Centrale opslag en beveiliging

Alle ANPR-gegevens die voor 126jj-doeleinden worden opgeslagen komen in een database terecht die geraadpleegd kan worden met de applicatie Argus. De gege-vens worden na 28 dagen automatisch vernietigd. Hierdoor zijn de gegegege-vens na 28 dagen niet meer te raadplegen. In 2019 was er een back-up aanwezig van Argus, die een week bewaard bleef voor het geval gegevens ongewild verloren gaan, bijvoorbeeld door een storing. Vanaf 2020 is echter geen back-up meer gemaakt, om te voorkomen dat gegevens langer bewaard blijven dan wettelijk toe-gestaan. De 126jj-gegevens die worden verstrekt aan de aanvrager vallen overigens

niet onder deze 28-dagentermijn van 126jj, maar vallen onder de termijnen van de Wpg.

Als een zoekopdracht is afgerond en de 28 dagen zijn verstreken, is het niet moge-lijk om de resultaten van de zoekopdracht op een later moment nog een keer te downloaden. Indien er iets misgaat bij het verstrekken van de gegevens aan de aanvrager, is het mogelijk dat de gegevens – afhankelijk van de verstreken ter- mijn – niet meer beschikbaar zijn. Sommige geautoriseerde opsporingsambtena- ren bewaren daarom voor de zekerheid lokaal op hun eigen computer een kopie van de geleverde resultaten. Dit gebeurt vaak op eigen initiatief en zonder duide- lijke kaders. Daardoor bestaat het risico dat gegevens te lang onbeheerd worden opgeslagen. Ook in de gezamenlijke e-mailbox van de geautoriseerde opsporings-ambtenaren blijft vaak een kopie achter van de verstrekte gegevens in de map

‘verzonden berichten’. Dit brengt met zich mee dat gegevens worden opgeslagen in systemen die daar niet voor zijn bedoeld en dat bewaartermijnen worden over-schreden. Om dit te voorkomen, zouden duidelijkere kaders moeten worden gesteld met betrekking tot de wijze waarop door bevragers wordt omgegaan met de ge-downloade 126jj-gegevens. Binnen de KMar is het risico dat gegevens achterblijven in een e-mailbox niet aanwezig, omdat zij Summ-It gebruiken om resultaten over te dragen aan de aanvrager. Summ-It is een systeem dat wordt gebruikt door de politie en de KMar voor de registratie van opsporingsonderzoeken. Werken met een systeem als Summ-It neemt overigens het risico niet weg dat lokaal gegevens wor-den opgeslagen door individuele opsporingsambtenaren.

4.5.1 Opslagtermijn

In hoeverre de 28-dagentermijn toereikend is voor de opsporing, lijkt sterk afhanke-lijk te zijn van het type delict waarvoor de bevoegdheid wordt ingezet. In de minder complexe zaken kunnen voertuigen al snel in beeld komen en de passagegegevens snel worden bevraagd. In deze zaken wordt doorgaans binnen enkele dagen een bevraging gedaan waardoor de 28-dagentermijn in de meeste gevallen voldoet. Een functionaris van de politie zegt hierover:

‘Maar ik moet zeggen, 28 dagen is voor ons voldoende omdat we al vrij snel zien of we [de ANPR-gegevens] nodig gaan hebben of niet. Als er ergens een brand-stichting is gepleegd, dan heb je 28 dagen de tijd om dat te doen. Voor mij is het genoeg, ik loop niet tegen problemen aan.’

Bij complexere zaken kan de termijn echter te kort zijn. Voor het in kaart brengen van patronen zijn soms meer dan 28 dagen nodig. Om zicht te krijgen op periodieke drugstransporten kan het bijvoorbeeld waardevol zijn om meerdere weken de pas-sages in kaart te brengen. Daarnaast zijn er grote onderzoeken die meerdere jaren kunnen beslaan (bijvoorbeeld een moordonderzoek). De ervaring van politiemensen leert dat in dit type zaken gedurende de looptijd van het onderzoek nieuwe informa-tie naar voren komt die nader moet worden onderzocht. Deze informainforma-tie, bijvoor-beeld nieuwe mogelijke kentekens of locaties, kan ruim na het verstrijken van de 28-dagentermijn naar voren komen. Soms speelt de politie hier in opsporingsonder-zoeken al op in door bij een incident alle ANPR-gegevens in een bepaald gebied te bevragen. Deze gegevens zijn dan alvast veiliggesteld voor een latere periode. Een deel van de respondenten geeft aan dat zij in sommige gevallen minder gegevens zouden opvragen als deze niet na 28 dagen verloren zouden gaan. Een functionaris van de politie vertelt bijvoorbeeld:

‘Wat we nu af en toe wel zien is dat, weet je: “straks zijn m’n 28 dagen voorbij, ik probeer al een en ander veilig te stellen, in de hoop dat ik daar later mijn ken-teken uit kan halen”. Dat zijn voor ons wel giga zoekvragen. En voor de bevrager een hoop werk. (…) Wat ik eigenlijk wil aangeven: op het moment dat je al om een kenteken vraagt, dan heb je al zo’n gerichte verdachte dat ik denk van: als we nou de mogelijkheid zouden kunnen krijgen om gericht op kenteken wel langer dan 28 dagen zouden kunnen zoeken, dan kan je ook wel aangeven dat het geen dataverzameling is om later wat uit te vinden; het is echt een gerichte zoekvraag op een gerichte verdachte.’

Een mogelijk (averechts) neveneffect van de 28 dagen opslagtermijn lijkt dus te zijn dat er meer gegevens worden opgevraagd dan bij een langere opslagtermijn het geval zou zijn. Sommige respondenten opperen dat een getrapte bevoegdheid uit-komst kan bieden. Daarmee bedoelen zij dat het mogelijk zou moeten zijn om voor bepaalde zwaardere delicten gegevens langer dan 28 dagen terug te raadplegen.

Daarbij moet wel worden opgemerkt dat voor iedere gekozen opslagtermijn geldt dat mogelijk waardevolle gegevens verloren zullen gaan. Ook bij het opvragen van bijvoorbeeld telecomgegevens – die vaak zes maanden bewaard blijven – blijkt op basis van de interviews gedurende de twee monitorrondes dat relevante informatie inmiddels is vernietigd.

4.5.2 Beveiliging

Voor zover bekend hebben er geen beveiligingsincidenten plaatsgevonden wat betreft het hacken of lekken van 126jj-gegevens. Om het risico op het hacken of lekken van 126jj-gegevens te verkleinen zijn verschillende maatregelen genomen.

De politie is als zelfstandige organisatie niet gebonden aan de Baseline Informatie-beveiliging Overheid (BIO). De BIO is een gezamenlijk normenkader op het gebied van informatiebeveiliging binnen de overheid en schrijft basismaatregelen voor die moeten worden genomen (Rijksoverheid, 2021). Dit behelst een breed spectrum aan maatregelen op het gebied van onder meer het beheer van technische kwets-baarheden, netwerkbeveiliging, gebruikersrechten en cryptografie (‘Toepassen van de BIO’, 2020). Hoewel de politie niet gebonden is aan de BIO, hanteren zij deze wel als uitgangspunt, aangepast aan de politieorganisatie. Veel van de beveiligings-maatregelen voor de 126jj-gegevens maken daarom ook deel uit van het bredere informatiebeveiligingsbeleid van de politie.

Voor 126jj speelt vooral het gebruikersbeheer een belangrijke rol. Door het beper-ken van de toegang tot een klein aantal geautoriseerde opsporingsambtenaren wordt beoogd het risico te verkleinen dat 126jj-gegevens in verkeerde handen vallen. De eerder in paragraaf 4.5 aangehaalde aanwezigheid van lokale kopieën van 126jj-gegevens en kopieën van 126jj-gegevens in mailboxen vormen in dat opzicht een aanvullend risico. Het recht om toegang te krijgen tot Argus is gekop-peld aan specifieke gebruikersaccounts van de geautoriseerde opsporingsambte-naren. Alle handelingen binnen de politiesystemen worden gelogd en dit wordt gemonitord. Als iemand meerdere inlogpogingen doet, kan het security operation center (SOC) bijvoorbeeld nader onderzoeken of iemand probeert ongeautoriseerd toegang te krijgen tot het systeem. Zoals eerder opgemerkt, vindt logging plaats binnen Argus. Activiteiten binnen Argus worden echter – los van de inlogpogingen – (nog) niet actief gemonitord door het SOC. In de toekomst kan op basis van de logging mogelijk door het SOC afwijkend gedrag worden gedetecteerd om eventueel onrechtmatig gebruik van Argus tijdig vast te stellen.

Periodiek vinden er vulnerability scans plaats. Omdat ANPR wordt gezien als één van de ‘kroonjuwelen’ van de politie zijn de systemen die worden gebruikt voor ANPR recent getest (Persoonlijke communicatie, 2021³¹). Het doel van deze tests is om eventuele kwetsbaarheden te identificeren en aanpassingen door te voeren. Ook Argus maakte deel uit van deze test. In de test werd specifiek voor Argus een aantal risico’s geïdentificeerd die als laag zijn gekwalificeerd (vanwege de specifieke tech-nische aard zijn deze hier niet opgenomen).