of 63000 LinkedIn

Besteed extra aandacht aan gegevensverwerking boa’s

Antoine van Vlodorp Reageer

In vrijwel alle gemeenten zijn buitengewoon opsporingsambtenaren (boa’s) werkzaam. Bij het verwerken van persoonsgegevens door boa’s moeten gemeenten rekening houden met twee privacyreglementen: zowel de Algemene verordening gegevensbescherming (AVG) als de Wet politiegegevens (Wpg). Veel gemeenten zijn zich onvoldoende bewust van de verplichte privacy- en internal audit in 2021 voor naleving van de Wpg.

De verwerking van persoonsgegevens door boa’s viel tot 25 mei 2018 onder de Wet bescherming persoonsgegevens (Wbp). Door de komst van de AVG valt de verwerking van persoonsgegevens rondom strafbare feiten onder een andere Europese wet, namelijk EU-Richtlijn 2016/680. Deze richtlijn is omgezet in de Wet politiegegevens (Wpg), aangevuld met het Bpg (Besluit politiegegevens), en is sinds 1 januari 2019 van kracht.

In de Wpg en het bijbehorende besluit voor boa’s, het Besluit politiegegevens voor buitengewoon opsporingsambtenaren (BpgBoa), staat dat de Wpg van toepassing is op gegevensverwerkingen door boa’s voor de uitvoering van hun opsporingstaak. Het gaat om de opsporing van strafbare feiten die in een akte van opsporingsbevoegdheid of in een aanwijzing zijn opgelegd aan de boa.

Voor de verwerking van politiegegevens stelt de Wpg net als de AVG een aantal algemene criteria. Dit betreft criteria over noodzakelijkheid, rechtmatigheid, juistheid, proportionaliteit, subsidiariteit en volledigheid. Daarnaast moet de verwerkingsverantwoordelijke gemeente een aantal extra technische en organisatorische maatregelen nemen. De reden voor deze strenge eisen ligt in de aard van de bevoegdheden. Bij het uitvoeren van een wettelijke opsporingstaak zijn dit namelijk bevoegdheden uit het Wetboek van Strafvordering en de Wet op de economische delicten. Hiermee kan diep op de privacy van burgers worden ingegrepen en dit vraagt om strenge regels om de privacy van burgers te beschermen. Gemeenten moeten daarom extra aandacht besteden aan gegevensverwerking door boa’s.

Gemeenten zijn zich vaak niet bewust dat de wetgever ook heeft bepaald dat de correcte naleving van de Wpg periodiek via privacy audits door onafhankelijke externe IT-auditors (RE) moet worden gecontroleerd. Artikel 6.5 Bpg houdt in dat voor het eerst in 2021 en vervolgens eenmaal in de vier jaren, de gemeente een onafhankelijke privacy audit moet laat uitvoeren. De privacy audit heeft betrekking op de wijze waarop het verwerken van politiegegevens is georganiseerd, de maatregelen en procedures die daarop van toepassing zijn en de werking van deze maatregelen en procedures. Artikel 33 lid 2 Wpg verplicht de gemeente een afschrift van het auditrapport aan de Autoriteit Persoonsgegevens te zenden.

Tot slot is in artikel 3 van de Regeling periodieke audit politiegegevens bepaald dat gemeente er zorgt voor draagt dat, mede ter voorbereiding op de externe privacy audit, tenminste jaarlijkseen interne audit wordt uitgevoerd door een gecertificeerd IT-auditor (RE) op de naleving van (onderdelen van) de Wpg. De resultaten van de interne audits worden vervolgens betrokken bij de privacy audit. Het is belangrijk dat gemeenten zich bewust zijn van hun Wpg-auditverplichtingen, want de Autoriteit Persoonsgegevens (AP) kan een stevige bestuurlijke boete opleggen bij het niet voldoen aan deze verplichtingen.


Antoine van Vlodorp, manager concernaudit, gemeente Utrecht

Verstuur dit artikel naar Google+

Reageer op dit artikel
















Even geduld a.u.b.