Bouw ANPR database wacht niet op meldplicht datalekken

De regering wil in de eerste helft van het komende jaar een wetsvoorstel indienen voor het bewaren van kentekens die gescanned worden met zogenaamde ANPR camera's. Ze wil niet wachten op een algemene meldplicht voor datalekken.

In antwoord op kamervragen schrijft de Minister van Veiligheid en Justitie:

Wat is uw reactie op de constatering dat u te gemakkelijk omspringt met het opslaan van gegevens van onschuldige burgers?

Er wordt momenteel een wetsvoorstel voorbereid dat het mogelijk maakt om ten behoeve van de opsporing van strafbare feiten gedurende een beperkte periode kentekengegevens te bewaren die zijn verkregen door gebruik van Automatic Number Plate Recognition (ANPR). […] De belangen van enerzijds de bescherming van de persoonlijke levenssfeer en anderzijds de opsporing van strafbare feiten kunnen – mits voorzien wordt in een goede regeling – beiden worden gediend. Met goede waarborgen – bijvoorbeeld wat betreft het gebruik van gegevens – kan de persoonlijke levenssfeer voldoende worden beschermd. Dit hoeft niet ten koste te gaan van de effectiviteit van ANPR als opsporingsinstrument. Dergelijke waarborgen zullen bij de nieuwe regelgeving worden betrokken.

Hoe vaak worden er fouten gemaakt bij het opslaan van kentekengegevens? Wat zijn hier de consequenties van?

Antwoord De kans op fouten bij de opslag is minimaal. In de praktijk komt het soms voor dat bij het omzetten van het kenteken op de foto een letter of cijfer in het kenteken door vervuiling van de kentekenplaat niet juist wordt weergegeven in tekst. In geval van een hit vindt daarom, voordat de politie tot actie overgaat, aan de hand van de gemaakte foto een visuele controle plaats op de juiste omzetting van het kenteken naar computerschrift. Indien deze omzetting onjuist is gebleken is geen sprake van een hit en gaat de politie niet tot actie over. De betreffende gegevensset wordt daarop verwijderd.

Wat is uw reactie op de mogelijkheid van het lekken van een dergelijke databank? Wat is uw reactie op de in het artikel genoemde mogelijkheid dat deze databanken interessant kunnen zijn voor hackers, met name in het licht van de recent gebleken kwetsbaarheid van door de overheid opgeslagen gegevens zoals de casus WikiLeaks duidelijk heeft gemaakt?

De technische beveiliging van de databank voor passagegevens zal voldoen aan de binnen de politie geldende eisen zoals deze ook gelden voor bijvoorbeeld het Geautomatiseerd Opsporingsregister (OPS) en het Herkenningsdienstsysteem (HKS). Daarnaast is toegang tot de gegevens geprotocolleerd en voorbehouden aan die medewerkers die hiervoor zijn geautoriseerd. Van elke toegang tot de gegevens zal worden gelogd welke gegevens zijn bevraagd, wat hiertoe de aanleiding was en door wie de bevraging is uitgevoerd. De politie neemt dus afdoende maatregelen om onbevoegd gebruik van opgeslagen gegevens te voorkomen.

Wat is de stand van zaken betreffende de in het regeerakkoord aangekondigde meldplicht voor alle diensten van de informatiemaatschappij, waaronder de overheid, in geval van verlies, diefstal of misbruik van persoonsgegevens  waarbij alle datalekken worden gemeld aan de nationale toezichthouder die boetes kan opleggen indien de meldplicht niet wordt nageleefd? Deelt u de mening dat deze meldplicht eerst uitgewerkt moet worden, voordat de overheid een nieuwe database met persoonsgegevens gaat inrichten?

Ik streef ernaar om in het wetsvoorstel een meldplicht, als in het regeerakkoord aangekondigd, op te nemen. Ik ben niet van mening dat ontwerp en inrichting van nieuwe gegevensverzamelingen bij de overheid principieel zou moeten worden opgeschort tot de regeling van de meldplicht in de wet is opgenomen. Wanneer er een noodzaak tot een nieuwe gegevensverzameling bestaat, zal die moeten worden gestart. Ik breng daarbij in herinnering dat de geldende Wet bescherming persoonsgegevens reeds thans een beveiligingsverplichting bevat die zonodig met een dwangsom kan worden gehandhaafd. Ook kunnen dwingende eisen van Europees recht ten grondslag liggen aan de inrichting van een nieuwe gegevensverzameling voordat de meldplicht definitief is geregeld. Inrichting van nieuwe gegevensverzamelingen zal, met inachtneming van de uitgangspunten die het regeerakkoord daarover geeft, van geval tot geval moeten worden bezien.