De AVG versus de Wet politiegegevens (Wpg)


Naast de AVG hebben politie en justitie te maken met de Wet politiegegevens (Wpg). De Wpg regelt de verwerking van persoonsgegevens voor de uitoefening van de politietaak door onder meer de Nationale Politie, de bijzondere opsporingsdiensten, de Koninklijke marechaussee en de Rijksrecherche. Maar ook als gemeente heb je te maken met de Wpg, namelijk bij het werk van Buitengewoon opsporingsambtenaren (Boa’s). In deze blog leggen we uit hoe de AVG en Wpg van toepassing zijn op het werk van Boa’s en waar je als gemeente aan moet voldoen bij het verwerken van gegevens.

De Wet politiegegevens

De Wet politiegegevens (Wpg) is een Nederlandse wet die de rechten en plichten van de politie zelf, maar ook die van de burger, regelt voor wat betreft het verwerken van politiegegevens. Politiegegevens zijn persoonsgegevens die worden verwerkt in het kader van de politietaak. Want, om politietaken goed uit te kunnen voeren, gebruikt de politie allerlei persoonsgegevens. Als er bijvoorbeeld een misdrijf is gepleegd, dan legt de politie persoonsgegevens vast van het slachtoffer en eventuele getuigen. Deze gegevens heeft de politie nodig om goed onderzoek te kunnen doen. Maar ook de politie moet zich daarbij houden aan wetgeving als het gaat om privacy en mag alleen persoonsgegevens verwerken voor een bepaald doel. Bijvoorbeeld de opsporing van daders van strafbare feiten. De gegevens die de politie verwerkt, moeten dus nodig zijn om dat doel te bereiken. In sommige gevallen mag de politie ook bijzondere persoonsgegevens vastleggen. Dat zijn gegevens over bijvoorbeeld iemands godsdienst, ras, politieke voorkeur en gezondheid. De politie mag dit alleen als het onvermijdelijk is voor het onderzoek, de hulpverlening of een andere taak van de politie. Daarbij geldt wel dat de gegevens voldoende beveiligd moeten zijn. De Autoriteit Persoonsgegevens is naast toezichthouder op de AVG ook toezichthouder op de Wpg.

Gemeenten en de Wpg

Naast de politie moeten ook andere organisaties zich aan de Wpg houden, namelijk de bijzondere opsporingsdiensten (BOD) én de Buitengewoon opsporingsambtenaren (Boa’s). Sinds 2019 vallen (persoons)gegevens die Boa’s verwerken als opsporingsambtenaar, namelijk ook onder de Wpg. En aangezien in vrijwel alle gemeenten Boa’s werkzaam zijn, heb je als gemeente dus ook te maken met de Wpg. Kortom, bij het verwerken van persoonsgegevens door Boa’s moet je als gemeente rekening houden met zowel de AVG als de Wpg. Waarom beide? Boa’s hebben in hun werk altijd twee petten op. Ze zijn namelijk toezichthouder én opsporingsambtenaar. Persoonsgegevens die een Boa verwerkt in zijn rol als toezichthouder, bijvoorbeeld bij een inspectie, vallen onder de AVG. Maar, de gegevens die de Boa als opsporingsambtenaar verwerkt, bijvoorbeeld het controleren van iemands identiteit als hij een verdachte aanhoudt of boetes uitdeelt, vallen onder de Wpg. Lijkt duidelijk toch? In praktijk is dit niet altijd het geval. Soms lopen deze taken namelijk in elkaar over en is het niet altijd duidelijk of de AVG of Wpg van toepassing is. En dat kan voor problemen, of in sommige gevallen, voor boetes zorgen.

AVG versus Wpg

Voor het verwerken van gegevens die nodig zijn voor opsporing, gelden andere regels dan onder de AVG het geval is. Hiervoor geldt de Wpg. Onder de Wpg gelden andere bewaartermijnen en eisen bij het onderling delen van gegevens, zo staan in de Wpg concrete bewaartermijnen genoemd en in de AVG niet. Ook bevat de Wpg een verplichting tot logging (de AVG niet) en is het mogelijk dat er soms (tijdelijk) wordt afgezien van het melden van een datalek aan de betrokken persoon of personen. Dit wanneer de belangen op het gebied van opsporen en vervolgen zwaarder wegen. Maar ook de rechtsbescherming is verschillend. Betrokkenen hebben dezelfde privacyrechten, zoals het recht op inzage, rectificatie en vernietiging. Maar in de Wpg zijn er meer beperkingen en uitzonderingen opgenomen dan in de AVG. 

Om hier duidelijk onderscheid in te maken, is het belangrijk dat de gegevensverwerkingen die onder de Wpg vallen, andere kenmerken krijgen dan de gegevensverwerkingen die onder de AVG vallen. Om hierop toe te zien, moeten alle instanties die Boa’s in dienst hebben een (verplichte) privacy-audit, de zogenaamde ‘Wpg-audit’, uitvoeren. Deze audit richt zich o.a. op de wijze waarop het verwerken van politiegegevens is georganiseerd; de maatregelen en procedures die daarop van toepassing zijn; én de werking van deze maatregelen en procedures.

Wpg borgen binnen de werkprocessen

De Wpg-audit wordt gedaan op de werkprocessen (taken) van de Boa’s. Wanneer je dus aan de Wpg wilt voldoen, moeten deze werkprocessen zo ingericht zijn dat ze toetsbaar zijn op de Wpg (en AVG). Om welke werkprocessen dit gaat, vind je in onderstaand overzicht van domeinen met bijbehorende functies en een aantal werkprocessen die binnen dit domein in een gemeente vaak worden uitgevoerd. Als gemeente kan je deze kolom zelf inperken of uitbreiden met taken die van toepassing zijn.

  1. Openbare ruimte (parkeercontroleur, APV-controleur, gemeentelijk opsporingsambtenaar, controleur openbare ruimte, tunnelwachter en brandweercommandant): o.a. staande houding, opmaken proces-verbaal en aanhouding en verhoor.
  2. Milieu, welzijn en infrastructuur (flora- en faunabeheer, wildbeheerseenheden, milieu opsporingsambtenaar, jachtopziener, onderdelen bouw- en woningtoezicht, voedsel- en warencontroleur, inspecteur dierenbescherming): staande houding, opmaken proces-verbaal, aanhouding en verhoor, uitvoeren milieuonderzoek, controle op naleving milieuwet- en regelgeving.
  3. Onderwijs (leerplichtambtenaar): onderzoek naar mogelijk ongeoorloofd verzuim, huisbezoeken, gesprekken met betrokkene(n), opmaken proces-verbaal.
  4. Werk, inkomen en zorg (sociaal rechercheur, inspecteur arbeidsomstandigheden, belastinginspecteur): huisbezoek, buurtonderzoek, verhoor betrokkene(n), opmaken proces-verbaal.


Is jouw gemeente voorbereid op de Wpg-audit?

Ook jouw gemeente moet dus aandacht besteden aan gegevensverwerking door Boa’s. Zo ben je als gemeente verplicht om periodiek de Wpg-audit uit te voeren op bovenstaande gegevensverwerkingen die onder deze wet vallen. Dit gebeurt o.a. via interne audits en daarnaast moet er elke vier jaar een externe audit plaatsvinden. Als gemeente had je in 2021 voor het eerst een externe Wpg-audit moeten laten uitvoeren. En het auditrapport naar de Autoriteit Persoonsgegevens (AP) moeten sturen. Maar de AP heeft organisaties hiervoor 1 jaar uitstel gegeven. Je hebt als gemeente dus tot en met 31 december 2022 de tijd.

Hulpmiddelen

De vereniging van auditors (NOREA) heeft de handreiking ‘Privacy audit Wpg voor boa’s’ uitgebracht voor gemeenten. In aanvulling op deze handreiking heeft de Informatiebeveiligingsdienst voor gemeenten (IBD) het werkdocument ‘Audit Wet politiegegevens voor gemeenten’ opgesteld met hierin een verdere vertaling voor de gemeentelijke privacyfunctionarissen die hiermee aan de slag moeten.

Meer informatie?

Heb je na het lezen van deze blog nog vragen of heb je hulp nodig de Wpg processen en interne audit binnen je organisatie te borgen? Laat ons dit dan weten en neem contact met ons op.

Erna Havinga

Lees ons boek

Gemeenten. Bewustzijn. Privacy.

Het handboek voor informatiebewustzijn bij de lokale overheid.

Training

BIO voor applicatiebeheerders

Kijk voor meer informatie op onze website

Meer blogs lezen

Implementatie van BCM – voorkomen is beter dan genezen

Om te voorkomen dat je kritische bedrijfsprocessen stilvallen, is het slim om potentiële bedreigingen vroegtijdig in kaart te brengen en een inschatting te maken van het effect van elke bedreiging op deze kritische processen. Dit proces noemen we …

Voldoe je als gemeente aan de AVG?

Veel gemeenten hebben zich de afgelopen jaren met de AVG beziggehouden om ervoor te zorgen dat zij AVG-proof zijn. Met de AVG ben je alleen nooit ‘klaar’. Privacy is namelijk een continu proces. Maar hoe weet je of je als gemeente voldoet aan de AVG?

Behaviour by Design?

Alleen technische beveiligingsmaatregelen nemen om incidenten te voorkomen is nooit genoeg. Uiteindelijk draait het om het gedrag van mensen. Maar hoe zorg je voor bewuste medewerkers? Ofwel, hoe maak je bewustwording tot een succes?

Gezichtsherkenning een inbreuk op de privacy?

Gezichtsherkenning is een methode om de identiteit van personen te ontdekken of te controleren aan de hand van hun gezicht. Privacyorganisaties maken zich zorgen over de opmars van slimme camera’s met gezichtsherkenning. Want hoe zit het met het w…

Wanneer gebruik je BBN2+?

Binnen de BIO wordt gebruik gemaakt van drie basisbeveiligingniveaus, ook wel BBN’s genoemd. Voor de meeste informatiesystemen is BBN2 voldoende. Maar het kan voorkomen dat een gemeentelijk informatiesysteem een hoger beschermingsniveau nodig heef…

Functionaris Gegevensbescherming versus Privacy Officer – wie doet wat?

Als het gaat om privacy zijn diverse functies te onderscheiden. Zo spreken we over de Functionaris Gegevensbescherming (FG) en de Privacy Officer (PO). Maar wie is waarvoor verantwoordelijk? Hoe verhouden deze functies zich tot elkaar? En wat zijn…