Wpg voor boa's

De verwerking van persoonsgegevens door buitengewoon opsporingsambtenaren (boa's) valt niet onder de Algemene Verordening gegevensbescherming (AVG), maar onder de Wet politiegegevens (Wpg). Dit is het geval sinds 1 januari 2019. Hetzelfde geldt voor de Wet justitiële en strafvorderlijke gegevens (Wjsg). Deze wetten zijn samen met de daaronder vallende besluiten de Nederlandse implementatie van de Europese Richtlijn gegevensbescherming politie en justitie. Deze Richtlijn is van zichzelf niet bindend, en is omgezet naar nationale wetgeving, met name de Wpg en de Wjsg. Deze wetgeving heeft nogal wat gevolgen. Een van de belangrijkste is het regime waar de verwerking van persoonsgegevens door buitengewoon opsporingsambtenaren (BOA's) onder valt.

AVG versus Wpg

Het zal bekend zijn: de BOA's combineren vaak toezicht met opsporing. Voor het toezicht geldt tegenwoordig de Algemene Verordening Gegevensverwerking (AVG), terwijl voor de opsporing de Wpg geldt. Dit is vastgelegd in de Wpg en het daarbij behorende besluit voor BOA's, genaamd Besluit politiegegevens voor buitengewoon opsporingsambtenaren (BpgBoa). Dat betekent nogal wat ten opzichte van de situatie daarvoor. Hierdoor is het van groot belang dat een boa bekend is met de Wpg. De AVG en de Wpg stellen namelijk verschillende eisen. De verwerking van persoonsgegevens onder de AVG is namelijk wezenlijk anders dan de verwerking van politiegegevens onder de Wpg.

Dit betekent nogal wat voor betrokken organisaties. Veel organisaties zijn er echter nog niet klaar voor. Sterker nog: zij zijn nog niet op de hoogte om welke veranderingen het eigenlijk precies gaat. En dat is ook niet verwonderlijk: het primaire proces gaat gewoon door, en het vinden van extra mankracht is in een aantal gevallen lastig te realiseren. Normity heeft in samenwerking met verschillende organisaties de Wpg norm toegankelijk beschikbaar gemaakt binnen Normity. Met praktische norm elementen kun je als organisatie stap voor stap je compliancy aan de Wpg normering voldoen. Maar eerst eens kijken naar de belangrijkste 6 verschillen tussen de AVG en de Wpg op dit gebied:

  • De Wpg geeft een meer concrete invulling aan de termijnen voor het verwerken en bewaren van gegevens. In de AVG is dit veel minder duidelijk, en dat zorgt in de praktijk voor veel verwarring, onduidelijkheid en discussie. Dit is veel minder het geval bij de Wpg: daar moeten de gegevens na afronding van de opsporingsactiviteiten na een vaste periode worden verwijderd.
  • Meer algemeen gesteld: de Wpg is veel concreter. De AVG biedt veel vrijheid voor interpretatie. Denk bijvoorbeeld aan het verstrekkingsregime, de invulling van het register, de grondslagen etc. Dit zorgt er niet perse voor dat de Wpg normering eenvoudiger te interpreteren is, maar zorgt wel voor minder discussie binnen de organisatie. Er is immers minder bewegingsruimte.
  • We noemden het in het vorige punt al even: de grondslagen. In de AVG zijn de mogelijke grondslagen voor de verwerking van persoonsgegevens benoemd. Dit zijn de bekende grondslagen als toestemming, overeenkomst, uitvoering van een wettelijke taak enzovoorts. Deze grondslagen bestaan in de Wpg niet. Daar worden de grondslagen gebaseerd op het type opsporing: dagelijkse politietaak, handhaving van de rechtsorde en ondersteunende taken.
  • De Wpg geeft meer invulling aan de betrokken functies. Zoals waarschijnlijk bekend wordt in de AVG alleen de rol van de Functionaris Gegevensbescherming (FG) beschreven. De Wpg gaat verder. Zo vind je daar ook de rol van de zogenaamde bevoegd functionaris. Deze functionaris heeft een rol in onder andere het vastleggen van verwerkingsdoelen en bij de verstrekking. De Wpg beschrijft ook de rol van de Privacy Officer nader.
  • Het is interessant om te zien op welke wijze organisaties de FG rol gaan invullen. Door de toegenomen aandacht voor privacy hebben veel FG's hun handen al vol. Het is dan ook niet te verwachten dat in alle organisaties de Wpg werkzaamheden eenvoudig bij de huidige FG's kunnen worden ondergebracht. Overigens zitten er geen grote verschillen in de FG werkzaamheden onder de Wpg en de AVG. Wel is het zo dat de FG onder de Wpg een jaarlijkse rapportageverplichting kent.
  • En tenslotte: de Wpg eist een jaarlijkse audit. Dat is onder de AVG niet het geval. Zo'n audit is zeker geen sinicure. Het vereist een officieel assurance onderzoek over de gehele norm. De rapportage moet aan de toezichthouder worden gestuurd, in dit geval de Autoriteit Persoonsgegevens. Het is interessant om in de praktijk te zien hoe organisaties deze audit gaan oppakken. Normity is hier in ieder geval al helemaal klaar voor.

Meer weten?

Misschien ben je nieuwsgierig geworden wat Normity voor jou en jouw organisatie kan betekenen? Wellicht hoe Normity jouw organisatie kan ondersteunen bij de implementatie? Of misschien zoek je een adviseur? Wij vinden het leuk om hierover met jou vrijblijvend van gedachten te wisselen. Via het formulier hieronder kun je contact met ons opnemen. Wij nemen dan zo spoedig mogelijk contact met je op!

Dit formulier vraagt om jouw contactgegevens zodat wij met je kunnen communiceren. Jouw gegevens worden nooit aan derden verstrekt. Zie onze privacyverklaring om te zien hoe wij met jouw gegevens omgaan.