Domein 5 – Technische en organisatorische maatregelen

Domein 5 omvat de privacywaarborgen van de PNR-wet met betrekking tot de technische en organisatorische maatregelen.⁴²⁷ Het Nationaal Bureau voor Verbindingsbeveiliging (NBV) van de AIVD heeft in een nota vastgesteld dat technische en organisatorische maatregelen genomen dienen te worden op beveiligingsniveau 2. Bijlage 2 van de Verwerkersafspraak PNR Gegevens bevat een nadere specificering van de te treffen technische en organisatorische maatregelen. Dit domein bevat vijf criteria (zie tabel 22 hieronder).

421 Artikel 3(2) en (3) van de Regeling periodieke audit politiegegevens.

422 Artikel 3(3) van de Regeling periodieke audit politiegegevens.

423 Artikel 6 van de Regeling periodieke audit politiegegevens.

424 Artikel 13 Verwerkersafspraak PNR Gegevens.

425 Artikel 9 van de Samenwerkingsafspraken betreffende de technische voorziening TRIP.

426 Auditdienst Rijk, Onderzoeksrapport, 2020 (geclassificeerd).

427 Artikel 4(a) Wpg, juncto artikel 17 PNR-wet.

Tabel 22. Overzicht van criteria en bepalingen van domein 5 - Technische en organisatorische maatregelen.

Overzicht domein 5 - Technische en organisatorische maatregelen

Criterium Bepalingen

1. Beveiliging gegevens in transit Artikel 4 (2) PNR-wet, juncto artikel 4a Wpg, juncto artikel 17 PNR-wet

2. Verwerkingslocatie Artikel 20 (1) (c) PNR-wet 3. Toegangsrechten en

autorisatie Artikel 6 en 6a Wpg, juncto artikel 17 PNR-wet 4. Verbod op derde verwerkers Artikel 10 van de Verwerkersafspraak PNR Gegevens 5. Contractuele borging van

geheimhouding

Artikel 7 Wpg, juncto artikel 17 PNR-wet

artikel 9 van de Verwerkersafspraak PNR Gegevens

Criterium 1 – Beveiliging gegevens in transit

Passagiersgegevens worden door de luchtvaartmaatschappijen langs elektronische weg verstrekt aan de Pi-NL.⁴²⁸ Uit het Uitvoeringsbesluit (EU) 2017/759 van de Commissie van 28 april 2017 volgt welk protocol luchtvaartmaatschappijen dienen te hanteren. De technische protocollen die voor de verstrekking van passagiersgegevens worden gebruikt, ondersteunen versleuteling van het gegevensverkeer tussen luchtvaartmaatschappijen en de TRIP-applicatie.⁴²⁹ De applicatie controleert of het bestand afkomstig is van een geautoriseerde afzender en voldoet aan de voorgeschreven protocollen. Voor luchtvaartmaatschappijen is er een testomgeving beschikbaar voor het berichtenverkeer.

De verstrekkingen van passagiersgegevens door de lPi-NL aan de bevoegde instanties dienen ook beveiligd te zijn. Binnen Nederland vindt de verstrekking van passagiersgegevens plaats middels het VVA-systeem. De toegang tot de VVA is alleen mogelijk via het netwerk van de bevoegde instanties en het verkeer is beveiligd.⁴³⁰ Binnen de EU wordt het SIENA-systeem gebruikt voor het verzenden en ontvangen van berichten. De beveiliging van SIENA valt buiten de reikwijdte van dit onderzoek.

Er zijn geen waarneming over de beveiliging van de passagiersgegevens in transit.

Criterium 2 – Verwerkingslocatie

Ontvangen passagiersgegevens dienen te worden opgeslagen en verwerkt in Nederland of in een andere EU lidstaat.⁴³¹ Uit de Verwerkersafspraak PNR Gegevens volgt dat passagiersgegevens alleen op Nederlands grondgebied mogen worden opgeslagen.⁴³² De servers waarop passagiersgegevens worden opgeslagen, mogen niet in de cloud worden gehost.⁴³³ Ook de verwerking van passagiersgegevens mag niet in de cloud plaatsvinden.⁴³⁴ De onderzoekers stellen vast dat passagiersgegevens enkel worden verwerkt en opgeslagen binnen Nederland.

428 Artikel 4(2) PNR-wet.

429 De luchtvaartmaatschappij dient echter zelf via het ebXML transferprotocol het bericht te versleutelen met de publieke sleutel van de TRIP-applicatie.

430 Via Justitienet en Rijksweb, zie PIA 2020, p.18.

431 Artikel 20(1)(c) PNR-wet.

432 Artikel 8(2) Verwerkersafspraak PNR Gegevens.

433 Artikel 8(2) Verwerkersafspraak PNR Gegevens.

434 Artikel 8(2) Verwerkersafspraak PNR Gegevens.

Criterium 3 – Toegangsrechten en autorisatie

De verwerkingsverantwoordelijke dient een systeem van autorisaties te onderhouden dat voldoet aan de eisen van zorgvuldigheid en evenredigheid.⁴³⁵ Het ministerie van JenV kent op verzoek van de Pi-NL autorisaties voor de TRIP-applicatie toe aan medewerkers van de Pi-NL om met passagiersgegevens te kunnen werken.⁴³⁶ Alleen bij de Pi-NL aangestelde of gedetacheerde ambtenaren mogen geautoriseerd worden om toegang te krijgen tot de TRIP-applicatie.⁴³⁷ De verwerkingsverantwoordelijke heeft een autorisatiematrix opgesteld waarin is vastgelegd welke medewerkers welke autorisatie hebben. De onderzoekers hebben de aanwezigheid van de autorisatiematrix vastgesteld. De Pi-NL geeft aan dat de toegekende rechten regelmatig worden gecontroleerd en dat de gebruiksrechten afgestemd zijn op bepaalde functies van medewerkers.⁴³⁸ De FG heeft toegang tot het overzicht van de uitgegeven autorisaties en controleert deze ook periodiek.⁴³⁹ De FG Pi-NL adviseert om de autorisatie strakker te definiëren op grond van dataminimalisatie en noodzakelijkheid met het oog op de lees, schrijf en wisrechten.⁴⁴⁰

De TRIP-applicatie wordt ontsloten op MULAN, de netwerkapplicatie van het ministerie van Defensie. Er zijn maatregelen in de verwerkersafspraak opgenomen om de toegang tot de TRIP-applicatie te beperken, zoals beperkte toegang tot ruimten waar servers, netwerkapparatuur en werkstations staan.⁴⁴¹ De onderzoekers hebben tijdens de bezoeken aan de Pi-NL de toegangscontroles tot de ruimten van de Pi-NL kunnen waarnemen.

Criterium 4 – Verbod op derde verwerkers

Op grond van de Verwerkersafspraak PNR Gegevens wordt in beginsel geen gebruikgemaakt van diensten van derden voor de verwerking van passagiersgegevens.⁴⁴² Derden mogen alleen worden ingeschakeld met voorafgaande schriftelijke toestemming van het ministerie van JenV.⁴⁴³ Tot op heden wordt in het toepassingsgebied van de PNR-wet geen gebruik gemaakt van diensten van derden en verwerkers.

Criterium 5 – Contractuele borging van geheimhouding

De ambtenaar of de persoon aan wie passagiersgegevens ter beschikking zijn gesteld is verplicht tot de geheimhouding daarvan.⁴⁴⁴ De jaarrapportage PNR-wet 2019 vermeldt dat de medewerkers van de Pi-NL die passagiersgegevens verwerken een geheimhoudingsplicht kennen.⁴⁴⁵

Bevindingen domein 5 – Technische en organisatorische maatregelen

Voor domein 5 zijn de ingestelde technische en organisatorische maatregelen op alle criteria voldoende. Een informatiebeveiligingsaudit op de gegevensverwerking door de Pi-NL dient nog plaats te vinden.

435 Artikel 6 en 6(a) Wpg, juncto artikel 17 PNR-wet.

436 Interne Verslag FG over 2019, p.6.

437 Contourendocument Pi-NL 2019, p.13.

438 Pi-NL reactie van 3 mei 2021.

439 Jaarrapportage PNR-wet over 2019, p.8; Jaarrapportage PNR-wet over 2020, p.11.

440 Jaarrapportage PNR-wet over 2020, p.11.

441 Verwerkersafspraak PNR Gegevens, bijlage 2.

442 Verwerkersafspraak PNR Gegevens, artikel 10.

443 Artikel 10 Verwerkersafspraak PNR Gegevens.

444 Artikel 7 Wpg, juncto artikel 17 PNR-wet; Artikel 9 Verwerkersafspraak PNR Gegevens.

445 Jaarrapportage PNR-wet over 2019, p.8; Jaarrapportage PNR-wet over 2020, p.12.