De Wet politiegegevens (Wpg) en aanverwante regelgeving[1] schrijft voor dat boa-werkgevers (o.a. gemeenten, provincies, waterschappen en vervoerbedrijven) jaarlijks een interne audit en vierjaarlijks een externe audit moeten uitvoeren. Tijdens deze audits wordt de verwerking van politiegegevens – over die definitie later meer – getoetst door een onafhankelijke auditor.[2]
Tijdens een van de Wpg-audits die ik dit jaar begeleidde kwam de volgende vraag ter sprake: “Vallen verwerkingen door een boa in het kader van de handhaving van Mulderfeiten (verkeersovertredingen die op grond van de wet Mulder bestuursrechtelijk afgedaan dienen te worden) onder de Wpg of onder de AVG?” In dit artikel lees je dat het antwoord niet zonder meer ‘de Wpg’ is – ondanks dat de wettekst het tegendeel lijkt te suggereren!
Deze vraag is niet alleen juridisch interessant, maar ook praktisch van betekenis. Hoe je hem beantwoordt heeft immers directe invloed op de reikwijdte van de Wpg-audit, en kan van invloed zijn op de auditresultaten. Natuurlijk wil je als organisatie je gegevensbescherming in de volle breedte op orde hebben. Het is dan ook niet het doel van deze blog om de scope van de audit kunstmatig klein te houden, maar juist om het juiste wettelijk kader van bepaalde verwerkingen vast te stellen, zodat de audit aansluit bij het geldende recht.In deze blog lees je eerst over de relevante juridische kaders: de Wet Mulder, de AVG en de Wpg. Vervolgens ga ik nader in op het Besluit politiegegevens buitengewoon opsporingsambtenaren (Bpg boa), waarin de regels uit de Wpg ook op de verwerking van persoonsgegevens door de boa van toepassing worden verklaard. Tenslotte ga ik in op de grens tussen toezicht en opsporing, en beantwoord ik de vraag die in deze blog centraal staat.
Let op: ik gebruik in deze blog af en toe het woord ‘niet-politieboa’, waarmee ik doel op boa’s die niet in dienst zijn bij de politie, de marechaussee, de rijksrecherche of een bijzondere opsporingsdienst. Te denken valt juist aan boa’s in dienst bij het eerdergenoemde rijtje: gemeente, provincie, waterschap of vervoerbedrijf).
De Wet Mulder
In de jaren ‘70 en ‘80 stond het Openbaar Ministerie onder druk. Dat zat zo: iedere verkeersovertreding, hoe simpel ook, werd via het strafrecht afgedaan. Als je bijvoorbeeld een lichte snelheidsovertreding beging, dan kreeg je een transactievoorstel.
Was je vervolgens niet bereid was om dat voorstel te accepteren (door de boete te betalen)? Dan hoefde je niets te doen. Je kon simpelweg de strafvervolging afwachten. Slechts een klein percentage van de overtreders deed dit, maar vanwege de enorme hoeveelheid verkeersovertredingen leidde dat tot een flinke administratieve last bij het OM.
Vanwege deze problematiek werd in 1989 de Wet administratiefrechtelijke handhaving verkeersvoorschriften (Wahv, Wet Mulder) aangenomen. Door deze wet werd een aantal eenvoudige, veelvoorkomende overtredingen (o.a. lichte snelheidsovertredingen, door rood rijden, foutparkeren) niet langer strafrechtelijk, maar bestuursrechtelijk afgedaan, tenzij sprake was van letsel en/of schade.[3] De wet kwam bekend te staan als de Wet Mulder (naar Albert Mulder, de voorzitter van de commissie die de wet had ontworpen).
De AVG en de Wpg: twee strikt gescheiden regimes
Dan nu een sprong in de tijd. In 2016 stelde de EU twee verschillende gegevensbeschermingsregimes vast: de Algemene verordening gegevensbescherming (AVG)[4] en de Richtlijn gegevensbescherming bij rechtshandhaving (RGR).[5] Verordeningen werken rechtstreeks door in de nationale rechtsorde, maar richtlijnen moeten worden omgezet in nationale wetgeving. In Nederland is de RGR geïmplementeerd in meerdere wetten, waaronder de Wpg.
Waar de AVG ziet op algemene verwerkingen van persoonsgegevens, ziet de RGR specifiek op verwerkingen van persoonsgegevens door bevoegde autoriteiten (zoals de politie) voor twee doeleinden – kort gezegd: opsporing van strafbare feiten en tenuitvoerlegging van straffen.[6] In deze blog staat dat eerste doeleinde centraal.
De EU-wetgever heeft gekozen voor een strikte scheiding tussen de twee regimes: valt een verwerking onder de RGR, dan is de AVG niet van toepassing, en andersom.[7] Deze keuze vloeit voort uit de bijzondere aard van gegevensverwerkingen door politie en justitie in de opsporings- en tenuitvoerleggingscontext.[8] Deze dienen een eigen doel, kennen hun eigen risico’s en vergen daarom hun eigen normenkader.
De samenhang tussen de Wpg en de Wet Mulder voor politie
Sinds de implementatie van de RGR luidt art. 1 Wpg voor zover relevant als volgt (onderstreping toegevoegd):
In deze wet en de daarop berustende bepalingen wordt verstaan onder:
- – politiegegeven: elk persoonsgegeven dat wordt verwerkt in het kader van de uitvoering van de politietaak, bedoeld in de artikelen 3 en 4 van de Politiewet 2012, met uitzondering van:
- – de uitvoering van wettelijke voorschriften anders dan de Wet administratiefrechtelijke handhaving verkeersvoorschriften;
- – (…)
Goed: de dubbele uitzondering leest lastig, maar daarmee heeft de wetgever voorkomen dat handhaving van Mulderfeiten automatisch buiten de reikwijdte van de Wpg valt. De wetgever zegt hierover in de memorie van toelichting (MvT) (onderstreping toegevoegd):[9]
Voor de Wet administratiefrechtelijke handhaving verkeersvoorschriften (ook bekend als de Wet Mulder) geldt dat deze in de praktijk een relevante samenhang vertoont met de opsporing en vervolging van strafbare feiten, omdat op het moment van waarneming van een overtreding van die wet nog geen keuze is gemaakt omtrent de wijze van afdoening. Afhankelijk van de aard en ernst van de overtreding kan dit een administratiefrechtelijk traject zijn ofwel een strafrechtelijk traject. Gelet op de verwevenheid met de andere onderdelen van de politietaak ligt het daarom voor de hand om voor de verwerking van persoonsgegevens door de ambtenaren van de politie aan te sluiten bij het toepassingsgebied van [de RGR], zodat de gegevensverwerking onder de reikwijdte van de Wpg blijft vallen en [de AVG] hierop niet van toepassing is. (…) Als wordt besloten tot een administratiefrechtelijke afdoening van de overtreding dan is [de AVG] van toepassing op de gegevensverwerking voor dat doel. Als wordt besloten tot een strafrechtelijke afdoening dan is [de RGR] van toepassing.
Ik licht het een en ander toe. Met ‘de keuze’ (omtrent de wijze van afdoening) en ‘besluiten’ (tot een administratiefrechtelijke dan wel strafrechtelijke afdoening) wordt hier niet gedoeld op beleidsvrijheid bij de politieambtenaar, maar op de juridische kwalificatie van het feitencomplex.
Anders gezegd: als de strafbare gedraging volgens de wet Mulder bestuursrechtelijk afgedaan kan worden (dus: geen letsel/schade), móet deze bestuursrechtelijk worden afgedaan. En, zoals de MvT vermeldt: voor alle gegevensverwerkingen die die bestuursrechtelijke afhandeling als doel hebben, is de AVG van toepassing.
Het Bpg boa: regels uit de Wpg gelden ook voor de boa
De politie is natuurlijk niet de enige instantie die met de RGR (Wpg) te maken heeft. ‘De bevoegde autoriteiten’ waarvoor de RGR geldt kunnen ieder orgaan zijn dat krachtens het nationale recht is gemachtigd openbaar gezag en openbare bevoegdheden uit te oefenen met als doel – kort gezegd – opsporing van strafbare feiten en tenuitvoerlegging van straffen.[10]
Het was dan ook duidelijk dat niet-politieboa’s onder de werkingssfeer van de RGR vallen wanneer zij persoonsgegevens verwerken in het kader van hun opsporingstaak.[11] De nationale wetgever heeft hierop geanticipeerd: in de Wpg is opgenomen dat bij algemene maatregel van bestuur (AMvB) onderdelen van het bij of krachtens die wet bepaalde van overeenkomstige toepassing verklaard worden op de verwerkingen van persoonsgegevens door een boa.[12] Zo kon de RGR voor niet-politieboa’s efficiënt worden geïmplementeerd.[13]
De AMvB die de RGR voor niet-politieboa’s implementeerde, was het Besluit politiegegevens buitengewoon opsporingsambtenaren (Bpg boa).[14] In art. 2 lid 1 Bpg boa werden veel regels uit de Wpg van overeenkomstige toepassing verklaard op de niet-politieboa:
Onverminderd artikel 46, eerste lid, van [de Wpg] is het bij die wet bepaalde met betrekking tot de verwerking van politiegegevens van overeenkomstige toepassing op de verwerking van persoonsgegevens door een buitengewoon opsporingsambtenaar, met uitzondering van de artikelen 10, 11, tweede lid, 12, 16, eerste lid, onderdeel b, eerste indent, 34 en 36a tot en met 45.
Wat opvalt, is dat het Bpg boa spreekt over ‘persoonsgegevens’ die de boa verwerkt, niet over ‘politiegegevens’. Dat laat zich verklaren doordat niet-politieboa’s weliswaar persoonsgegevens verwerken in het kader van de strafrechtelijke opsporing, maar geen onderdeel uitmaken van de politieorganisatie, waardoor hun verwerkingen niet plaatsvinden in het kader van de politietaak bedoeld in art. 3 en 4 Polw. De nota van toelichting bij het Bpg boa licht toe:[15]
Vanwege de overeenkomstige toepassing van het begrippenkader van de Wpg en het feit dat de verwerking van persoonsgegevens door de boa’s plaatsvindt ter uitvoering van het bij of krachtens de Wpg bepaalde, wordt in dit besluit voor de verwerking van persoonsgegevens door boa’s eveneens gesproken van de verwerking van «politiegegevens».
Art. 2 lid 1 Bpg boa noemt het niet expliciet, maar het moge duidelijk zijn dat het in dat artikel alleen gaat om persoonsgegevens die de boa verwerkt in het kader van diens opsporingstaak. Het Bpg boa bestaat immers ter implementatie van de RGR.[16]
Tussenconclusie: we spreken bij niet-politieboa’s weliswaar van ‘politiegegevens’, maar strikt genomen kwalificeren ze niet als zodanig omdat ze niet worden verwerkt in het kader van de politietaak. Het gebruik van de term ‘politiegegevens’ in het Bpg boa heeft een praktische insteek; eigenlijk zou het zuiverder zijn om te spreken van ‘persoonsgegevens-die-de-boa-verwerkt-in-het-kader-van-diens-opsporingstaak’.
De tweepettenmetafoor en de grens tussen toezicht en opsporing
Zojuist hebben we gezien dat het Bpg boa geen ‘boa-politietaak’ creëert, maar slechts bepaalde delen van de Wpg van overeenkomstige toepassing verklaart op verwerkingen van persoonsgegevens door de boa die plaatsvinden in het kader van diens opsporingstaak. Maar: nu is het zo dat niet-politieboa’s doorgaans ook belast zijn met toezicht op de naleving van wetgeving op het gebied waarop zij opsporingsbevoegd zijn. En de grens tussen toezicht en opsporing is niet altijd even helder.
De wetgever gebruikt de metafoor van twee petten: heeft de boa diens toezichtspet op, dan geldt de AVG voor die verwerkingen; draagt deze diens opsporingspet, dan de Wpg.[17] Belangrijk is dat een concrete aanleiding dient te bestaan voordat de boa diens opsporingspet mag opzetten; voor toezicht is dat juist niet het geval.[18]
Maar waar ligt de grens tussen toezicht (AVG) en opsporing (Wpg) nu precies in de praktijk? Hierover bestaan momenteel (bij gebrek aan gezaghebbende rechtspraak) twee verschillende opvattingen: ofwel bij de concrete aanleiding, ofwel op het moment dat de boa beslist strafrechtelijk te handhaven.
Hanteer je als boa-werkgever de tweede opvatting, en blijkt dat ook uit je Wpg-beleid, dan vallen persoonsgegevens verwerkt door boa’s in het kader van Mulderhandhaving nooit onder de Wpg:
- – Vóór de beslissing tot handhaving is de AVG van toepassing omdat de boa diens toezichtspet opheeft,
- – Na de beslissing tot handhaving is de AVG van toepassing omdat de boa nooit heeft beslist strafrechtelijk te handhaven; Mulderhandhaving is immers altijd bestuursrechtelijk.
Waarom het feit dat ook art. 1 Wpg voor boa’s van overeenkomstige toepassing is verklaard deze lezing niet in de weg staat
Eerder las je dat het Bpg boa veel regels uit de Wpg van overeenkomstige toepassing verklaarde voor de boa. Voor het gemak herhaal ik het wetsartikel hier: Onverminderd artikel 46, eerste lid, van [de Wpg] is het bij die wet bepaalde met betrekking tot de verwerking van politiegegevens van overeenkomstige toepassing op de verwerking van persoonsgegevens door een buitengewoon opsporingsambtenaar, met uitzondering van de artikelen 10, 11, tweede lid, 12, 16, eerste lid, onderdeel b, eerste indent, 34 en 36a tot en met 45.[19]
Art. 1 Wpg, die de Wet Mulder bij naam noemt, is niet te vinden in het lijstje uitgezonderde artikelen. Dit staat mijn eerdere betoog echter niet in de weg.Dat zit zo: Art. 2 lid 1 Bpg boa verklaart alles dat de Wpg bepaalt over de verwerking van politiegegevens van overeenkomstige toepassing op de verwerking van persoonsgegevens door de boa. In art. 1 sub a Wpg wordt niets bepaald over de verwerking van politiegegevens, maar wordt het begrip ‘politiegegeven’ gedefinieerd. Met andere woorden: art. 1 sub a Wpg beschrijft wat een politiegegeven is, niet hoe deze verwerkt dient te worden, en is daarom niet van overeenkomstige toepassing op de niet-politieboa.
Conclusie
Deze blog (die flink groot is geworden – dank voor het lezen!) staat in het teken van de handhaving van Mulderfeiten door niet-politieboa’s en de vraag welk gegevensbeschermingsregime daarop van toepassing is: de AVG of de Wpg. Aan bod kwamen de ontstaansgeschiedenis van de Wet Mulder, de AVG en de RGR met hun strikte scheiding, en de samenhang tussen de Wpg en de Wet Mulder; eerst voor politie, daarna voor boa’s.
In boa-context hebben we het over ‘politiegegevens’ als het gaat om persoonsgegevens verwerkt in de opsporingscontext. Deze woordkeuze is strikt genomen echter onzuiver, en heeft vooral een praktische insteek.
De niet-politieboa vervult doorgaans een dubbelrol – toezicht en opsporing – en de grens tussen de twee is momenteel niet kristalhelder. Deze onduidelijkheid leidt ertoe dat de vraag die in deze blog centraal staat niet zomaar te beantwoorden is, en het antwoord hierop afhangt van de manier waarop de boa-werkgever het begrip ‘politiegegeven’ inkleurt.
Hanteert de boa-werkgever de opvatting dat er pas sprake is van een politiegegeven zodra de boa tot strafrechtelijke handhaving is overgegaan, dan kunnen persoonsgegevens verwerkt in het kader van Mulderhandhaving geen politiegegevens zijn. Dan is dus de AVG, en niet de Wpg, van toepassing op alle verwerkingen van persoonsgegevens in deze context.
En dat verschil is meer dan slechts een juridische kwalificatie. De toepasselijkheid van de Wpg bepaalt immers welke werkprocessen onder het Wpg-regime vallen, welke systemen aan specifieke Wpg-vereisten dienen te voldoen en welke verwerkingen in de scope van de Wpg-audit vallen. Juist daarom verdient deze interpretatie een bewuste, onderbouwde keuze van de boa-werkgever.
=========
voetnoten
[1] Te weten het Besluit politiegegevens (Bpg), het Besluit politiegegevens buitengewoon opsporingsambtenaren (Bpg boa) en de Regeling periodieke audit politiegegevens.
[2] Art. 6:5 lid 2 en lid 3 Bpg.
[3] Art. 2 lid 1 jo. lid 2 Wahv.
[4] Verordening (EU) 2016/679.
[5] Richtlijn (EU) 2016/680.
[6] De RGR spreekt over “de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen”.
[7] Overweging 19 AVG, overweging 11 RGR.
[8] Overweging 10 en 11 RGR.
[9] Kamerstukken II 2017/18, 34889, nr. 3, p. 12.
[10] Overweging 11 RGR.
[11] Kamerstukken II 2017/18, 34889, nr. 3, p. 8-9.
[12] En wel in art. 46 lid 1 Wpg.
[13] Dit was voor boa’s werkzaam bij politie, rijksrecherche en koninklijke marechaussee (voor zover deze laatste werkzaam ter uitvoering van de politietaak) niet nodig, omdat zij al aan te merken waren als ambtenaar van politie als bedoeld in art. 1 sub k Wpg. De Wpg was dan ook al direct op hen van toepassing. De bijzondere positie van de bijzondere opsporingsdiensten valt buiten scope van deze blog.
[14] Nota van toelichting bij het Bpg boa, p. 5. (Stb. 2019, 85).
[15] Nota van toelichting bij het Bpg boa, p. 8. (Stb. 2019, 85).
[16] Dit komt (iets) duidelijker terug op verschillende plekken in de nota van toelichting. Het OM deelt deze lezing, en spreekt in de Instructie besluit politiegegevens buitengewoon opsporingsambtenaren en de rol van de officier van justitie over ‘gegevensverwerkingen die boa’s op grond van het Bpg boa verrichten in het kader van de opsporingstaken’.
[17] Nota van toelichting bij het Bpg boa, p. 14. (Stb. 2019, 85).
[18] Nota van toelichting bij het Bpg boa, p. 13-14. (Stb. 2019, 85).
[19] Art. 2 lid 1 Bpg boa.
