18 mrt 2020
Wat betekent de Wet politiegegevens voor organisaties met boa’s?
De verwerking van persoonsgegevens door buitengewoon opsporingsambtenaren (boa’s) valt niet onder de Algemene Verordening gegevensbescherming (AVG), maar in plaats daarvan onder de Wet politiegegevens (Wpg). De aangepaste wet is per 1 januari 2019 van kracht geworden. Dit artikel gaat in op wat dit voor de boa’s en hun werkgevers betekent en wat een effectieve aanpak kan zijn om aan de Wpg te voldoen.
AVG versus Wpg
De Algemene Verordening gegevensbescherming (AVG) staat volop in de publieke belangstelling. Veel minder bekend is dat er daarnaast nog een andere wet van kracht is geworden, de Wet politiegegevens (Wpg). Deze regelt, onder veel meer, de verwerking van persoonsgegevens in de strafrechtelijke keten. Handhaving van deze weten wordt steeds belangrijker, temeer omdat deze al per 25 mei 2018 respectievelijk 1 januari 2019 van kracht zijn geworden.
Ook buitengewoon opsporingsambtenaren (boa’s) hebben te maken met veel veranderingen in het omgaan met persoonsgegevens en het beveiligen van de informatie. Het is nog niet voor iedereen even duidelijk wat dit voor boa’s en hun werkgevers betekent en wat een effectieve aanpak kan zijn om aan de Wpg te voldoen.
De AVG en de Wpg zijn bestemd voor verschillende gebruikers en doelgroepen en bestaan naast elkaar. Buitengewoon opsporingsambtenaren (boa’s) vallen onder een nieuwe wet en daarover hebben de experts van BMC een uitgebreide folder geschreven, met de titel ‘Wat betekent de Wet politiegegevens voor organisaties met boa’s?’ Hierin zijn ook de specifieke artikelnummers uit de Wpg opgenomen.
Achtergrond van de Wpg
Tot 25 mei 2018 was er geen eenduidig regime voor de verwerking van persoonsgegevens in de strafrechtelijke keten. Na de EU-Richtlijn 2016/680 is een nieuwe Europese wet ontstaan, waarin de verwerking van persoonsgegevens voor voorkoming van, onderzoek naar, opsporing van en vervolging van strafbare feiten zijn samengebracht. In de nieuwe wet, de Wet Politiegegevens (Wpg), zijn de eerdere wetten en besluiten samengekomen. Dit betekent dat de oorspronkelijke Wet bescherming persoonsgegevens (Wbp) is vervallen en ook de eerdere Bpg (Besluit politiegegevens) en het Bpg Boa (Besluit politiegegevens Boa) zijn niet meer geldig.
Wat blijft gelijk?
De werkgever van de boa blijft verantwoordelijk voor de verwerking van persoonsgegevens. In een andere EU-richtlijn (2018/680) is aansluiting gezocht bij de AVG en hierop is vervolgens de Wpg gebaseerd. Dat betekent dat organisaties die de AVG al hebben geïmplementeerd voor een belangrijk deel ook voldoen aan de eisen die de Wpg stelt. Denk bijvoorbeeld aan de meldplicht datalekken, het uitvoeren van DPIA’s en het aanstellen van een Functionaris Gegevensbescherming (FG).
Wat verandert er?
Belangrijk is dat zaken – vaak nog meer dan in het verleden - gedocumenteerd moeten worden binnen de Wpg, namelijk
- doelen van onderzoeken
- verstrekking of doorgifte
- afwijzing van verzoeken om inzage
- inbreuk op de beveiliging
- doorgifte buiten de EU met datum en tijd, ontvanger, redenen en doorgegeven gegevens
- melding van gemeenschappelijke verwerkingen aan de Autoriteit Persoonsgegevens (AP).
We beperken ons in onderstaand overzicht tot de afwijkingen van en aanvullingen op de AVG. Het gaat in hoofdlijnen om het volgende:
- De boa heeft bijna altijd ook bestuursrechtelijke toezichts- en handhavingstaken. Een boa krijgt daarom bij het verwerken van persoonsgegevens zowel met de AVG te maken als met de Wpg. In de verwerking van gegevens moet dus duidelijk zijn welke gegevens er worden verwerkt onder de AVG en welke onder de Wpg. In een aantal organisaties is deze scheiding al doorgevoerd door strafrechtelijke gegevens in een speciaal Boa-systeem op te nemen en toezichts- en bestuursrechtelijke gegevens in andere systemen. Als de scheiding binnen één systeem mogelijk is, mag dat ook.
- Er moet een scheiding worden aangebracht tussen gegevens die op feiten zijn gebaseerd en feiten die op een persoonlijk oordeel zijn gebaseerd.
- Er moet onderscheid worden gemaakt tussen betrokkenen, zoals verdachten, slachtoffers, derden en veroordeelden.
- Er vindt logging plaats in geautomatiseerde systemen van de invoer van gegevens in systemen en op termijn ook van het verzamelen, wijzigen, raadplegen, verstrekken (o.a. in de vorm van doorgifte), combineren of vernietigen van politiegegevens
- Er worden specifieke eisen gesteld aan de informatiebeveiliging die in het aangepaste Besluit politiegegevens zijn opgenomen.
Wat blijft?
Belangrijke aspecten die gehandhaafd blijven ten opzichte van de oude Wpg, maar die mogelijk nieuw zijn voor organisaties met boa’s:
- Politiegegevens worden alleen aan geautoriseerde politieambtenaren in andere organisaties beschikbaar gesteld voor zover nodig voor de uitvoering van hun taak. Wel kan een werkgever besluiten om specifieke verwerkingen uit te laten voeren door niet-Boa’s.
- In de dagelijkse uitvoering van taken wordt alleen toegang verleend tot gegevens ouder dan 1 jaar op basis van een relatie met actuele gegevens.
- Bij verstrekking van onjuiste of onrechtmatig verkregen gegevens moet de ontvanger worden geïnformeerd.
- Gegevens uit de dagelijkse uitvoering van taken moeten na 5 jaar worden vernietigd.
- Gegevens ten behoeve van een onderzoek moeten na maximaal een halfjaar worden verwijderd als ze niet langer nodig zijn voor het onderzoek, maar ze mogen pas na 5 jaar worden vernietigd.
- Er bestaat een verplichting tot privacy-audits met rapportage aan de Autoriteit Persoonsgegevens (AP), te weten twee jaar na inwerkingtreding en daarna elke 4 jaar.
- Er moet een privacyfunctionaris worden benoemd, niet te verwarren met de FG
Grote veranderingen in lijn met de AVG
- Inrichting van processen en systemen volgens de principes van gegevensbescherming door beveiliging en ontwerp, gegevensbescherming door standaardinstellingen
- De uitvoering van DPIA’s, deels in lijn met de AVG, deels met specifieke eisen
- Het uitbesteden aan een verwerker
- Versterkt recht van de betrokkene om op verzoek informatie over de verwerking van gegevens te krijgen
- Het recht op inzage, rectificatie en vernietiging, tenzij dit het onderzoek belemmert.
- Het recht op het indienen van een klacht bij de AP
- Het recht op schadevergoeding
- De plicht om een verwerkingsregister bij te houden, met voor de verantwoordelijke, aanvullend op de in de AVG gevraagde informatie, namelijk
- Het bestaan van profilering;
- Categorieën van gegevens die worden doorgegeven buiten de EU;
- Grondslag;
- Toekenning van autorisaties. - Melding van datalekken
- Voorafgaande raadpleging van de AP
- Benoeming van een FG
Wat moet er nu gebeuren?
Nog niet iedere organisatie is al even ver met het invoeren van de diverse vereisten van de wet. Afhankelijk van de gebruikte systemen kan dat in de ene organisatie ook meer inspanningen vergen dan in de andere. Feit blijft dat specifieke aandacht nodig is om de gegevensverwerking door boa’s goed te regelen, goed vast te leggen binnen de organisatie, alle medewerkers/boa’s te informeren en waar nodig te handhaven.
Daarom adviseert BMC:
- een nulmeting te doen op basis van de verplichtingen in de nieuwe Wpg, zodat ook punten die mogelijk in het verleden niet helemaal goed waren geregeld in beeld komen. Het voordeel hiervan is dat er goed kan worden aangesloten bij de AVG-implementatie, dat het een overzicht biedt wat er te doen is en de mogelijkheid om daarin prioriteiten te onderscheiden.
- een traject te starten om de ontbrekende maatregelen in te voeren, waarbij zo veel mogelijk wordt aangesloten bij de werkwijze en procedures die rond de AVG al zijn ingericht.
Uiteraard heeft BMC een instrument ontwikkeld om de nulmeting uit te voeren en zijn er sjablonen voor de benodigde werkwijze en procedures beschikbaar. BMC ondersteunt u graag in dit traject.