Q&A Wpg

Wet politiegegevens boa

Sinds 2008 geldt de Wpg voor de politie, de Rijksrecherche en de Koninklijke Marechaussee. Sinds 2009 geldt de Wpg ook voor de Bijzondere opsporingsdiensten (BOD) zoals de FIOD en de Inlichtingen- en Opsporingsdienst van de Inspectie Leefomgeving en Transport (ILT-IOD).

De Wpg geldt ook voor de boa. Dit is uitgewerkt in het ”Besluit politiegegevens boa’s” dat sinds 9 maart 2019 van kracht is. In dit besluit is onder andere bepaald welke artikelen uit de Wpg en het Besluit politiegegevens van overeenkomstige toepassing zijn verklaard op de gegevensverwerking door de boa.

Op de verwerking van persoonsgegevens bij de uitvoering van de opsporingstaak, is de Wpg van toepassing. De opsporingstaak: de opsporing van strafbare feiten, bedoelt in de akte of aanwijziging van opsporingsbevoegdheid, bedoelt in artikel 142, lid 2 van het Wetboek van Strafvordering. 

Je zou bijna denken van wel; het gaat immers om de berscherming van persoonsgegevens. Maar beide wetgevingen sluiten elkaar uit. Dat betekent dat binnen de privacy organsiatie met twee wetten gewerkt moet worden.

Binnen artikel 8 van de Wet politiegegevens (Wpg) vallen de dagelijkse werkzaamheden, waaronder (gerichte) surveillance, de afhandeling van verkeerszaken die onder de bevoegdheid van de buitengewoon opsporingsambtenaar (boa) vallen, eenvoudig recherchewerk en het handhaven van specifieke wetten en regels. Gericht op de overtredingen.

Artikel 9 van de Wpg omvat het rechercheonderzoek met betrekking tot handhaving van de rechtsorde in een specifiek geval. Hierbij gaat het om een uitgebreide verzameling van persoonsgegevens, met als doel de verstoring of bedreiging van de rechtsorde als gevolg van een gebeurtenis of situatie te herstellen of verdere schendingen te voorkomen. Het betreft voornamelijk misdrijven of misdrijven waarvoor voorlopige hechtenis mogelijk is. Alvorens een rechercheonderzoek plaatsvindt, wordt de Officier van Justitie geraadpleegd die het onderzoek zal leiden.

Ja, dat mag.

De verwerkingsverantwoordelijke kan voor specifieke vormen van de verwerking van politiegegevens een beroep doen op een persoon die onder zijn beheer valt en die geen buitengewoon opsporingsambtenaar is.

In een autorisatiebesluit (nader uitgewerkt in een autorisatiematrix) wordt vastgelegd het onderwerp en de duur van de verwerking, de aard en het doel van de verwerking, het soort persoonsgegevens en de categorieën van betrokkenen. Periodiek (bepaalt door de verwerkersverantwoordelijke) moet gecheckt worden of de autorisatie nog noodzakelijk is. Houd rekening met de in-, door- en uitstroom van medewerkers.

Adviseer de verwerkersverantwoordelijke om niet boa’s die onder zijn beheer vallen en langer dan 6 maanden (risicovolle) politiegegevens verwerken, hun integriteit en betrouwbaarheid moeten aantonen. Dit kan door het vragen van een VOG-NP, specifiek het verwerken van vertrouwelijke gegevens en het werken in ICT systemen van de werkgever. Een VOG-P vinden wij ook passend.

Zie Wpg flochart bij Boa producten. Ter beschikking stellen van politiegegevens is genoemd in artikel 15 Wpg. Het betreft een verplichting om politiegegevens ter beschikking te stellen binnen het Wpg-domein (zie voor wie de Wpg geldt). Wanneer politiegegevens buiten het Wpg-domein worden verwerkt, dan spreken we over het verstrekken van politiegegevens. Verstrekken mag alleen onder bepaalde voorwaarden. Zie hiervoor de artikelen 16 t/m 24 Wpg.
Zie Wpg flochart bij Boa producten. Het ter beschikking stellen van politiegegevens is een verplichting: een “moeten” bepaling. Het ter beschikking stellen kan alleen worden geweigerd als voldaan wordt aan art 2:13 Besluit politiegegevens of art 4 Besluit politiegegevens-boa.
Zie Wpg flochart bij Boa producten. De toezichthouder valt niet in het Wpg domein. Indien politiegegevens gedeeld moeten worden is dat verstrekken van politiegegevens. Verstrekken mag alleen onder bepaalde voorwaarden.

Boa’s die hiervoor bevoegd zijn, kunnen jongeren naar Halt verwijzen. Een verwijzing van een BOA naar Halt kan:

  • Op structurele basis bij openbare dronkenschap (artikel 453) en alcohol voorhanden hebben of gebruiken op voor publiek toegankelijke plaatsen (artikel 45 Drank- en Horecawet),
  • Artikel 2.3.6. Vuurwerkbesluit – het buiten de toegestane tijden afsteken van consumentenvuurwerk of APV-feiten gerelateerd aan vuurwerk of
  • Op projectbasis: waarbij gemeente, politie en OM (lokale driehoek) bepalen welke BOA’s voor welke feiten jongeren naar Halt kunnen verwijzen in het kader van lokaal veiligheidsbeleid.


Het is belangrijk op te merken dat de mogelijkheid voor een boa om een jongere naar Halt te verwijzen voor een APV-feit kan variëren afhankelijk van de specifieke regels van elke gemeente. In het kader van een projectmatige aanpak dient het betreffende probleem lokaal te zijn. Wanneer een boa een proces-verbaal opmaakt voor de overtreding, maakt hij gebruik van zijn opsporingsbevoegdheid voor de feitgecodeerde overtredingen. Op dat moment worden de persoonsgegevens beschouwd als politiegegevens volgens artikel 8 Wpg

Volgens beleidsafspraken tussen politie en justitie mogen en moeten deze politiegegevens worden verstrekt aan bureau HALT. Een dergelijke verstrekking van politiegegevens door de boa aan bureau HALT wordt beschouwd als een verstrekking zoals gedefinieerd in artikel 18 van de Wpg en artikel 4:2, eerste lid, onder f van het Besluit politiegegevens.

Een lastige term; zwaarwegend algemeen belang. De wetgever bedoelt daarmee dat er voor het verstrekken van politiegegevens de nationale veiligheid, de openbare veiligheid, het economische welzijn van het land, de bescherming van de gezondheid of de goede zeden of de bescherming van de rechten en de vrijheden van anderen in het gedrang is.

Heb je twijfels of je politiegegevens mag verstrekken, vraag het aan de FG van jouw werkgever of aan ons. 

De verwerkingsverantwoordelijke en de verwerker treffen passende technische en organisatorische maatregelen om een beveiligingsniveau te waarborgen dat op het risico van het versturen van politiegegevens is afgestemd (art 4a.2 Wpg).

De politiegegevens moeten (digitaal) beschermd worden tegen ongeoorloofde of onrechtmatige verwerking en tegen opzettelijk verlies, vernietiging of beschadiging. Verwerkingen, het ter beschikking stellen en de verstrekking van persoons- en politiegegevens moeten worden beveiligd (versleuteld) tijdens het transport.

Vraag bij de (C)ISO, de informatiebeveiligingsspecialist, naar de BIO compliance toets.

Nee, je mag WhatsApp niet gebruiken voor het ter beschikking stellen van politiegegevens. WhatsApp is geen veilig communicatiemiddel. De verwerkersverantwoordelijke kan geen beheer voeren op WhatsApp. Veilige communicatiemiddelen moeten in eigen beheer uitgegeven zijn. Denk hierbij aan container apps zoals BlackBerry Work.

Ja, dat mag. Een boeterapport is een bestuursrechtelijke afdoening en valt onder de strafrechtelijke verwerking van de Avg. 

Ja. De basis is strafrecht. Het gehele product valt onder de Wpg.

Als dit in de goedgekeurde werkinstructies opgenomen is en noodzakelijk wordt geacht voor de uitvoering van je opsporingstaak, dan mag dat. Echter volg wel de privacy spelregels die afgesproken zijn. Gebruik bijvoorbeeld voor het vastleggen van een foto de KopieID-app van de Rijksoverheid. Vergeet niet de gegevens van je werktelefoon te verwijderen. 

De officier van Justitie (OvJ) is belast met de opsporing van de strafbare feiten. Hij geeft daartoe bevelen aan personen met de opsporing belast. Dat maakt dat de OvJ Bevoegd Gezag is (art 148 Sv).

De direct toezichthouder van de boa’s (politie) draagt zorg voor een goede uitvoering en de verbetering van de kwaliteit van de opsporing.

In principe mag een registratienummer aan een direct betrokkene worden verstrekt. Hiervoor bestaan geen bezwaren of staat de wetgeving in de weg. Het is echter raadzaam om intern te controleren wat je boa-werkgever heeft bepaald.

In sommige gevallen dien je zowel het registratienummer als persoons- of politiegegevens te verstrekken. Raadpleeg hiervoor de boa verstrekkingenwijzer.

In artikel 14 van de Wpg zijn de maximale bewaartermijnen vastgelegd. Als een verwerkingsverantwoordelijke eerder politiegegevens wil verwijderen en vernietigen, is dit alleen mogelijk wanneer dit protocol is vastgelegd en de politiegegevens zijn beoordeeld aan de hand van een selectielijst. De acties moeten navolgbaar en transparant zijn.

Volgens de AVG mogen persoonsgegevens niet langer worden bewaard dan noodzakelijk is voor het doel waarvoor ze worden verwerkt. De exacte bewaartermijnen kunnen variëren afhankelijk van het specifieke doel van de verwerking. Organisaties moeten een zorgvuldige beoordeling maken van de noodzaak van het bewaren van bepaalde gegevens en moeten ervoor zorgen dat ze voldoen aan de principes van de AVG.

Leidende wetgevingen: Archiefwet en de Wet politiegegevens

Boa’s die hiervoor bevoegd zijn, kunnen jongeren naar Halt verwijzen.

Een verwijzing van een BOA naar Halt kan:

  • Op structurele basis bij openbare dronkenschap (artikel 453) en alcohol voorhanden hebben of gebruiken op voor publiek toegankelijke plaatsen (artikel 45 Drank- en Horecawet),
  • Artikel 2.3.6. Vuurwerkbesluit – het buiten de toegestane tijden afsteken van consumentenvuurwerk of APV-feiten gerelateerd aan vuurwerk of
  • Op projectbasis: waarbij gemeente, politie en OM (lokale driehoek) bepalen welke boa’s voor welke feiten jongeren naar Halt kunnen verwijzen in het kader van lokaal veiligheidsbeleid.


Het is belangrijk op te merken dat de mogelijkheid voor een boa om een jongere naar Halt te verwijzen voor een APV-feit kan variëren afhankelijk van de specifieke regels van elke gemeente. In het kader van een projectmatige aanpak dient het betreffende probleem lokaal te zijn. Wanneer een boa een proces-verbaal opmaakt voor de overtreding, maakt hij gebruik van zijn opsporingsbevoegdheid voor de feitgecodeerde overtredingen. Op dat moment worden de persoonsgegevens beschouwd als politiegegevens volgens de Wet politiegegevens, artikel 8.

Volgens beleidsafspraken tussen politie en justitie mogen en moeten deze politiegegevens worden verstrekt aan bureau HALT. Een dergelijke verstrekking van politiegegevens door de boa aan bureau HALT wordt beschouwd als een verstrekking zoals gedefinieerd in artikel 18 van de Wet politiegegevens en artikel 4:2, eerste lid, onder f van het Besluit politiegegevens.

Wanneer politiegegevens binnen het domein van de Wet politiegegevens (politie, Marechaussee, de boa, Rijksrecherche en bijzondere opsporingsdiensten) worden verwerkt, wordt dit gedefinieerd als het ter beschikking stellen van politiegegevens, zoals uiteengezet in artikel 15 van de Wet politiegegevens.

Zie ook de Wpg verstrekkingswijzer.

In de basis.

De verwerkingsverantwoordelijke is verantwoordelijk voor de beveiliging van politiegegevens en dient passende digitale en fysieke beveiligingsmaatregelen te implementeren. Voor de beveiliging van politiegegevens worden de artikel 4a, lid 6 van de Wet politiegegevens (Wpg) en artikel 6:1a van het Besluit politiegegevens (Bpg) gebruikt. Deze artikelen stellen dat zowel de verwerkingsverantwoordelijke als de verwerker passende technische en organisatorische maatregelen moeten nemen.

Beleid

Elke gemeente moet over een privacy- en beveiligingsbeleid beschikken, waarin (gedetailleerd) beschreven is welke beveiligingsmaatregelen getroffen moeten worden ter bescherming van persoons- en politiegegevens. Het beveiligen van politiegegevens is een balans tussen organisatorische, bouwkundige, elektronische en informatie beveiligingsmaatregelen. Gemeenten dienen zich te conformeren aan de Baseline Informatie Overheid (BIO), die richtlijnen biedt voor de beveiliging van gemeentelijke informatie(systemen) en gebouwen.

Uitvoering

Het toepassen van passende beveiliging vereist een grondige risicoanalyse om de ‘betrouwbaarheid, integriteit en vertrouwelijkheid’ van persoons- en politiegegevens te waarborgen. Op basis van de Baseline Informatiebeveiliging Overheid (BIO) dienen politiegegevens, gezien de gevoeligheid van deze gegevens, te worden beveiligd in overeenstemming met beveiligingsniveau BBN2, zoals gespecificeerd in de documentatie van de IBD.  

De 3 niveaus van beveiligen

  • Basis Beveiligingsniveau 1 (BBN1)
    • Wat mag minimaal verwacht worden
  • Basis Beveiligingsniveau 2 (BBN2)
    • Goed huisvaderschap, betrouwbare overheid, persoonsgegevens, vertrouwelijke informatie, bedrijfsvoering
  • Basis Beveiligingsniveau 3 (BBN3)
    • Vertrouwelijkheid als bij BBN2 waarbij weerstand tegen statelijke actoren of ondermijning.


In hoofdstuk 11 van de BIO staan de normen voor het beveiligen van gebouwen en ruimten.

 

Privacyaudit Wet politiegegevens boa

Volgens artikel 33 van de Wpg dient de verwerkingsverantwoordelijke (doorgaans de werkgever van de uitvoerder van politie-/opsporingstaken) de correcte uitvoering van de wet te controleren door het periodiek verrichten van in- en externe audits.

De privacy audit, ook wel de externe audit Wpg-boa genoemd, moet elke 4 jaar ondergaan worden. Met een externe audit kan een Wpg-organisatie aantoonbaar maken dat ze voldoet aan specifieke normeisen en wet- en regelgeving. De bevindingen en het verbeterplan van de interne audits worden veelal gebruikt als input voor de externe audit. De externe audit moet door een onafhankelijke EDP-auditor uitgevoerd worden. Voor iedere organisatie die politiegegevens verwerkt, geldt dat er vóór het eind van 2025 een externe audit plaats moet vinden.

De interne audit is gericht op het verbeteren van de ‘interne’ Wpg-organisatie en kan worden uitgevoerd door een interne controller. De bevindingen (risico’s) uit de externe audit worden veelal gebruikt om een auditplan te maken. 

De interne audit moet elk jaar tot aan het jaar van de privacy audit (externe audit). 

Het jaar 2021 is het jaar van de exerne audit geweest. Dat betekent dat over de jaren 2022, 2023, 2024 en 2025 een interne audit moet worden uitgevoerd. Uit ervaring weten we dat de interne audit in het jaar van de externe audit veelal worden gecombineerd. 

De externe audit Wpg-boa moet worden uitgevoerd door een Register EDP-auditor (NOREA). Deze is onafhankelijk en vakbekwaam voor het uitvoeren van een audit. De EDP-auditor ondertekent het assurance-rapport.  

De EDP-auditor eis geldt niet voor de interne audit. Deze kan door het bedrijf/organisatie zelf worden georganiseerd via bijvoorbeeld het proces van interne controle. 

  1. De wijze waarop het verwerken van politiegegevens is georganiseerd;
  2. De maatregelen en procedures die daarop van toepassing zijn; én
  3. De werking van deze maatregelen en procedures.

Door het volgen van een gestructureerde A t/m Z lijst voor de audit, informeer je, communiceer je en bereid je de organisatie voor op de externe audit Wpg-boa. 

Van management tot en met de medewerkers en van auditteam tot en met de auditoren. Dit is de weg naar het assurancerapport Wpg-boa. Wil je een checklist hebben? Neem dan contact met ons op.  

Het auditplan laat je inzien op welke Wpg-boa onderwerpen een interne controle uitgevoerd gaat worden en hoe de privacy audit gepland moet worden. Naast de richtlijnen en strategieën omvat het auditplan de aard, reikwijdte, datum en tijd van een controle die door de teamleden van de interne controle moet worden uitgevoerd om relevante privacy informatie te verkrijgen.

Verder omvat het een beoordeling van de privacy risico’s die aan de controle zijn verbonden. Het auditplan wordt  door de interne controler ontworpen. Heb je hierbij hulp nodig? Laat het ons weten.

Nee, een Wpg Verbeterplan hoeft niet aan de AP gestuurd te worden.

Indien de externe audit bevindingen/risico’s hebben opgeleverd, ben je verplicht om een verbeterplan op te stellen. Het verbeterplan moet (wettelijk) binnen 3 maanden na het uitvoeren van de externe privacy audit door de verwerkersverantwoordelijke vastgesteld zijn.

De hercontrole moet binnen 1 jaar na het vaststellen van het verbeterplan gehouden worden. Indien de IT-auditor die de privacy audit uitgevoerd heeft het advies heeft gedaan dat de hercontrole door een IT-auditor uitgevoerd moet worden, dan wordt dat advies meestal overgenomen.

Meer info: AP/WPG/Bijzondere opsporing  

De overheid is transparant en laat aan haar burgers zien hoe zij de gegevensbescherming waarborgt. Dit doet zij door het publiceren (website) van de verkorte versie van het auditrapport of de assuranceverklaring. Verplicht? Controleer de beleidsafspraken van je organsiatie of doe navraag bij de FG van jouw organisatie. 

Jazeker. Naast het bedienen van het Wpg-loket staan onze adviseurs klaar om je te begeleiden. Wil je een interne of een externe audit laten begeleiden? Neem dan contact met ons op. 

Voor de Functionaris Gegevensbescherming (FG)

De Functionaris Gegegevensbescherming (FG) is als onafhankelijke toezichthouder belast met het interne toezicht op de toepassing en naleving van het gegevensbeschermingsrecht, zoals voorgeschreven in de Algemene verordening gegevensbescherming (Avg), de Uitvoeringswet Avg (UAvg) en de Wet politiegegevens (Wpg).

De AP stelt strenge eisen aan de vaardigheden en kennis van een aangemelde FG. 

De FG moet over voldoende juridische kennis bezitten en goed op de hoogte zijn van Europese en nationale privacy wet- en regelgeving. Daarnaast beschikt de FG over de vaardigheden om bij te dragen aan het niveau van gegevensbescherming. Er zijn diverse opleidingen die een FG kundig maken. 

In de basis is de FG de toezichthouder voor de AVG en de Wpg. Dus het volstaat met het aanmelden van de FG voor de AVG.

Indien de boa werkgever een groot aantal verwerkingsregels Wpg heeft, is het aan te raden om de FG specifiek als toezichthouder voor de Wpg aan te melden. Meestal geschied dat na het vaststellen van een interne FG-regeling.

Meld je FG aan bij de Autoriteit Persoonsgegevens. Zie de website van de AP. Aanmeldingsformulier FG (link)

De FG heeft tot taak het nalevingstoezicht op de Wpg, met inbegrip van de toewijzing van autorisaties, de bewustmaking, de opleiding van ambtenaren die betrokken zijn bij de verwerking van persoonsgegevens en de uitvoering van audits, het informeren en adviseren van de verwerkingsverantwoordelijke over verplichtingen uit hoofde van de Wpg en andere gegevensbeschermingsbepalingen, het toezien op de uitvoering en het geven van advies over gegevensbeschermingseffectbeoordeling (DPIA).

In kleinere organisaties zie je vaak dat er één FG aangewezen wordt voor het toezichthouden op de Avg en de Wpg. We zien ook dat er één FG wordt aangesteld voor meerdere of samenwerkende organisaties. Op basis van de recente resultaten uit privacyaudit is het ons advies om een eigen FG aan te stellen. Dit komt de bescherming van persoonsgegevens ten goede.

In grote (overheids)organsiaties, zoals de politie en de Kmar, zie je dat er twee FG’s aangewezen zijn: één voor de AVG en één voor de Wpg.

De FG stelt een toezichtsjaarplan op waarin de reguliere toezichtsbezoeken en toezichtsactiviteiten opgenomen zijn. De bevindingen van de FG worden vastgelegd in een FG jaarverslag.

Het is aan te bevelen om het FG toezichtjaarplan af te stemmen op de auditkalender van de organisatie en te communiceren met de operationele eenheden.