Sinds mei 2018 kennen we de Algemene Verordening Gegevensbescherming (hierna: AVG). De AVG geldt voor de verwerking van alle persoonsgegevens, maar hierop zijn wel uitzonderingen. Eén van deze uitzonderingen is de verwerking van persoonsgegevens ter voorkoming, opsporing of vervolging van strafbare feiten. Deze ‘politiegegevens’ vallen onder een aparte wet, die per 1 januari 2019 is gewijzigd: de Wet Politiegegevens (hierna: Wpg). Deze wordt aangevuld door het Besluit Politiegegevens (hierna: Bpg). Wat zijn de veranderingen in het werk van een buitengewoon opsporingsambtenaar (hierna: boa) door de wijziging van de wet en wat blijft hetzelfde?
Wat is gelijk gebleven?
De werkgever van de boa blijft verantwoordelijk voor de verwerking van persoonsgegevens. Verder is de EU-richtlijn 2018/680, waarop de Wpg, is gebaseerd aansluiting gezocht bij de AVG. Dat betekent dat de organisaties die de AVG hebben geïmplementeerd voor een deel ook voldoen aan de eisen die de Wpg stelt. Hierbij valt te denken aan: de meldplicht van datalekken, het uitvoeren van DPIA’s en het aanstellen van een Functionaris Gegevensbescherming.
De veranderingen in hoofdlijnen
Het is belangrijk dat organisaties (verantwoordelijken) kunnen verantwoorden waarom ze gegevens verwerken. Dit houdt praktisch gezegd in dat er een register moet zijn van alle verwerkingsactiviteiten. Deze moet worden beoordeeld welke impact de gegevensverzameling gaat hebben op de betrokkenen en waarom deze verwerking noodzakelijk is. Daarna beschrijf je de maatregelen die je gaat nemen om de privacy risico’s te verkleinen of weg te nemen.
Veel boa’s hebben niet alleen de opsporingsbevoegdheid maar zijn ook belast met toezicht. Opsporing en toezicht zijn twee verschillende ‘petten’. Sinds de AVG moeten deze persoonsgegevens verschillend worden behandeld. Persoonsgegevens die gaan over het toezicht van onder het regime van de AVG. Die persoonsgegevens moeten van elkaar worden onderscheiden. Eén manier op dat te doen is door te werken in twee verschillende bestanden.
Een andere manier is door binnen één database de gegevens de voorzien van het label ‘toezicht’ of ‘opsporing’. Voor beide soorten gegevens gelden andere bewaartermijnen, andere rechten van betrokkenen en andere regels om de gegevens aan anderen te verstrekken. Naast deze scheiding moet er een scheiding worden aangebracht tussen gegevens die op feiten zijn gebaseerd en feiten die op een persoonlijk oordeel zijn gebaseerd (artikel 4.3 Wpg) en een scheiding worden gemaakt tussen betrokkenen, slachtoffers, derden en veroordeelden (artikel 6b Wpg). Daarnaast verandert er een en ander op gebied van documentatie, vindt er logging plaats in geautomatiseerde systemen en worden er specifieke eisen gesteld aan de informatiebeveiliging.
Toepassing in de praktijk
Belangrijk voor organisaties die met boa’s werken is dat er specifieke aandacht is om de gegevensverwerking van boa’s goed te regelen. Wat is handig om als organisatie te doen?
- Een nulmetingen op basis van de verplichtingen in de gewijzigde Wpg, zodat ook punten die mogelijk in het verleden niet helemaal goed geregeld waren in beeld komen. Het voordeel hiervan is dat er goed kan worden aangesloten bij de AVG, dat het een overzicht biedt wat er te den is en de mogelijkheid om daarin prioriteiten te onderscheiden.
- Een traject starten om de ontbrekende maatregelen in te voeren, waarbij zo veel mogelijk wordt aangesloten bij de werkwijze en procedures die rond de AVG al zijn ingericht.