KLPD DOC Gegevensbescherming en informatiebeveiliging bij het KLPD Woensdag 22 april 2008
Beveiligingsbeleid KLPD Integraal beveiligingsbeleid KLPD Personele beveiliging Informatiebeveiliging Fysieke beveiliging Informatiebeveiligingsbeleid KLPD Menselijk gedrag Technische aspecten Beveiliging heeft tot doel de continuïteit van de bedrijfsprocessen te waarborgen op een zodanige manier, dat de professionaliteit en beheersbaarheid niet wordt belemmerd maar versterkt.
Beveiligingsbeleid KLPD Informatiebeveiligingsbeleid KLPD Algemene regels t.a.v. informatiebeveiliging o Clear screen en clear desk o Richtlijnen wachtwoorden o Beleid toegangscontrole (fysiek en logisch) o Software beleid o Informatieverstrekking o Antivirus en schadelijke software o Richtlijnen mobiel computergebruik –Niet zichtbaar in voertuigen aanwezig –Niet onbeheerd achterlaten –Versleuteling van informatie o Gebruik privé pc en digitale gegevensdragers –Verboden gebruik te maken van niet door de dienst verstrekte middelen
Informatiebeveiliging Regelgeving VIR-BI ( Voorschrift Informatiebeveiliging Rijksdienst – Bijzondere informatie ) RIP ( Regeling Informatiebeveiliging Politie ) BBNP ( Basis Beveiligingsniveau Nederlandse Politie ) o KLPD richt zich op implementatie hiervan. Wet politiegegevens Wet bescherming persoonsgegevens Verantwoordelijkheden Conform het RIP o Korpsbeheerder o Korpschef o Lijnmanager/proceseigenaar o medewerker
Informatiebeveiliging Informatiedragers Persoon (gewoon koppie) Documenten, plaatjes etc (hard-copy) Digitale bestanden (soft-copy) Rubricering van informatie Rubriceringsregeling KLPD o Openbaar (wit) o Politie intern (groen) o Politie zeer vertrouwelijk (geel) o Politie geheim (rood) o Politie zeer geheim (paars)
Informatiebeveiliging Rubricering wordt bepaald door de eigenaar Proces- of systeemeigenaar Lijnchef Opsteller Rubricering bepaalt de noodzakelijke maatregelen De rubricering moet vermeld worden Eisen aan opslag, vervoer, verstrekking enz. Wel of niet mee buiten de organisatie (thuiswerkplek) Gegevensdragers
Informatiebeveiliging Politie zeer vertrouwelijk Informatie wordt geregistreerd en van een kenmerk voorzien Medewerkers gecontroleerde toegang op individueel niveau Transport over netwerken is versleuteld Verzending per koerier vindt plaats in dubbele enveloppe Politie geheim Informatie wordt van een uniek exemplaarnummer voorzien. Het bijmaken van reproducties wordt geregistreerd. Werkruimtes dienen regelmatig te worden gecontroleerd op de aanwezigheid van afluisterapparatuur. Politie zeer geheim De identiteit van een gebruiker wordt mede vastgesteld middels token of biometrie.
Informatiebeveiliging Breed scala aan regelgeving en beleidskaders Regeling gebruik communicatiemiddelen Gedragscode verkeer Beleid en regeling thuis- en telewerk Beleid en gebruik cryptomiddelen Incidentregistratie Handboek Integrale Veiligheid 2006 Plan van aanpak voor implementatie van het beveiligingsbeleid Totale invoering 3 à 4 jaar vanaf medio diensten in een pilot (DNR en DSP) 0-meting van stand van beveiligingsniveau Checklist maatregelen BBNP en rubricering
Privacywetgeving Het KLPD en gegevensbescherming
2004: Privacyfunctionaris voor de blauwe diensten van het KLPD stap 1: bekwamen WBP / Wpolr Wat trof ik aan: dogma’s, ‘grammaticale’ niet juristen geen risicoanalyse/management Inventarisatie: Toepasselijke wet- en regelgeving Voldaan aan verplichtingen Risico’s
2005: totaal gegevensverwerkingen en onderverdeling
Gevolgen / risico’s Strafrechtelijke, bestuursrechtelijke en civielrechtelijke procesgevolgen voor verdachten/benadeelden: Strafrechtelijke, bestuursrechtelijke en civielrechtelijke vervolging en/of aansprakelijkheidstelling van het KLPD; Verspilling tijd, geld en menskracht; Samenwerking partners onder druk; Negatieve publiciteit; Politieke aandacht en negatieve publiciteit; Dalend klantenvertrouwen. het ontbreken van een reglement, protocol en andere vorm van regelgeving of het ontbreken van een melding: Niet eenduidig beantwoord aan de vragende of klagende burger, collega of overheidsinstantie onduidelijk, zwalkend of onnodig restrictief gedrag. Eerste bezoeken CBP hadden elders plaatsgevonden. 2006: risico’s geminimaliseerd!
Barp (ambtseed/belofte) (….. en de zaken, waarvan ik door mijn ambt kennis draag en die mij als geheim zijn toevertrouwd of waarvan ik het vertrouwelijke karakter moet begrijpen, niet zal openbaren aan anderen dan aan hen, aan wie ik volgens de wet of ambtshalve tot mededeling verplicht ben……….) Uitoefening politietaak – Wpolr Bestaande jurisprudentie art 2 politiewet Privacybewustwording Schendingen aanpakken maar ook oplossingen bieden
toepassingen en werkmethoden die verwantschap hebben VROS Video registratie onopvallende surveillance VCS Video Controle Systeem Ochtenglorencontroles to do: ANPR Waarom: - Klachtenprocedures - Werkafspraken - Referentiekader
Uitdagingen…….. Handhavende taken KLPD Publiek / publiek / private samenwerking morele dilemma’s: DSP WBP en Wpolr in één systeem dubbele melding / protocolleren
112 centrale KLPD, ooit bestemd voor de restbellers………………. Ter uitoefening politietaak? Kruisende informatiebelangen: Meld misdaad anoniem… getest en beproefd Opsporingstiplijn Meldpunt cybercrime Onderzoeksraad voor veiligheid LTP Horkenlijn voor burgers…..? bevoegdheden voor Misbruikbestrijding / hulpverlening in noodsituaties gelijktijdig verstrekken Wetboek van Strafvordering: Vorderen van gegevens 43 WBP, maar nu: Vragen is niet vrij Er dient gebruik gemaakt te worden van de bevoegdheden, dus vragen om vrijwillige verstrekking van de gegevens kan leiden tot bewijsuitsluiting. Beoordeling en training van medewerkers: “Meeluisterprotocol”
Ontwikkelingen: Multidisciplinaire meldkamer op nationaal niveau Rampen en crises; netcentrisch denken en werken Het delen van informatie en bundelen van systemen: PSO / Blueview ……..Stelt eisen aan autorisatiebeheer / functiebeschrijvingen Rood en groen……………… WOB
Nieuw evenwichtsinstrument privacybescherming - rechtshandhaving Van de Wet politieregisters naar de Wet politiegegevens
Wijzigingen op hoofdlijnen Einde registerbegrip en reglementering maar verwerking in processen / ketengericht Verstrekking van gesloten naar gedifferentieerd stelsel Introductie ‘bevoegd functionaris’: een taakaccent Genoemd zonder concrete invulling Kwaliteitscontrole door privacy audits
‘soort informatie’: werkprocessen - de uitvoering van de dagelijkse politietaak -de gerichte verwerking van politiegegevens bij een onderzoek in verband met de handhaving van de rechtsorde in een bepaald geval. (rechercheonderzoeken verkennende onderzoeken, BOB, coördinatieonderzoeken, grootschalig politieoptreden, voetbaltoernooien, grote demonstraties, staatsbezoeken) -gerichte verwerking van PG en inzicht in de betrokkenheid van personen bij bepaalde ernstige bedreigingen van de rechtsorde - de verdere verwerking van informatie binnen de politie. - Het beheer van informanten CIE - ondersteunende taken
Uitgangspunten Verplaatsing verantwoordelijkheid nu Wpolr en reglement (toets CBP) nu verplaatst naar de politie Zwaardere processen / meer beperkingen Belangenafweging maar nu in 30 Wpolr Privacyaudits Persoonsgegevens na een jaar als het ware achter een schot. Deze kunnen naar aanleiding van een concreet geval weer beschikbaar komen. (hit no hit) Na tien jaar verwijderen, met inachtneming van verjaringstermijnen (bevoegd functionaris)
Wpolr Gesloten verstrekkingsregime / WPG gedifferentieerd verstrekkingsregime Incidentele verstrekking Rechtstreekse verstrekking OM AIVD MIVD etc Verstrekking bij een samenwerkingsverband. Verstrekking voor wetenschappelijk onderzoek. Incidentele verstrekking: verstrekken aan personen of instanties Verstrekking bij een samenwerkingsverband (met personen en/of instanties) Zwaarwegend algemeen belang In overeenstemming met bevoegd gezag Verstrekken aan personen of instanties / Samenwerkingsverband met personen en/of instanties Doeleindenhet voorkomen en opsporen van strafbare feiten Het handhaven van de openbare orde Het verlenen van hulp aan hen die deze behoeven Het uitoefenen van toezicht op het naleven van regelgeving Vb antecendent 6:162
Vragen?