Den Haag | Eindhoven | Zwolle
+31 (0) 70 392 22 09
info@duthler.nl

Blog over tijdelijke rol als Privacy Officer bij het Nederlands Forensisch Instituut (NFI)

Door: Jan Peeters RE MIM AFG

Ter ondersteuning van de vaste privacy officer (PO) van het NFI is Duthler Associates verzocht om een half jaar een aantal PO-werkzaamheden uit te voeren. Welke werkzaamheden heb ik, Jan Peeters, als professional namens Duthler Associates bij het NFI uitgevoerd en hoe ben ik met deze opdracht van start gegaan?

Ken je klant

Om te kunnen functioneren als PO is het allereerst noodzakelijk om kennis te verkrijgen van de belangrijkste processen en producten van het NFI. Dit heb ik voor een deel bereikt door deel te nemen aan een introductieprogramma, door het bestuderen van de externe website en van beleidsdocumenten en door het raadplegen van het NFI intranet. Daarnaast heb ik veel opgestoken door het bevragen van de collega PO en van de aanwezige bedrijfsjuristen.

Welke wettelijke regimes gelden?

Een tweede stap als PO is het in beeld brengen van de toepasselijke wettelijke voorschriften, inclusief de sectorale wetgeving voor sporenonderzoek en forensisch onderzoek. De aanpalende wetgeving van ketenpartners speelde ook een belangrijke rol (o.a. de Wet politiegegevens en de Wet Justitiële en strafrechtelijke gegevens). Parallel aan deze stap ben ik gestart met een inventarisatieronde voor het onderzoek naar bewaren/vernietigen van data. Hiervoor heb ik een 15-tal medewerkers geïnterviewd.

Wat is er al gedaan op het gebied van privacy en security?

Bij het NFI is een privacybeleid opgesteld en goedgekeurd in 2018. Het informatiebeveligingsbeleid is niet actueel en moet nog worden herijkt op de BIR2017. Dit voert de security officer uit.

Een verwerkingenregister is aanwezig en is voor ongeveer 90% actueel. Met het opstellen van verwerkersovereenkomsten is een aanvang gemaakt. In 2018 zijn voor afdelingen AVG – awareness presentaties verzorgd en met enkele afdelingen is een verdiepingssessie uitgevoerd. De vaste PO krijgt veel privacy gerelateerde vragen en zorgt voor de afhandeling van (potentiële) datalekken. Voor de datalekken is een procedure opgesteld en er is een meldingsformulier gemaakt met een daaraan gekoppelde workflow voor de behandeling van incidenten. Met de uitvoering van enkele data protection impact assessment (DPIA’s) is een begin gemaakt.

Een privacy jaarplan is beschikbaar. Hierin is aangegeven welke activiteiten door de externe FO moeten worden uitgevoerd in 2019.

Welke onderzoeken heb ik uitgevoerd?

Gedurende het half jaar bij het NFI heb ik de volgende 3 DPIA’s uitgevoerd:

  • Een DPIA voor een bigdata forensische zoekmachine. De hoeveelheid te onderzoeken data en databronnen in strafzaken, voornamelijk in fraude-, moord- en kinderpornozaken, neemt razendsnel toe. Om de effectiviteit en snelheid van dit onderzoek te vergroten is een systeem ontwikkeld. Met dit systeem worden data van in beslag genomen gegevensdragers (laptops, servers, smartphones, camera’s, etc.) verwerkt ten behoeve van de opsporing. Per zaakonderzoek wordt een aparte opslag gealloceerd, worden data ingelezen en versleuteld, en worden autorisaties ingeregeld. Geautoriseerde medewerkers analyseren en onderzoeken de data en stellen na afronding van een onderzoek een rapport op voor de opdrachtgever. Op alles wat relevant kan zijn, kan door de zoekmachine worden gezocht. Zo kan er gezocht worden op bijvoorbeeld woorden en namen, of op eigenschappen van sporen zoals e-mails, chatberichten of foto’s, al dan niet gemaakt met een bepaalde camera;
  • Een DPIA naar het uitvoeren van zaakonderzoek met een ondersteunend zaakonderzoek systeem. Hierin wordt de onderzoeksopdracht vastgelegd, worden de aangeleverde stukken (o.a. (lichaams)materialen)  geregistreerd en wordt de uitvoering van het onderzoek vastgelegd. Geregistreerde gegevens kunnen betrekking hebben op verdachten, veroordeelden, getuigen, slachtoffers en onderzoekers. Van de aangeleverde stukken wordt de locatie vastgelegd en gemuteerd (o.a. gebaseerd op Rfid). Belangrijk is dat de toegang tot zaakgegevens beperkt is tot bevoegde medewerkers en dat de data en stukken bewaard worden en tijdig vernietigd. De bewaartermijnen zijn nogal divers (afhankelijk van de aard van het delict, de strafmaat en de rol van de betrokkene). Vanuit de optiek van betrokkenen is het gewenst dat achteraf het gebruik en het beschikbaar stellen van informatie te overleggen is; en
  • Een DPIA voor een DNA-databank Strafzaken. In de Nederlandse DNA-databank voor strafzaken worden DNA-profielen opgenomen van verdachten, veroordeelden, ex-gedetineerden (op vrijwillige basis), overleden slachtoffers, vermiste personen (bij een vermoeden van een misdrijf), ongeïdentificeerde personen (bij een vermoeden van een misdrijf), op een plaats delict aangetroffen of delictgerelateerde sporen. De DNA-databank is een belangrijk instrument bij de opsporing en vervolging van misdrijven. Elk nieuw gevonden DNA-profiel wordt onderzocht op aanwezigheid in de DNA-databank. De toegangsrechten tot de DNA-databank zijn erg beperkt en het is belangrijk om de profielen volgens specifieke richtlijnen te bewaren en te vernietigen.

Overige onderzoeken

  • Het actualiseren van vier privacy verklaringen: De interne privacy verklaring voor medewerkers, MijnNFI, de DNA-databank en voor www.NFI.nl heb ik geactualiseerd; en
  • Het organiseren van privacy awareness sessies voor 2 business afdelingen en voor de afdeling ICT van het NFI. Tijdens deze sessies heb ik de belangrijkste aandachtspunten van de AVG besproken en heb deze gerelateerd aan de processen van de desbetreffende afdeling. Hiertoe heb ik steeds een voorbespreking gehad met de betrokken teamleiders om voldoende in te kunnen gaan op de primaire processen.

Bij de ICT-afdeling ben ik verder ingegaan op het proces van verstrekken/wijzigen/intrekken van bevoegdheden, changemanagement, incidentmanagement/datalekken en uitwijk. Aanvullend voor systeemontwikkeling ben ik verder ingegaan op de toepassing van de principes van privacy by design/default. Voor twee projecten heb ik intensief hieraan meegewerkt en heb ik een soort privacy risicoanalyse uitgevoerd.

Bewaren/Vernietigen

Overheidsinstellingen zijn verplicht een Basis Selectie Document (BSD) op te stellen vanuit de Archiefwet. Hierin is opgenomen hoelang documenten bewaard moeten worden en welke documenten overgedragen moeten worden aan het Nationaal Archief.

Om een actueel BSD op te stellen heb ik eerst een inventarisatie gemaakt van alle wettelijke voorschriften per type onderzoek, type delict, type aanvrager, etc. Hierbij komen verschillen aan de orde tussen bewaartermijnen voor de aanvraag, de aangeleverde (lichaams)materialen, de onderzoeksbevindingen en het deskundigenrapport. Ook wordt het spanningsveld van bewaartermijnen vanuit optiek bedrijfsvoering, bewijsvoering en wettelijke voorschriften op deze manier duidelijk.

Wat zijn dilemma’s geweest?

Voor mij was het bij aanvang moeilijk om de wettelijke kaders goed te interpreteren. Het werk bij het NFI heeft met haar forensisch onderzoek een grote impact op betrokkenen en het NFI maakt gebruik van bijzondere persoonsgegevens (medische, biometrische en strafrechtelijke gegevens).

Voor het bewaren/vernietigen gelden veel conflicterende regels voor data, (lichaams)materialen, onderzoeksdata en rapportages. Dit is ook afgezet tegen eisen vanuit de optiek bedrijfsvoering en bewijsvoering. Wat is een juiste interpretatie van de wettelijke eisen?

Wat was de aanpak en waren de resultaten

De kennis van de wettelijke kaders heb ik opgedaan door het bestuderen van relevante wetteksten en bijbehorende jurisprudentie. Mijn inzicht in de wettelijke kaders is aangescherpt door discussies met collega juristen binnen het NFI.

Hiermee kon ik  ook een basis leggen voor de bepaling van prevalerende wettelijke eisen voor het op te stellen bewaar- envernietigingsbeleid. Door het uitvoeren van een risico-analyse uitgaande van twee verschillende benaderingen hebben we een voorstel met advies kunnen uitbrengen aan de directie. Het is mooi om te zien dat je altijd een oplossing kunt uitwerken. Niet het stereotiepe antwoord geven “dat mag niet van de AVG” , maar reageren met “onder welke condities is het wel toegestaan?”.

Forensisch onderzoek: Gericht op waarheid, geleid door wetenschap, voor een veiligere samenleving

Contact

Heeft u vragen naar aanleiding van deze blog? Neem gerust contact met mij op via +31 0(70) 392 22 09 of J.Peeters@duthler.nl.