Voor de goede orde, dit heeft dus niets met de AVG GDPR van doen. Het is een apart andere taak.

Blij dat de politie inziet dat zij verstandig met het geld van de burger moet omgaan

We zijn het in Nederland de laatste 20 jaar "normaal" gaan vinden dat wetshandhavers zich zelf niet aan de wet hoeven te houden. Ooit was dit, terecht, reden voor aftreden en/of ontslag op staande voet.

Verdiep je even in de situatie een AP die zich opstelt als wetgevend handhavend en rechtsprekend, zoiets is pas echt tegen elke rechtsorde.
Er is geen verwijzing naar welke wetsartikel overtreden zou zijn, het ap heeft er zelf in invulling aan gegeven. Tevens is er niets over verteld in details waar het dan om zou gaan.
Er was kennelijk een onenigheid over de invulling van een inrichting dan wel de processen en controles. Heel moeizaam is er kennelijk uitgerold dat de andere partij dan het AP wat aanpassingen doet.
Het AP beweerd altijd dat al je het niet met ze eens bent je naar de rechter moet stappen om te kijken of de wet gevolgd wordt. Dat is hier niet gebeurt. We weten het niet echt. Toch ga jij er vanuit dat het AP het wel volgens de wet zal doen, dat is niet zeker en niet volgens de wet.

Dag Karma4, het persbericht bevat inderdaad geen informatie over het wettelijk kader. Maar het persbericht verwijst wel naar de last onder dwangsom die is opgelegd en nu blijkbaar nageleefd. Die last onder dwangsom bevat in bijlage 2 het wettelijk kader. Besluit 2007/533/JBZ artikel 10 eerste lid, onder i en k bevatten het meest concrete kader. Namelijk de verplichting om te loggen en de toegang doorlopend te controleren. Persberichten zijn niet geschikt om een gedetailleerd wettelijk kader uit te werken, maar je bent van harte welkom om het initiële onderzoeksrapport en de twee daarop volgende lasten na te lezen. Ik hoop dat dat je wat gerust kan stellen.

Die boete voor de politie wordt toch gewoon door mij betaald, via de belasting enzo...

Goedendag anoniem. Ik reageerde op de negatieve framing "dat de overheid zich niet aan de wet houdt". Dat is een overdreven op emoties spelend iets wat je als toezichthouder moet zien te vermijden.

Het niet bijhouden of uitvoeren op van de verplichtingen zoals je noemt geeft meer beeld over wat het spanningsveld is.
https://publications.europa.eu/nl/publication-detail/-/publication/cd6d4855-ee84-4442-a8e5-146b2e4b64df/language-nl De artikelen:
" Artikel 10 Elke lidstaat neemt voor zijn N.SIS II passende maatregelen, waartoe ook een beveiligingsplan behoort, opdat:
i/ naderhand kan worden nagegaan en vastgesteld welke persoonsgegevens wanneer, door wie en voor welk doel in een geautomatiseerd gegevensverwerkingssysteem zijn opgenomen (controle op de opneming);
l/ de doelmatigheid van de in dit lid bedoelde beveiligingsmaatregelen doorlopend wordt gecontroleerd en met betrekking tot deze interne controle de nodige organisatorische maatregelen worden genomen om ervoor te zorgen dat de voorschriften van dit besluit worden nageleefd (interne controle)."

Het laat veel ruimte over voor wat dat tactisch en operationeel naar de realisatie kan betekenen. Het is de politie als uitvoerende partij die daarvoor eerst intern de boel opstelt. Ik verwacht de bekende iso27k reeks met de bio als handvat. Strategisch zou je nog wat kunnen zeggen wat de verwachtingen zijn zoals scheiding van functies zonder namen of functies te noemen etc . Lid f,g,h ljken me daarbij de uitdagingen. Tot in perfectie onderdeel f gaat nooit lukken omdat j dan ver doorschiet in micromanagement. Probeer een elke handeling volledig in detail te beschrijven en ervaar de tegenspraak.
Operationeel (technisch) zou je veel te veel vrij geven en is openheid ongewenst. Je ziet privacy organisaties hier veel te ver doorschieten.

Zover ik het inschat is er een onenigheid over de invulling ontstaan. Ik zag een vacature langskomen, uiteindelijk heeft de politie besloten er een extra fte van te maken voor dat werk.
Of dat het beste wat de inhoud betreft is weet ik niet, het is wel het beste om iets werkbaars te krijgen en kosten in de hand te houden. Al die overleggen en eventuele rechtszaken zijn niet gratis.

In deze lijn zag ik het AP echt een keer volledig de mist in gaan uit onbegrip van de werking en samenhang van de systemen. Secundaire systemen waar handmatig user opgevoerd moet worden maar wel een volledige monitoring logging op het gebruik is naar endpoints moet je niet op dezelfde manier gaan beschouwen als primaire endpoints. Doe je dat wel dan veroorzaak je meer schade dan dat er iets opgelost wordt.