek naar medewerkers en

schriftelijk bewijs om de bewering van de burger te onderzoeken. Als een wijzigingsverzoek wordt

afgewezen, dan kan de verzoeker naar de rechter. Twee eenheden geven aan dat beroeps- en

bezwaarschriften altijd naar Juridische Zaken gaan om deze te beoordelen en te behandelen.

Risico

Het risico is dat verzoeken tot wijzigingen ten onrechte worden gehonoreerd of afgewezen. Wij

achten dit risico laag vanwege de met elkaar samenwerkende partijen die elkaar stimuleren en

scherp houden.

3.3.8. Kosten De politie rekent geen kosten voor inzage- en of wijzigingsverzoeken.

Risico

Er zijn geen risico’s geïdentificeerd.

3.3.9. Status per eenheid

In figuur 3 is de status per eenheid inzichtelijk gemaakt. Inzichtelijk is dat het totaal oordeel ‘groen’ is.

Daarmee voldoet het onderwerp RvB aan de wet. Een aantal stappen hebben wij niet bezien omdat de

invulling geschiedt door andere organisatieonderdelen dan wij hebben onderzocht.

Figuur 3 De eenheid werkt in lijn met het handleiding


Refertes

i privacy audit Wpg 2015 Politie; 29 oktober 2015; Kenmerk ADR 2015 1306; Auditdienst Rijk

ii Interne audit Wpg derde cyclus 2015-2018; Versie definitief, 19 september 2019; Concernaudit

iii Wet van 21 juli 2007, houdende regels inzake de verwerking van politiegegevens (Wet politiegegevens);

Staatsblad van het Koninkrijk der Nederlanden; Publicatiedatum 04-09-2007; Organisatie Ministerie van

Justitie; Datum ondertekening 21-07-2007

iv Handleiding ‘Rechten van de Betrokkene; 20 januari 2018; Vastgesteld: beleidsregel en handleiding

kennisnemen door stuurgroep Bestuursondersteuning

iv Verbeterplan Wet politiegegevens en Informatiebeveiliging Verbeterprogramma Wpg en IB’ op 5 april

2017 en aangepaste versie op 1 maart 2018 door hoofden Bestuursondersteuning

v Verbeterplan Wet politiegegevens en Informatiebeveiliging; Status definitief, maart 2016;

Gegevensautoriteit

vi Landelijk vastgestelde modelbrieven;

- 25_Modelbrief 1A_verzoek Rechten van Betrokkene.docx

- 25_Modelbrief 1B_weigeren elektronische brief.docx

- 25_Modelbrief 2A_ontvangstbevestiging.docx

- 25_Modelbrief 3A_verzuimherstel_vaststellen identiteit.docx

- 25_Modelbrief 3B_verzuimherstel_ander dan de hem betreffende.docx

- 25_Modelbrief 3C_verzuimherstel_minderjarige.docx

- 25_Modelbrief 3D_verzuimherstel_onder curatele gestelde.docx

- 25_Modelbrief 3E_verzuimherstel_nadere specificatie.docx

- 25_Modelbrief 3F_besluit_beeindigen afhandeling.docx

- 25_Modelbrief 4A_verdagen_meer tijd nodig verzamelen informatie.docx

- 25_Modelbrief 5A_besluit toekennen_geen gegevens.docx

- 25_Modelbrief 5B_besluit toekennen_toesturen overzicht.docx

- 25_Modelbrief 5C_besluit toekennen_inzage aan bureau.docx

- 25_Modelbrief 5D_besluit toekennen_inzage zonder afspraak.docx

- 25_Modelbrief 5E_besluit weigeren_afwijzen (deel) inzage.docx

- 28_Modelbrief 1A_indienen verzoek tot wijziging.docx

- 28_Modelbrief 1B_weigeren elektronische brief.docx

- 28_Modelbrief 2A_ontvangstbevestiging.docx

- 28_Modelbrief 3A_verzuimherstel_vaststellen identiteit.docx

- 28_Modelbrief 3B_verzuimherstel_ander dan de hem betreffende.docx

- 28_Modelbrief 3C_verzuimherstel_minderjarige.docx


- 28_Modelbrief 3D_verzuimherstel_onder curatele gestelde.docx

- 28_Modelbrief 3E_verzuimherstel_nadere specificatie.docx

- 28_Modelbrief 3F_besluit_beeindigen afhandeling.docx

- 28_Modelbrief 4A_mededeling uitstel en niet halen termijn.docx

- 28_Modelbrief 5A_besluit toekennen_geen gegevens.docx

- 28_Modelbrief 5B_besluit toekennen wijzging.docx

- 28_Modelbrief 5C_besluit afwijzen wijzging.docx

- 28_Modelbrief 6A_mededeling gewijzigde gegevens.docx

- 28_Modelbrief 6B_kennsigeven mededeling gewijzigde gegevens.docx

Pagina 3 van 22 Rapport Wpg 2018 / Rechten van de …...Pagina 5 van 22 Rapport Wpg 2018 / Rechten...

Documents

Transcript of Pagina 3 van 22 Rapport Wpg 2018 / Rechten van de …...Pagina 5 van 22 Rapport Wpg 2018 / Rechten...