Wpg-audit: praktische handvaten

12 juli 2021 / in Nieuws /door Romée van den Boom

In Nederland hebben ongeveer 1.100 instanties buitengewoon opsporingsambtenaren (boa’s) in dienst. Boa’s zijn functionarissen met opsporingsbevoegdheden die doorgaans in dienst zijn bij de politie of marechaussee, gemeenten, inspectiediensten, openbaarvervoerbedrijven of Staatsbosbeheer. De werkgevers van boa’s staan voor een volgende uitdaging op het gebied van privacy. De Wpg-audit – een vorm van een privacy-audit – is sinds 1 januari 2019 verplicht voor alle publieke en private organisaties die boa’s in dienst hebben.[1]

Lex Digitalis verzorgde 24 juni 2021 een webinar over het onderwerp en gaf daarbij praktische handvaten aan publieke en private organisaties die hun organisatie Wpg-proof willen maken. Lees hier hoe ook uw organisatie zich optimaal voorbereidt op de Wpg-audit die uiterlijk vóór 2022 afgerond moet zijn.

Waarom een Wpg-audit?

De Wpg-audit is in het leven geroepen vanwege de ‘dubbelde gevoeligheid’ van (persoons)gegevens die worden verkregen tijdens opsporingsbevoegdheden. Hiermee wordt gedoeld op 1) de gevoeligheid van strafrechtelijke gegevens en 2) het feit dat de bewezenverklaring nog niet vaststaat. Omdat bij de uitvoering van wettelijke opsporingstaken bevoegdheden zijn gemoeid die diep op de privacy van burgers ingrijpen, stelt de Wpg specifieke eisen aan de verwerking van politiegegevens om misbruik tegen te gaan en de privacy van burgers te beschermen.[2] De werkgever is verantwoordelijk voor de verwerking van persoonsgegevens door boa’s en voor een periodieke controle op de naleving van de Wpg.

Voorkom onrechtmatige gegevensverwerking

 Bij de verwerking van (persoons)gegevens door boa’s moet rekening worden gehouden met de Algemene Verordening Gegevensbescherming (AVG) én de Wet politiegegevens (Wpg). De AVG en Wpg zijn nooit beide op een verwerking van toepassing. Ze sluiten elkaar wederzijds uit. De verwerking van (persoons)gegevens door de politie bij de uitvoering van de politietaak en door de bijzondere opsporingsdiensten en buitengewone opsporingsambtenaren bij de uitvoering van de opsporingstaak vallen onder de Wpg. AAlle andere verwerkingen – bijvoorbeeld door boa’s in het kader van toezichtstaken – vallen onder de AVG. De opsporing van strafbare feiten door boa’s valt daarmee buiten het bereik van de AVG.

Een boa heeft de AVG-pet op als hij persoonsgegevens verwerkt in het kader van toezichtstaken. Hij heeft de Wpg-pet op als hij zich met opsporingstaken bezighoudt, bijvoorbeeld tijdens de verwerking van persoonsgegevens van aangehouden verdachten, bij een identiteitscontrole, beboeting of het opmaken van een proces-verbaal. In de praktijk kunnen zich echter situaties voordoen waarbij toezicht overgaat in opsporing, bijvoorbeeld als er tijdens een inspectie een strafbaar feit wordt geconstateerd. Opsporing (Wpg) en toezicht (AVG) gaan dan al snel door elkaar heenlopen, terwijl het scheiden van de gegevensverwerking van belang is om onrechtmatige gegevensverwerking te voorkomen.

Inhoud Wpg-audit

Organisaties die de AVG hebben geïmplementeerd, zullen voor een deel ook voldoen aan de eisen die uit de Wpg voortvloeien, zoals de meldplicht datalekken, het uitvoeren van DPIA’s en het aanstellen van een functionaris voor gegevensbescherming (FG). Voor de verwerking van politiegegevens stelt het Wpg-normenkader – net als de AVG – een aantal algemene criteria met betrekking tot noodzakelijkheid, rechtmatigheid, juistheid, proportionaliteit, subsidiariteit en volledigheid. Desalniettemin bestaan er wezenlijke verschillen tussen  de normenkaders van NOREA voor de AVG (Privacy Control Framework) en die voor de Wpg.

Uw organisatie dient op 31 Wpg-onderwerpen groen te scoren en daarnaast een vijftal technische en organisatorische maatregelen te treffen. In de Wpg-audit wordt inhoudelijk onderzoek gedaan naar:

  1. de wijze waarop het verwerken van politiegegevens is georganiseerd (opzet);
  2. de maatregelen en procedures die daarop van toepassing zijn en die in de borging van de wettelijke eisen voorzien (bestaan); en
  3. de werking van de getroffen maatregelen en procedures.

De Wpg verplicht jaarlijks een interne Wpg-audit te laten uitvoeren door een interne (of externe) auditor.[3] Er dient een auditplan te worden opgesteld, waarin wordt opgenomen welke onderwerpen elk jaar gecontroleerd worden, zodat – idealiter – na vier jaar alle 36 punten de revue zijn gepasseerd. De audit-rapportage dient aan het bestuur te worden aangeboden en de interne audit wordt betrokken bij de externe audit.[4]

De eerste externe Wpg-audit (in de Wpg privacy-audit genoemd) moet in 2021 zijn uitgevoerd door een geregistreerde IT Auditor (RE) en moet daarna elke vier jaar herhaald worden.[5] De externe auditor is onafhankelijk en dient ingeschreven te staan bij de Nederlandse Orde van Register EDP-Auditors (NOREA), dan wel bij een internationaal of Europees equivalent daarvan.[6] Worden er tekortkomingen in de externe audit aangetroffen, dan dient binnen één jaar een hercontrole te worden uitgevoerd waaruit blijkt dat herstel heeft plaatsgevonden.

Groen scoren op de Wpg-audit

De resultaten uit de externe audit en de eventuele hercontrole moeten gedeeld worden met de Autoriteit Persoonsgegevens (AP). Bij niet naleving wordt handhavend optreden van de toezichthouder geriskeerd.[7] De AP kan zonder veel inspanning nagaan welke organisaties boa’s in dienst hebben en niet aan hun verplichtingen hebben voldaan. Een last onder bestuursdwang komt voor eigen kosten, dus zorg dat uw organisatie vóór 2022 de externe Wpg-audit heeft uitgevoerd, ook als uw organisatie nog niet aan alle eisen uit de Wpg voldoet!

In grote lijnen kan dit stappenplan gebruikt worden:

  1. Selecteer een auditor en normenkader;
  2. Nulmeting (auditor);
  3. Implementatie (organisatie);
  4. Interne audit (auditor);
  5. Herstel restpunten (organisatie);
  6. Externe audit 2021 (externe auditor).

Nog niet iedere organisatie is even ver met het invoeren van de wettelijke vereisten. Afhankelijk van de organisatie zal dit verschillen in inspanning vergen. Feit blijft dat specifieke aandacht vereist is bij gegevensverwerkingen door boa’s. De professionals van Lex Digitalis hebben veel ervaring met naleving van de Wpg en ondersteunen u graag in dit traject.

Op 23 september 2021 verzorgen de professionals bij Lex Digitalis de tweede webinar in deze driedelige reeks: Gegevensbescherming in de praktijk van de boa. Hierin zullen de naleving van de Wpg en de AVG in de verschillende rollen van de boa worden besproken. Op 21 oktober 2021 volgt tot slot de webinar: Gegevensuitwisseling met de boa. Wil je hierbij zijn? Meld je dan aan via onze LinkedIn-pagina.

[1] Artikel 33 Wpg.

[2] Bevoegdheden uit het Wetboek van Strafvordering en de Wet op de economische delicten.

[3] Artikel 3 en 6 van de Regeling periodieke audit politiegegevens (Rpap).

[4] Artikel 2 Rpap.

[5] Artikel 33 Wpg, artikel 6:5 Besluit politiegegevens (Bpg).

[6] Artikel 5 Rpap.

[7] Artikel 33 lid 2 Wpg.