pagina 3 van 22 rapport wpg 2018 / rechten van de …...pagina 5 van 22 rapport wpg 2018 / rechten...
TRANSCRIPT
Pagina 3 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
Inhoudsopgave
Documentinformatie .................................................................................................................... 2
Inhoudsopgave............................................................................................................................ 2
1. Samenvatting / belangrijkste bevindingen ................................................................................ 4
2. Context .................................................................................................................................... 5 2.1. Aanleiding audit ............................................................................................................................... 5 2.2. Doelstelling van de audit en onderzoeksvraag ............................................................................... 5 2.3. Werkwijze ........................................................................................................................................ 5
2.3.1. Scope audit ............................................................................................................................ 5 2.3.2. Onderzoeksmethoden ........................................................................................................... 6 2.3.3. Normenkader ......................................................................................................................... 6 2.3.4. Relatie met andere onderzoeken .......................................................................................... 7
3. Bevindingen ............................................................................................................................. 8 3.1. Bevindingen over de organisatie ..................................................................................................... 8
3.1.1. Governance ........................................................................................................................... 9 3.1.2. Inrichting privacydesks .......................................................................................................... 9
3.2. Bevindingen Handleiding Rechten van de Betrokkene (Opzet) ................................................... 10 3.3. Bevindingen proces Rechten van de Betrokkene (Bestaan) ........................................................ 11
3.3.1. Indienen verzoek om kennisneming (stap 1) ....................................................................... 11 3.3.1. Registreren verzoek om kennisneming (stap 2) .................................................................. 12 3.3.2. Controleren juistheid verzoek om kennisneming (stap 3) ................................................... 12 3.3.3. Verzamelen politiegegevens (stap 4) .................................................................................. 13 3.3.4. Beoordelen politiegegevens (stap 5) ................................................................................... 14 3.3.5. Uitvoeren kennisneming in persoon (stap 6) ....................................................................... 15 3.3.6. Afsluiten en archiveren dossier (stap 7) .............................................................................. 16 3.3.7. Verzoeken tot wijziging ........................................................................................................ 17 3.3.8. Kosten .................................................................................................................................. 18 3.3.9. Status per eenheid .............................................................................................................. 18
4. Ondertekening ....................................................................................................................... 19
5. Managementreactie ............................................................................................................... 20
Refertes .................................................................................................................................... 21
Pagina 4 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
1. Samenvatting / belangrijkste bevindingen
Concernaudit heeft een onderzoek uitgevoerd naar onderdelen van de Wet politiegegevens (Wpg). Het
doel van het onderzoek is vaststellen in hoeverre de Politie voldoet aan de Wpg. In deze rapportage gaan
wij in op het onderdeel Rechten van de Betrokkene.
De centrale onderzoeksvraag van deze audit is:
Geeft de Politie in opzet en bestaan en werking op adequate wijze uitvoering aan de bepalingen bij of
krachtens de Wpg voor zover die betrekking hebben op Rechten van de Betrokkene?
Het antwoord op deze vraag luidt:
Op basis van de uitgevoerde werkzaamheden is het eindoordeel dat de Politie in voldoende mate uitvoering geeft aan de bepalingen bij of krachtens de Wpg voor Rechten van de Betrokkene. Voor de ‘Opzet’ is vastgesteld dat de Handleiding ‘Rechten van de Betrokkene’ in voldoende mate invulling geeft aan de bepalingen zoals die zijn opgenomen in de Wpg. Voor het ‘Bestaan’ hebben wij binnen het kader van Rechten van de Betrokkene vastgesteld dat
de privacydesks in de eenheden de te verrichten inzageactiviteiten (stap 1 t/m 7) in voldoende
mate uitvoeren overeenkomstig de Handleiding ‘Rechten van de Betrokkene’.
In figuur 1 is de landelijke status van opzet en bestaan weergegeven van de Rechten van de Betrokkene.
Figuur 1. Samenvattend oordeel.
De onderbouwing van het oordeel is opgenomen in hoofdstuk drie.
Pagina 5 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
2. Context
2.1. Aanleiding audit
Centrale en lokale overheden, uitvoeringsorganisaties, Politie en ministerie van Justitie en Veiligheid
beschikken over een grote hoeveelheid, vaak gevoelige, persoonsgegevens. De Politie verzamelt
persoonsgegevens van burgers zonder dat zij daar toestemming voor geven. Zij moeten er dan op
kunnen vertrouwen dat de overheid zich bij de verwerking van de persoonsgegevens aan de regels
houdt. Sinds januari 2008 is de Wet politiegegevens (Wpg) van kracht. In deze wet is geregeld waar de
Politie aan moet voldoen bij het verwerken van persoonsgegevens in het kader van de politietaak. Eén
van de wettelijke eisen is het periodiek (laten) uitvoeren van interne en externe audits.
De interne audit moet per jaar voor een deel van de Wpg of een deel van de organisatie worden
uitgevoerd. De voor u liggende rapportage is in dit kader gemaakt.
2.2. Doelstelling van de audit en onderzoeksvraag
De jaarlijkse interne audit heeft tot doel op systematische wijze toetsen of op adequate wijze uitvoering is
gegeven aan de bepalingen van de wet. Hiervoor heeft een beoordeling plaatsgevonden van de opzet en
bestaan van maatregelen en procedures die in naleving van de wettelijke eisen moeten voorzien. De
onderzoeksvraag voor deze audit luidt:
Geeft de Politie in opzet en bestaan en werking op adequate wijze uitvoering aan de bepalingen bij of
krachtens de Wpg voor zover die betrekking hebben op Rechten van de Betrokkene?
2.3. Werkwijze
De scope en de gehanteerde onderzoeksmethoden worden hierna toegelicht.
2.3.1. Scope audit De ‘opzet’ is het ontwerp op papier en is meestal het ‘beleid’ dat de organisatie heeft opgesteld. Dit
gebeurt vaak in de vorm van processen aangevuld met beheersingsmaatregelen met het oogmerk de
output zeker te stellen. In feite is dit de architectuur. Als de ‘opzet’ is bepaald, kan in de praktijk bij de
eenheden worden vastgesteld of de ontworpen processen en beheersingsmaatregelen daadwerkelijk
bestaan. Daarbij is het zo dat het ‘bestaan’ vaststaat als een ontworpen proces/beheersingsmaatregel
minimaal één keer heeft gewerkt. De ’ werking’ kan worden vastgesteld wanneer het bestaan over een
bepaalde periode in ogenschouw wordt genomen, meestal een periode van een jaar.
Werking is in cyclus drie niet onderzocht omdat in de audit cyclus twee 2011 - 2014 het bestaan niet is
vastgesteld. De reden hiervoor was de reorganisatie politie 2013 waarin de politie nog niet als één
organisatie functioneerde.
Volgens de Wpg heeft de interne audit betrekking op één of meer onderdelen van de wet. De audit heeft
als doel op systematische wijze toetsen, of aan de bepalingen van de wet op adequate wijze uitvoering is
gegeven.
Wij hebben tijdens interviews vastgesteld dat sinds het Vooronderzoek Hercontrole Wpg in maart 2018 geen verbeteractiviteiten binnen de organisatieonderdelen zijn afgerond op de Wpg-onderwerpen die leiden tot gedeeltelijk of geheel voldoen aan de Wpg (andere score dan rood). Voor deze onderwerpen gaan wij dan ook uit van de resultaten van de audit cyclus 2 zoals die zijn weergegeven in het rapport
privacy audit Wpg 2015 van de externe auditor de ADRi. Alleen op de onderwerpen Rechten van de
Pagina 6 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
Betrokkene en Autorisaties zijn verbeteractiviteiten volledig afgerond die mogelijk kunnen leiden tot het gedeeltelijk of volledig voldoen aan het Wpg. Dit is dan ook in de scope van de interne audit over 2018.
In dit rapport beperkt Concernaudit (CA) zich tot de bevindingen van Rechten van de Betrokkene omdat
dit onderwerp dermate omvangrijk is dat dit een eigen rapport verdient. Voor het totaalbeeld van het
gehele privacy onderzoek 2018 over naleving van de Wpg verwijzen wij naar de parallel uitgebrachte
rapport Interne audit Wpg derde cyclus 2015-2018.ii
2.3.2. Onderzoeksmethoden
Dit onderzoek is getrapt uitgevoerd. Als eerste is getoetst of de centraal vastgestelde Handleiding
Rechten van de Betrokkene in voldoende mate invulling geeft aan de wet. Vervolgens is onderzocht of de
eenheden volgens deze Handleiding werken. De optelsom van de hierdoor opgedane bevindingen geeft
het antwoord op de onderzoeksvraag.
Het onderzoek is gebaseerd op interviews en documentenstudie. Voor de interviews zijn de privacydesks
in alle eenheden bezocht en aanvullend zijn sleutelfunctionarissen gesproken; zoals de Functionaris
Gegevensbescherming, de Gegevensautoriteit, de projectleider implementatie Wpg en de voorzitter van
de stuurgroep Verbeterprogramma Wpg en IB. De belangrijkste documenten die als basis dienen voor het
onderzoek zijn uiteraard de Wpg zelf zoals deze van kracht was over geheel 2018iii en de Handleiding
‘Rechten van de Betrokkene’iv. In de Handleiding is opgenomen hoe politiemedewerkers, die betrokken
zijn bij de uitvoering van ‘Rechten van de Betrokkene’ inzageverzoeken kunnen afhandelen. Specifiek de
onderdelen kennisneming van politiegegevens (artikel 25 Wpg) en wijzigen van politiegegevens (artikel
28 Wpg).
We hebben onze opdracht uitgevoerd overeenkomstig Nederlands recht, en de NOREA Richtlijn 3000,
“Richtlijn Assurance-opdrachten door IT-auditors”. Dit vereist dat wij voldoen aan de voor ons geldende
ethische voorschriften en onze werkzaamheden zodanig plannen en uitvoeren dat een redelijke mate van
zekerheid wordt verkregen over de vraag of de interne beheersingsmaatregelen, in alle van materieel
belang zijnde aspecten, op afdoende wijze zijn opgezet en bestaan.
2.3.3. Normenkader
Generiek
Per 1 januari 2019 is de nieuwe Wpg van kracht geworden. Omdat dit onderzoek betrekking heeft op
2018 wordt het normenkader gevormd door de Wpg zoals die gedurende geheel 2018 gold.
Specifiek
Het normenkader dat is gehanteerd is gebaseerd op de handleiding ‘Rechten van de Betrokkene’. Het
doel van ‘Rechten van de Betrokkene’ is om de burger waarborgen te geven tegen ongerechtvaardigde
inbreuk(en) op zijn persoonlijke levenssfeer. Met deze handleiding, waarin ook de beleidsregel uitvoeren
‘recht op kennisneming’ is opgenomen, wordt ernaar gestreefd binnen de Politie uniform en eenduidig
naar de burgers te handelen en te communiceren conform de wet.
Criterium
Wanneer één eenheid niet voldoet aan de Wpg, dan voldoet de Politie als geheel niet aan de Wpg.
Toelichting: als een eenheid tekortkomingen heeft, dan kan dit aanleiding zijn om het oordeel negatief
voor de politie als geheel uit te laten vallen.
In de tabellen is opgenomen op welke wijze het oordeel tot stand is gekomen. Het oordeel is gebaseerd
op drie invalshoeken, het handboek voldoet aan de wet, de eenheden voeren de wet uit volgens het
handboek en de optelsom over alle eenheden waarbij de politie voldoet wanneer alle eenheden aan de
Pagina 7 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
wet voldoen. De kleur rood betekent: voldoet niet of nergens aan de bepalingen uit de Wpg. Oranje staat
voor: voldoet niet geheel, meer dan twee of meer aspecten voldoen niet. Groen wil zeggen dat het geheel
voldoet aan de bepalingen uit de Wpg zoals die gold tot 1 januari 2019. Bij meerdere indicatoren per norm
wordt een afweging gemaakt waarbij voor een groene score een licht afwijking (1 * oranje) wordt
geaccepteerd.
2.3.4. Relatie met andere onderzoeken
De interne audit moet minimaal één keer per jaar worden uitgevoerd. De voor u liggende rapportage is in
dit kader gemaakt.
De externe privacy audit wordt eens in de vier jaar verricht. De Politie heeft hiervoor de Audit Dienst Rijk
(ADR) als externe auditor gevraagd een oordeel te geven over de mate waarin de Politie voldoet aan het
naleven van de bepalingen uit de Wpg.
Het oordeel van de ADR over de tweede cyclus over de jaren 2011 tot en met 2014 luidde:
…‘Op grond van onze werkzaamheden concluderen wij dat het stelsel van maatregelen en procedures gericht op de bescherming van de politiegegevens, betrekking hebbende op de in de Wpg genoemde artikelen, naar de stand van ultimo december 2014, in opzet, bestaan en werking niet of niet geheel heeft voldaan aan de vereisten zoals genoemd in de Wpg.’…
Het eind 2017 en begin 2018 uitgevoerde jaarlijkse Vooronderzoek Hercontrole Wpg dat door CA is uitgevoerd heeft geleid tot de volgende bevindingen:
De eerste vraag was: “Welke tijdens de privacy audit cyclus 2 geconstateerde gebreken op het gebied van de ‘opzet’ conform de Wpg-bepalingen zijn per 1 maart 2017 verholpen door het Landelijk Verbeter Programma (LVP; thans Verbeterprogramma Wet Politiegegevens en Informatiebeveiliging )?”
Op basis van het verbeterrapport van het LVP en het gespreksverslag met de voorzitter LVP hebben wij vastgesteld dat een jaar na de start van het verbeterprogramma van geen enkel onderwerp alle acties zijn afgerond. Het gevolg hiervan is dat op het gebied van de ‘opzet’ geen gebreken zijn verholpen. Ten opzichte van de resultaten van de 2e auditcyclus zijn per 1 maart 2017 in ‘opzet’ alleen verbeteringen zichtbaar op het onderdeel ‘Rechten van de Betrokkene’. De beleidsproducten hiervan waren tijdens Auditcyclus 2 reeds als ‘voldoende’ bevonden. In 2016 zijn deze beleidsproducten in samenspraak met de eenheden verbeterd en door de voorzitter van de stuurgroep LVP opnieuw vastgesteld.
De tweede vraag was: “Welke tijdens de privacy audit cyclus 2 geconstateerde gebreken op het gebied van het ‘bestaan’ conform de Wpg-bepalingen zijn per 1 maart 2017 verholpen door de eenheden?”
Op het gebied van het ‘bestaan’ is van 5 eenheden vernomen dat zij van mening zijn dat het ‘bestaan’ van ‘Rechten van de Betrokkene’ gereed is voor hercontrole.
Voor de derde cyclus, die loopt van 1 januari 2015 t/m 31 december 2018, is het voornemen van de ADR
het oordeel derde kwartaal van 2019 vast te stellen. De ADR steunt hierbij op de door de Politie
aangeleverde jaarlijkse rapporten van de derde cyclus. Dit is conform afspraak en bovendien efficiënt
omdat de jaarlijkse interne onderzoeken zodanig zijn uitgevoerd dat de externe auditor hierop maximaal
kan steunen.
Pagina 8 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
3. Bevindingen
De centrale onderzoeksvraag van deze audit is:
Geeft de Politie in opzet en bestaan op adequate wijze uitvoering aan de bepalingen bij of krachtens de
Wpg voor zover die betrekking hebben op Rechten van de Betrokkene?
Deze vraag wordt beantwoord aan de hand van twee invalshoeken:
In hoeverre zijn de vereisten vanuit de Wpg in opzet aanwezig en bieden deze voldoende beheersing voor het voldoen aan de wettelijke eisen? (opzet)
In hoeverre wordt de opzet voor de Wpg gevolgd binnen de eenheden? (bestaan)
Uit het onderzoek naar de opzet blijkt dat de eerste invalshoek, waarbij de handleiding ‘Rechten van de
Betrokkene’ is getoetst aan de Wpg, voldoende beheersingsmogelijkheden biedt om te voldoen aan de
wet.
De tweede invalshoek van het onderzoek naar het werken volgens de Handleiding in de eenheden
(bestaan), geeft ook een voldoende resultaat. Uit het onderzoek blijkt dat in alle eenheden een
privacydesk is ingericht en dat deze privacydesks vragen (art 25 en art 28) van burgers binnen de
gestelde termijnen beantwoorden overeenkomstig de intentie van de wet. Er zijn soms redenen waarom
de termijn niet wordt gehaald zoals eenheidsoverschrijdende gevallen, internationale verzoeken en
uitgebreide verzoeken die meerdere personen betreffen. In deze gevallen nemen de eenheden
maatregelen.
Het antwoord op de centrale onderzoeksvraag luidt daarom:
Op basis van de uitgevoerde werkzaamheden is het eindoordeel dat de Politie in voldoende mate uitvoering geeft aan de bepalingen bij of krachtens de Wpg voor Rechten van de Betrokkene. Voor de ‘Opzet’ is vastgesteld dat de Handleiding ‘Rechten van de Betrokkene’ in voldoende mate invulling geeft aan de bepalingen zoals die zijn opgenomen in de Wpg. Voor het ‘Bestaan’ hebben wij binnen het kader van Rechten van de Betrokkene vastgesteld dat de
privacydesks in de eenheden de te verrichten inzageactiviteiten in voldoende mate uitvoeren
overeenkomstig de Handleiding ‘Rechten van de Betrokkene’.
In de paragrafen hierna vindt u de onderbouwing van de antwoorden. Voor de bevindingen is gebruik
gemaakt van de verslagen van de gehouden interviews (bestaan). Om de opzet te toetsen is vooral
gebruik gemaakt van aangeleverde documenten. Dit is specifiek aangegeven in de subparagrafen.
3.1. Bevindingen over de organisatie
Tijdens interviews is aangegeven dat ten tijde van de reorganisatie de inrichting van privacydesks niet is
meegenomen. Iedere eenheid is daarom vrij om de privacydesk naar eigen idee vorm te geven en in te
richten. In bestaan is dat terug te zien op de manier waarop de privacydesks bij de eenheden verschillend
zijn ingericht en gepositioneerd in de organisatie. De privacydesk is formeel niet ingericht (niet
opgenomen in het landelijk inrichtingsplan NP;
Risico
Het risico bestaat dat door de decentrale keuzes over de inrichting, de taken, verantwoordelijkheden en
bevoegdheden verschillend zijn vormgegeven binnen de eenheden met als gevolg dat uniform werken en
de besturing hiervan moeilijk is te realiseren.
Pagina 9 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
3.1.1. Governance
Het Verbeterplan Wet politiegegevens en Informatiebeveiliging v is door de Gegevensautoriteit (GA)
gemaakt voor de gehele politieorganisatie. De realisatie van de deelplannen is de verantwoordelijkheid
van de stuurgroep die hiertoe de programmamanager opdracht geeft. Deze stuurt op het bereiken van de
voorgestelde oplossingen. De uitvoering van de Wpg ligt bij de eenheden. Om relevant zicht op de
uitvoering te krijgen is door CA het Three Lines of Defense-model gehanteerd met een kleine toevoeging
voor de vierde en vijfde lijn.
Het Three Lines of Defense-model ziet er als volgt uit. Eerste lijnmanagement is de besturingslaag die
verantwoordelijk is voor de uitvoering van effectieve en efficiënte bedrijfsprocessen. Dit betekent voor alle
duidelijkheid dat op zowel strategisch niveau, tactisch niveau als op operationeel niveau het
lijnmanagement hiervoor verantwoordelijk is. Daarnaast is de eerste lijn verantwoordelijk voor het
ontwerpen en (eventueel) toepassen van beheersingsmaatregelen bij gebeurtenissen die deze
bedrijfsprocessen dreigen te verstoren, om hierdoor te borgen dat organisatiedoelen worden bereikt.
De tweede lijn is: ‘Control & Riskmanagement’ en de privacyfunctionarissen. Deze tweede lijn
ondersteunt de eerste lijn. De derde lijn is de interne auditfunctie die wordt uitgeoefend door Concernaudit
(CA). De Functionaris Gegevensbescherming (FG) geeft aan dat ook hij is gepositioneerd als
derdelijnsfunctie. De vierde lijn is de externe auditfunctie, die voor deze audit door de Audit Dienst Rijk
(ADR) is ingevuld. De vijfde lijn is de externe toezichthouder in de vorm van de Autoriteit
Persoonsgegevens (AP). Iedere lijn steunt op de voorliggende lijn.
De derde lijn CA zou dus moeten kunnen steunen op monitoring van gesignaleerde risico’s door de
controlfunctie. Probleem hierbij is dat de tweede lijn in onvoldoende mate voor de Wpg is ingericht bij de
Politie. In de paragraaf Visie van het document ‘Visie op Control’ is opgenomen dat Concerncontrol van
plan is een tweede lijnsfunctie in te richten. Consequentie van deze situatie is dat de eerste lijn nog niet
adequaat wordt/is ondersteund door de tweede lijn. Meerdere geïnterviewde partijen geven aan dat de
besturing hierdoor wordt bemoeilijkt terwijl de Wpg voor de Politie als gegevensverwerkende organisatie
een hygiënefactor van groot belang is. Hierdoor moet de derde lijn steunen op de eerste lijn, die alleen
verantwoordelijk is voor het richten (visie, missie en strategie) en inrichten (werken aan de organisatie).
Dit is een knelpunt.
Risico
Het risico bestaat dat eerste lijnmanagement onvoldoende (priori)tijd en aandacht geeft aan ‘Wpg
compliant werken’ omdat de tweede lijn Control, Risicomanagement en Compliance in onvoldoende mate
is ingericht terwijl deze inrichting een belangrijke voorwaarde is om te groeien in volwassenheid van
gegevensverwerking en daarbij tegelijkertijd voldoen aan de bepalingen uit de Wpg.
3.1.2. Inrichting privacydesks
Bij het opstellen van het inrichtingsplan tijdens de reorganisatie (2013) bij de vorming naar één
politiekorps is de inrichting van de privacydesks niet voorgeschreven. De eenheden mochten de inrichting
van privacydesks zelf bepalen en dat hebben zij gedaan. Het resultaat is dat de privacydesks allemaal
verschillend zijn georganiseerd.
De privacydesks zijn voor een groot deel kwetsbaar ingericht. Ongeveer de helft van de eenheden geeft
aan te werken met tijdelijke krachten. Vaak zijn dit tijdelijk tewerkgestelden (in minimaal één geval al
langer dan drie jaar), bovenformatieve medewerkers of stagiaires. Om het werk te kunnen doen, hebben
privacydeskmedewerkers soms wel en soms niet de beschikking over de poortwachtersrol om achter
‘schotten’ in de systemen te kunnen zoeken naar informatie.
Pagina 10 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
Het aantal informatieverzoeken dat wordt verwerkt, verschilt sterk. Eenheden OON en RTD zitten aan de
bovenkant met ca 4700 en 4100 verzoeken op jaarbasis. De eenheden ENN en OOB zitten aan de
onderkant van het spectrum met ca 170 en 225 verzoeken per jaar. Dit hangt samen met de verschillende
manieren van werken. ENN geeft aan alleen art 25 Wpg inzage/informatie verzoeken te behandelen.
Verzoeken die niet art 25 Wpg gerelateerd zijn, worden door de (DRIO) van de eenheid afgehandeld. In
een andere eenheid wordt het Wpg-loket gebruikt voor alleen de moeilijke gevallen, de rest gebeurt in de
basisteams.
Er zijn in basis drie modellen die door de eenheden worden gevolgd. De ‘minimale variant’ houdt in:
alleen de inzageverzoeken (art. 25) worden afgehandeld. De meest voor de hand liggende variant is: alle
inzageverzoeken en verstrekkingen worden afgehandeld. Andere eenheden committeren zich aan een
meer uitgebreid model: de ‘maximale variant’. Dat wil zeggen dat de privacydesk activiteiten uitvoert op
het vlak van:
o Inzageverzoeken;
o Verstrekkingen;
o Convenanten;
o WOB verzoeken.
In bijvoorbeeld de eenheid RTD voert de privacydesk ook de WOB-verzoeken en Verstrekkingen uit. In
2019 komt convenantenbeheer hier nog bij. In eenheid AMS is de privacydesk nog in oprichting en
ondergebracht bij Juridische Zaken, onderdeel van de sector Staf. De privacydesk i.o. bestaat alleen nog
uit een Wpg-loket, Rechten van de Betrokkene is daarin ondergebracht.
Minstens vijf eenheden maken er melding van dat de beschikbare capaciteit onvoldoende is voor het
werkaanbod.
Risico
Het risico bestaat dat de continuïteit van de afhandeling van inzageverzoeken in gevaar komt omdat de
bezetting van privacydesks grotendeels bestaat uit tijdelijke krachten. Deze medewerkers zijn geneigd te
vertrekken zodra zij een betere functie krijgen aangeboden waardoor voortdurend capaciteit- en
kennisborging in de organisatie een knelpunt is.
3.2. Bevindingen Handleiding Rechten van de Betrokkene (Opzet)
Voor het beoordelen van de opzet van Rechten van de Betrokkene is gebruik gemaakt van documenten
die door de GA beschikbaar zijn gesteld. Voor het beoordelen van de opzet zijn de Handleiding en de
modelbrieven gebruiktvi.
Voor de opzet is vastgesteld dat de Handleiding in voldoende mate invulling geeft aan de bepalingen uit
de Wpg.
Pagina 11 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
Figuur 2 In we ke mate is de Handleiding RvB in lijn met de Wpg
3.3. Bevindingen proces Rechten van de Betrokkene (Bestaan)
Het gaat erom hoe procesmatig in de Rechten van de Betrokkene wordt voorzien. In feite gaat het hier
om het ‘bestaan’ van de maatregelen om te voldoen aan de Wpg. Hiervoor is een inzageproces ingericht.
Het inzageproces omvat de volgende activiteiten:
1) Indienen verzoek om kennisneming;
2) Registreren verzoek om kennisneming;
3) Controleren juistheid verzoek om kennisneming;
4) Verzamelen politiegegevens;
5) Beoordelen politiegegevens;
6) Uitvoeren kennisneming in persoon;
7) Afsluiten en archiveren dossier.
Hierna worden alle activiteiten nader toegelicht.
3.3.1. Indienen verzoek om kennisneming (stap 1)
Iedere burger kan een verzoek om kennisneming indienen bij de Politie met de vraag welke gegevens
over hem of haar zijn geregistreerd. De eenheden hebben onderling afgesproken dat dit hoort te
gebeuren in de eenheid waar de verzoeker woont. Het verzoek mag in eigen woorden en is formatvrij.
Pagina 12 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
Een inzageverzoek moet wel schriftelijk per brief, E-mails zijn niet toegestaan. Hiervoor is een landelijk
uniforme werkwijze vastgesteld in de handleiding, paragraaf 2.3:
‘Alleen verzoeken ingediend per brief worden in behandeling genomen. ‘Een verzoek dat via e-
mail of fax binnenkomt wordt inhoudelijk niet in behandeling genomen. De Politie heeft
uitdrukkelijk de elektronische weg niet open gesteld en derhalve worden op deze wijze
binnengekomen verzoeken geweigerd (artikel 2:15 Awb).’
De uitzondering op deze regel is de Landelijke Eenheid. Hier worden veel verzoeken behandeld
afkomstig uit het buitenland die bijna altijd per mail binnenkomen. Het grote verschil met de andere
eenheden is dat de Landelijke Eenheid aanspreekpunt is voor het nationale Opsporingsregister (OPS) en
het Schengen Informatie Systeem (SIS II). In het OPS bevinden zich de signaleringen die als gevolg van
internationale rechtshulpverzoeken via INTERPOL aan onder andere Nederland zijn gestuurd en in het
SIS II zijn signaleringen opgenomen van alle 26 deelnemende landen. De achterliggende vraag is vaak:
“Ben ik gesignaleerd en kan ik veilig reizen naar Nederland?”
Verschillende eenheden geven aan dat er een standaardbrief op www.politie.nl gereed staat voor het
doen van inzageverzoeken. Deze brief hebben wij niet aangetroffen. Het probleem is dat informatie over
de Wpg op www.politie.nl voor geïnteresseerden summier en niet op eenvoudige wijze is te vinden.
Momenteel is de tendens waarneembaar dat AVG- en Wpg-verzoeken door elkaar lopen waardoor
burgers een Wpg verzoek doen op basis van een AVG-brief die ergens op internet is gevonden.
Risico
Het risico bestaat dat het vertrouwen in de Politie als gegevensverwerkende organisatie afneemt omdat
op www.politie.nl informatie voor een verzoeker (verzoek art.25 en art.28) lastig vindbaar is, waardoor
deze niet in lijn met de Wpg worden voorzien van informatie waarop deze verzoekers volgens de Wpg
recht hebben. Wij achten het risico laag omdat er alternatieve mogelijkheden zijn voor de verzoeker (o.a.
bellen, langslopen) om hier informatie over te vinden, maar de ‘klantvriendelijkheid’ op internet kan
aanzienlijk beter.
3.3.1. Registreren verzoek om kennisneming (stap 2)
Bij het merendeel van de eenheden worden binnenkomende schriftelijke verzoeken door Documentaire
Informatie Voorziening (DIV) gescand waarna de verzoeken worden gemaild naar het mailadres van de
privacydesk. Daarna verschillen de werkwijzen in de eenheden. Sommige eenheden drukken het digitale
dossier van DIV af en bewaren dit als hardcopy in een dossier (mapje); bijvoorbeeld DHG en RTD.
Andere eenheden openen op de G:\ of O:\ schijf een digitaal dossier op naam van de verzoeker.
Bijvoorbeeld in de eenheden OON en ZWB.
In het merendeel van de eenheden wordt met behulp van Excel/Outlook de werkvoorraad gemonitord en
aan termijnbewaking gedaan.
Risico
Het risico bestaat dat registreren niet volledig, tijdig en juist gebeurt. Dit risico achten wij laag omdat in het
merendeel van de eenheden een monitoringfunctie is ingericht waardoor eventuele gebreken aan het licht
komen.
3.3.2. Controleren juistheid verzoek om kennisneming (stap 3)
Het verzoek wordt beoordeeld om een schone intake te borgen; dat wil zeggen dat het verzoek voldoet
aan de voorwaarden om ingenomen te worden voor verdere behandeling. Zo moet het verzoek zijn
gedaan over en door de natuurlijke persoon zelf en het verzoek moet zijn voorzien van een kopie
Pagina 13 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
identiteitsbewijs. De verzoeker kan zich laten vertegenwoordigen door een advocaat. In dat geval moet er
tevens een machtiging zijn bijgevoegd waarin is opgenomen dat de verzoeker wordt vertegenwoordigd
door deze advocaat.
Als een kopie ID ontbreekt, dan nemen de eenheden contact op met de indiener van het verzoek. Voor
het bieden van verzuimherstel (bijv. geen ID meegezonden) wordt gebruik gemaakt van de landelijke
formatbrieven.
Bij veel verzoeken om informatie zit er meer achter dan alleen een verzoek om de eigen gegevens in te
zien. Belangrijk bij de beantwoording van het verzoek is het verhaal achter het verzoek te kennen.
Informatie kan mogelijk worden gebruikt voor geschillen (bv. met buren), echtscheidingen of andere
persoonlijke bedoelingen (bv. voogdij). Persoonsgegevens van anderen dan de verzoeker, zoals die van
buren of (ex-)partners mogen niet worden gedeeld omdat dit in strijd is met de Wpg.
Wanneer de aanvraag in orde is bevonden, wordt ter bevestiging een standaardbrief verzonden waarin
wordt verklaard dat wordt gestart met de behandeling van het verzoek. De datum aanvang van de
beantwoordingstermijn van 6 weken start op de datum waarop het verzoek ontvankelijk is.
Een groot deel van de verzoeken heeft betrekking op:
o Relaties
o Burenruzies
o Huiselijk geweld
o Echtscheidingen
o Voogdij
o Kinderen
o Onenigheid na politieoptreden
o Rouwverwerking
o Ongelukken
o Zelfmoord
o Second opinion bij bijvoorbeeld aanrijtijd discussies
Een deel van de binnengekomen verzoeken om informatie zijn geen art. 25 Wpg verzoeken maar
verzoeken om Verstrekkingen art.16-24 Wpg (het verstrekken van politiegegevens aan andere
organisaties dan Politie en Konklijke Marechaussee). Deze verzoeken worden niet overal door de
privacydesk afgedaan maar in een aantal gevallen ook door een andere afdeling bij de eenheid.
Risico
Het risico bestaat dat bij onvoldoende controle van het ID, gegevens in strijd met de Wpg aan derden
wordt gegeven. Dit risico achten wij laag omdat bij daadwerkelijke inzage nog een keer om het ID wordt
gevraagd. Soms wordt alleen de aanduiding van de schriftelijke documenten via de post verzonden. Dan
wordt niet het ID gecontroleerd. Dit gebeurt in tweede instantie alsnog als de verzoeker de onderliggende
documenten wil inzien.
3.3.3. Verzamelen politiegegevens (stap 4)
Als er mogelijk informatie bij een andere eenheid bekend is, dan wordt contact met die eenheid gezocht.
Landelijk is afgesproken dat de eenheid waar de verzoeker woont het verzoek afhandelt. In gevallen waar
de verzoeker sinds kort in een eenheid woont, wordt overleg gepleegd met de eenheid waar de verzoeker
vandaan komt.
De vraag van de verzoeker wordt zo nodig in telefonisch overleg met de verzoeker zo specifiek mogelijk
gemaakt. Dat scheelt vaak veel uitzoekwerk omdat de verzoeker soms alleen geïnteresseerd is in een
specifieke gebeurtenis. Bijvoorbeeld: “Hoe lang duurde het voordat de politie ter plaatse was?” In de regel
Pagina 14 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
raadpleegt de privacydesk-medewerker als eerste BVH, BVI-IB en Blue Spot Monitor. Uit deze systemen
kan blijken dat aanvullend onderzoek nodig is in andere systemen of bij andere eenheden.
Het verder verzamelen van politiegegevens gebeurt afhankelijk van de eenheid óf door Dienst Regionale
Informatie Organisatie (DRIO) óf Regionaal Informatie Knooppunt (RIK) of soms door de privacydesk-
medewerker zelf. In het laatste geval is het nodig dat de privacydesk-medewerker de beschikking heeft
over de raadpleegrechten van een poortwachtersrol. De poortwachter is een rol met extra
raadpleegrechten waardoor deze rol gegevens kan raadplegen die voor anderen niet (meer) zichtbaar
zijn; dit heeft te maken met de bewaartermijnen van gegevens. Wanneer dit niet het geval is en de
poortwachter zelf alle gegevens opzoekt, dan is de privacydesk afhankelijk van inspanningen van DRIO
of RIK zonder dat de privacydesk kan nagaan hoe betrouwbaar het opzoekwerk is uitgevoerd (in o.a.
Summ-IT door Team Criminele Inlichtingen) en Team Openbare Orde Inrichting (TOOI). Bij de
privacydesk is ook niet altijd bekend in welke systemen allemaal is gezocht naar politiegegevens. Ook de
aansturing van de poortwachter bij gegevens ouder dan 5 jaar wordt soms - maar niet altijd - geregeld
door DRIO. Bij het nemen van een besluit om informatie te delen met de verzoeker is dit een inbreuk op
de invulling van de eigen verantwoordelijkheid van de gemandateerde (want de gemandateerde weet niet
zeker of alle relevante gegevens ook daadwerkelijk gevonden zijn en aan hem voorgelegd).
Door de medewerker privacydesk wordt niet standaard op de O:\ schijf gezocht naar filmpjes, foto’s,
geluidsfragmenten tenzij hiervoor een bijzondere aanwijzing of vraag naar is; bijvoorbeeld in het kader
van rouwverwerking. Dit is overigens geen Wpg-aangelegenheid maar service of hulpverlening door de
politie.
Met enige regelmaat worden gegevens gevonden in de systemen die ouder zijn dan vijf jaar en daarom al
verwijderd hadden moeten zijn. In opzet is het zo dat na een jaar gegevens achter ‘het schot’ geplaatst
worden. Na vijf jaar worden immers politiegegevens verwijderd en na tien jaar worden de gegevens
vernietigd (Bewaartermijnen art.14 Wpg).
De privacydesk-medewerkers hebben niet standaard poortwachters-leesrechten waardoor de door
andere organisatieonderdelen aangeleverde gegevens niet getoetst kunnen worden op juistheid,
tijdigheid en volledigheid. Voor extra complicaties zorgen externe gegevensdragers, zoals mobiele
devices, USB sticks e.d. zowel werkgerelateerd als privé. Deze categorie wordt niet standaard
onderzocht.
Risico
Het risico bestaat dat de Politie als gegevensverwerkende organisatie reputatieschade oploopt omdat de
Politie niet in lijn met de Wpg de juiste, volledige en actuele informatie aan de verzoeker oplevert doordat
controlemogelijkheden op de aangeleverde gegevens ontbreken. Reputatie wordt in dit kader gezien als
de optelsom van ervaringen van personen en organisaties die een directe relatie hebben met de Politie.
3.3.4. Beoordelen politiegegevens (stap 5)
Bij het beoordelen van de verzamelde politiegegevens wordt vastgesteld wat wel en wat niet ter inzage
wordt gegeven aan de verzoeker. Het voorkomen van de herleidbaarheid naar natuurlijke personen uit de
ter inzage aangeboden informatie is de belangrijkste insteek, namen worden onleesbaar gemaakt.
Meestal gebeurt dit anonimiseren door een medewerker privacydesk maar bij de eenheid LIB wordt de
verkregen informatie van de CIE en de TCI door de afdelingen zelf geanonimiseerd. De belangrijkste
toegepaste werkwijzen zijn:
- Namen worden geanonimiseerd. Ook die van verbalisanten. Dienstnummers blijven wel staan
vanwege o.a. het eventueel indienen van klachten;
- Informatie over lopende zaken worden in beginsel niet gedeeld met de verzoeker want hierdoor
zouden deze zaken kunnen worden geschaad;
Pagina 15 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
- Datums worden weggehaald als deze te specifiek zijn waardoor personen herleid kunnen worden;
- Indien een ouder vraagt om de geregistreerde gegevens van een minderjarig kind, zullen zelfs de
gegevens van het eigen kind worden geanonimiseerd;
- Het blurren van video- en fotomateriaal is vaak lastig en arbeidsintensief te doen, daarom is het laten
zien van beeldmateriaal lastig omdat daar meestal ook andere personen op staan.
Bij de meeste eenheden formuleert de privacydesk het antwoord op de vraag van de verzoeker. Voor
toestemming tot deling van de informatie wordt in de regel contact opgenomen met de bron. Dat is de
eigenaar van de gegevens. De lijnmanager en eigenaar van de gegevens nemen het besluit om al dan
niet te delen met de verzoeker. Er is ook een eenheid waar de bevoegd functionaris dit besluit neemt. In
andere eenheden is het een DRIO-functionaris. Indien geen inzage kan worden gegeven, dan wordt de
weigeringsgrond aan de verzoeker meegedeeld. Dit gebeurt vaak na consultatie van Juridische Zaken of
na overleg met de privacy-adviseur Wpg.
De teamchef of het hoofd Operatien of ook wel de privacyfunctionaris tekent namens de KC de brief c.q.
het besluit waarin de verwijzingen naar de verschillende systemen zijn opgenomen met een korte
omschrijving, dus zonder feitelijke inhoud.
Risico
Het risico bestaat dat de verzamelde gegevens onjuist en onvolledig worden beoordeeld met als gevolg
dat informatie wordt gedeeld die niet gedeeld had mogen worden (onrechtmatige verstrekking). Het risico
schatten wij laag in maar desondanks verdient het aanbeveling te streven naar uniformiteit van de
processen met adequaat opgeleide medewerkers binnen de Politie.
3.3.5. Uitvoeren kennisneming in persoon (stap 6)
Wanneer het dossier compleet is, krijgt de verzoeker een landelijk ontwikkelde standaardbrief met een
overzicht waarop zijn vermeld: de identificatienummers, de incidenten en de datum. Hierna wordt de
verzoeker benaderd, soms telefonisch soms schriftelijk, om een afspraak te maken voor inzage. De
inzage vindt meestal bij de front-office plaats vanwege de veiligheid (alarmknop) en de nabijheid van
operationele collega’s. Soms hanteert een eenheid zoveel mogelijk een vaste locatie, andere eenheden
hanteren meerdere locaties waar inzage kan plaatsvinden.
Het merendeel van de eenheden begeleidt de inzage met twee personen. Dit zijn in de regel
privacydeskmedewerkers of medewerkers van het Verstrekkingenloket of de coördinator of een privacy
functionaris. In het kader van rouwverwerking is er vaak iemand bij van Forensische Opsporing (FO) of de
familiere hercheur. Eén eenheid geeft aan dat zedenzaken worden gedaan door alléén de coördinator
Zeden (NOH).
Bij aanvang wordt volgens de richtlijnen nagegaan of de persoon is, wie deze zegt dat hij is. Indien er een
metgezel (bv. advocaat, familielid) aanwezig is, moet betrokkene aangeven geen bezwaar tegen de
aanwezigheid van deze personen te hebben. De meest gehanteerde werkwijzen zijn:
Bij de inzage wordt naar de legitimatie gevraagd. Ook eventuele ‘bijzitters’ moeten zich legitimeren en
advocaten moeten hun ID (en soms hun advocatenpas kunnen) tonen;
Eerst legt de politiemedewerker de procedure uit en geeft toelichting op wat zich in het dossier kan
bevinden. Vooral komt aan de orde dat bij inzage geen informatie over derden wordt gegeven;
De afgedrukte stukken in het dossier zijn gedeeltelijk ‘gezwart’, om te voorkomen dat informatie
onbedoeld wordt gedeeld;
Er mogen geen foto’s gemaakt worden tijdens de inzage;
Aantekeningen mogen worden gemaakt. Letterlijk overschrijven mag alleen in het geval de
politiemedewerker positief oordeelt. Want mogelijk wordt het dan een Verstrekking;
10
Pagina 16 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
Betrokkenen mogen het dossier zelf inzien, zelden wordt het dossier voorgelezen (t.b.v. slecht
lezenden).
Wanneer de uitgetrokken tijd niet voldoende is, dan wordt in de regel een nieuwe afspraak gemaakt. MDN
geeft na afloop van een inzageafspraak degenen die zijn gekomen een bewijs mee dat zij op het bureau
zijn geweest. Hierop staan: datum, namen, documentnummers van wat is getoond met hierbij per
documentnummer het artikel met de eventuele weigeringsgrond, de nummers van de getoonde ID’s plus
de handtekeningen van de aanwezigen.
Risico
Het risico bestaat dat aan een natuurlijk persoon politiegegevens worden getoond welke niet getoond
hadden mogen waardoor er kans is op misbruik en/of schade voor lopende politieonderzoeken en
datalekken. Gezien de genomen beheersingsmaatregelen achten wij dit risico laag.
3.3.6. Afsluiten en archiveren dossier (stap 7)
De Wpg schrijft niet voor hoe een dossier afgesloten en gearchiveerd moet worden. Het afsluiten en
archiveren van een dossier is een activiteit die verschillend wordt opgepakt in de eenheden.
Een aantal eenheden meldt dat collega’s bij het afsluiten van het dossier worden geïnformeerd door het
aanmaken van een melding.
- ENN maakt na afloop een E63 registratie aan in BVH met als doel informeren van
politiefunctionarissen dat een verzoek is ingediend en dat dit verzoek is afgehandeld.
- Enkele andere eenheden maken in BVH een melding aan via een I90-formulier met hetzelfde doel.
- RTD heeft daarentegen de keuze gemaakt geen formulieren aan te maken.
Archivering vindt eveneens verschillend plaats. Voor zover aangegeven zijn de werkwijzen als volgt:
ENN
- Na 6 weken wordt het dossier gesloten, (afwachtend tot verstrijken van de termijn voor beroep) de correspondentie gaat naar DIV. Het digitale dossier wordt door de privacydesk zelf bewaard.
OON
- Na de inzage wordt het geanonimiseerde dossier bij DIV digitaal ingelezen en daarna vernietigd; - Het grote dossier wordt bewaard om deze op termijn in te lezen in Documentum. Het dossier zelf
wordt opgeborgen in een kluis.
MDN
- Na afloop van de inzageafspraak wordt het fysieke dossier ingescand en wordt digitaal bewaard op de afdelingsschijf;
- De eerder aan de Politie toegezonden kopieën van ID’s worden vernietigd; - De aanvraag, de bevestiging, de ingescande en getoonde documenten gaan ook in digitale vorm naar
DIV; - DIV bewaart deze ingescande documenten in digitale vorm; - De fysieke documenten worden in mappen in het afdelingsarchief 2 jaar bewaard. Daarna gaan zij
naar het archief en worden nog eens 3 jaar bewaard.
NOH
- Als de casus kan worden gesloten, dan gaan de papieren in de versnipperaar.
RTD
- Na een half jaar schoont de privacydesk het dossier op; - Besluiten worden digitaal bewaard, het fysieke dossier wordt vernietigd. Soms wordt een dossier
langer bewaard als duidelijk is dat het nog niet afgelopen is na de inzage omdat er vermoedelijk een vervolg komt.
Pagina 17 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
ZWB
Inzageverzoeken worden in digitale mapjes en fysieke dossiers opgeslagen onder documentnummer en
naam verzoeker. Twee varianten:
o Artikel 25 inzageverzoeken
o Artikel 32 Protocolplicht verstrekkingen (Verwerking op de O: \-schijf is sowieso noodzakelijk bij
gebrek van Documentum)
- Wanneer een besluit wordt gecommuniceerd aan de verzoeker dan gaat een digitale kopie naar DIV en wordt digitaal opgeslagen;
- Het fysieke dossier wordt nadat het is ingezien vernietigd. Hieraan liggen praktische redenen ten grondslag (veel ruimte). Daarnaast wordt de archiefwet gehanteerd.
OOB
- Er wordt zelfs een besluit verstuurd wanneer wordt doorverwezen naar het OM, omdat het dossier niet meer bij de Politie ligt.
LIB
- Het inzagedossier gaat direct door de versnipperaar; - Het originele dossier wordt samen met de I90 en het verslagje naar DIV gezonden ter archivering; - Het originele dossier blijft ook op de G\: schijf van de afdeling bewaard.
Risico
Het risico is dat niet wordt voldaan aan afsluit- en archiveringseisen omdat zicht op afsluiten en
archivering ontbreekt door het gebrek aan uniformiteit. Wij achten het risico laag omdat dossiers ook
digitaal worden opgeslagen en indien nodig opnieuw samengesteld kunnen worden. Desondanks verdient
het aanbeveling te streven naar uniformiteit binnen de Politie.
3.3.7. Verzoeken tot wijziging
Bij de eenheden komen de verzoeken tot verbetering, aanvulling, verwijdering of afscherming op dezelfde
manier binnen als inzageverzoeken, dus schriftelijk. Digitale verzoeken tot wijziging/verwijdering worden
afgewezen met een standaardbrief omdat wijzigingsverzoeken net als inzageverzoeken schriftelijk
moeten worden ingediend. Wijzigingsverzoeken doorlopen dezelfde zeven stappen van de Handleiding
als inzageverzoeken. Omwille van de compactheid van het rapport wordt in één subparagraaf
weergegeven waarin de afhandeling van wijzigingsverzoeken belangrijk verschilt ten opzichte van
inzageverzoeken.
Wat in de systemen is geregistreerd, is de interpretatie van de agenten. Indien een inzageverzoeker het
hier niet mee eens is kan een verzoek tot correctie worden gedaan. Dit moet schriftelijk en gemotiveerd
worden aangegeven. Het verzoek tot correctie of verwijdering komt meestal na een inzageverzoek maar
kan ook meteen worden ingediend zonder dat gegevens zijn ingezien.
Aanpassingen van de context/beleving van de wijkagent worden nooit gehonoreerd. Bovendien als het
gaat om een verklaring n.a.v. een verhoor, dan heeft de verzoeker hiervoor destijds ook getekend.
Verzoeken met betrekking tot feiten kunnen wel worden gehonoreerd. Bijvoorbeeld de verzoeker vraagt:
“Waarom staat er ‘HIV-gevaarlijk’ als medische indicatie?” Als door de Politie niet meer is te herleiden wat
de reden is van deze omschrijving, dan wordt het verzoek gehonoreerd. Meegewogen wordt of de
wijziging relevant is of niet. Indien de wijziging niet relevant is, wordt niets gewijzigd. Wanneer het om
ontactische formuleringen gaat, komt het voor dat de verbalisant wordt aangesproken.
Eén eenheid geeft aan dat, wanneer een verzoek tot correctie op grond van art 28 wordt ingediend, de
privacydeskmedewerker contact opneemt met de verbalisant. Indien de verbalisant akkoord is, worden
acties uitgezet om formuleringen via Functioneel Beheer aangepast te krijgen. Dit proces loopt volgens
een deel van de geïnterviewden niet altijd soepel. Er zijn gevallen bekend dat ondanks
Pagina 18 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
aanpassingsverzoeken de formuleringen niet zijn aangepast. Bij een andere eenheid brengt de
privacydesk de verzoeker met de verbalisant in contact met als doel uitleg en toelichting te geven. Ook
eventuele wijzigingen kunnen worden besproken. Het komt ook voor dat de privacyfunctionaris het
verzoek beoordeelt en afhandelt. Hiervoor gaat hij binnen de organisatie op zoek naar medewerkers en
schriftelijk bewijs om de bewering van de burger te onderzoeken. Als een wijzigingsverzoek wordt
afgewezen, dan kan de verzoeker naar de rechter. Twee eenheden geven aan dat beroeps- en
bezwaarschriften altijd naar Juridische Zaken gaan om deze te beoordelen en te behandelen.
Risico
Het risico is dat verzoeken tot wijzigingen ten onrechte worden gehonoreerd of afgewezen. Wij
achten dit risico laag vanwege de met elkaar samenwerkende partijen die elkaar stimuleren en
scherp houden.
3.3.8. Kosten De politie rekent geen kosten voor inzage- en of wijzigingsverzoeken.
Risico
Er zijn geen risico’s geïdentificeerd.
3.3.9. Status per eenheid
In figuur 3 is de status per eenheid inzichtelijk gemaakt. Inzichtelijk is dat het totaal oordeel ‘groen’ is.
Daarmee voldoet het onderwerp RvB aan de wet. Een aantal stappen hebben wij niet bezien omdat de
invulling geschiedt door andere organisatieonderdelen dan wij hebben onderzocht.
Figuur 3 De eenheid werkt in lijn met het handleiding
Pagina 21 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
Refertes
i privacy audit Wpg 2015 Politie; 29 oktober 2015; Kenmerk ADR 2015 1306; Auditdienst Rijk
ii Interne audit Wpg derde cyclus 2015-2018; Versie definitief, 19 september 2019; Concernaudit
iii Wet van 21 juli 2007, houdende regels inzake de verwerking van politiegegevens (Wet politiegegevens);
Staatsblad van het Koninkrijk der Nederlanden; Publicatiedatum 04-09-2007; Organisatie Ministerie van
Justitie; Datum ondertekening 21-07-2007
iv Handleiding ‘Rechten van de Betrokkene; 20 januari 2018; Vastgesteld: beleidsregel en handleiding
kennisnemen door stuurgroep Bestuursondersteuning
iv Verbeterplan Wet politiegegevens en Informatiebeveiliging Verbeterprogramma Wpg en IB’ op 5 april
2017 en aangepaste versie op 1 maart 2018 door hoofden Bestuursondersteuning
v Verbeterplan Wet politiegegevens en Informatiebeveiliging; Status definitief, maart 2016;
Gegevensautoriteit
vi Landelijk vastgestelde modelbrieven;
- 25_Modelbrief 1A_verzoek Rechten van Betrokkene.docx
- 25_Modelbrief 1B_weigeren elektronische brief.docx
- 25_Modelbrief 2A_ontvangstbevestiging.docx
- 25_Modelbrief 3A_verzuimherstel_vaststellen identiteit.docx
- 25_Modelbrief 3B_verzuimherstel_ander dan de hem betreffende.docx
- 25_Modelbrief 3C_verzuimherstel_minderjarige.docx
- 25_Modelbrief 3D_verzuimherstel_onder curatele gestelde.docx
- 25_Modelbrief 3E_verzuimherstel_nadere specificatie.docx
- 25_Modelbrief 3F_besluit_beeindigen afhandeling.docx
- 25_Modelbrief 4A_verdagen_meer tijd nodig verzamelen informatie.docx
- 25_Modelbrief 5A_besluit toekennen_geen gegevens.docx
- 25_Modelbrief 5B_besluit toekennen_toesturen overzicht.docx
- 25_Modelbrief 5C_besluit toekennen_inzage aan bureau.docx
- 25_Modelbrief 5D_besluit toekennen_inzage zonder afspraak.docx
- 25_Modelbrief 5E_besluit weigeren_afwijzen (deel) inzage.docx
- 28_Modelbrief 1A_indienen verzoek tot wijziging.docx
- 28_Modelbrief 1B_weigeren elektronische brief.docx
- 28_Modelbrief 2A_ontvangstbevestiging.docx
- 28_Modelbrief 3A_verzuimherstel_vaststellen identiteit.docx
- 28_Modelbrief 3B_verzuimherstel_ander dan de hem betreffende.docx
- 28_Modelbrief 3C_verzuimherstel_minderjarige.docx
Pagina 22 van 22 Rapport Wpg 2018 / Rechten van de Betrokkene Versie 1.0
- 28_Modelbrief 3D_verzuimherstel_onder curatele gestelde.docx
- 28_Modelbrief 3E_verzuimherstel_nadere specificatie.docx
- 28_Modelbrief 3F_besluit_beeindigen afhandeling.docx
- 28_Modelbrief 4A_mededeling uitstel en niet halen termijn.docx
- 28_Modelbrief 5A_besluit toekennen_geen gegevens.docx
- 28_Modelbrief 5B_besluit toekennen wijzging.docx
- 28_Modelbrief 5C_besluit afwijzen wijzging.docx
- 28_Modelbrief 6A_mededeling gewijzigde gegevens.docx
- 28_Modelbrief 6B_kennsigeven mededeling gewijzigde gegevens.docx