IT rond opsporing rammelt

Bijna helft van korpsen vindt eigen informatiebeveiliging onvoldoende. De regiokorpsen van de Nederlandse politie hebben de IT rond hun opsporingsactiviteiten niet al te best geregeld. Zo er al iets is geregeld, structureert elk van de 25 korpsen softwareondersteuning en informatiebeveiliging op z’n eigen wijze.

Dat blijkt uit het rapport “Opsporing bezocht”, naar aanleiding van een inventariserend onderzoek door de Inspectie Openbare Orde en Veiligheid (Inspectie OOV).

Technisch gezien is de informatiebeveiliging doorgaans wel in orde, maar organisatorisch rammelt het nogal eens. Bijna de helft van de korpsen beoordeelt de eigen informatiebeveiliging als onvoldoende. Bij meer dan de helft van de 25 regiokorpsen is geen informatie-beveiligingsplan opgesteld en waar wel over zo’n plan is nagedacht wordt het lang niet altijd consequent nageleefd. Slecht 10 korpsen hebben de moeite genomen om de bedreigingen rond hun informatie in kaart te brengen. Van een procesgerichte aanpak van beveiliging, waarbij ‘proceseigenaren’ verantwoordelijk zijn voor de binnen hun proces gebruikte systemen, is zelden sprake. Slechts acht korpsen laten externe partijen audits op de informatiebeveiliging uitvoeren.

Gerangschikt naar kwaliteit van informatiebeveiliging doen de korpsen Noord- en Oost-Gelderland, Groningen, Noord-Holland-Noord en Amsterdam-Amstelland het nog het beste. In de onderste regionen bungelen ‘Fryslân’, Haaglanden, Flevoland en Twente. De laatste heeft geen beleidsdocument voor informatiebeveiliging opgesteld, geen inventarisatie van bedreigingen uitgevoerd, geen informatiebeveiligingsplan, geen decentrale beveiligingsfunctionaris aangewezen en geen specifieke beveiligingsmaatregelen getroffen. Bovendien laat het zich niet aanzien dat deze situatie snel zal verbeteren, want naar het eigen oordeel doet het korps ‘voldoende’ aan informatiebeveiliging.

Ook wat betreft de rationaliteit en efficiëntie van het applicatiebeheer blijken er vraagtekens mogelijk bij de IT-inrichting van de regiokorpsen in Nederland. Zo blijkt er grote onduidelijkheid te bestaan over de opsporingsapplicaties die in gebruik zijn. Weliswaar lijken de onderzoekers zich gelukkig te prijzen met de vaststelling dat er minder applicaties in gebruik zijn dan de wel gesuggereerde 800, maar in de praktijk blijken de geïnterviewden zelf hun applicatieportfolio toch met een factor twee te onderschatten. Ze noemden in totaal tachtig toepassingsprogramma’s maar bij nader onderzoek blijken het er 160 te zijn, met grote verschillen per korps. Sommige korpsen hebben genoeg aan vijftien tot twintig opsporingsapplicaties, andere lijken voor hetzelfde werk vijftig tot soms wel zestig programma’s nodig te hebben. Een verband tussen korpsgrootte en het aantal in gebruik zijnde opsporingsapplicaties werd niet aangetroffen. Een aanzienlijk deel van de, veelal als ‘technisch’ aangemerkte, applicaties (44 procent) heeft slechts één gebruiker. Slechts een kwart van de applicaties kent meer dan 5 gebruikers.

Bij het gegevensbeheer blijkt er binnen de regiokorpsen weinig sprake van gestandaardiseerde procedures. Vrijwel alle korpsen controleren op meer dan één manier de kwaliteit van hun gegevensbestanden, maar softwarematige controle voert de boventoon. De verantwoordelijkheid voor deze controles ligt meestal bij een gegevensbeheerder of de operationele chef. Inzicht in de uiteindelijke kwaliteit van de gegevens waarop opsporing in Nederland wordt gebaseerd, konden onderzoekers van de Inspectie OVV echter niet verkrijgen, wat hen overigens niet heeft weerhouden van de constatering: “Positief is evenwel dat een belangrijk onderwerp als dit in alle korpsen aandacht krijgt”. (Rolf Zaal)