Het CBP heeft onder meer geconstateerd dat bij de korpsen Haaglanden en DNR formele procedures voor het toekennen en intrekken van autorisaties voor toegang tot het CIS ontbreken. De formele procedures zijn van belang om te waarborgen dat alleen bevoegde gebruikers toegang hebben tot het systeem en dat onbevoegde toegang wordt voorkomen.
Ook heeft het CBP geconcludeerd dat de autorisaties voor toegang tot het CIS aan zowel de medewerkers van het CIOT die beheerstaken uitvoeren op het CIS als aan de opsporingsambtenaren niet rechtsgeldig zijn verleend. Rechtsgeldige autorisaties vormen een waarborg tegen toegang door willekeurige personen tot in dit geval zeer gevoelige gegevens.
Uit het onderzoek is ook gebleken dat de rechtstreekse bevragingen door de onderzochte opsporingsdiensten aan de telecommunicatieaanbieders – buiten het CIOT om – via een openbare telefoonlijn zonder aanvullende beveiligingsmaatregelen worden verzonden. Het CBP concludeert dat er geen sprake is van een passend beveiligingsniveau. De combinatie van bijvoorbeeld identificerende gegevens met gegevens van een misdrijf levert zeer gevoelige gegevens op. Hiervoor moeten extra beveiligingsmaatregelen worden getroffen om de vertrouwelijkheid en de integriteit van de gegevens te waarborgen. Het CBP concludeert dat er sprake is van strijd met de wet omdat er geen extra beveiligingsmaatregelen zijn genomen om deze gevoelige gegevens te beveiligen.
Tot slot is ook de rechtmatigheid van een aantal specifieke bevragingen onderzocht. Het CBP concludeert dat bij het korps Haaglanden vijf van de elf en bij de DNR negen van de elf onderzochte bevragingen in strijd met de wet zijn, in die zin dat de korpsen de betreffende bevragingen van het CIS niet konden verantwoorden.