Inspectie: informatiebeveiliging politie moet nog beter

De politiekorpsen werken actief aan de beveiliging van de gegevens in hun informatiebestanden en informatiestromen. Op incidenten reageren zij over het algemeen zeer adequaat. Maar de korpsen richten zich nog te veel op de uitvoering; de actualiteit van de dag krijgt voorrang boven een planmatige en structurele aanpak van de informatiebeveiliging. Door de leiding goedgekeurd beveiligingsbeleid ontbreekt of is verouderd. Vooral aan de evaluatie van het beveiligingsbeleid schort nog veel. De inspectie komt met aanbevelingen om het een en ander te verbeteren.

Dat blijkt uit een onderzoeksrapport van de Inspectie Openbare Orde en Veiligheid. Minister Ter Horst (Binnenlandse Zaken en Koninkrijksrelaties) heeft het rapport naar de Tweede Kamer gestuurd. Zij heeft het ook naar het Korpsbeheerdersberaad gestuurd met het verzoek te reageren op de aanbevelingen uit het inspectierapport. De korpsbeheerder (burgemeester van de centrumgemeente in de regio) is immers verantwoordelijk voor de informatiebeveiliging. Vanwege het belang van informatiebeveiliging vindt de minister een gezamenlijke aanpak door de korpsen belangrijk.

Ook voor de afluistervoorzieningen (interceptie) geldt dat nog niet planmatig wordt gewerkt aan beveiliging. Door achterstand in de uitvoering van de voorgeschreven audits is momenteel niet duidelijk welke hiaten er zijn in de beveiliging.

Belangrijkste aanbevelingen Inspectie OOV

* De politie moet een samenhangend beveiligingsbeleid formaliseren en actualiseren, waar personele aspecten van beveiliging, facilitaire en fysieke beveiliging en informatiebeveiliging onder vallen.
* De politie mmoet risicoanalyses uitvoeren om vast te stellen of voldoende beveiligingsmaatregelen zijn getroffen.
* Alle beveiligingsincidenten moeten geregistreerd en geanalyseerd worden.
* De korpsen moeten het beveiligingsbewustzijn van politiemensen bevorderen. Het gedrag van mensen bepaalt namelijk in hoge mate welke risico's een korps loopt op het gebied van informatiebeveiliging.
* De politiekorpsen moeten vooldoende personeel vrij maken dat zich met informatiebeveiliging bezighoudt.
* De politie moet systemmatisch gebruik maken van interne en externe audits. Interregionale audits - waarbij het ene korps de beveiliging van het andere korps doorlicht - zijn effectief.
* De politiekorpsen moeten nog meer samenwerkeen bij informatiebeveiliging.
* De politie moett op korte termijn audits uitvoeren op de beveiliging van afluistervoorzieningen.

Noot voor redacties (