Tekst: Antoine van Vlodorp | Foto: Matthew Henry / Unsplash
In vrijwel alle gemeenten zijn buitengewoon opsporingsambtenaren (boa’s) werkzaam. Bij het verwerken van persoonsgegevens door boa’s moeten gemeenten rekening houden met twee privacyreglementen: zowel de Algemene Verordening Gegevensbescherming (AVG) als de Wet politiegegevens (Wpg). Veel internal auditors van de gemeenten zijn zich onvoldoende bewust van de verplichte jaarlijkse internal audit op de naleving van (onderdelen van) de Wpg.
De verwerking van persoonsgegevens door boa’s viel tot 25 mei 2018 onder de Wet bescherming persoonsgegevens (Wbp). Door de komst van de AVG valt de verwerking van persoonsgegevens rondom strafbare feiten onder een andere Europese wet, namelijk EU-Richtlijn 2016/680. Deze richtlijn is omgezet in de Wet politiegegevens (Wpg), aangevuld met het Bpg (Besluit politiegegevens), en is sinds 1 januari 2019 van kracht.
In de Wpg en het bijbehorende besluit voor boa’s, het Besluit politiegegevens voor buitengewoon opsporingsambtenaren (BpgBoa), staat dat de Wpg van toepassing is op gegevensverwerkingen door boa’s voor de uitvoering van hun opsporingstaak. Het gaat om de opsporing van strafbare feiten die in een akte van opsporingsbevoegdheid of in een aanwijzing zijn opgelegd aan de boa.
Strenge eisen
Voor de verwerking van politiegegevens stelt de Wpg, net als de AVG, een aantal algemene criteria. Dit betreft criteria over noodzakelijkheid, rechtmatigheid, juistheid, proportionaliteit, subsidiariteit en volledigheid. Daarnaast moet de verwerkingsverantwoordelijke gemeente in het kader van de Wpg een aantal extra technische en organisatorische maatregelen nemen.
De reden voor deze strenge eisen ligt in de aard van de bevoegdheden. Bij het uitvoeren van een wettelijke opsporingstaak zijn dit namelijk bevoegdheden uit het Wetboek van Strafvordering en de Wet op de economische delicten. Hiermee kan diep op de privacy van burgers worden ingegrepen en dit vraagt om strenge regels om de privacy van burgers te beschermen. Gemeenten zouden daarom extra aandacht moeten besteden aan gegevensverwerking door boa’s.
Verplichte jaarlijkse internal audit Wpg
Gemeenten zijn zich er vaak niet van bewust dat de wetgever ook heeft bepaald dat de correcte naleving van de Wpg periodiek via privacy audits door een onafhankelijke, externe, gecertificeerde IT-auditor (RE) moet worden gecontroleerd. Artikel 6.5 Bpg houdt in dat de gemeente een onafhankelijke privacy audit moet laten uitvoeren (voor het eerst in 2021 en vervolgens eenmaal per vier jaar). De privacy audit heeft betrekking op de wijze waarop het verwerken van politiegegevens is georganiseerd, de maatregelen en procedures die daarop van toepassing zijn en de werking van deze maatregelen en procedures. Artikel 33 lid 2 Wpg verplicht de gemeente een afschrift van het auditrapport aan de Autoriteit Persoonsgegevens te zenden.
In artikel 3 van de Regeling periodieke audit politiegegevens is bepaald dat de gemeente ervoor zorgt dat een RE tenminste jaarlijks een interne audit uitvoert op de naleving van (onderdelen van) de Wpg, mede ter voorbereiding op de periodieke externe privacy audit. De resultaten van de interne audits worden vervolgens betrokken bij de privacy audit. Als een gemeente geen RE in dienst heeft, dan kan de internal audit extern worden aanbesteed.
Het is belangrijk dat internal auditors van gemeenten zich bewust zijn van de jaarlijkse Wpg-internal auditverplichting en een Wpg-audit opnemen in hun jaarplan. Aangezien de Wpg nog redelijk nieuw is voor gemeenten, is de verwachting dat de eerste Wpg-audit veel verbetermogelijkheden zal opleveren. Tenslotte loopt de gemeente het risico dat de Autoriteit Persoonsgegevens een bestuurlijke boete oplegt wanneer de gemeente de verplichtingen van de Wpg niet of onvoldoende naleeft.
Auteur: Antoine van Vlodorp is Manager Concernaudit bij Gemeente Utrecht.