Tot mei 2018 viel de verwerking van persoonsgegevens door buitengewoon opsporingsambtenaren (boa’s) onder de Wet bescherming persoonsgegevens (Wbp). Sinds de komst van de Algemene verordening gegevensbescherming (AVG) valt de verwerking van persoonsgegevens in het kader van het opsporen van strafbare feiten onder de EU-Richtlijn 2016/680. Deze richtlijn is vertaald naar de Wet politiegegevens (Wpg), Besluit politiegegevens (Bgp) en het Besluit politiegegevens buitengewoon opsporingsambtenaren (Bpg boa). Daarmee valt de verwerking van persoonsgegevens in het kader van opsporing van strafbare feiten door boa’s buiten de reikwijdte van de AVG. De gegevens die boa’s in het kader van hun andere taken verwerken, bijvoorbeeld persoonsgegevens in het kader van toezicht, vallen wel onder de reikwijdte van de AVG.
In april 2019 schreven wij naar aanleiding van een ‘vraag van de maand’ over de veranderingen van de Wbp naar de Wpg en de toepassing hiervan in de praktijk. In dit artikel richten wij ons specifiek op de verplichte privacy-audits vanuit de Wpg die van toepassing zijn op de verwerking van persoonsgegevens door gemeentelijke boa’s. Een gemeente heeft vaak meerdere (soorten) boa’s in dienst. Denk hierbij aan de boa’s in de openbare ruimte, groene boa’s, leerplichtambtenaren en/of de opsporingsambtenaren van de sociale recherche.
Verplichte privacy-audit
Op grond van artikel 33 Wpg dient de verwerkingsverantwoordelijke, over het algemeen de gemeente zelf als boa-werkgever, een privacy-audit uit te voeren. Er wordt onderscheid gemaakt tussen een interne audit en externe audit. De interne audit dient conform de Regeling periodieke audit politiegegevens jaarlijks te worden uitgevoerd en ziet mede ter voorbereiding toe op de externe audit. De externe audit dient, conform artikel 6.5 Bpg, voor het eerst in 2021 te worden uitgevoerd en daarna eenmaal in de vier jaren. De interne audit dient te worden uitgevoerd door een gecertificeerd IT-auditor op de naleving van (onderdelen van) de Wpg. De externe audit dient door een onafhankelijke externe IT-auditor te worden gecontroleerd. De privacy-audit heeft betrekking op de wijze waarop het verwerken van politiegegevens is georganiseerd, de maatregelen en de procedures die daarop van toepassing zijn.
Artikel 33 lid 2 Wpg verplicht de verwerkingsverantwoordelijke een afschrift van de controleresultaten te verzenden aan de Autoriteit Persoonsgegevens, het bestuursorgaan dat is aangesteld voor het toezicht op het verwerken van persoonsgegevens. De Autoriteit Persoonsgegevens kan een bestuurlijke boete opleggen bij het niet voldoen aan deze verplichtingen.
Hulp voor gemeenten
Om gemeenten hierbij te helpen heeft de vereniging van auditors (NOREA) een handreiking uitgebracht. In aanvulling op deze handreiking heeft de Informatiebeveiligingsdienst (IBD) van de Vereniging voor Nederlandse Gemeenten een werkdocument opgesteld met hierin een verdere vertaling voor de gemeentelijke privacyfunctionarissen.
Noot: De Autoriteit Persoonsgegevens (AP) geeft de verwerkingsverantwoordelijke een jaar uitstel. Organisaties hebben nu tot en met 31 december 2022 de tijd om een externe Wpg-audit te laten uitvoeren en het auditrapport naar de AP te sturen. Zie de website van de AP.