De Wet politiegegevens versus de Algemene verordening gegevensbescherming

De verwerking van persoonsgegevens door boa’s viel tot 25 mei 2018 onder de Wet bescherming persoonsgegevens (Wbp). Door de komst van de AVG valt de verwerking van persoonsgegevens rondom strafbare feiten onder een andere Europese wet, namelijk EU-Richtlijn 2016/680. Deze richtlijn is omgezet in de Wet politiegegevens (Wpg), aangevuld met het Bpg (Besluit politiegegevens), en is sinds 1 januari 2019 van kracht.

De opsporing van strafbare feiten door boa’s valt daarmee buiten het bereik van de AVG. Verwerking van persoonsgegevens op strafrechtelijke grond moet voldoen aan de vereisten van de Wpg. Alle andere verwerkingen – waaronder het toezicht – vallen nog wel onder de AVG. Gemeenten hebben daarmee bij de verwerking van persoonsgegevens bij handhavingstaken te maken met zowel de AVG als de Wpg. Dit betekent dat gemeenten binnen de bedrijfsvoering rekening moeten houden met voorschriften en verplichtingen uit beide wettelijke regimes.

Waar moet een gemeente volgens de Wet politiegegevens aan voldoen?

Een gemeente moet volgens de Wet politiegegevens (Wpg) aan een aantal vereisten voldoen bij de verwerking van gegevens. Die moet plaatsvinden in afzonderlijke systemen en door aangewezen medewerkers. De reden voor deze strenge eisen ligt in de aard van de bevoegdheden Bij het uitvoeren van een wettelijke opsporingstaak zijn dit namelijk bevoegdheden uit het Wetboek van Strafvordering en de Wet op de economische delicten. Hiermee kan diep op de privacy van burgers worden ingegrepen en dit vraagt om strenge regels om de privacy van burgers te beschermen.

Voor de verwerking van politiegegevens stelt de Wpg net als de AVG een aantal algemene criteria. Dit betreft criteria over noodzakelijkheid, rechtmatigheid, juistheid, proportionaliteit, subsidiariteit en volledigheid. Daarnaast moet de verwerkingsverantwoordelijke gemeente een aantal technische en organisatorische maatregelen nemen.

  1. Inspanningsverplichting verwerkingsverantwoordelijke

De gemeente moet zorgen voor procesinrichting voor verwerking van verschillende soorten gegevens waarmee opzet, bestaan en werking aangetoond wordt (artikel 4a Wpg).

  1. Beveiliging

De gemeente moet technische en organisatorische beveiligingsmaatregelen voor onder andere het verlenen van toegang tot politiegegevens opstellen. Deze toegang kan worden verleend aan personen die gelet op hun functie, de aard van de verwerking van politiegegevens en het doel ervan, noodzakelijkerwijs moeten werken met deze gegevens. Dit kan gaan om fysieke maatregelen zoals toegangszonering of digitale maatregelen als autorisatiebeheer, identiteitsmanagement, beheer van toegangs- en gebruikersrechten (zie ook artikel 4a Wpg).

  1. Gegevensbeschermingseffectbeoordeling (GEB)

De Wpg stelt een GEB verplicht op verwerkingen van politiegegevens die een hoog risico inhouden voor de privacy van burgers. Dit geldt met name voor verwerkingen waarbij nieuwe technologieën worden ingezet (zie artikel 4c Wpg).

  1. Rechten betrokken burgers

Burgers hebben mogelijk recht op informatie over verwerking van politiegegevens. Dit kan een actieve informatieplicht zijn waarbij de gemeente initiatief moet nemen om betrokken burgers te informeren, maar kan ook gaan om een passieve informatieplicht op verzoek van een burger. Dergelijke verzoeken kunnen geheel of gedeeltelijk worden afgewezen als dit de opsporing en vervolging belemmert (artikel 24a t/m 28 Wpg).

  1. Registerplicht

De registerplicht houdt in dat de gemeente – net als onder de AVG – voorziet in het beschrijven van alle verwerkingsactiviteiten in algemene zin, om dit vervolgens op te nemen in een register (artikel 31d Wpg).

  1. Meldplicht datalekken

Er is – net als onder de AVG – een meldplicht voor datalekken bij de Autoriteit Persoonsgegevens. Deze melding kan worden uitgesteld, beperkt of achterwege worden gelaten als dat bijvoorbeeld opsporing, vervolging of berechting belemmert (artikel 33a Wpg).

  1. Documentatieplicht

De documentatieplicht staat voor documentatie van belangrijke verwerkingen, zoals verstrekking politiegegevens aan derden, redenen voor afwijzing inzage- of correctieverzoek en alle inbreuken op de beveiliging van persoonsgegevens (artikel 32 Wpg).

  1. Voorwaarden ICT-systeem

Als een bestaand ICT-systeem wordt gebruikt voor de verwerking van politiegegevens, moet dit systeem ‘Wpg-proof’ zijn. Vereisten zijn een autorisatiestelsel, termijnbewaking van gegevens, onderscheid kunnen maken tussen soorten politiegegevens (gegevens verdachten, slachtoffers, getuigen of contactpersonen) en een op komst zijnde loggingsverplichting.

Bent u goed voorbereid op de Wet politiegegevens?

Gemeenten moeten aandacht besteden aan gegevensverwerking door boa’s. Dit moet periodiek via interne audits worden gecontroleerd en daarnaast zal er elke vier jaar een externe audit moeten plaatsvinden (zie ook artikel 33 Wpg, artikel 6:5 Bpg en artikel 3 Regeling periodieke audit politiegegevens).

Stimulansz ondersteunt gemeenten bij het inrichten van de kwaliteits- en interne controle en adviseert gemeenten over relevante ontwikkelingen. In samenwerking met Erwin van Vuuren (Functionaris Gegevensbescherming bij Inspectie SZW en tevens Certified Information Privacy Professional/Europe) ondersteunen we gemeenten rondom privacy en de Wpg, bijvoorbeeld via een op maat gemaakt advies of door een ingerichte themacontrole in kwaliteits- en controleapplicatie KiC.

Benieuwd naar waar u nu staat op het gebied van de Wpg, hoe u hierop audits kan vormgeven en in control kan komen? Neem dan contact op met Stimulansz- en Kwaliteit in Control-adviseur Herman Rijks.

Neem nu contact op met

Herman Rijks

Adviseur kwaliteit en bedrijfsvoering. Ondersteunt gemeenten bij kwaliteits- en interne controle met KiC.

Anderen bekeken ook