Audit Wpg politie Brabant-Noord

DEFINITIEF I Audit Wpg politle Brabant-Noord I 13 december 2011ColofonAfzendgegevensDepartementale AuditdienstKalvermarkt 532511 CB Den HaagPostbus 203012500 EH Den Haagwww .rijksoverheid .nl/venjContactpersonendrs. D. van Ilpenhof RE CISAdrs. ing. B. Numan RO CIAsenior auditorsT 070 370 65 60wpg@minvenj.nlProjectnaamOns kenmerkAuteursAudit Wet PolitiegegevensDDS/5719710/11Jacob Hans Kingma MScSaskia van Rijn MScPagina 3 van 35

DEFINITIEF I Audit Wpg polltie Brabant-Noord 1 13 december 2011InhoudColofon 31 Assurance Verklarlng 62 Samenvatting 83 Inleiding 173.1 Algemeen 173.2 Aanleiding 173.3 Doelstelling, aard en scope van de opdracht 173.4 Afbakening 183.5 Normenkader 183.6 Beperkingen voor de privacy audit 193.7 Onderzoeksmethoden, werkwijze 193.8 Doelgroep van het rapport 194 Bevindingen 214.1 Inleiding 214.2 Verantwoordelijke (artikel l.f) 234.3 Kwaliteitsaspecten van politiegegevens (artikel 3 en 4) 244.4 Gevoelige gegevens (artikel 5) 254.5 Autorisatie (artikel 6) 254.6 Geautomatiseerd Vergelijken/In Combinatie Met Elkaar Verwerken (artikel 11) 274.7 Bewaartermijnen (artikel 14) 284.8 Ter beschikking stellen (artikel 15) 304.9 Verstrekken (artikel 16/24) 314.10 Rechten van betrokkenen (artikel 25/28) 324.11 Protocolplicht (artikel 32) 324.12 Audits (artikel 33) 334.13 Privacy functionaris (artikel 34) 344.14 Functionaris Gegevensbescherming 35Paglna 5 van 35

DEFINITIEF I Audit Wpg politle Brabant-Noord I 13 december 20111Assurance VerklaringIn het jaar 2011 heeft de Departementale Auditdienst (DAD) van het ministerievan Veiligheid en Justitie (VenJ) in opdracht van de landelijke stuurgroepimplementatie Wpg, waarin de Directeur-Generaal Politie en het KorpsbeheerdersBeraad (KBB) zijn vertegenwoordigd, privacy audits op grand van de Wetpolitiegegevens (Wpg) uitgevoerd naar de verwerkingen die in de Wpg zijnbeschreven bij de politiekorpsen. In de maand september 2011 is een privacyaudit uitgevoerd bij het korps Brabant-Noord.Deze privacy audit had tot doel op systematische wijze te toetsen of aan debepalingen van de Wpg op adequate wijze uitvoering is gegeven ten aanzien vande in de wet genoemde verwerkingen bij het korps Brabant-Noord.Dit onderzoek is uitgevoerd conform de richtlijn 3600N, 'Assurance-opdrachtenmet betrekking tot de bescherming van persoonsgegevens (privacy audits) ' vanjuni 2006, van de NIVRA en de NOREA.Op grand van onze werkzaamheden concluderen wij dat het stelsel vanmaatregelen en procedures gericht op de bescherming van depolitiegegevens, betrekking hebbende op de In de Wpg genoemde artikelenbij het korps Brabant-Noord, naar de stand van ultimo september 2011, inopzet, bestaan en werking niet volledig heeft voldaan aan de vereisten zoalsgenoemd in de Wpg.Deze conclusie Is onderworpen aan de lnherente beperkingen die elders in ditassurance-rapport zijn genoemd.Het oordeel heeft betrekking op de zogenaamde verwerkingen genoemd in deWpg. Het hierbij gehanteerde normenkader omvat de door het korpsBrabant-Noord te nemen maatregelen. Ook is gebleken dat het korpsBrabant-Noord voor het volledig kunnen voldoen aan de Wpg eisen medeafhankelijk is van besluiten die buiten het korps Brabant-Noord dienen teworden genomen, bijvoorbeeld op landelijk niveau door de minister vanVenJ, het KBB of de Raad van Korpschefs. Tekortkomingen op al dezevlakken hebben uiteindelijk geleid tot het geformuleerde oordeel.De verantwoordelijke, zijnde de korpsbeheerder van het korps Brabant-Noord, is,op grand van artikel 4 lid 1 van de Regeling Periodieke Audit Politiegegevens,verplicht blnnen drie maanden een verbeterrapport op te stellen waarin demaatregelen worden beschreven die getroffen zijn ter verbetering van de in deprivacy audit geconstateerde tekortkomingen. Op grand van artikel 4 lid 3 dienthercontrole plaats te vinden. Wij adviseren deze hercontrole te Iaten uitvoerendoor de interne auditfunctie van het korps Brabant-Noord. Het verbeterrapport ende uitgevoerde hercontrole zullen in de navolgende jaren door de privacyauditorworden beoordeeld.Pagina 6 van 35

DEFINITIEF I Audit Wpg politie Brabant-Noord I 13 december 2011Den Haag, 13 december 2011Pagina 7 van 35

DEFINITIEF I Audit Wpg politie Brabant-Noord I 13 december 20112SamenvattingHet korps Brabant-Noord heeft veel energie gestoken om in opzet uitvoering te geven aan deWpg . Op Intranet is een uitgebreid document opgenomen met verwijzingen naar diverseprocesbeschrijvingen, handrelkingen, stroomschema's en wetteksten. Het project Wpg isafgerond en het korps wil de Wpg onlosmakelijk deel uit Iaten maken van de bedrijfsvoering vande regio. Het korps heeft hiervoor in opzet maatregelen getroffen om dit te bergen.Niettemin voldoet het door ons beschouwde stelsel van maatregelen nog niet in opzet, bestaanen werking aan de vereisten van de Wpg.De bevindingen vanuit de privacy audit zijn hleronder samengevat per artikellid in volgordevan de oordeelsvorming binnen de onderscheiden thema's.Criteria:• Groen = Er wordt in hoofdlijnen voldaan aan de norm.• Oranje = Er wordt niet of niet geheel voldaan aan de norm, of er is een acceptabelactieplan.• Rood = Er wordt niet voldaan a an de norm en er is geen acceptabel actieplan.• Grijs = Niet van toepassing.Norm ·AspectBeviriding en oordeell.f3.1 t/m 3.3(8)4.1 (8)Onderscheidonderzoek DagelijksePolitietaak (8) versusBepaald geval (9)Noodzakelijkheid (8)DoelblndingRechtmatlgheidJuistheidVolledigheldDe kwaliteitsaspecten zijn opgenomen in hetdocument "WPG implementatle Opsporing Brabant­Noord". Daarnaast is een aparte instructie opgesteldvoor blauw op straat. Beide documenten zijn opIntranet te vlnden. Tljdens presentaties over de WPGIs ook aandacht besteedt aan de kwaliteltsaspecten.Voor artikel 8 verwerkingen zijnprocesbeschrijvingen aangetroffen. Met TrueBieuvindt geautomatiseerde controle plaats op deingevoerde gegevens. Echter het toezlcht op dekwaliteit van de lngevoerde gegevens Is nogonvoldoende lngeregeld.3.1 t/m 3.4(9)4.1 (9)Noodzakelijkheid (9)DoelblndlngRechtmatigheldHerkomst en wljzevan verkrijglngJulstheldNauwkeurlgVolledigheidPaglna 8 van 35Voor artikel 9 onderzoeken zljn procesbeschrijvingenaangetroffen, deze staan in de Wpg ultleg op hetIntranet. Hierin Is aandacht besteed aan dekwallteltsaspecten. Op noodzakelijkheid,volledigheld en juistheld vindt collegiale toetsingplaats. Doelbinding moet worden opgenomen In deaanmelding van een onderzoek. Een afschrifthiervan gaat naar de privacyfunctionaris.Rechercheurs moeten lnformatle waar ze geentot hebben via de infodesk 1\n\Jr"::&I,.On

DEFINmEF 1 Audit Wpg politie Brabant-Noord I 13 december 2011NormAspectBevlnding en oordeel ·Is nog onvoldoende geborgd.• Autorisatiebeheer CIE en RID.....Per 1 december 2011 zal de nieuwe werkwijze voorhet autoriseren worden ingevoegd In de vorm vande een-loketfunctie. De werkwijze van dit loket is alopgenomen In de werkinstructie. Per 1 januari 2012maakt vtsPN via Intranet de autorisaties voor aileappllcaties en de mappenstructuur realtimezichtbaar en kunnen lijnchefs, privacyfunctionaris enandere geautoriseerden de autorisatielijsten inzien.Hiermee aa dede CIE en de RID zien Jeldinggevenden zelf toeop autorisaties van eigen medewerkers vanwege devertrouwelijkheid van informanteninformatie.Functloneel beheer autoriseert aileen natoestemmlng van het hoofd CIE en RID. Dit Iscon{prm een mondelinge afspraak. .J1L32.1.cProtocolleringautorisaties32.3 voor32.1.cSewarenprotocolgegevensautorisatiesDe prc:itocolleringen van autorisaties (van artlkel 9onderioeken en externen) die via deprivacyfunctionaris gaan worden bewaard tot dat deexterne audit Is afgerond. Echter de aanvragen vanbljzondere autorisaties worden nlet geregistreerd.De privacyfunctionaris heeft een beperktesteekproef uitgevoerd op de autorlsaties en kan pasecht zijn toezichttaak ultvoeren, als hetautorisatiebeheer wordt opgeschoond. Deautorisatiebeheerder via een loket wordt per 1december 2011 lngevoerd. Aile mutaties vanautorisaties zullen vanaf die datum per persoonworden opgesiagen.• Hanteerbare lnterpretatie• Aangewezen functlonarissenOp landelljk nlveau bestaat onduidelljkheld over dedefinltle van geautomatiseerd vergelijken en Incombinatie met el·kaar verwerken. Het korps heeftwei een lrwulling gegeven aan de begrippen. Dedefinltie van deze begrippen is opgenomen in deWpg ultleg op het Intranet.Hiermee wordt voldaan n deIn de werkinstructle op Intranet staat wie welkeverwerkingen mag uitvoeren. Deze taak isvoornamelijk belegd bij de informatie coordinatorenPaglna 10 van 35. ·;•I, t •

DEFINITIEF I Audit Wpg politie Brabant-Noord I 13 december 2011Norm11.432.1.d en32.1.h32.3 voor32.1.d en32.1.h8.2 en 8.38.614.1 (8)AspectBevoegd gezagProtocollering 11.1,11.2, 11.4 en 11,5.Sewarenprotocolgegevens11.1, 11.2 11.4 en11,5.Sewarenprotocolgegevens11.5(8) verwijderen na 5jaar(8) vernietigen na 5jaar verwijderdBevlnding en oordeelEen beperkte groep analisten Is geautoriseerd voorIn combinatie met elkaar verwerken en zijn hiervooropgeleld. De aangewezen anallsten mogen natoestemming van een OvJ over onderzoeken heenverwerken.Naar aanleiding van de interne audit Is aandachtbesteed aan protocollering van geautomatiseerdvergelijken en in combinatie met elkaar verwerken.De werkinstructie Is aangepast en opgenomen In deWpg uitleg op het Intranet.Hiermee wordt deels voldaaDe operationele analyses worden opgeslagen In hetbetreffende onderzoek. De onderzoeken blnnen deafdeling analyse worden op lijsten bijgehouden. Delijsten worden per jaargang opgesteld en bewaard.De privacyfunctlonaris heeft geen overzicht van dezetype verwerkingen, maar wei toegang tot deregistraties In BVO.Hiermee wordt voldaan aan de· Protocollering van geautomatlseerd vergelijken en Incombinatie met elkaar verwerken wordt bewaard zolcmg het ondE!rzoek wordt bewaard.Hi ee wordtBVH kan gegevens na een jaar datum eersteverwerking niet achter schot zetten. In de nieuwerelease van BVH is dit wet mogelijk. Echter maakthet korps (net als andere korpsen) geen gebruik vandeze functlonaliteit op landelijk verzoek van devoorzitter van de stuurgroep Wpg.· voldaan aan de WGegevens In het oude BPS-systeem zljn tijdigverwijderd. Aileen de lnfodesk en functioneel beheerhebben toegang tot de verwijderde lnformatie inBPS. Het BVH bevat nag geen gegevens ouder dan 5jaar, omdat het systeem pas 3 jaar oud is. Demailboxen bevatten echter nag gegevens ouder dan5 jaar. Oak de gegevens opgeslagen In demappenstructuur kent nog oudere gegevens.Hiermee wordt deels voldaan aan dHet korps geeft aan dat vernietiging nlet plaats vindtconform Wpg. Het korps geeft als reden dat desystemen niet zodanlg zijn lngerlcht dat gegevensafzonderlijk gelabeld kunnen worden en als gevolgdaarvan gegevens niet afzonderlijk verwljderdkunnen worden. Daamaast komen de termljnen vanvernietiging volgeRs de Wpg nlet avereen met deverjaringstermijnen van het strafrecht. Aangezlenaileen lnfodesk bij deze gegevens kan en hlervoorge·instrueerd Is, wordt geborgd dat het korpsmet deze lnformatiePaglna 11 van 35

DEFINITIEF I Audit Wpg politle Brabant-Noord I 13 december 2011NormAsp~ct9.414.1 (9)10.6(9) verwijderen naOH plus Y2 jaar(9) vernletigen na 5jaar verwijderd(10) verwijderen na 5jaar geensubjectwaardigereglstratieKorpsen zijn afhankelijk van de terugkoppeling overde status van onderzoeken van het OM. Het korpsBrabant-Noord handelt proactief door het OMhalfjaarlijks een lijst te geven met lopende zaken ente verzoeken hier een terugkoppeling op te geven.Als het OM aangeeft dat een zaak onherroepelijk is,dan wordt de zaak in overleg met de bevoegdfunctionaris naar de artikel 14 omgeving geplaatstdoor functioneel beheer.ermee wordt voldaan aan de WHet korps geeft aan dat vernietiging niet plaats vindtconform de Wpg omdat de verjaringstermljnenvolgens het wetboek voor strafrecht en de Wpg nietovereenkomen.Hiermee wordt niet voldaan aan deBij de CIE ene de RID worden gegevens op degezamenlijke harde schijf opgeslagen in jaargangen.Op deze wijze is toezicht op Wpg-termijnenmogelljk.14.1 (10)(10) vernietigen na 5jaar verwijderd14.3Hemieuwdeverwerking32.1.e32.3 voor32.1.eProtocollering 14.3Sewarenprotocolgegevens14.3Protocolle ng van artikel 14 lid 3 (hernieuwdeverwerking) is niet opgenomen in deprocesbeschrijvingen. Wei protocollerenmedewerkers van de infodesk de aanvraag voor, hetdoel van en de toestemming stemming voor eenhernleuwde verwerking. De toestemming komtschrifteiijk binnen van de OvJ.Hiermee wordt voldaan aan deAlles wat de Infodesk verstrekt (zowellntem alsextern) wordt geprotocolleerd in BVO. Deprotocolgegevens worden bewaard zo lang deregistratie wordt bewaard.voldaa aan dePagina 12 van 35

DEFINITIEF I Audit Wpg politle Brabant-Noord 1 13 december 2011NormAspectBE!vinding en oordeelgebeurt dagelijkS blnnen een week. Aileen nett6informatie wordt ter beschikkiiig gesteld. Hlerdoorwordt de termljn van vier maanden nietoverschreden.12.6 (12) controleren envernietigen· • Codering Afspraken over coderlng is vastgelegd In deprocedure beschrijving voor onderzoeken. Middelsautorisatie kunnen onderzoeken afgeschermdworden. Een overzicht van coderlngen van delopende artikel 9 onderzoeken Is aanwezlg. Aileonderzoeken worden opgenomen in demappenstructuur met een opeenvolgend nummerwaardoor de controle geed ultvoerbaar Is. Hetnummer In de mappenstructuur is gelijk aan hetnummer van de BVO registratie. Deprivacyfunctionaris ziet periodiek toe op decoderingen en oak de functioneel beheerder vanopsporlng.• Aanwijzing Bevoegd Functio• Opleiding Bevoegd Functionaris15.2 Weigeringgrondenle bevoegd functlonarissen hebben een opleldinggevolgd tot bevoegd functionarls. De handreikingbevoegd functlonaris hebben de functionarissen tervooitiereiding op de opleiding ontvangen. Tljdens deopleidlng is de opleider aan de hand vanpraktljkvoorbeelden en jurisprudentle met dedeelnemers aan de slag gegaan. Een omschrijvingvan de taak van de bevoegd functionarls Is ookopgenomen in de Wpg ultleg op het Intranet.Hiermee wordt voldaan aanInformatle van verschillende regimes Is afgeschermddoor gebrulk van autorlsaties. Hierdoor zallnformatie opgevraagd moeten worden aan debevoegd functionaris.aan aan dePagina 13 van 35

DEFINmEF I Audit Wpg politie Brabant-Noord 1 13 december 2011NormAspectBevi!lding en oordeelverzoeken worden afgewerkt door het backoffice vande infodesk. Daarnaast verlopen verstrekkingen viade nieldkamer en biK.• Proces voor convenanten• Proces\ioor Art. 20 Beslulten• Verstrekkingenschema (regia)• Proces voor geautomatiseerdeverstrekkingEen documerii: genaa . .ljnen voorconvenanten Is opgesteld. De bevoegd functlonarlsIs verantwoordelijk voor het opstellen vanconvenanten. In een opgestelde Interne notltie'verstrekken politiegegevens aansamenwerkingsverbanden' staan de richtlijnen voorhet openstellen van een convenant. Deze Israadpleegbaar via de Wpg uitleg op het Intranet.Echter (centraal en) adequaat beheer vanconvenanten moet nog jngeregeld worden.Hie rdt deels voldaan aan deIri de procedure voor convenanten Is het procesvoor artikel 20 beslulten vormgHiermee wordt voldaan aan de ·Een beleid voor verstrekkingen is opgesteld.Structurele verstrekkingen verlopen via de Infodesk,de Meldkamer en het DIK.De artlkel 19 verstrekkingen zljn opgenomen In hetbasisdocument verstrekkingen. Het korps werkt aaneen gedetailleerdere werklnstructie voor ditonderdeel.Hiermee wordt voldaan aan deVanuit de regia vinden geen geautomatiseerdeverstrekkingen plaatst. Geautomatiseerdeverstrekkingen die plaatsvinden verlopen via de7.2Geheimhouding32 . .f32.3 voor32.1.f· PrcitocolleringverstrekkingBewareriprotocolgegevensverstrekklng• Toezicht door leidinggevenden opverstrekklngen en protocolleringIn opzet Is beschreven hoe medewerkersverstrekklngen moeten vastleggen. Echter zljn nognlet aile medewerkers bekend met de wljze waaropverstrekkingen geprotocolleerd moeten worden.Hiermee wordt deels aan deWDe protocolleringen van verstrekkingen wordenbewaard In de betreffende reglstratle tot dat dereglstratie vernletlgd Is.aan deWVoor verschiltende verstrekkingen is aangegeven inde Wpg uitleg op Intranet welke partijverantwoordelijk Is voor welke verstrekkingen. In deinterne audit Is een steekproef ultgevoerd op deprotocollerlng van verstrekkingen. Echter ervaartblauw op straat welnig sturing op het verstrekkenPaglna 14 van 35

DEFINmEF 1 Audit Wpg politie Brabant-Noord I 13 december 2011Norm ··Aspect ·Bevinding en oordeel28.1 t/m28.3kennisnemingcO"rrectieEen procesbeschrijving rechtenbetrokkene isopgesteld. Indien een betrokkene voorkomt In deregistraties van onderzoeken (artikel 9) of CIE enRID (artikel 10), moet contact opgenomen wordenmet bevoegd functionaris.Hiermee wordt voldaan aan deEen procesbeschrijvlng Is opgesteld. Ook Isopgenomen dat personen of lnstanties waaraaninformatie verstrekt Is, ingelicht moeten wordenover een wljziging.Ida32.3 voor32.1.a13.4 en32.1.bBewarenprotocolgegevensdoel onderzoekProtocollering Art. 13gegevensverzamelingenDe afsthriften van de onderzoeksaanvragen dieafgeslotEm zijn, worden door de prlvacyfunctionarlsbewaard .tot dat de externe audit Is afgerond.Openstaaride onderzoeken blijven ook na de externeaudit bewaard.32.3 voor32.1.b32.1.g32.3 voor32.1.gBewarenprotocolgegevens Art.13gegevensverzamelingenProtocolleringohrechtmatlgehandelingLijnchefs houden een overzicht blj vanonrechtmatige verwerkingen en verstrekken dezejaarlijks aan de prlvacyfunctionaris voor hetjaarverslag. Als er een vermoeden van opzet is vanonrechtmatige verwerklngen, zal Bureau InterneZaken ingeschakeld worden.Pagina 15 van 35

DEFINI11EF I Audit Wpg politie Brabant-Noord I 13 december 2011NormAspectf3evinding en oordeelGemeenschappelijke verwerkingen komen nlet voorbij het korps. Bovenregionale zaken worden dooreen bovenregionaal recherche eenheld uitgevoerd.Ook kan het voorkomen dat medewerkers van eenandere regie toegevoegd worden aan een onderzoekvan Brabant-Noord. Deze externe medewerker krijgteen autorisatie en valt daarmee onder deverantwoordelijkheld van het korps van deteamlelder van het betreffende onderzoek.RPAP 3.1RPAP 3.4RPAP 3.6Interne audit-planInterne audit-rapportHet korps heeft een interne auditor Wpg benoemd.Hlermee wordt voldaan aan de WDe interne audit ultgevoerd in 2011 Is conform hetopgestelde auditplan uitgevoerd. Doorsamenvoeging van de korpsen Brabant-Noord metBrabant Zuid-Oost meet een nleuw intern auditplanopgesteld worden.Hiermee wordt deels voIn 201i is een Interne audit Wpg uitgevoerd en derapportage Is aan ons verstrekt.,..., .... rr, .... wordt34.2Overzicht overprotocolleringJaarverslagDe privacyfunctlonaris heeft een overzlcht van deartikel 9 onderzoeken. Een overzicht van de artikel13 gegevensverzamelingen, hernieuwdeverwerklngen, geautomatiseerd vergelijken en Incomblnatie met elkaar vetwerken wordt nietbijgehouden door de privacyfunctlonaris. Wei zljnvele van deze verwerkingen vastgelegd in debetreffende registratie.Over het jaar 2009 en 2010 is een gecombineerdjaarverslag opgesteld. Wegens persoonlijkeomstandigheden heeft de privacyfunctionaris zijn· toezichtstaak neg niet geed kunnen ultvoeren. Doorgebrek aan informatie vanuit de toezlchtstaak vande privacyfunctionaris geeft het jaarverslag beperktlnzicht in de uitvoerlng van de Wpg blj het korps.Pagina 16 van 35

DEFINITIEF I Audit Wpg politie Brabant-Noord 1 13 december 2011In Ieiding3.1 AlgemeenIn opdracht van de landelijke stuurgroep Wpg, waarin de Directeur-GeneraalPolitie en het KBB zijn vertegenwoordigd, heeft de DAD van het minlsterie vanVenJ een privacy audit uitgevoerd bij het korps Brabant-Noord zoals deKorpsbeheerders deze, uit hoofde van de Wpg, twee jaar na inwerkingtreding vande wet dienen te Iaten uitvoeren (Wpg artikel 33 lid 1).De opdracht is beschreven in het document 'Plan van aanpak Audit WetPolitiegegevens' d.d. 08-09-2011 met kenmerk DAD/DDS/2011/5706209.De audit is uitgevoerd bij het korps Brabant-Noord in de maanden augustus enseptember 2011.3.2 AanleidingDe nleuwe Wpg, die op 1 januari 2008 in werking is getreden:• biedt meer armslag voor het gebruik van persoonsgegevens;• voorziet In mogelijkheden om gegevens, die voor een bepaald doel zijnverwerkt, te gebruiken voor andere doelen;• biedt meer mogelijkheden voor verstrekking van politiegegevens aan personenen instanties buiten de politiesector;• voorziet oak in waarborgen voor de burger tegen ongerechtvaardigdeinbreuken op diens persoonlijke levenssfeer.De Wpg schrijft 'de verantwoordelijke' voor om periodiek een privacy audit uit teIaten voeren op de naleving van de regels die als gevolg van die wet vantoepassing zijn op het verwerken van politiegegevens (artikel 33 lid 1). Tevensdient 'deze verantwoordelijke' tijdig opdracht te verstrekken aan eenauditinstelling om de vierjaarlijkse privacy audit uit te voeren.De DAD is voor 2011 benoemd als de externe auditor voor de audit naar deimplementatie van de WPG voor de politie. In opdracht van de stuurgroep voert deDAD de privacy audits uit bij de diverse politieonderdelen conform de RegelingPeriodieke Audit Politiegegevens en de Wet Politiegegevens. Dit betekent dat wijopzet, bestaan en waar mogelijk werking in de scope van de audit opnemen.3.3 Doelstelling, aard en scope van de opdrachtDeze privacy audit heeft tot doel op systematische wijze te toetsen of aan debepalingen van de Wpg op adequate wijze uitvoering is gegeven ten aanzien vande in de wet genoemde verwerkingen bij het politiekorps Brabant-Noord.De privacy audit leidt tot een assurance verklaring met een oordeel over degenoemde doelstelling en over de in dit rapport aangegeven thema's. Daarnaastbrengen wij de knelpunten in beeld en voorzien wij elk korps schriftelijk van advles(en overkoepelend de opdrachtgever).De privacy aud it richt zich op de opzet, het bestaan en indien van toepassing dewerklng, per ultimo september 2011, van maatregelen en procedures, waarmeePagina 17 van 35

DEFINITIEF I Audit Wpg polltle Brabant-Noord I 13 december 2011het politlekorps Brabant-Noord beoogt te voldoen aan de beheersdoelstellingen diebij of krachtens de Wpg gelden.Binnen deze audit richten wij ons (conform de artikelen van de Wpg) op devolgende thema's:• Noodzakelijkheid, rechtmatigheid en doelbinding (artikel 3)• Juistheid, volledigheid en beveiliging politiegegevens (artikel 4)• Gevoelige gegevens (artikel 5)• Autorisaties (artikel 6)• Geautomatiseerd vergelijken en in comblnatie verwerken (artikel 11)• Bewaartermijnen (artikel 14)• Ter beschikking stellen van politiegegevens (artikel 15)• Verstrekkingen (artikel 16 t/m 24)• Rechten van betrokkenen (artikel 25 t/m 31)• Protocolplicht (artikel 32)• Audits (artikel 33)• Privacyfunctionaris (artikel 34)• Functionaris gegevensbescherming (artikel 36)Deze audit richt zich op de opzet, het bestaan en waar mogelijk, de werking vande implementatie van de Wpg per politiekorps. Pas wanneer wij, tijdens hetuitvoeren van de audit bij een politiekorps, hebben geconstateerd dat de opzet enhet bestaan aan de daaraan te stellen eisen voldoen voeren wij aanvullendewerkzaamheden uit om de werking vast te stellen.3.4 AfbakeningDe audit wordt uitgevoerd aan de hand van het normenkader dat wij voor dit doelhebben opgesteld. Het normenkader beslaat de 12 them a's uit de Wpg afgezettegen de relevante wetsartikelen (artikel 8, 9, 10, 12 en 13).De audit is gericht op bovengenoemde objecten en aspecten voor zover onderverantwoordelijkheid van het politiekorps Brabant-Noord. Dit betekent dat wijgeen onderzoek hebben verricht naar door de vtsPN aan het korps Brabant-Noordgeleverde faciliteiten, voor zover de verantwoordelijkheid daarvoor is belegd bij devtsPN of bij anderen dan het korps Brabant-Noord.3.5 NormenkaderDe DAD heeft in het voortraject van deze privacy audit in 2011 een normenkaderopgesteld dat Is afgestemd met de opdrachtgever.Dit normenkader voor de privacy audit is afgeleid uit de navolgende documenten:• Wet politiegegevens, de wet van 21 juli 2007, houdende regels inzake debescherming van politiegegevens.• Beslult politiegegevens, besluit van 14 december 2007, houdende bepalingenter uitvoering van de Wet politiegegevens.• Regeling periodieke audit politiegegevens, de Regeling van de Minister vanJustitie, de Minister van Binnenlandse Zaken en de Minister van Defensie van 9december 2008, nr. 5578598/08, houdende nadere regels ten aanzien van hettoezicht op de naleving van de bij of krachtens de Wet politiegegevensgegeven voorschriften.Paglna 18 van 35

DEFINITIEF I Audit Wpg politie Brabant- Noord 1 13 december 2.0113.6 Beperkingen voor de privacy auditOnze audit is gericht op het geven van een oordeel over het stelsel vanmaatregelen en procedures met betrekking tot de aangegeven verwerkingen vanpolitiegegevens en de overige genoemde objecten.Incidentele inbreuken op het stelsel die leiden tot beschadiging van de belangenvan individuele personen of het niet naleven van de op de bescherming vanpersoonsgegevens betrekking hebbende wet- en regelgeving behoeven daaromniet altijd te zijn geconstateerd.(3. 7 Onderzoeksmethoden, werkwijzeDe privacy audit is uitgevoerd conform de richtlijnen voor het uitvoeren van EDPaud its van de Nederlandse Orde van EDP Aud itors (NOREA) .Het onderzoek is uitgevoerd door het houden van interviews onder medewerkersen leidinggevenden van het politiekorps Brabant-Noord en het OpenbaarMinisterie, deelwaarnemingen In de procesbeschrijvlngen en andersoortigedocumentatie en deelwaarnemingen in informatiesystemen.Wij hebben onze werkzaamheden uitgevoerd in de periode van 29 augustus tot enmet 22 september 2011.Het conceptrapport met bevindingen is op 10 november 2011 besproken met dekorpschef van het korps Brabant-Noord. Op 13 december 2011 is een nieuweversie voorgelegd aan de korpschef en na zijn goedkeuring is het rapport definitiefgemaakt. Het elndrapport is met inachtneming van het ontvangen commentaarvastgesteld.3.8 Doelgroep van het rapportHet auditrapport is vertrouwelijk en niet bestemd voor het maatschappelijkverkeer.Wij voeren deze audit uit in opdracht van de stuurgroep waarin hetKorpsbeheerders Beraad is vertegenwoordigd.De stuurgroep wordt voorgezeten door drs. J.J.M . Stikvoort.mr. A.F. Gaastra neemt namens Directeur-Generaal Politie deel aan de stuurgroep.drs. H.M.F. Bruls neemt namens het KBB dee! aan de stuurgroep.De specifieke doelgroep waarvoor het rapport is bestemd bestaat uit:• onze opdrachtgever zoals bovengenoemd;• de korpsbeheerder Brabant-Noord; mr. dr. A.G.J .M. Rombouts• de waarnemend korpschef Brabant-Noord; mr. A.D. Heil• de fungerend Hoofd Officier van Justitie Brabant-Noord; mr. R.P.H.G. deBeukelaer• de Privacy Functionaris; I.• de voorzitter van het College Bescherming PersoonsgegevensHet rapport mag uitsluitend met toestemming van de korpsbeheerder dan wei dekorpschef van politiekorps Brabant-Noord aan derden ter beschikking wordengesteld.Pagina 19 van 35

DEFINmEF I Audit Wpg poll tie Brabant· Noord 1 13 december 2011De opdrachtgever is verantwoordelijk voor de verspreiding, ook binnen dedoelgroep, van het rapport.Pagina 20 van 35

DEFINITIEF I Audit Wpg politie Brabant-Noord I 13 december 20114Bevindingen4.1 lnleidingDe nieuwe Wet Politiegegevens (Wpg), die op 1 januari 2008 in werking isgetreden, biedt meer armslag voor het gebruik van persoonsgegevens, voorziet inmogelijkheden om gegevens, die voor een bepaald doel zijn verwerkt, tegebruiken voor andere doelen en biedt meer mogelijkheden voor verstrekking vanpolitiegegevens aan personen en instanties buiten de politiesector. Daarnaastvoorziet de nieuwe wet in waarborgen voor de burger tegen ongerechtvaardigdeinbreuken op diens persoonlijke levenssfeer.4.1.1 Regie en doorzettingsmacht voor de Wpg impfementatieHet korps Brabant-Noord is in 2009 van start gegaan met de implementatie van deWpg. Uit een vooronderzoek in het kader van de interne audit kwam naar voren,dat de Wpg in opzet onvoldoende was ge'implementeerd binnen het korps. Dit hadals oorzaak dat er onder andere te weinig samenhang bestond tussen deverschlllende procesbeschrijvirigen in relatie tot de Wpg. De interne auditor heeftvervolgens in 2010, gezamenlijk met de afdelingshoofden, de procesbeschrijvingenschematisch volgens de Wpg opgebouwd. Op deze manier is een overzicht totstand gekomen dat de samenhang creeert tussen aile procesbeschrijvingen en deWpg.In 2011 is een interne audit Wpg bij het korps uitgevoerd. Bij aile thema's van deinterne audit is zowel de opzet als het bestaan getoetst. Het korps Brabant-Noordheeft aangegeven te wachten met het opvolgen van de aanbevelingen tot desamenvoeging met het korps Brabant Zuid-Oost.Doormiddel van Interviews en documentstudie van de audittrail hebben wijvastgesteld dat we kunnen steunen op de bevindingen die uit de interne auditkomen. De medewerkers die de interne audit hebben uitgevoerd zijn kritischgeweest op hun eigen korps en hebben een rapport opgeleverd waar het korpsverder mee kan.Wij merken op dat vanwege omstandigheden de interne auditor gedurendebovenstaand beschreven periode zowel de rol van projectleider als die van deprivacyfunctionaris op zich heeft genomen. Dit kan een risico op leveren voor deonafhankelijkheid van de interne auditor. Zie paragraaf 4.12 audits voor meerinformatie over de interne audit.We willen benadrukken dat het korps veel werk heeft verricht aan het bouwen vangedegen procesbeschrijvingen conform de Wpg om aan de implementatie van deWpg gestalte te geven.Binnen het korps is een organisatiebeschrijving aanwezig, 'koers naar 2011'. Indeze beschrijvlng zijn onder andere een organogram, taakbeschrijvingen perorganisatieonderdeel en de proceseigenaren opgenomen.In het document 'WPG impact en actie' en in de Wpg map op het Intranet is hetalgemene doel van de Wpg en hoe het korps hier nader invulling aan geeftvastgelegd. De Wpg map bevat een overzicht met hyperlinks naar wetsartikelen,procesbeschrijvingen en werkinstructies op artikelniveau per functionaris. De Wpgmap is middels een besluit van de korpsleiding geed gekeurd. Ter introductie zijnPagina 21 van 35

DEFINITIEF I Audit Wpg politie Brabant-Noord I 13 december 2011diverse presentaties in managementteams gehouden om de opzet Wpg en hetgebruik van deze map toe te lichten.De korpschef heeft de privacyfunctionaris aangesteld en deze aangemeld bij hetCBP. Over het jaar 2010 heeft de privacyfunctionaris een jaarverslag opgesteld.Dit is een gecombineerd verslag van de jaren 2009 en 2010. Dooromstandigheden heeft de privacyfunctionaris neg niet aile controle- entoezichttaken uit kunnen voeren zeals deze in de wet zijn vastgelegd. De takenvan de privacyfunctionaris zijn wei vastgelegd.De functies met de rol bevoegd functionaris zijn middels een besluit vastgesteld.De korpsbeheerder heeft een mandaatbesluit vastgesteld. De korpschef heeft eenondermandaat vastgesteld.Voor het korpsjaarplan 2011 is bewust gekozen om de Wpg niet meer als apartonderwerp In het jaarplan op te nemen. Het project Wpg is afgerond en maaktvolgens het korps nu onlosmakelijk deel uit maakt van de bedrijfsvoering van deregie. Om de barging en naleving van de Wpg in de managementcontrolcyclus inte bedden heeft het korps in opzet wei afspraken gemaakt. Uit onze Interviewskomt wei naar voren dat leidinggevenden twee keer per jaar een checklist Wpg indienen te vullen. Deze checklisten dienen het management lnzicht te verschaffenin hoeverre het korps voldoet aan de bepalingen vanuit de Wpg. Verder maakt hetkorps gebruik van een dashboard waar ook Wpg onderwerpen in staan. Twee keerper jaar vinden managementgesprekken plaats waar het dashboard ook besprokenwordt. De privacyfunctionaris en de interne auditor zijn zich er van bewust dat debarging van de Wpg meer gestalte meet krijgen in de managementcontrolcyclus.4.1.2 Bekendheid met de Wpg binnen de organisatieHet merendeel van de medewerkers heeft een Wpg opleiding genoten. Uit deinterviews komt naar voren dat de behandelde Wpg-onderwerpen niet altijd geedbljbleven omdat de oplelding een praktische insteek mlste. Ge'interviewde gevenaan dat ze de Wpg uitleg van de Interne auditor (heer erg I.leerzaam vinden.De kennis van de Wpg is neg niet bij iedere politiefunctionaris voldoendeaanwezig. Hierdoor is men zich in het dagelijkse werk ook niet altijd bewust vanwat de Wpg inhoudt en welke mogelijkheden de Wpg biedt. Functionarissenhebben behoefte aan een periodiek overleg binnen hun afdeling om vragen enknelpunten over de Wpg met elkaar te bespreken. Op dit moment is de Wpg geenstructureel agendapunt tijdens afdelingsoverleggen. Uit de Interviews komt naarvoren dat infodesk hler een uitzondering op Is. Deze afdeling kan op dit punt alsbest practice gezien worden binnen het korps.De Wpg map op Intranet, met daarin de beschreven opzet Wpg, zien wij als eenbest practice voor andere korpsen. Dit vanwege de volledigheid en vanwege hetgemak waarmee de Wpg onderwerpen kunnen worden benaderd (per artikel of perorganisatieonderdeel). Leidinggevenden geven aan dat medewerkers op een lagerniveau in de organisatie het document nlet veel gebruiken. Ze geven aan datmedewerkers het ervaren als een complex document dat niet eenvoudlgtoepasbaar is in de praktijk. Op de werkvloer hebben medewerkers behoefte aaneen eenvoudiger werkinstructie, waarin de regelgeving van de Wpg concreet enhelder op een A4 staat beschreven. Dit biedt de functionaris handvatten bij hetuitvoeren van de dagelijkse werkzaamheden conform de Wpg.Paglna 22 van 35

DEFINITIEF I Audit Wpg politie Brabant-Noord 1 13 december 2011Bij vragen en onduidelijkheden weten de politiefunctionarissen zowel deprivacyfunctionaris als de interne auditor geed te vinden.4.1.3Wpg en de praktijkDoordat momenteel de informatie in verschillende informatiesystemen meetworden geregistreerd en vanwege de geringe ondersteunlng vanuit deinformatiesystemen, wordt de Wpg binnen het korps ervaren als een toename vande administratieve last.Schonings- en bewaartermijnen worden soms als knellend ervaren. Doordat deinformatiesystemen deze informatie na een jaar niet achter slot zetten, wordt delnformatie in de praktijk oak vaak Ianger dan een jaar gebruikt. Daarnaast komende bewaartermijnen volgens de Wpg niet overeen met de termijnen volgens hetstrafrecht. Hierdoor wordt nag geen uitvoering gegeven aan devernietigingstermijnen conform de Wpg.4.1.4Verbeterpunten• Zorg dat leidinggevenden de instrumenten voor de barging van de Wpg In deP&C-cyclus actief gebruiken.• Verhoog de Wpg kennis en het bewustzijn in de organisatie bijvoorbeeld doorhet behandelen van casu'istiek in opleidingen en het verspreiden vanpromotiemateriaal.• Laat de Wpg deel uit maken van de verschillende overleggen en behandeldaarln eventueel oak best practices, voorbeeld casus en do's en dent's van deWpg.• Stel een eenvoudige praktische werkinstructie op voor blauw op straat.4.2 Verantwoordelijke (artikel 1.f)Mandaatbesluit4.2.1 NormNet als onder de oude Wet Politieregisters (Wpolr) is ook in de Wpg dekorpsbeheerder er verantwoordelijk voor, dat de nodige maatregelen wordengetroffen zodat politiegegevens juist, nauwkeurig en proportioneel wordenverwerkt en op tijd worden verwijderd.Conform artikel 1f Wpg is door Ieder korps een mandaatbesluit opgesteld waarinformeel wordt aangeduid dat de korpsbeheerder zijn mandaat geeft aan dekorpschef voor het implementeren van maatregelen om te voldoen aan de Wpg .4.2.2 BevindingenEr is een Mandaatbesluit Wet politiegegevens korps Brabant-Noord d.d. 19 januari2011, waarin wordt aangetoond dat het bevoegd gezag (korpsbeheerder), metterugwerkende kracht tot en met 1 januari 2008, zijn mandaat verleent aan dekorpschef van het politiekorps Brabant-Noord. Daarnaast is er ook eenOndermandaatbesluit Wet politiegegevens korps Brabant-Noord d.d. 17 januari2011, waarin de korpschef van Brabant-Noord ondermandaat verleent aan hethoofd van de Divisie, het District dan wei de proceseigenaren.Paglna 23 van 35

DEF!N!TIEF I Audit Wpg politie Brabant-Noord I 13 december 20114.3 Kwaliteitsaspecten van politiegegevens {artikel 3 en 4)4.3.1 NormDe verwerking van politiegegevens dient op grond van de artikelen 3 en 4 van deWpg te voldoen aan criteria als rechtmatigheid, doelbinding en noodzakelijkheid(artikel 3) en volledigheid, juistheid en beveiliging (artikel 4).4.3.2BevindingenHet voldoen aan de bepalingen van deze artikelen is een aangelegenheid waarinbijna aile geledingen van de politie zijn betrokken. Het is van belang dat hetzwaartepunt om te voldoen aan deze criteria ligt bij de eerste vastlegging vangegevens.Proces HandhavingMet betrekking tot artikel 8 informatie 'verwerken van politiegegevens tenbehoeve van de dagelijkse politiepraktijk, zoals surveilleren, advisering overpreventie, afhandelingen van de verkeersproblematiek, eenvoudig recherchewerk,verlenen van hulp en hand haven van wetten en regels' zijn procesbeschrijvingenaangetroffen, waarin is opgenomen hoe uitvoering dient gegeven te worden aandeze criteria.De volledigheld en juistheld van gegevens wordt enigszins geborgd door deverplichte invulvelden van BVH. Ook vindt een check plaats op depersoonsgegevens met het GBA-systeem. Er vindt geen toezicht en sturing plaatsop de invoering van informatiegegevens. Wei vindt regelmatig collegiale toetsingplaats bij de invoer op noodzakelijkheid, rechtmatigheid, juistheid en volledigheid.Bij een constatering van onjuiste gegevens worden deze verwijderd.Aan doelbinding wordt voldaan doordat medewerkers een registratie moetenkoppelen aan een incident in BVH. Uit de interne audit komt tevens naar voren datinformatie, ouder dan een jaar na de eerste verwerking, gebruikt wordt voorverdere verwerking. Aan de Wpg termijn van een jaar wordt hiermee niet voldaan.Proces OpsporingIn artikel 9 Wpg wordt gesproken over het 'gericht verwerken van politiegegevensten behoeve van een onderzoek met het oog op de handhaving van de rechtsordein een bepaald geval'. Hiervoor zijn procesbeschrijvingen aangetroffen waarin isopgenomen hoe uitvoering gegeven dient te worden aan deze criteria.De doelbinding van informatiegegevens wordt altijd in BVO wordt vastgelegd . Bijde start van een MRO ontvangt de privacyfunctionaris, via eenonderzoeksaanvraag, een melding van het onderzoek. Bij het invoeren vangegevens in BVO vindt collegiale toetsing plaats op noodzakelijkheid,rechtmatigheid, juistheid en volledigheid.Vanuit de controletaak voert de privacyfunctionaris steekproefsgewijs controles uitop de verwerkingen. Wanneer hij onrechtmatige verwerkingen aantreft wordendeze teruggekoppeld aan de betreffende persoon. Onrechtmatigheden inverwerkingen worden vaak niet bewust gemaakt, maar komen vaak voort uitonwetendheld.Pagina 24 van 35

DEFINmEF I Audit Wpg politie Brabant-Noord 1 13 december 2011CIE en RIDArtikel 10 'verwerken van politiegegevens met het oog op het verkrijgen vaninzicht in de betrokkenheid van personen bij bepaalde ernstige bedreigingen vande rechtsorde' en artikel 12 informatie 'verwerken van politiegegevens met hetoog op controle op en het beheer van een Informant alsmede de beoordeling enverantwoording van het gebruik van informantgegevens' wordt vooral verwerkt bijde CIE en de RID.De CIE en de RID besteden vanwege de bijzondere aard van hun taken specifiekaandacht aan bovenstaande kwaliteitsaspecten. Daarbij is in opzet voldaan aandeze criteria••••••••••••••••••••••••••.....4.3.3 Verbeterpunten• Landelijk: Zet informatie, ouder dan een jaar na datum van eerste verwerking,achter schot in de informatiesystemen, zodat deze niet meer zelfstandiggebruikt kan worden veer de verwerking van informatiegegevens.• Veer stu ring en toezicht uit op de invoer van gegevens in BVH ten behoevevan de kwaliteit en lnformatiedeling.4.4 Gevoelige gegevens (artikel 5)4.4.1 NormDe verwerking van politiegegevens betreffende lemands godsdienst ofJevensovertuiging, ras, politieke gezindheid, gezondheld, seksuele Ieven, alsmedepersoonsgegevens betreffende het lidmaatschap van een vakverenlging vindtslechts plaats in aanvulling op de verwerking van andere politiegegevens en voorzover dit voor het doel van de verwerking onvermijdelijk is.4.4.2 BevindingenIn de Wpg uitleg op Intranet is het onderwerp gevoelige gegevens opgenomen indiverse documenten, zeals werkinstructies. Tijdens de interne audit is eenbeperkte deelwaarneming uitgevoerd. Hieruit is gebleken dat geen gevoeligegegevens zijn vastgelegd.4.5 Autorisatie (artikel 6)4.5.1 NormVolgens artikel 6 Wpg is de verantwoordelijke onder meer belast met het voerenvan een systeem van autorisaties dat voldoet aan de vereisten van zorgvuldigheiden evenredigheid en wordt zorg gedragen voor een schriftelijke vastlegging van detoekenning van autorisaties (protocolplicht).Pagina 25 van 35

OEFINITIEF I Audit Wpg politie Brabant-Noord I 13 december 20114.5.2BevindingenAutorisatieprocesHet korps heeft haar autorisatiebeleid ingericht volgens het landelijkeautorisatiebeleid. Brabant-Noord maakt gebruik van een autorisatiematrix waarinper functie een autorisatieprofiel is vastgesteld. Medewerkers krijgen bijindiensttreding een menu aan autorisaties die horen bij een bepaald functieprofiel.Naast deze profielen zijn er mogelijkheden voor de toekenning van extraautorisaties van informatiesystemen en onderzoeksmappen. Een lijnchef moethiervoor een verzoek indienen bij functioneel beheer. Functioneel beheer beschiktover een lijst met de proc~seigenaren. Bij twijfel wordt overleg gevoerd met deprivacyfuncti9naris en proceseigenaar en vindt toetsing op de noodzaak enrechtmatigheid van de autorisatie plaats. De functioneel beheerder houdt tevenseen overzicht van de autorisaties bij. Autorisatieverzoeken voor externefunctionarissen worden door de privacyfunctionaris in behandeling genomen. Ingeval van schorsing van een medewerker wordt diens hoofdaccount afgesloten.Daardoor kan diegene niet meer in de andere systemen van de politie.Schoning van oudere autorisaties heeft nog niet plaatsgevonden. Brabant-Noordwacht hierm~e tot de overgang naar de regio Oost-Brabant. De functieautorisatiebeheerder, zoals genoemd in de interne audit rapportage, was tot opheden nog niet ingevuld omdat Brabant-Noord tot voor kort niet beschikte overvoldoende FfE. Per 1 december 2011 zal deze functie wei ingevuld worden enverlopen de autorisatles via een autorisatieloket.De functioneel beheerder voert steekproefsgewijs op eigen initiatief controles uitop de autorisaties van functionarissen. Als blijkt dat een medewerker uit dienstgetreden is worden aile autorisaties verwijderd.Proces handhavingDe autorisaties voor het proces handhaving worden toegekend op de manier, zoalshierboven beschreven. Aile politieambtenaren met een autorisatie voor BVHkunnen registraties in BVH raadplegen.Proces OpsporingDe standaard autorisaties voor het proces opsporing worden toegekend op demanier, zoals beschreven onder het autorisatieproces. Daarnaast wordt eenonderzoek door een bevoegd functionaris aangemeld via een formulier op intranet.Functioneel beheer ontvangt dit formulier en wijst een map voor het betreffendeonderzoek toe in BVO en in de mappenstructuur. De team Ieider van hetbetreffende onderzoek kan vervolgens teamleden autoriseren voor map van hetonderzoek. Na afloop van een onderzoek worden de autorisaties op aangeven vande team Ieider door de functioneel beheerder verwijderd.Bij infodesk heeft een selecte groep medewerkers van de Backoffice een hagerautorisatieniveau. Daarmee kunnen deze medewerkers in oudere zaken kijken.Deze medewerkers zijn speciaal ge"instrueerd voor deze taak. Indien informatieverwijderd is, maar nog niet is vernietigd, kan aileen met toestemming van de OvJinformatie ter beschikking gesteld worden voor een nieuw of hernieuwdonderzoek. Daarnaast mag de informatie ingezien worden voor afhandeling vanklachten en voor verantwoording.CIE en RIDDe standaard autorisaties voor medewerkers van de CIE en de RID wordentoegekend op de manier, zoals beschreven onder het autorisatieproces ....Pagina 26 van 35

DEFINITIEF I Audit Wpg polltie Brabant'Noord I 13 december 2011:nr)4.5.3Verbeterpunten• Voer een controle uit op oudere mutaties met betrekking tot autorisaties.• Zorg voor een structurele centrale van de toegekende autorisaties in de functievan een autorisatiebeheerder.4.6 Geautomatiseerd Vergelijken/In Combinatie Met Elkaar Verwerken(artikel 11)4.6.1 NormVoor het onderzoek kunnen politiegegevens die voor dat onderzoek zijn verwerkt,geautomatiseerd worden vergeleken met andere politiegegevens die wordenverwerkt op grand van artikel 8 of 9 teneinde vast te stellen of verbanden bestaantussen de betreffende gegevens. De gerelateerde gegevens kunnen, nainstemming van de daartoe bevoegde functionaris, zijnde de Ieider van hetbetreffende onderzoek of zljn plaatsvervanger, voor dat onderzoek verder wordenverwerkt.Indien politiegegevens in combinatie met elkaar worden verwerkt, worden van dieverwerking nader genoemde gegevens vastgelegd (protocolplicht).4. 6.2 BevindingenHet geautomatiseerd vergelijken wordt gedaan door aile politiemedewerkers vanBrabant-Noord. Doordat de medewerkers in BVH aile informatie ouder dan eenjaar na de eerste verwerking kunnen raadplegen, bestaat het risico datgeautomatiseerd vergelijken niet conform WPG verloopt. Medewerkers gaan er vanuit dat ze de informatie die ze te zien krijgen door middel van een zoekopdrachtook mogen gebruiken. Medewerkers zijn zich niet voldoende bewust van dat ditvolgens de Wpg niet mag.Het in combinatie met elkaar verwerken is voornamelijk belegd bij decoordinatoren informatieproces••••-. ...••-.••••••11!11•...•••-Deze medewerkers zijn opgeleid om deze taak uit te voeren. Uit de interneaud it blijkt dat het protocolleren van deze verwerkingen nog niet altijd op uniformewijze wordt ultgevoerd en in opzet nog meet worden geregeld.Brabant-Noord heeft op Intranet in de map Wpg een instructie staan over watgeautomatiseerd vergelijken en in combinatie met elkaar verwerken Is. Daarbljwordt ook aangegeven wat het verschil tussen deze twee termen is.4.6.3 Verbeterpunten• Landelijk: Richt systemen zo in dat informatie ouder dan een jaar na eersteverwerking niet tot In detail geraadpleegd kan worden door een onbevoegdepolitiefunctionaris.• Maak medewerkers bewust van wat geautomatiseerd vergelijken en incombinatie met elkaar verwerken is en wat de mogelijkheden en grenzen zijn.Dit kan bijvoorbeeld door verwijzing naar de instructie op internet of door hetPaglna 27 van 35

DEFINITIEF I Audit Wpg polltie Brabant-Noord I 13 december 2011ontwikkelen van casu"istiek aan de hand waarvan geautomatiseerd vergelijkenen in combinatie met elkaar verwerken besproken kan worden ..• Stel een procedure op voor het protocolleren van verwerkingen naar aanleidingvan het In combinatie met elkaar verwerken.4.7 Bewaartermijnen (artikel 14)4.7.1 NormPolitiegegevens worden vernietigd zodra zij niet Ianger noodzakelijk zijn voor deuitvoering van de dagelijkse politietaak (artikel 8) en worden in Ieder gevaluiterlijk vijf jaar na de datum van eerste verwerking verwijderd.Politiegegevens die nlet Ianger noodzakelijk zijn voor het doe! van het onderzoek,worden verwijderd, of worden gedurende een periode van maximaal een half jaarverwerkt teneinde te bezien of zij aanleiding geven tot een nieuw onderzoek alsbedoeld in artikel 9 of een nieuwe verwerking als bedoeld In artikel 10, en naverloop van deze termijn worden verwijderd.4.7.2 BevindingenProces HandhavingMet betrekking tot artikel 8 Wpg is een procedure aangetroffen voor de omgangmet bewaartermijnen, maar niet voor de vernietiging van politiegegevens. Inalgemene zin is wei beschreven welke termijnen gelden voor verwijdering envernietiging van gegevens.Het landelijke systeem BVH is niet voorzien van beheersmaatregelen op het gebledvan termijnen voor verwijderen en vernietigen van politiegegevens. Het is in BVHniet mogelijk informatie geautomatiseerd na een jaar achter een schot te plaatsen,zodat deze informatie niet meer kan worden geraadpleegd. In de nieuwe releasevan BVH zou dit wei tot de mogelijkheden behoren; deze release zou Brabant­Noord In week 40 invoeren. Het korps heeft uiteindelijk besloten de nieuwe releaseniet door te voeren omdat de bewaartermijnen niet overeenkomen met deverjaringstermijnen van het strafrecht. Daarnaast is veel informatie niet meerzichtbaar in de nieuwe release, zoals bijvoorbeeld de maatschappelijke klassen; isiemand verdachte of betrokkene. Het korps geeft aan dat na de lnvoering van denieuwe release medewerkers de infodesk en het DIK zullen overbelasten, omdat zete weinig informatie kunnen zien.In BVH vinden geen handmatige schoningen plaats. Het korps geeft aan dat ditnog niet nodig is, omdat BVH pas drie jaar oud is en daarom de gegevens in BVHnog geen vijf jaar oud zijn. Het voormalige systeem BPS is wei tijdig geschoond nade termljn van vijf jaar. Deze gegevens worden in de historische omgevinggeplaatst waar aileen functioneel beheer en infodesk bij kunnen. De verwijderdegegevens uit BPS worden nog niet vernietigd.De meldkamer maakt gebruik van het systeem GMS. Gegevens in dit systeemgaan na 5 jaar geautomatiseerd achter schot.Proces OpsporingHet landelijke systeem BVO is niet voorzien van beheersmaatregelen op het gebiedvan termijnen voor verwijderen en vernietigen van politiegegevens. Functioneelbeheer kan toezicht houden op de bewaartermijnen in BVO doordat deonderzoeksaanvragen via deze afdeling !open en functioneel beheer bij aanvangvan een onderzoek een label aan het onderzoek mee kan geven. Op deze wijzekan functioneel beheer toezien op termijnen van verjaring. Het OM en functioneelPagina 28 van 35

DEFINITIEF 1 Audit Wpg politie Brabant-Noord 1 13 december 2011beheer houden samen een lijst bij met de status van onderzoeken. Als eenonderzoek bij het OM is voorgebracht, ontvangt functioneel beheer eenterugkoppeling van het OM. Als een onderzoek is verjaard of onherroepelijk isverklaard, worden de betreffende onderzoeken in de artikel 14 omgevinggeplaatst. Daarnaast draait functioneel beheer draa it jaarlijks een lijst uit metzaken die in aanmerking komen voor afsluiting. In overleg met de teamleider vanhet onderzoek en verwijdert functioneel beheer de autorisaties van deonderzoeken waarvan de bewaartermijn is verstreken. Op deze wijze kunnenmedewerkers niet meer bij de informatie.Bij de recherche wordt gebruik gemaakt van het systeem DRS. Gegevens in DRSworden niet vernietigd, schoning vindt slechts handmatig plaats. Het OM ziet niettoe op naleving van de WPG met betrekking tot gegevens in DRS. Op de back-upserver staan complete images van gegevens. Schoning van de back-up servervindt echter niet plaats. Ook het systeem TRIS is niet WPG-proof.Uit de interviews komt naar voren dat rechercheurs niet geautoriseerd zijn om tekunnen zoeken in oudere zaken, maar dat wei graag willen. Ze denken dat doorhun inhoudelijke betrokkenheid ze meer informatie uit oudere informatie kunnenhalen dan de infodesk. Hoewel niet alle medewerkers even content zijn met desituatie, blijkt hierult wei dat op dit punt conform Wpg gehandeld wordt.Met het oog op bewaartermijnen en vernietiging voldoet Brabant-Noord In opzetniet aan de eisen die de Wpg stelt. Doordat de infodesk wei kijkt naar debewaartermijnen bij het verstrekken van informatie en de CIE hier oak rekeningmee houdt bij het opstellen van een proces verbaal, wordt geprobeerd het risicovan onrechtmatig gebruik beperkt te houden.CIE en RIDKantooromgevingControle op de bewaartermijnen van gegevens in de kantoorautomatisering is nagonvoldoende en vernietiging vindt hier niet plaats. Informatie ten behoeve van dedagelijkse politiepraktijk wordt opgeslagen in de mappen op de 0 -schijf. Ditbetreffen bijvoorbeeld aantekeningen van blauw op straat en mediabestanden diemedewerkers niet in BVH kunnen opslaan. De mappenstructuur is zondanigingedeeld dat met jaargangen wordt gewerkt, waardoor toezicht op schoningmogelijk is. In opzet is een procedure geregeld om overzicht te houden op wat inde kantoorautomatisering staat. In bestaan kan het voorkomen dat operationelezaken nag op de J-schijf staan, de schijf voor bedrijfsvoering.Uit de interviews komt naar voren dat verschillende afdelingen en oak hetveiligheidshuis de gegevens in de gezamenlijke mappenstructuur niet schonen.Een ultzondering hierop vormt de infodesk. Het Hoofd infodesk ziet toe opPagina 2 9 van 35

DEFINITIEF I Audit Wpg politie Brabant-Noord I 13 december 2011schonlng van deze mappen. Dit kan in het korps als een best practice op dit gebiedworden aangemerkt.De outlook-mailboxen vereisen hier bijzondere aandacht. Verzonden mails metbijvoorbeeld verstrekkingen worden niet geschoond. Uit de gesprekken is naarvoren gekomen dat de kennis van de bewaartermijnen en vernietiging niet bijiedereen aanwezig is.4.7.3 Verbeterpunten• Landelijk: Zorg dat informatie, ouder dan een jaar na de eerste verwerking, inBVH niet meer te raadplegen is door een onbevoegde politiefunctionarls.• Landelijk: geef prioritelt aan het inrichten van beheersmaatregelen voorverwijdering en vernletiging in de systemen BVH en BVO.• Landelijk: afstemmen van bewaartermijnen en vernietingstermijnen volgensde Wpg met de termijnen volgens het strafrecht.• Beperk vastleggingen van politiegegevens in de kantoorautomatisering en zietoe op de uitvoering van vastlegging conform interne afspraken.• Verrijk de procesbeschrijving voor omgang met bewaartermij n en vernietigingvan politiegegevens. Denk hierbij ook aan de informatie in de mailboxen en Inde kantoorautomatisering. Maak ook duidelijk wie voor welke handelingverantwoordelijk is en zie toe op de uitvoering van schoningen.4.8 Ter beschikking stellen (artikel 15)4.8.1 NormDe verantwoordelijke stelt politiegegevens ter beschikking aan personen die doorhemzelf dan wei door een andere verantwoordelijke zijn geautoriseerd voor deverwerking van pol itiegegevens, voor zov·er zij deze behoeven voor de uitvoeringvan hun taak.4.8.2 Bevlndlngen :In de vorige paragraaf is aangegeven dat het voldoen aan de bewaartermijnen vande WPG problemen oplevert. Het gevolg is dat informatie onterecht ter beschlkklngIwordt gesteld aan onbevoegde medewerkers. Daarnaast wijkenpolitiemedewrrkers uit naar de mappenstructuur in de KA-omgeving. Dezewerkwijze vo ~mt een risico voor het delen van politiegegevens, omdat het zoekennaar informatie lastiger is.De CIE en de ~ID zijn beide strikt in het vastleggen van het ter beschikking stellenvan polltiegegevens. Bij de CIE is een extra waarborg dat de CIE OvJ toezichthoudt.De gegevens vastgelegd door de meldkamer in GMS worden geautomatiseerd terbeschikking gesteld in BVH. De meldkamermedewerkers voorzien collega's opstraat ter ondersteuning ook rechtstreeks van informatie. Als deinformatieverzoeker meer lnformatie wil hebben dan de meldkamermedewerkerskan lnzien, wordt diegene doorverwezen naar de infodesk. Voor het terbeschikking stellen van telefoongesprekken is een aanvraagformulier en procedureopgesteld.Middels autorisatie kunnen onderzoeken afgeschermd worden. Afspraken overcodering van onderzoeken is vastgelegd in de procedure beschrijving vooropsporing. De privacyfunctionaris heeft een overzicht van de lopende artikel 9onderzoeken.Paglna 30 van 35

DEFIN!TIEF I Audit Wpg politie Brabant-Noord I 13 december 2011De infodesk vervult een belangrijke rol binnen de politie als het gaat om hetverstrekken van politiegegevens. Aile informatieverzoeken en verstrekking wordenIn BVO vastgelegd In een aparte infodeskregistratie die in BVO zit. De infodesk isopgesplitst in een Frontoffice en Backoffice met elk gespeciaiiseerde medewerkers.Bij de infodesk zijn nog niet aile procesbeschrijvingen uitgewerkt. Bij de lnfodeskwordt geprobeerd om de bewustwording van de WPG bij medewerkers tevergroten door WPG-onderwerpen bespreekbaar te maken tijdens de maandelijkseafdelingsoverleggen en jaarlijkse functioneringsgesprekken. Deze werkwijze is ookconform de afspraken van het korps en is ook als onderwerp opgenomen in dechecklist.4.8.3 Verbeterpunten• Laat andere afdelingen het voorbeeld van de infodesk volgen op het gebiedvan bewustwording.• Heb aandacht voor in de kantoorautomatiseringsomgeving vastgelegdegegevens bij het ter beschikking stellen van politiegegevens.4.9 Verstrekken (artikel 16/24)4.9.1 NormParagraaf 3 van de Wpg omvat de artikelen waarin verstrekkingen vanpolitiegegevens aan anderen dan de politie en de Marechaussee worden geregeld.In de artikelen 16 t/m 24 worden deze verstrekkingen nader uitgewerkt.Artikel 20 regelt de omstandigheden en voorwaarden voor de verstrekkingen aanderden structureel voor samenwerkingsverbanden.4.9.2 BevindingenVerstrekkingen verlopen bij Brabant-Noord op meerdere manieren via de infodesk,DIK en de meldkamer. De infodesk verstrekt aileen informatie via een beveiligdeemailverbinding of per aangetekende post. Infodeskmedewerkers maken gebruikvan een verstrekkingswijzer. Hierin staat duldelijk aangegeven en gecategoriseerdwelke informatie aan wie verstrekt mag worden. Aile informatieverzoeken enverstrekkingen worden vastgelegd in BVO. Oak de structurele verstrekklngen aaninstanties artikel 18 verlopen via de infodesk en worden vastgelegd.De meldkamer kan aileen informatie verstrekken die medewerkers kunnenopzoeken in de systemen die ze kunnen raadplegen. De meldkamer heeft eenmatrix opgesteld waarin staat welke informatieverzoeken van welke spelers binnenkunnen komen. De matrix heeft nog geen landelijke goedkeuring omdat er nogdiscussie is of de matrix WPG-proof is. Aile informatieverzoeken en verstrekkingenworden in GMS vastgelegd.Ook blauw op straat verstrekt informatie aan derden. Daarbij meet een agent zelfde inschatting maken welke informatie verstrekt kan worden. Uit de interviewskomt naar voren dat politiefunctionarissen te weinig gestuurd worden op hetverstrekken van informatie.Verder zijn er verschillende overlegvormen waar informatie verstrekt wordt.Brabant-Noord heeft er voor gekozen om een koepelbesluit op te stellen, omdat zijhet niet werkbaar vinden om voor aile overlegvormen een apart besluit op testellen.Pagina 31 van 35

DEFINmEF I Audit Wpg politie Brabant-Noord 1 13 december 2011Voor het protocolleren van verstrekkingen wordt nauwelijks gebruik gemaakt het190 formulier. Wei wordt in het systeem de aanduiding maatschappelijke klasse190 vastgelegd. Verstrekkingen worden op andere manieren geprotocolleerd, doorbijvoorbeeld mutaties, verslagen en briefen om het voor de medewerkerswerkbaar te houden. Het korps voldoet aan de protocolplicht door gebruik temaken van andere formulieren die in de systemen gemaakt en opgeslagenworden. Sommige functionarissen zijn niet voldoende bekend met deprotocolplicht.Het veiligheidshuis maakt bij elke verstrekking niet gebruik van de 190 formulierenom dubbele lasten te voorkomen. Het veiligheidshuis legt verstrekte informatievast in notulen in de mappenstructuur op de 0-schijf. In de notulen staan uniekecodes van de behandelde personen en op deze wijze Is na te gaan aan wiewanneer welke informatie verstrekt is.4.9.3 Verbeterpunten• Zorg dat de organisatie goed bekend is met de protocolplicht bijverstrekkingen en hoe dit moet worden vastgelegd.• Controleer of verzonden verstrekkingen in de mailbox RID en Infodesk tijdigworden geschoond.• Zorg voor een adequaat {en centraal) beheer van convenanten.4.10 Rechten van betrokkenen (artikel 25/28)4.10.14.10.2NormDe verantwoordelijke deelt een Ieder op diens schriftelijk verzoek binnen zesweken mede of, en zo ja welke, deze persoon betreffende politiegegevens zijnvastgelegd.BevindingenPer oktober 2011 zal de Backoffice van de infodesk verzoeken van betrokkenenafhandelen, omdat zij in meerdere systemen kan kljken. De medewerkers van deBackoffice hebben hier een opleiding voor gehad en weten bij twijfel deprivacyfunctionaris te vinden. Het korps heeft een procesbeschrijving opgesteldvoor het afhandelen van rechten betrokkenen. Hierin is ook opgenomen dat na hetwijzigen of verwijderen van gegevens de personen of lnstanties, die de betreffendeinformatie hebben ontvangen, hiervan op de hoogte gesteld worden.Het is nog niet mogelijk om een lijst uit te draaien met verstrekkingen. Als eenbetrokkene lnzage wil, is het wei mogelijk om In het systeem nate gaan welkeinformatie aan wie verstrekt is. Uit de interne audit blijkt dat het korps voldoet aande wettelijke termijnen.4.10.3Verbeterpunten• Zorg dat de organisatie goed bekend is met de nieuwe werkwijze omgangrechten betrokkene.4.11 Protocolplicht (artikel 32)4.11.1NormDe verantwoordelijke draagt zorg voor de schriftelijke vastlegglng van:• de doelen van artikel 9 onderzoeken;Pagina 32 van 35

DEFINmEF 1 Audit Wpg politie Brabant-Noord I 13 december 2011• gegevens die op grond van ondersteunende taken worden vastgelegd (artikel13);• de toekenning van autorisaties;• de geautomatiseerde vergelijking of het in combinatie met elkaar verwerkenvan politiegegevens;• de geautomatiseerde vergelijking van gegevens met openbare bronnen;• de hernieuwde verwerking van politiegegevens op grond van artikel 9 of 10;• de verstrekking van politiegegevens;• signalen van onbevoegde of onrechtmatige verwerkingen.Deze gegevens worden bewaard, tenminste tot de datum waarop de laatstecontrole (audit) is verricht.4.11.2BevindingenBij het verstrekken van politiegegevens wordt niet altijd gebruik gemaakt van de!90-formulieren, maar wei van de !90 aanduiding in het systeem. Deverstrekkingen worden op verschillende wijze geprotocolleerd zeals eerderaangegeven. Het is nog niet voor aile medewerkers duidelijk wanneer en hoegeprotocolleerd moet worden bij verstrekkingen. De meldkamer en infodeskleggen in GMS of BVO vast welke informatle aan wie ter beschikking gesteld ofverstrekt is.Doordat de loggingserver landelijk Is gesaneerd, kan er geen toezicht wordenuitgevoerd op naleving van de Wpg op dit punt. Bij eventuele gevoelige zakenbestaat wei de mogelijkheid om loggingdata bij het vtsPN op te vragen.De privacyfunctionaris heeft een overzicht van de artikel 9 onderzoeken. Eenoverzicht van de artikel 13 gegevensverzamelingen, hernieuwde verwerkingen,geautomatiseerde vergelijklngen en in combinatie met elkaar verwerkingen wordtniet bijgehouden door de privacyfunctionaris. Wei zijn vele van deze verwerkingenvastgelegd In de betreffende registratle.De gegevens die geprotocolleerd worden, worden in Ieder geval bewaard tot dedatum waarop de externe audit is afgerond.4.11.3Verbeterpunten• Zorg dat de organisatie goed bekend is met de protocolplicht en hoe hieruitvoering aan gegeven kan worden. Dit geldt met name voor verstrekkingen.• Activeer de loggingserver zodat de toezichttaak Wpg uitgevoerd kan worden.4.12 Audits (artikel 33)4.12.14.12.2NormBij regeling van Onze Ministers kan bepaald worden dat ter voorbereiding op decontrole, bedoeld In het eerste lid, interne audits plaatsvinden en kunnen regelsworden gesteld over de wijze waarop deze audits worden verricht.BevindingenDe interne audit is In 2011 in de periode van april 2011 tot augustus 2011uitgevoerd bij Brabant-Noord. De Interne auditor heeft gebruik gemaakt van dehandreiking normering wet politiegegevens. De auditors hebben de vragen van dehandreiking omgebouwd tot praktische vragen die aansluiten op de praktijk van dege'interviewde politlemedewerkers. De interne auditors hebben een kritisch rapportopgesteld dat inzicht verschaft in de knelpunten in de uitvoering van de Wpg.Pagina 33 van 35

DEFINITIEF I Audit Wpg politie Brabant-Noord I 13 december 2011Een belangrijk punt in de ultvoerlng van de audit Is dat de auditor drie rollen opzich heeft genomen tijdens de implementatie van de Wpg. De interne auditor wasbetrokken bij het opstellen van de opzet lmplementatie Wpg en heeft taken van deprivacyfunctionaris op zich genomen. Hierdoor kunnen vraagtekens gezet wordenbij de objectiviteit van de interne auditor. Wei willen we benadrukken dat detoewijding van de interne auditor voor de Wpg, van belangrijke waarde is geweestvoor de implementatie van de Wpg binnen het korps.Om de objectlvitelt te borgen is de audit in nauwe samenwerklng met de andereInterne auditor blnnen het korps uitgevoerd, deze auditor Is niet aangewezen alsInterne auditor voor de Wpg . Deze functionaris heeft wei een belangrijk aandeelgehad in het houden van interviews en het opstellen van het rapport. Tijdens deinterviews hebben ook drie andere functionarissen meegewerkt. Bij de afname vande interviews was in Ieder geval een auditor aanwezig.De interne auditors vallen onder de afdeling Sturing. Het korps heeft eenjaarplanning opgesteld voor de interne audits waarbij aile afdelingen na 4 jaargeaudit moeten zijn. Door de samenvoeging met Brabant Zuid-Oost is de planningnog niet zeker.4.12.3Verbeterpunten• Zorg dat de interne auditor afstand neemt van de taak van privacyfunctionarisom objectiviteit tijdens audits te waarborgen.4.13 Privacy functionaris (artikel 34)4.13.14.13.2NormDe privacyfunctionaris ziet namens de verantwoordelijke toe op de verwerking vanpolitiegegevens overeenkomstig het bij of krachtens de wet bepaalde en dient deverantwoordelijke van advies.BevindingenBrabant-Noord heeft de heer benoemt als privacyfunctionaris. De heer--is aangemeld blj het CBP. Wegens persoonlijke omstandigheden heeft deprivacyfunctionaris zijn toezichtstaak nog niet goed kunnen uitvoeren. Deprivacyfunctionaris heeft aileen de reguliere autorisaties gekregen en listrechten.Met de listrechten is het mogelijk om de mappenstructuur in te zien en wietoegang heeft tot deze mappen, maar welke documenten in de mappen staan isniet zichtbaar. Indien hij voor toezicht of controle toegang nodig heeft totinformatie buiten zijn autorisatie, dan vraagt hij een medewerkers met de juisteautorisatie om mee te kijken in het systeem. Indien deze werkwijze problemenoplevert, dan wordt de privacyfunctionaris als nog de geautoriseerd.De privacyfunctionaris voert onder andere de volgende taken uit:• toetsen van autorisaties voor externen op noodzaak en rechtmatigheid.Functioneel beheer ondersteunen bij afwijkende autorisatieaanvragen.Functioneel beheer houdt een lijst bij van autorisatles en deprivacyfunctionaris kan deze opvragen. Deze lijst wordt door deprivacyfunctionaris geaccordeerd.• bijhouden van een overzicht van de meldingen en sluitingen van onderzoekenex artikel 9. Deze informatie komt van functioneel beheer.• uitvoeren van toezichtstaak en terugkoppelen van lncidenten.• beantwoorden van Wpg gerelateerde vragen en geven van advies.Paglna 34 van 35I

DEFINITIEF I Audit Wpg politie Brabant·Noord I 13 december 2011• een privacyjaarverslag opstellen.Een overzicht bijhouden van de gegevens krachtens artlkel 13 met betrekking totde ondersteunende taken wordt nog niet gedaan. De privacyfunctionaris geeft aandat dit oak een lastige taak is omdat veel artikel 13 verwerkingen landelijkgeregeld zijn.Voor het jaarverslag ontvangt de privacyfunctionaris jaarlijks van de Lijnchefs eenoverzicht van onrechtmatige verwerkingen. Als er een vermoeden van opzet is vanonrechtmatige verwerkingen, zal Bureau Interne Zaken ingeschakeld worden.Aileen als er aanleiding toe is zal de logging bekeken worden door de vtsPN of hetbetreffende korps, omdat dit een intensieve klus is.De privacyfunctionaris geeft aan dat elk korps een privacyfunctionaris heeft en datdeze functionarissen de Wpg verschillend interpreteren binnen het korps. Het risicobestaat dat landelijk niet uniform wordt gewerkt. Een landelijke strakkere sturingop de functie van privacyfunctionaris is wenselijk.4.13.3Verbeterpunten• Borg de toezichthoudende taak van de privacyfunctionaris, zeals in de Wpgbenoemd.• Landelijk: draag zorg voor een uniforme benadering van de functie van deprivacyfunctionaris.4.14 Functionaris GegevensbeschermingHet korps Brabant-Noord heeft geen functionaris Gegevensbescherming.Pagina 35 van 35