of 63966 LinkedIn

Besteed extra aandacht aan gegevensverwerking boa’s

Antoine van Vlodorp 2 reacties

In vrijwel alle gemeenten zijn buitengewoon opsporingsambtenaren (boa’s) werkzaam. Bij het verwerken van persoonsgegevens door boa’s moeten gemeenten rekening houden met twee privacyreglementen: zowel de Algemene verordening gegevensbescherming (AVG) als de Wet politiegegevens (Wpg). Veel gemeenten zijn zich onvoldoende bewust van de verplichte privacy- en internal audit in 2021 voor naleving van de Wpg.

De verwerking van persoonsgegevens door boa’s viel tot 25 mei 2018 onder de Wet bescherming persoonsgegevens (Wbp). Door de komst van de AVG valt de verwerking van persoonsgegevens rondom strafbare feiten onder een andere Europese wet, namelijk EU-Richtlijn 2016/680. Deze richtlijn is omgezet in de Wet politiegegevens (Wpg), aangevuld met het Bpg (Besluit politiegegevens), en is sinds 1 januari 2019 van kracht.

In de Wpg en het bijbehorende besluit voor boa’s, het Besluit politiegegevens voor buitengewoon opsporingsambtenaren (BpgBoa), staat dat de Wpg van toepassing is op gegevensverwerkingen door boa’s voor de uitvoering van hun opsporingstaak. Het gaat om de opsporing van strafbare feiten die in een akte van opsporingsbevoegdheid of in een aanwijzing zijn opgelegd aan de boa.

Voor de verwerking van politiegegevens stelt de Wpg net als de AVG een aantal algemene criteria. Dit betreft criteria over noodzakelijkheid, rechtmatigheid, juistheid, proportionaliteit, subsidiariteit en volledigheid. Daarnaast moet de verwerkingsverantwoordelijke gemeente een aantal extra technische en organisatorische maatregelen nemen. De reden voor deze strenge eisen ligt in de aard van de bevoegdheden. Bij het uitvoeren van een wettelijke opsporingstaak zijn dit namelijk bevoegdheden uit het Wetboek van Strafvordering en de Wet op de economische delicten. Hiermee kan diep op de privacy van burgers worden ingegrepen en dit vraagt om strenge regels om de privacy van burgers te beschermen. Gemeenten moeten daarom extra aandacht besteden aan gegevensverwerking door boa’s.

Gemeenten zijn zich vaak niet bewust dat de wetgever ook heeft bepaald dat de correcte naleving van de Wpg periodiek via privacy audits door onafhankelijke externe IT-auditors (RE) moet worden gecontroleerd. Artikel 6.5 Bpg houdt in dat voor het eerst in 2021 en vervolgens eenmaal in de vier jaren, de gemeente een onafhankelijke privacy audit moet laat uitvoeren. De privacy audit heeft betrekking op de wijze waarop het verwerken van politiegegevens is georganiseerd, de maatregelen en procedures die daarop van toepassing zijn en de werking van deze maatregelen en procedures. Artikel 33 lid 2 Wpg verplicht de gemeente een afschrift van het auditrapport aan de Autoriteit Persoonsgegevens te zenden.

Tot slot is in artikel 3 van de Regeling periodieke audit politiegegevens bepaald dat gemeente er zorgt voor draagt dat, mede ter voorbereiding op de externe privacy audit, tenminste jaarlijkseen interne audit wordt uitgevoerd door een gecertificeerd IT-auditor (RE) op de naleving van (onderdelen van) de Wpg. De resultaten van de interne audits worden vervolgens betrokken bij de privacy audit. Het is belangrijk dat gemeenten zich bewust zijn van hun Wpg-auditverplichtingen, want de Autoriteit Persoonsgegevens (AP) kan een stevige bestuurlijke boete opleggen bij het niet voldoen aan deze verplichtingen.


Antoine van Vlodorp, manager concernaudit, gemeente Utrecht

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.

Reactie op dit bericht

Door L.Schoo Jr. (Ja) op
Je moet wel eerst iets tegen een Boa gedaan hebben en/of zijn aanwijzingen niet opgevolgd hebben of (bijna) onderstboven gereden hebben, uitgescholden etc. Ik zie het bijna dagelijks wonend in de binnenstad, daar is het ook veel erger dan andere wijken, waarom? Arrogantie,de binnenstad is van ons allemaal. Nou als je er niet woont op zin hoogst voor de helft. Net zo min als Zuid ook van mij is. Was het maar waar. God wat was tijdens de Corona (hoe erg ook) het heerlijk in de binnenstad en de Nieuwmarktbuurt met een zooitje hotels en taxistandplaatsen godsschruwelijk rustig net 48 jaar geleden toen ik 10 was en het Zondag heerlijk lopen was en huisjes kijken op de grachten toen ik nog bij mijn ouder's in de Raadhuisstraat woonde tot me 22ste.
Door Lars Hoogendijk (Interne auditor bij de provincie ZH (RE)) op
Hartelijk dank voor het overzichtelijke artikel; ook relevant voor boa's bij provincies. Het roept bij mij, als interne RE van een provincie, wel de volgende vragen op. Waarop is gebaseerd dat (1) de privacyaudit door een externe auditor moet worden uitgevoerd en (2) dat de interne audit moet worden uitgevoerd door een RE? Ik lees dat niet met zoveel woorden terug in de Regeling periodieke audit politiegegevens.