Ga naar content

(2019) Nulmetingen

Inhoudsopgave

Op 26 november 2019 heeft de korpschef een beslissing genomen op een Wob-verzoek aangaande nulmetingen. In eerste instantie heeft de korpschef hier geen documenten over openbaar gemaakt. Op basis van een ingediend bezwaar, is alsnog besloten de betreffende documenten (deels) openbaar te maken. Daarnaast maakt de korpschef documenten actief openbaar. Het besluit, de beslissing op bezwaar en de daarbij behorende documenten, evenals de actief openbaar gemaakte documenten treft u hieronder aan.

Actief Openbaar

Politieapplicaties moeten voldoen aan de (privacy) wetgeving. De gecontroleerde applicaties zijn bestaande applicaties die veelal meer dan 10 jaar oud zijn. Waarbij de normen van toen niet de normen van nu zijn. Veel oudere applicaties voldoen dus niet (direct). Dat was de reden een meting te doen om vandaaruit vervolgstappen te zetten.

Context van de rapporten belangrijk
Om meer duidelijkheid en transparantie te geven maken wij extra documenten actief openbaar. Het is belangrijk om de context te zien van de rapporten. Een onvoldoende score betekent niet altijd dat er niets gedaan is. Een voorbeeld zijn de scores van informatiebeveiliging. Een onvoldoende bij informatiebeveiliging betekent niet automatisch dat de informatiebeveiliging niet op orde is. In vele gevallen heeft de onvoldoende betrekking op het gebrek aan een recente risicoanalyse. In sommige gevallen kan een juiste werking bij uitvoeren van een risicoanalyse worden aangetoond (zonder extra handelingen). De onvoldoende gaat dan vooral over het niet in beeld hebben van risico’s, in plaats van het niet op orde zijn van de informatiebeveiliging. Het gaat hierbij over specifieke applicaties en niet over informatiebeveiliging van de politie in zijn geheel. De rapporten van de 0-meting zijn individueel gemaakt en hebben niet als doel om ze met elkaar te vergelijken, maar om actiepunten in beeld te brengen en op te pakken. De vergelijkingen dienen vooral als overzicht van de werkzaamheden die nog verricht moeten worden.

1) 2018-04-26_Uitvoeringskader_Privacy en Security by Design_v2.0_DEF.pdf
Om de basis van de 0-meting PSbD beter te begrijpen is het belangrijk om het uitvoeringskader PSbD v2.0 als eerste te lezen. De criteria voor de 0-meting PSbD zijn gebaseerd op het uitvoeringskader PSbD. Dit is vooral te zien in hoofdstuk 5 waar de principes die zijn gebruikt in de rapporten beschreven staan. Daarnaast laat het uitvoeringskader PSbD zien dat het breder is dan alleen privacy en informatiebeveiliging (subtitel: ‘uitvoeringskader voor de omgang met gegevens’). In de 0-meting kunnen elementen voorkomen die dieper ingaan op omgaan met gegevens dan een direct verband met PSbD.

2) Vooronderzoek_PSbD_Highrisk_applicaties v1.1 def stuurgroep 20171025_DEF.pdf
Het vooronderzoek beschrijft de opzet van 0-meting en de keuzes die daarbij zijn gemaakt. Denk hierbij aan een plan van aanpak en scope van het onderzoek. In het vooronderzoek is te zien op basis van welke criteria de selectie van high risk applicaties tot stand is gekomen. Niet alle inhoud (o.a. planning en berekening van scores) van het vooronderzoek is meegenomen bij de 0-metingen.

3) Eindrapport 0-metingen PSbD 20190514 v1.00 def_DEF.pdf
Het eindrapport is niet direct meegenomen in het Wob-verzoek, omdat het verzoek gericht was op de individuele rapporten van de highrisk applicaties. Echter het eindrapport laat het volledige proces van de 0-metingen zien en het meegeven van het eindrapport geeft een compleet beeld van de 36 applicaties high risk applicaties. De context van dit eindrapport is daarbij belangrijk. Een vergelijking maken geeft een indicatie, maar kan niet één op één gedaan worden. Een lager percentage betekent niet automatisch dat je meer actiepunten moet oppakken, dan bij een hoger percentage. De berekening van het percentages is op basis van criteria die van toepassing zijn en dat is niet bij elke applicatie gelijk. Bijvoorbeeld applicatie X heeft een score van 65% met 5 actiepunten, terwijl applicatie Y een score heeft van 57% met 4 actiepunten.

4) Rapport statusupdate high risk applicaties PSbD 12-2019 v1.0_DEF.pdf
In het rapport van de statusupdate staat de meest actuele situatie (december 2019) van de high risk applicaties. Het rapport is met wederzijds goedkeuren (beoordelaars en betrokkenen) tot stand gekomen. Het verschil tussen de statusupdate en de 0-meting is dat de antwoorden van de statusupdate zijn aangeleverd i.p.v. opgehaald doormiddel van een gesprek. Hierdoor is er geen mogelijkheid geweest tot doorvragen wat bij de 0-meting zelf wel het geval was. Een belangrijke toevoeging bij de statusupdate is een prognose voor de toekomst. Dit is een indicatie wanneer actiepunten wel of niet (direct) opgepakt gaan worden. De resultaten tussen 0-meting en de statusupdate zijn in sommige gevallen niet groot, maar dat is deels te verklaren door de tijd die zit tussen het opleveren van het rapport van de 0-meting en het opvragen van actuele status. Voor de één is het minder dan een half jaar en voor de ander meer dan een jaar. Gevolg is dat het niet realistisch is om een groot verschil te verwachten tussen de 0-meting en de statusupdate. Wel geeft dit een goed beeld waar actie nodig is.