De politiediensten krijgen via een gemeenschappelijke richtlijn van de ministers van Justitie en Binnenlandse Zaken duiding over de toegang van politiepersoneel tot de Algemene Nationale Gegevensbank (ANG) en tot de basis-, bijzondere en technische gegevensbanken. Een tweede, aanvullende richtlijn geeft hen meer inzicht in de maatregelen die nodig zijn om de veiligheid, betrouwbaarheid en privacy te garanderen bij de verwerking en opname van persoonsgegevens in de databanken.
Richtlijn Toegangsregels
Voor het eerst gepubliceerd
Details over de manier waarop politiepersoneel toegang krijgt tot de ANG en de basis-, bijzondere en technische gegevensbanken waren tot nog toe niet openbaar. De toegangsregels maakten deel uit van het niet-gepubliceerde deel van de in 2002 verschenen
Richtlijn MFO-3. Publicatie in het Belgisch Staatsblad is pas verplicht sinds de
Wet Politioneel Informatiebeheer van 22 mei 2019. Een wijziging mede door de komst van de nieuwe privacyregels en GDPR-plichten.
De Wet Politioneel Informatiebeheer bracht heel wat wijzigingen aan in de basisregels m.b.t. informatiebeheer in
artikels 44/1 t.e.m. 44/17 van de Wet op het Politieambt. Het is op basis van
artikel 44/4 dat de ministers van Binnenlandse Zaken en Justitie nu een gemeenschappelijke bindende richtlijn uitvaardigen met toegangsregels voor de leden van de politiediensten tot de politionele gegevensbanken.
De richtlijn voorziet 4 onderdelen:
1) de toegangsregels tot de ANG, de basis- de bijzondere en de technische gegevensbanken;
2) het beheer van de toegangen;
3) de profielen;
4) identificatie, authenticatie en logbestanden (logging).
De leden van de politiediensten hebben toegang tot de politionele gegevensbanken om hun opdrachten van bestuurlijke en gerechtelijke politie te kunnen uitvoeren. De toegang is gebaseerd op het ‘need to know’-principe. Dit betekent dat degene die zich toegang verschaft tot de gegevensbank een operationele noodzaak of reden moet hebben, geauthentiseerd wordt én individueel traceerbaar is.
Iedere toegang wordt gelogd, zowel wat betreft de toegang als tot de gegevens die worden verwerkt (geraadpleegd, gewijzigd, enz.). De rechtmatigheid van de toegang staat in verband met de toegekende rol, het toegekende profiel (binnen deze rol) en het type gegevensbank. De korpschef van de politiezone, de commissaris-generaal, de directeurs-generaal en de directeurs bij de federale politie beslissen voor de personeelsleden welk profiel nodig is om de hen toevertrouwde taken te kunnen uitvoeren.
Het toekennen van rollen is gebaseerd op een rechtensysteem. Het gaat om een centraal register van profielen en (gedifferentieerde) toegangsrechten tot de toepassingen in de politionele gegevensbanken. De procedures voor het aanvragen en verlenen van toegang maken het voorwerp uit van interne richtlijnen binnen de geïntegreerde politie. Die worden ter beschikking gesteld van het Controleorgaan op de politionele informatie.
Voor de bijzondere en lokale technische gegevensbanken moeten de korpschef, commissaris-generaal, de directeurs-generaal en de directeurs voor de federale politie een toegangsbeleid uitwerken en wordt een lokaal register bijgehouden. Dit register is gekoppeld aan de authentieke bron voor het personeelsbeheer van de geïntegreerde politie waardoor de gegevens in het register automatisch bijgewerkt worden. Volgens de richtlijn moeten de korpschef van de lokale politie, de commissaris-generaal, de directeurs-generaal en de directeur bij de federale politie ten minste eenmaal per jaar controleren of de gegevens in het register actueel zijn.
Identificatie, authenticatie en logging
De identificatie- en authenticatieregel is van toepassing op elke toegang tot de gegevensbanken en de gegevens die ze bevatten. Met de identificatie wordt technisch nagegaan of de persoon die verbinding maakt om toegang tot de gegevensbanken te hebben, effectief lid is van de politiediensten en of zijn of haar hiërarchische overheid deze toegang heeft goedgekeurd. Authenticatie garandeert technisch gezien dat het lid van de politiediensten die zich heeft geïdentificeerd en de vereiste toegang heeft, wel degelijk het juiste lid is.
De logbestanden worden gebruikt om de regelmatigheid van de verwerking te controleren, voor zelfcontrole door de politiediensten, om de integriteit en de veiligheid van de persoonsgegevens te waarborgen, in het kader van strafrechtelijke procedures en voor toezichtdoeleinden door het Controleorgaan op de politionele informatie of andere toezichthoudende instanties.
Niet voor gerechtelijke overheden
De richtlijn heeft geen betrekking op de toegangsregels van de gerechtelijke overheden die kaderen binnen het strafrechtelijk traject (geheim van het opsporingsonderzoek of gerechtelijk onderzoek).
Richtlijn Informatieveiligheid
Een tweede, aanvullende gemeenschappelijke richtlijn gaat dieper in op de maatregelen die nodig zijn om het beheer en de veiligheid (en in het bijzonder de betrouwbaarheid, de vertrouwelijkheid, de beschikbaarheid, de traceerbaarheid en de integriteit) van de persoonsgegevens en de informatie die worden verwerkt in de gegevensbanken te verzekeren.
De ministers leggen een aantal minimale beveiligingsmaatregelen op zoals de vereiste voor de politiediensten om te beschikken over een geactualiseerd beleid inzake informatieveiligheid en een risicobeheerssysteem inzake informatieveiligheid. Met daarbij ook aandacht voor de veiligheid op het gebied van personeelsbeheer, cryptografie, toegangscontrole, betrekkingen met derden, incident management, juridische monitoring, enz.