Skip to main content

De AVG versus de Wet politiegegevens (Wpg)


Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). De Wpg regelt de verwerking van persoonsgegevens voor de uitoefening van de politietaak door onder meer de Nationale Politie, de bijzondere opsporingsdiensten, de Koninklijke marechaussee en de Rijksrecherche. Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wpg van toepassing zijn op het werk van Boa’s en waar je als gemeente aan moet voldoen bij het verwerken van gegevens.

De Wet politiegegevens

De Wet politiegegevens (Wpg) is een Nederlandse wet die de rechten en plichten van de politie zelf, maar ook die van de burger, regelt voor wat betreft het verwerken van politiegegevens. Politiegegevens zijn persoonsgegevens die worden verwerkt in het kader van de politietaak. Want, om politietaken goed uit te kunnen voeren, gebruikt de politie allerlei persoonsgegevens. Als er bijvoorbeeld een misdrijf is gepleegd, dan legt de politie persoonsgegevens vast van het slachtoffer en eventuele getuigen. Deze gegevens heeft de politie nodig om goed onderzoek te kunnen doen. Maar ook de politie moet zich daarbij houden aan wetgeving als het gaat om privacy en mag alleen persoonsgegevens verwerken voor een bepaald doel. Bijvoorbeeld de opsporing van daders van strafbare feiten. De gegevens die de politie verwerkt, moeten dus nodig zijn om dat doel te bereiken. In sommige gevallen mag de politie ook bijzondere persoonsgegevens vastleggen. Dat zijn gegevens over bijvoorbeeld iemands godsdienst, ras, politieke voorkeur en gezondheid. De politie mag dit alleen als het onvermijdelijk is voor het onderzoek, de hulpverlening of een andere taak van de politie. Daarbij geldt wel dat de gegevens voldoende beveiligd moeten zijn. De Autoriteit Persoonsgegevens is naast toezichthouder op de AVG ook toezichthouder op de Wpg.

Gemeenten en de Wpg

Naast de politie moeten ook andere organisaties zich aan de Wpg houden, namelijk de bijzondere opsporingsdiensten (BOD) én de Buitengewoon opsporingsambtenaren (Boa’s). Sinds 2019 vallen (persoons)gegevens die Boa’s verwerken als opsporingsambtenaar, namelijk ook onder de Wpg. En aangezien in vrijwel alle gemeenten Boa’s werkzaam zijn, heb je als gemeente dus ook te maken met de Wpg. Kortom, bij het verwerken van persoonsgegevens door Boa’s moet je als gemeente rekening houden met zowel de AVG als de Wpg. Waarom beide? Boa’s hebben in hun werk altijd twee petten op. Ze zijn namelijk toezichthouder én opsporingsambtenaar. Persoonsgegevens die een Boa verwerkt in zijn rol als toezichthouder, bijvoorbeeld bij een inspectie, vallen onder de AVG. Maar, de gegevens die de Boa als opsporingsambtenaar verwerkt, bijvoorbeeld het controleren van iemands identiteit als hij een verdachte aanhoudt of boetes uitdeelt, vallen onder de Wpg. Lijkt duidelijk toch? In praktijk is dit niet altijd het geval. Soms lopen deze taken namelijk in elkaar over en is het niet altijd duidelijk of de AVG of Wpg van toepassing is. En dat kan voor problemen, of in sommige gevallen, voor boetes zorgen.

AVG versus Wpg

Voor het verwerken van gegevens die nodig zijn voor opsporing, gelden andere regels dan onder de AVG het geval is. Hiervoor geldt de Wpg. Onder de Wpg gelden andere bewaartermijnen en eisen bij het onderling delen van gegevens, zo staan in de Wpg concrete bewaartermijnen genoemd en in de AVG niet. Ook bevat de Wpg een verplichting tot logging (de AVG niet) en is het mogelijk dat er soms (tijdelijk) wordt afgezien van het melden van een datalek aan de betrokken persoon of personen. Dit wanneer de belangen op het gebied van opsporen en vervolgen zwaarder wegen. Maar ook de rechtsbescherming is verschillend. Betrokkenen hebben dezelfde privacyrechten, zoals het recht op inzage, rectificatie en vernietiging. Maar in de Wpg zijn er meer beperkingen en uitzonderingen opgenomen dan in de AVG. 

Om hier duidelijk onderscheid in te maken, is het belangrijk dat de gegevensverwerkingen die onder de Wpg vallen, andere kenmerken krijgen dan de gegevensverwerkingen die onder de AVG vallen. Om hierop toe te zien, moeten alle instanties die Boa’s in dienst hebben een (verplichte) privacy-audit, de zogenaamde ‘Wpg-audit’, uitvoeren. Deze audit richt zich o.a. op de wijze waarop het verwerken van politiegegevens is georganiseerd; de maatregelen en procedures die daarop van toepassing zijn; én de werking van deze maatregelen en procedures.

Wpg borgen binnen de werkprocessen

De Wpg-audit wordt gedaan op de werkprocessen (taken) van de Boa’s. Wanneer je dus aan de Wpg wilt voldoen, moeten deze werkprocessen zo ingericht zijn dat ze toetsbaar zijn op de Wpg (en AVG). Om welke werkprocessen dit gaat, vind je in onderstaand overzicht van domeinen met bijbehorende functies en een aantal werkprocessen die binnen dit domein in een gemeente vaak worden uitgevoerd. Als gemeente kan je deze kolom zelf inperken of uitbreiden met taken die van toepassing zijn.

  1. Openbare ruimte (parkeercontroleur, APV-controleur, gemeentelijk opsporingsambtenaar, controleur openbare ruimte, tunnelwachter en brandweercommandant): o.a. staande houding, opmaken proces-verbaal en aanhouding en verhoor.
  2. Milieu, welzijn en infrastructuur (flora- en faunabeheer, wildbeheerseenheden, milieu opsporingsambtenaar, jachtopziener, onderdelen bouw- en woningtoezicht, voedsel- en warencontroleur, inspecteur dierenbescherming): staande houding, opmaken proces-verbaal, aanhouding en verhoor, uitvoeren milieuonderzoek, controle op naleving milieuwet- en regelgeving.
  3. Onderwijs (leerplichtambtenaar): onderzoek naar mogelijk ongeoorloofd verzuim, huisbezoeken, gesprekken met betrokkene(n), opmaken proces-verbaal.
  4. Werk, inkomen en zorg (sociaal rechercheur, inspecteur arbeidsomstandigheden, belastinginspecteur): huisbezoek, buurtonderzoek, verhoor betrokkene(n), opmaken proces-verbaal.


Is jouw gemeente voorbereid op de Wpg-audit?

Ook jouw gemeente moet dus aandacht besteden aan gegevensverwerking door Boa’s. Zo ben je als gemeente verplicht om periodiek de Wpg-audit uit te voeren op bovenstaande gegevensverwerkingen die onder deze wet vallen. Dit gebeurt o.a. via interne audits en daarnaast moet er elke vier jaar een externe audit plaatsvinden. Als gemeente had je in 2021 voor het eerst een externe Wpg-audit moeten laten uitvoeren. En het auditrapport naar de Autoriteit Persoonsgegevens (AP) moeten sturen. Maar de AP heeft organisaties hiervoor 1 jaar uitstel gegeven. Je hebt als gemeente dus tot en met 31 december 2022 de tijd.

Hulpmiddelen

De vereniging van auditors (NOREA) heeft de handreiking ‘Privacy audit Wpg voor boa’s’ uitgebracht voor gemeenten. In aanvulling op deze handreiking heeft de Informatiebeveiligingsdienst voor gemeenten (IBD) het werkdocument ‘Audit Wet politiegegevens voor gemeenten’ opgesteld met hierin een verdere vertaling voor de gemeentelijke privacyfunctionarissen die hiermee aan de slag moeten.

Meer informatie?

Heb je na het lezen van deze blog nog vragen of heb je hulp nodig de Wpg processen en interne audit binnen je organisatie te borgen? Laat ons dit dan weten en neem contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

Informatiebeveiliging en Privacy voor I-adviseurs en projectleiders

Schrijf je in voor de cursus op 7 en 14 november 2023 op ons kantoor in Zwolle, of neem contact op om een in-house cursus in te plannen!

Meer blogs lezen

Waarom is contractmanagement ook belangrijk voor informatiebeveiliging?

Contractmanagement speelt een belangrijke rol in het kader van informatiebeveiliging. Het is namelijk niet alleen een manier om zakelijke overeenkomsten te beheren; het vormt ook de basis voor een goede informatiebeveiligingsstrategie. Waarom dat …

Een verwerkersovereenkomst afgesloten, en dan?

Een van de belangrijkste eisen uit de AVG is dat je een verwerkersovereenkomst moet opstellen wanneer je persoonsgegevens laat verwerken door anderen. In deze blog lees je meer over wat er moet gebeuren nadat je een verwerkersovereenkomst hebt afg…

Hoe kan het 9-vlaksmodel helpen bij de implementatie van BIO-maatregelen?

Het 9-vlaksmodel van Rik Maes is een handig hulpmiddel voor informatiemanagement. Het helpt organisaties bij het begrijpen en beheren van hun informatiesystemen en -processen. Ontdek in deze blog hoe dit model ook kan helpen bij de implementatie v…

Samenhang Europese digitale wetgeving: voorbereiding voor gemeenten

Tussen nu en 2026 krijg je als gemeente te maken met maar liefst 13 nieuwe wetten die de digitale toekomst van Europa vormgeven. Deze nieuwe digitale wetten hebben veel invloed op wat gemeenten doen. Om deze gevolgen beter te begrijpen, heeft de V…

Wat is een gerechtvaardigd belang?

Wanneer je als organisatie persoonsgegevens verwerkt, heb je altijd een zogeheten ‘grondslag voor de verwerking van persoonsgegevens’ nodig. Eén van de grondslagen is een ‘gerechtvaardigd belang’. Maar wat houdt een ‘gerechtvaardigd belang’ eigenl…

Het volwassenheidsmodel voor authenticatie

In de factsheet ‘Volwassen authenticeren – gebruik veilige middelen voor authenticatie’ adviseert het NCSC om accounts te beveiligen op een manier die past bij de gevoeligheid van de gegevens en middelen waar deze toegang toe bieden.