De Wet politiegegevens is een wet die zelden de voorpagina haalt, maar die de dagelijkse werkpraktijk van honderden organisaties in Nederland bepaalt. Politiekorpsen, gemeenten, OV-bedrijven, Staatsbosbeheer – zij allen verwerken gegevens die onder het Wpg-regime vallen. En zij allen worstelen met dezelfde vraag: hoe voldoe ik aan een wet die tegenstrijdige eisen stelt?
Die vraag is niet retorisch. De Autoriteit Persoonsgegevens (AP) constateerde in juli 2024 opnieuw dat de meerderheid van BOA-werkgevers niet aan de basisverplichtingen voldoet (AP, Rapportage BOA-werkgevers, juli 2024). De volgende auditcyclus loopt tot maart 2026. Het speelveld verschuift door het Verzamelbesluit gegevensverwerking politie en justitie 2024. En de Raad van State uitte begin 2026 kritiek op voorgestelde wijzigingen van het Besluit politiegegevens.
Dit artikel ontleedt 3 paradoxen in de wet politiegegevens die zich niet laten oplossen met standaard compliance-checklists. Niet omdat organisaties onwillig zijn, maar omdat de wet zelf spanningen bevat die systematische aandacht vereisen.
Inhoudsopgave
Wat de Wet politiegegevens regelt – en wat niet
De Wet politiegegevens (Wpg) is de Nederlandse implementatie van EU-Richtlijn 2016/680, de Law Enforcement Directive. Waar de Algemene Verordening Gegevensbescherming (AVG) de verwerking van persoonsgegevens in brede zin reguleert, richt de Wpg zich op gegevensverwerking ten behoeve van de politietaak: opsporing, handhaving van de openbare orde en hulpverlening.
Wat zijn politiegegevens precies? Elk persoonsgegeven dat wordt verwerkt in het kader van de uitvoering van de politietaak. Dat klinkt helder, maar de afbakening is in de praktijk allesbehalve eenvoudig. Het gaat niet alleen om naam-adres-woonplaats van verdachten. Camerabeelden, getuigenverklaringen, locatiegegevens, ANPR-registraties, meldingen van burgers – elk gegeven dat raakt aan opsporing of openbare-ordehandhaving valt potentieel onder de wet politiegegevens.
De Nederlandse wetgever is op punten verder gegaan dan de EU-richtlijn vereist, met name op het gebied van bewaartermijnen en de reikwijdte van de auditverplichtingen. Waar de richtlijn lidstaten ruimte laat voor eigen invulling, heeft Nederland gekozen voor een gedetailleerd regime met specifieke termijnen per verwerkingsgrondslag. Die keuze was bewust, maar maakt de compliance-opgave voor organisaties navenant zwaarder.
De kern van het probleem is niet dat de wet politiegegevens onduidelijk is over wat zij beoogt. Het probleem is dat zij spanningen bevat tussen bescherming en effectiviteit, tussen documentatie en operationaliteit, tussen externe controle en interne verantwoordelijkheid. Die spanningen zijn geen implementatiefouten. Het zijn ontwerpkenmerken van een wet die twee verschillende belangen probeert te dienen.
Wie denkt dat een generieke compliance-checklist deze spanningen oplost, onderschat de complexiteit van het stelsel. Wat volgt zijn drie paradoxen die dat illustreren.
Paradox 1 – De dubbele pet van de BOA onder het Besluit politiegegevens
Buitengewoon opsporingsambtenaren bevinden zich in een juridisch unieke positie. Zij opereren in twee regimes tegelijk: als toezichthouder vallen zij onder de AVG, als opsporingsambtenaar onder de Wpg. Het besluit politiegegevens buitengewoon opsporingsambtenaren probeert deze twee werelden af te bakenen, maar slaagt daar in de praktijk onvoldoende in. Wie meer wil lezen over de gegevensuitwisseling door BOA’s kan terecht bij ons eerdere artikel Wanneer mag de boa gegevens uitwisselen?.
Neem een concrete situatie. Een gemeentelijke BOA controleert parkeergedrag in een winkelgebied. Dat is toezicht, dus AVG-regime. Tijdens die controle signaleert de BOA een strafbaar feit: iemand pleegt vernieling. Op dat moment verschuift het juridische regime. De persoonsgegevens die de BOA verwerkt, worden politiegegevens in de zin van de Wpg. Andere verwerkingsgrondslag. Andere bewaartermijnen. Andere verantwoordingsverplichtingen.
Het besluit politiegegevens BOA regelt welke gegevens de BOA mag verwerken en onder welke voorwaarden. De twee centrale verwerkingsgrondslagen zijn artikel 8 Wpg en artikel 9 Wpg, en het verschil daartussen is niet academisch.
Artikel 8 Wpg biedt de grondslag voor gerichte gegevensverwerking ten behoeve van een concreet opsporingsonderzoek. Het gaat om gegevens die worden verwerkt met het oog op een specifiek strafbaar feit, een specifieke verdachte, een gedefinieerd onderzoeksdoel. De bewaartermijn, de toegang, de verstrekking – alles is gekoppeld aan dat concrete onderzoek.
Artikel 9 Wpg regelt de dagelijkse politietaak, een bredere en minder afgebakende grondslag. Gegevens die worden verwerkt voor de uitvoering van de dagelijkse taken, zonder dat er sprake is van een specifiek opsporingsonderzoek. Denk aan informatie uit dagrapportages, surveillancegegevens, meldingen die nog niet tot een zaak hebben geleid.
In de praktijk lopen deze twee door elkaar, precies omdat het operationele werk van een BOA niet netjes in juridische categorieen valt. Een melding die begint als artikel 9-verwerking kan op elk moment overgaan in een artikel 8-verwerking. Dat moment is lang niet altijd helder te markeren.
De spanning is dan ook niet incidenteel maar ingebakken. Het besluit politiegegevens buitengewoon opsporingsambtenaren veronderstelt dat het moment van regimewisseling identificeerbaar is. De werkelijkheid op straat is weerbarstiger.
Het omslagpunt: wanneer wordt AVG-data een politiegegeven?
Het centrale probleem is het zogenaamde omslagpunt: het moment waarop een toezichthandeling overgaat in een opsporingshandeling. Juridisch gezien ligt dat omslagpunt bij het ontstaan van een “redelijk vermoeden van een strafbaar feit”. Maar wanneer ontstaat dat vermoeden precies?
Een BOA die een overlastmelding afhandelt, verzamelt persoonsgegevens onder het AVG-regime. Als tijdens dat gesprek blijkt dat er mogelijk sprake is van bedreiging, verschuift het regime naar de Wpg. Maar de gegevens die al verzameld zijn – de naam, het adres, de waarnemingen – zijn identiek. Alleen de juridische kwalificatie verandert.
Dit heeft directe gevolgen voor de gegevensverwerking door politie en aanverwante organisaties. De logging moet het omslagpunt reflecteren: op welk tijdstip verschoof het regime, en op basis van welke waarneming? De bewaartermijnen wijzigen, want onder de AVG gelden andere termijnen dan onder artikel 8 of artikel 9 Wpg. De doelbinding verandert: gegevens die verzameld zijn voor toezicht mogen niet zonder meer worden hergebruikt voor opsporing.
En de betrokkene heeft onder de Wpg andere rechten dan onder de AVG. Het inzagerecht is beperkter. De informatieplicht kent bredere uitzonderingen. Maar de betrokkene weet dat doorgaans niet, en krijgt dat zelden uitgelegd. De burger die door een BOA wordt aangesproken, heeft geen idee of de gegevens die worden genoteerd onder het AVG-regime of het Wpg-regime vallen. Eerlijk gezegd weet de BOA dat op dat moment vaak ook niet met zekerheid.
Voor de AVG-functionaris bij een gemeente of OV-bedrijf betekent dit: twee verwerkingsregisters, twee sets bewaartermijnen, twee verantwoordingsregimes – voor gegevens die op het moment van verzameling niet altijd eenduidig te classificeren zijn.
Paradox 2 – Documentatieplicht versus operationele realiteit bij de Wpg-audit
De regeling periodieke audit politiegegevens verplicht organisaties die politiegegevens verwerken tot een vierjaarlijkse audit. Het doel is helder: systematische controle op de naleving van de wet politiegegevens. De uitvoering is dat beduidend minder.
De AP concludeerde in juli 2024 – niet voor het eerst – dat de meerderheid van de ruim 600 BOA-werkgevers in Nederland niet voldoet aan de basisverplichtingen van de Wpg. Niet aan de geavanceerde eisen, maar aan de basis. Verwerkingsregisters ontbreken. Privacy-protocollen zijn niet ingericht. Functionarissen voor gegevensbescherming zijn niet of onvoldoende betrokken bij Wpg-verwerkingen. Eerder schreven wij al over de bezorgdheid van de AP over het uitblijven van de verplichte Wpg-audit.
Hier ontstaat de paradox. De wetgever eist volledige documentatie en verantwoording van gegevensverwerking. Tegelijkertijd ontbreekt bij de organisaties die dat moeten leveren de capaciteit, de kennis en de middelen om aan die eis te voldoen. Dat is geen kwestie van onwil. Gemeenten hebben doorgaans een klein juridisch team dat zowel AVG- als Wpg-compliance moet realiseren, naast tientallen andere juridische dossiers.
De Wpg-audit is ook geen AVG-audit met een ander label. De audit vereist specifieke kennis van het politiegegevensdomein, kennis die schaars is op de arbeidsmarkt en die niet zonder meer afleidbaar is uit AVG-expertise. Een AVG-functionaris die de Wpg erbij krijgt, moet zich een geheel nieuw normenkader eigen maken: andere verwerkingsgrondslagen, andere bewaartermijnen, andere rechten van betrokkenen, een ander toezichtskader.
De schaarste aan Wpg-kennis is niet alleen een probleem voor individuele organisaties. Het is een systeemprobleem. Er zijn in Nederland niet genoeg specialisten om alle 600+ BOA-werkgevers tijdig audit-ready te maken. Organisaties die hun Wpg-compliance behandelen als een extensie van hun AVG-programma, komen daar vroeg of laat achter. Meestal te laat, namelijk wanneer de auditor aan de deur klopt. Voor praktische handvatten verwijzen wij naar ons artikel over de Wpg-audit.
De auditcyclus 2025-2026 – deadlines en risico’s
De lopende auditcyclus kent een deadline in maart 2026. Voor organisaties die nog moeten beginnen met de voorbereiding, is dat niet ver weg. De AP heeft in de afgelopen jaren een duidelijke verschuiving laten zien: van waarschuwend naar handhavend optreden. De fase van welwillende begeleiding is voorbij.
Wat staat er concreet op het spel?
- Bestuurlijke boetes die onder de Wpg kunnen oplopen tot aanzienlijke bedragen
- Last onder dwangsom bij aanhoudende non-compliance
- Reputatieschade die voor gemeenten en publieke organisaties extra zwaar weegt
- Politieke verantwoording wanneer een gemeente niet kan aantonen dat politiegegevens van burgers zorgvuldig worden verwerkt
De AP verwacht bij een Wpg-audit niet alleen dat de papieren documentatie op orde is. Zij verwacht aantoonbare implementatie: dat medewerkers getraind zijn, dat protocollen worden gevolgd, dat incidenten worden geregistreerd en afgehandeld. Het verschil tussen “we hebben een beleidsdocument” en “we kunnen aantonen dat het werkt” is precies waar veel organisaties stranden.
Paradox 3 – Het Verzamelbesluit 2024 en de verschuiving naar interne controle
De wet politiegegevens wordt niet alleen bepaald door de Wpg zelf. Het Verzamelbesluit gegevensverwerking politie en justitie 2024 (Stb. 2024, 372) en de implementatie van EU-Richtlijn 2023/977 inzake informatie-uitwisseling tussen rechtshandhavingsautoriteiten (Stb. 2024, 420) hebben het speelveld in 2024 merkbaar verschoven. De richting is duidelijk: minder nadruk op externe transparantieverplichtingen, meer nadruk op intern risicobeheer.
Op het eerste gezicht lijkt dat een pragmatische keuze. Organisaties krijgen meer ruimte om zelf te bepalen hoe zij de Wpg-verplichtingen invullen. Intern risicobeheer in plaats van externe verantwoording – dat klinkt als volwassen toezicht.
De paradox schuilt in de timing. Deze verschuiving naar meer eigen verantwoordelijkheid vindt plaats op het moment dat de AP vaststelt dat de meerderheid van organisaties de bestaande, eenvoudigere verplichtingen niet nakomt. Het is alsof een rijschool besluit om de theorie-exameneisen te verlagen omdat de meeste leerlingen zakken voor het praktijkexamen. De logica ontgaat.
Het Verzamelbesluit wijzigt het Besluit politiegegevens op meerdere punten. De informatie-uitwisseling met buitenlandse autoriteiten krijgt een bredere basis. De verplichtingen rond logging en toegangscontrole worden bijgesteld. De nadruk verschuift van prescriptieve regels naar principle-based normering.
Voor organisaties die hun privacy-governance op orde hebben, is dat werkbaar. Principle-based normering biedt hen de ruimte om maatwerk te leveren, afgestemd op hun specifieke risicoprofiel. Maar voor organisaties die nog worstelen met het inrichten van een verwerkingsregister, is het een extra bron van onzekerheid. Zij missen het fundament om principle-based te opereren. Zonder heldere prescriptieve regels moeten zij zelf bepalen wat “passend” is, terwijl zij niet eens weten wat de basis inhoudt.
De verschuiving creert daarmee een tweedeling. Organisaties met een volwassen governance-structuur profiteren van de verruimde beleidsvrijheid. Organisaties zonder die structuur raken verder achterop, omdat de lat weliswaar anders ligt maar niet lager. De AP zal bij handhaving immers toetsen of het intern risicobeheer aantoonbaar op orde is, en dat vereist meer eigen initiatief, niet minder.
WODC-onderzoek en het signaal van de wetgever
Het WODC-onderzoek naar de werking van de Wpg bevestigt wat de praktijk al langer laat zien: de wet moet een duidelijker kader bieden voor de verwerking van persoonsgegevens tijdens strafrechtelijk onderzoek. Dat is een opvallende conclusie. Het onderzoeksinstituut van het ministerie van Justitie en Veiligheid stelt in feite vast dat de eigen wetgeving tekortschiet in helderheid.
De Raad van State ging in januari 2026 nog een stap verder. In het advies over de wijziging van het Besluit politiegegevens inzake terrorismegegevens uitte de Raad kritiek op de complexiteit en de interne consistentie van het stelsel. Als zelfs de wetgever en diens hoogste adviseur worstelen met de systematiek van de Wpg, wat betekent dat dan voor de compliance officer bij een middelgrote gemeente die dit er “even bij” moet doen?
De memorie van toelichting bij de wet politiegegevens ging destijds uit van een overzichtelijk stelsel met heldere afbakeningen. De praktijk heeft die aanname ingehaald. Organisaties die nu compliance-strategieen opzetten, doen er verstandig aan om niet uit te gaan van hoe de wet bedoeld was, maar van hoe zij in de praktijk functioneert.
Het dubbele regime AVG/Wpg in de dagelijkse praktijk
De overlap tussen de AVG en de Wpg is het onderliggende thema dat alle drie paradoxen verbindt. In theorie is de afbakening helder: de AVG reguleert “gewone” persoonsgegevensverwerking, de Wpg reguleert verwerking ten behoeve van de politietaak. In de praktijk zijn die twee domeinen bij veel organisaties niet te scheiden. Voor een verdere verdieping in de keuze van verwerkingsgrondslagen, zie ons artikel Grip op je grondslag.
Een gemeente verwerkt persoonsgegevens van burgers voor belastingheffing (AVG), voor vergunningverlening (AVG), voor toezicht op de openbare ruimte via BOA’s (AVG tot het omslagpunt, daarna Wpg), en voor opsporing van strafbare feiten (Wpg). Dezelfde burger, dezelfde gemeente, dezelfde systemen – maar twee juridische regimes met verschillende grondslagen, verschillende bewaartermijnen, verschillende rechten voor betrokkenen en verschillende toezichthouders.
Bij OV-bedrijven speelt een vergelijkbare problematiek. BOA’s in het openbaar vervoer handhaven zowel de Wet personenvervoer (AVG-regime) als de openbare orde (mogelijk Wpg-regime). Staatsbosbeheer kent BOA’s die milieuovertredingen handhaven, soms bestuursrechtelijk (AVG), soms strafrechtelijk (Wpg). De gegevens die zij verzamelen zijn vaak identiek. Alleen het juridische etiket verschilt.
Organisaties die dit dubbele regime serieus nemen, moeten in de praktijk parallelle governance-structuren opzetten. Dat betekent:
- Twee verwerkingsregisters die op onderdelen overlappen maar niet samengevoegd kunnen worden
- Twee sets bewaartermijnen die per verwerking moeten worden bijgehouden
- Twee protocollen voor de rechten van betrokkenen, met verschillende termijnen en uitzonderingsgronden
- Twee rapportagelijnen naar de AP, met soms verschillende afdelingen aan de ontvangende kant: een als Wpg-toezichthouder en een als AVG-toezichthouder
De kosten in tijd, capaciteit en specialistische kennis zijn aanzienlijk. En zij worden zelden meegewogen in de begroting. Het Wpg-loket bij de AP biedt informatie en handreikingen over de wet politiegegevens, maar de verantwoordelijkheid voor de implementatie ligt volledig bij de verwerkingsverantwoordelijke organisatie.
Wat opvalt is dat veel organisaties het dubbele regime pas ontdekken wanneer er iets misgaat: een datalek dat onder beide regimes gemeld moet worden, een inzageverzoek dat onder het verkeerde regime wordt afgehandeld, een audit die tekortkomingen blootlegt in het Wpg-spoor terwijl het AVG-spoor ogenschijnlijk op orde is. Het reactieve karakter van die ontdekking zegt iets over hoe diep het probleem zit.
Praktische stappen – van paradox naar werkbare compliance
De drie beschreven paradoxen in de wet politiegegevens zijn niet op te lossen met een enkele maatregel, niet door organisaties en vooralsnog niet door de wetgever. Wat organisaties wel kunnen doen, is de spanningen herkennen en daar systematisch mee omgaan. Risicomanagement in plaats van risico-eliminatie.
Vier stappen die het verschil maken:
1. Classificeer verwerkingen naar regime voordat data wordt verzameld
Te veel organisaties bepalen achteraf welk regime van toepassing is. Dat leidt tot vermenging van AVG- en Wpg-data, met alle gevolgen van dien voor bewaartermijnen en doelbinding. Een vooraf vastgesteld classificatieprotocol, hoe beperkt ook, voorkomt de meest voorkomende fouten.
2. Richt een omslagprotocol in
Voor het moment dat toezicht overgaat in opsporing moet een werkbaar protocol bestaan. Niet een document van vijftig pagina’s, maar een concrete instructie die een BOA op straat kan toepassen: op welk moment switch ik van regime, wat leg ik vast, en hoe communiceer ik dat naar de backoffice? Zonder zo’n protocol is het omslagpunt ongedocumenteerd en daarmee oncontroleerbaar.
3. Investeer in Wpg-specifieke kennis
De Wpg is geen AVG-variant. De verwerkingsgrondslagen, bewaartermijnen, rechten van betrokkenen en auditverplichtingen wijken op wezenlijke punten af. Organisaties die hun Wpg-compliance laten meedraaien in het AVG-programma zonder specifieke Wpg-kennis, lopen een voortdurend risico. Dat geldt met name voor gemeenten die geen dedicated Wpg-functionaris hebben.
4. Begin nu met de auditvoorbereiding
De deadline van maart 2026 voor de audit onder de wet politiegegevens is dichter bij dan veel organisaties beseffen. Een Wpg-audit vergt meer dan het verzamelen van documenten. Het vergt aantoonbare implementatie: getrainde medewerkers, werkende protocollen, geregistreerde incidenten. Dat kost maanden, niet weken.
Een eerlijke kanttekening: zelfs met deze stappen blijven sommige spanningen bestaan. Het omslagpunt AVG/Wpg laat zich niet in alle gevallen eenduidig vastleggen. Het dubbele regime vraagt capaciteit die niet overal beschikbaar is. Organisaties die dat erkennen en transparant documenteren waar de grenzen van hun compliance liggen, staan bij een audit sterker dan organisaties die pretenderen alles opgelost te hebben.
Conclusie – waarom deze paradoxen niet vanzelf verdwijnen
De drie paradoxen in de wet politiegegevens – de dubbele pet van de BOA, de kloof tussen documentatieplicht en operationele realiteit, en de verschuiving naar interne controle zonder bijbehorende capaciteit – zijn geen tijdelijke kinderziektes. Het zijn kenmerken van een wettelijk stelsel dat twee verschillende belangen probeert te verzoenen.
Het WODC-onderzoek bevestigt dat de wet politiegegevens helderder moet. De Raad van State signaleert consistentieproblemen. De AP handhaaft scherper. Ondertussen moeten organisaties compliance leveren binnen een kader dat ook de wetgever zelf als te complex erkent.
De auditcyclus 2025-2026 wordt het moment van waarheid. De AP heeft het signaal afgegeven dat de handhaving intensiveert. Het WODC heeft bevestigd dat het wettelijke kader tekortschiet. De Raad van State heeft de wetgever gewaarschuwd voor systeemfouten. Geen van deze signalen wijst op een versoepeling.
Organisaties die de Wpg-audit behandelen als een administratieve exercitie, lopen het risico op handhavingsmaatregelen. Organisaties die de paradoxen herkennen, de dubbele regimes systematisch adresseren en investeren in specifieke kennis, staan aanzienlijk sterker. Niet omdat zij alle spanningen kunnen oplossen, maar omdat zij kunnen aantonen dat zij de complexiteit begrijpen en er verantwoord mee omgaan.
Wie deze paradoxen herkent in de eigen organisatie, doet er verstandig aan om de voorbereiding niet langer uit te stellen. Lex Digitalis biedt Wpg-auditbegeleiding, e-learning en praktische ondersteuning bij het inrichten van een werkbare compliance-strategie: meer informatie over onze dienstverlening.
Gerelateerde artikelen
