Wpg voor boa’s: verplichte externe audit in 2021

Alle organisaties waar boa’s werkzaam zijn, hebben naast de Algemene Verordening Gegevensbescherming (AVG) óók te maken met de Wet Politiegegevens (Wpg) bij de verwerking van persoonsgegevens. De Wpg is al sinds 9 maart 2019 van kracht.

Jaarlijks moet een interne audit worden uitgevoerd. Elke vier jaar is een externe audit op de naleving van de Wpg verplicht, waarvan de eerste twee jaar na inwerkingtreding van de Wpg voor boa’s moet plaatsvinden. Dat betekent concreet dat deze vóór het einde van dit jaar moeten worden uitgevoerd.

Bent u verantwoordelijk voor de Wpg bij een gemeente, provincie, omgevingsdienst, privaatrechtelijke of andere organisatie waar boa’s werkzaam zijn? Wacht dan niet te lang met voorbereiden, om er zeker van te zijn dat u alles tijdig geregeld heeft om compliant te zijn.

In deze blog brengen we u op de hoogte over:

• Wat is de Wpg?
• Voor wie is deze van toepassing?
• Wpg naast APG voor boa’s
• Wat betekent de Wpg voor de werkgever?
• Documentatieplicht
• Verplichte interne en externe audits
• Is uw organisatie klaar voor de externe audit?

Wat is de Wpg?

De wetgeving op het gebied van privacy is de laatste jaren ingrijpend veranderd. Iedereen heeft inmiddels wel van de AVG gehoord. Naast de AVG is sinds 9 maart 2019 ook de Wet politiegegevens (Wpg) van toepassing op persoonsgegevens die door buitengewoon opsporingsambtenaren (boa’s) worden verwerkt. De opsporing van strafbare feiten door boa’s valt daarmee buiten het bereik van de AVG. Verwerking van persoonsgegevens op strafrechtelijke grond moet voldoen aan de vereisten van de Wpg. Alle andere verwerkingen die worden uitgevoerd door boa’s, waaronder het toezicht, vallen wel onder de AVG. Gemeentelijke handhavers, boswachters, parkeercontroleurs, milieu-inspecteurs en ov-handhavers hebben daarmee bij de verwerking van persoonsgegevens te maken met zowel de AVG als de Wpg. Dit betekent dat organisaties waar boa’s werkzaam zijn rekening moeten houden met voorschriften en verplichtingen uit beide wettelijke regimes.

Voor wie is de Wpg van toepassing?

Alle organisaties waar boa’s werkzaam zijn, zoals gemeenten, provinciën, omgevingsdiensten, maar ook privaatrechtelijke organisaties, dienen hun werkprocessen en systemen aan te passen conform de Wpg. In het ‘besluit boa’s’ is de werkgever van de boa aangewezen als verwerkingsverantwoordelijke.

De verandering in de omgang met persoonsgegevens en het beveiligen van de informatie, heeft gevolgen voor zowel de boa’s als voor de werkgevers. Niet alle boa’s en werkgevers weten even duidelijk wat de Wpg voor hen in de praktijk betekent en wat een effectieve aanpak kan zijn om aan deze wet te voldoen.

Wpg naast AVG voor boa’s

Een boa heeft bijna altijd te maken met bestuursrechtelijke toezichts- en handhavingstaken. Een boa krijgt daarom bij het verwerken van persoonsgegevens zowel met de AVG als met de Wpg te maken. Bij de verwerking van persoonsgegevens moet duidelijk zijn welke gegevens er worden verwerkt onder de AVG en welke onder de Wpg. De scheiding tussen Wpg-gegevens en AVG-gegevens moet worden aangetoond.

De Wpg heeft voor boa’s vooral gevolgen voor hoe ze hun werk verantwoorden. In welke systemen werken ze en met wie mogen ze gegevens delen? Wanneer vallen hun werkzaamheden onder de AVG en wanneer onder de Wpg?

De Wpg is specifieker dan de AVG: er gelden andere bewaartermijnen, men mag eenmaal verzamelde gegevens ook voor andere doelen gebruiken en men mag gegevens verzamelen en verder verwerken zonder dat de betrokkene toestemming hoeft te geven.

De zes verwerkingsgrondslagen van de AVG komen niet voor in de Wpg. In de Wpg spreken we bijvoorbeeld over ‘gegevens die verwerkt worden voor de uitvoering van de dagelijkse politietaak’, ook wel artikel 8-gegevens genoemd.

Wat betekent de Wpg voor de werkgever?

De werkgever van de boa’s blijft verantwoordelijk voor de verwerking van (persoons)gegevens. Op het moment dat de organisatie de AVG heeft geïmplementeerd, voldoet hij voor een deel ook aan de eisen die de Wpg stelt. Denk bijvoorbeeld aan de meldplicht datalekken, het uitvoeren van DPIA’s en het aanstellen van een Functionaris Gegevensbescherming (FG).

Let op: de aanstelling van de FG is nu vaak op basis van de AVG is. Voor de Wpg wordt een aparte aanstelling van een FG geëist (via een apart aanstellingsbesluit bij de Autoriteit Persoonsgegevens).

Met de implementatie van de AVG zijn organisaties er voor de Wpg echter nog niet. Zo is de documentatieplicht uitgebreider en moeten er interne (jaarlijks) en externe (vierjaarlijks) audits plaatsvinden.

Documentatieplicht

Nog belangrijk dan in het verleden is de verplichting van de werkgever tot documenteren van o.a.:

• Register van verwerkingsactiviteiten
• Logging
• Meldplicht (procedure) datalekken
• Benoemen bevoegd functionaris (niet te verwarren met de FG)
• Benoemen Functionaris Gegevensbescherming Wpg
• Privacy by design & Privacy by default
• Gegevensbeschermingseffectbeoordeling (GEB/DPIA)
• Privacy statement en privacy beleid
• Verwerkersovereenkomsten 

Verplichte interne en externe privacy audits

Conform de Wpg is de verwerkingsverantwoordelijke (de werkgever) verplicht tot de uitvoering van zowel interne als externe privacy audits. Hierbij moet voor de externe audits een rapportage aan de Autoriteit Persoonsgegevens (AP) plaatsvinden.

Interne audits

Interne audits moeten jaarlijks worden uitgevoerd.

De (interne) audit heeft betrekking op de wijze waarop het verwerken van politiegegevens is georganiseerd, de maatregelen en procedures die daarop van toepassing zijn en de werking van deze maatregelen en procedures. Aangezien het een audit op werking betreft, moet er rekening mee gehouden worden dat er minstens 3 maanden gewerkt is conform de opgestelde procedures.

Externe audits

Externe audits zijn eens in de vier jaar verplicht. Daarbij is besloten dat deze voor het eerst twee jaar na de inwerkingtreding van de Wpg voor boa’s moet plaatsvinden. Dit betekent concreet dat u dit jaar voor het eerst een externe privacy audit moet laten uitvoeren.

Een onafhankelijke externe auditor, die voldoet aan de bij ministeriële regeling te stellen eisen van werkwijze, deskundigheid en betrouwbaarheid, voert de controle (de externe audit) op de interne audit uit.

Is uw organisatie klaar voor de externe audit?

Met de verplichte externe audit voor de deur, is tijdige voorbereiding essentieel. Hoe staat uw organisatie ervoor met betrekking tot de invoering van de Wpg?

Parell heeft dienstverlening ontwikkeld waarmee uw organisatie snel inzicht krijgt in de huidige status. Op basis hiervan kunnen heel gerichte adviezen worden gegeven voor de vereisten van de Wpg voor boa’s. Daarnaast ondersteunt Parell bij de invoering van deze vereisten binnen uw organisatie.

Wilt u meer weten over deze dienstverlening? Neem dan contact op met Maurice Noordhof via maurice.noordhof@parell.nl of 085 4011 274.