Politie bezoekt school van 'verkeerde kind', verwisselt slachtoffers en verdachten in enorme datafout

De Information Commissioner’s Office (ICO) in het Verenigd Koninkrijk heeft de West Midlands Police (WMP) berispt voor het herhaaldelijk verwarren van de persoonlijke gegevens van twee personen met dezelfde naam en geboortedatum. Deze fouten werden gemaakt tijdens 2020, 2021 en 2022. Beide personen waren slachtoffers van misdaden, hoewel een van hen ook een verdachte was.

Fouten in persoonsgegevens

Volgens de ICO heeft de politie de gegevens van de twee personen herhaaldelijk “onjuist gelinkt en samengevoegd”. Dit resulteerde in een reeks ongelukkige gebeurtenissen waarbij onjuiste persoonlijke gegevens werden verwerkt. Fouten varieerden van agenten die naar het verkeerde adres gingen bij het zoeken naar een persoon met “ernstige beschermingsproblemen”, tot een incorrect bezoek aan de school van het kind van de verkeerde persoon. In een ander incident stuurde de WMP een brief naar een van de personen over de andere, waarin werd onthuld dat ze slachtoffer waren geweest van een ernstige aanval.

Respons op datafouten

De ICO stelde dat de WMP geen stappen ondernam om de fout snel genoeg te herstellen en er niet in slaagde om te voorkomen dat de onjuiste koppeling van gegevens opnieuw optrad, beide overtredingen van de Data Protection Act 2018. Daarnaast bleek uit het onderzoek van de ICO dat de WMP onvoldoende regelmatige gegevensbeschermingstraining had gegeven of genoeg had gedaan om werknemers bewust te maken van hun rol bij het melden van onjuiste persoonlijke informatie.

In reactie hierop heeft de WMP een Data Quality Policy gelanceerd en de campagne “Think before you link” gestart. Een van de personen kreeg een schadevergoeding van de WMP en een brief om hen te helpen soortgelijke gegevensnauwkeurigheidsproblemen met andere organisaties aan te pakken.

Geen boete voor politiedienst

Ondanks de ernst van de fouten heeft de ICO besloten de politiedienst niet te beboeten. Dit is te danken aan de corrigerende actie die door de politiemacht is ondernomen sinds de ICO haar onderzoek startte. David Doodson, manager civiele onderzoeken bij de ICO, benadrukte echter dat het essentieel is dat politie-eenheden persoonlijke informatie met het grootste respect behandelen om het vertrouwen en het vertrouwen van mensen in de politie te behouden.

Aanbevelingen van de ICO

De ICO heeft de politiedienst vier aanbevelingen gegeven. Ten eerste moet de politiedienst passende maatregelen nemen om de dossiers van de twee personen te onderscheiden en verdere onnauwkeurige koppeling en samenvoeging van gegevens te voorkomen. Ten tweede moet de politiedienst ervoor zorgen dat “lessen” uit beveiligingsincidenten over de hele organisatie worden gedeeld en werknemers worden herinnerd aan beveiligingsbeleid. Ten derde moet de politiedienst ervoor zorgen dat werknemers verplichte gegevensbeschermingstraining bijwonen en overwegen “duidelijke beleidslijnen, procedures en training te implementeren die specifiek zijn voor het gebruik van het systeem”. Tot slot moet de politiedienst relevante gegevens van haar verwerkingsactiviteiten bijhouden en stappen ondernemen om de governance-maatregelen te verbeteren.

De politiedienst heeft alle aanbevelingen geaccepteerd en heeft al actie ondernomen om de kans op een herhaling van dergelijke fouten te minimaliseren.