De Wpg: feit of fabel?

“De Wpg gaat over de verwerking van politiegegevens.”

✅ FEIT

De Wpg is van toepassing op persoonsgegevens die worden verwerkt in het kader van uitoefening van de politietaak. Deze persoonsgegevens noemen we politiegegevens.

Wanneer een overtreding plaatsvindt, registreert de opsporingsambtenaar de persoonsgegevens van de betrokkenen. Deze persoonsgegevens zijn voor de politie noodzakelijk voor de uitvoering van hun politietaak. Denk bijvoorbeeld aan:

• Contactgegevens (naam, adres, woonplaats, telefoonnummer en e-mailadres);
• Geboorteplaats en geboortedatum;
• Omschrijving van het strafbare feit;
• Burgerservicenummer (BSN);
• Identiteitsbewijs en het nummer van het identiteitsbewijs;
• Financiële gegevens (bijv. IBAN).

“De Wpg is alleen van toepassing op de politie.”

❌ FABEL

De Wpg geldt voor alle organisaties die politiegegevens verwerken. Dat zijn naast de Nationale politie o.a.:

• Rijksrecherche
• Koninklijke Marechaussee
• Bijzondere Opsporingsdiensten (zoals FIOD, ILT)
• Buitengewoon opsporingsambtenaren (boa’s) bij gemeenten, provincies, omgevingsdiensten en andere organisaties

In het Besluit politiegegevens (Bpg) is vastgelegd dat de werkgever van een boa wordt aangemerkt als de verwerkingsverantwoordelijke voor de politiegegevens die een boa verwerkt tijdens opsporingstaken. Dit betekent dat organisaties die boa’s in dienst hebben welke politiegegevens verwerken ook moeten voldoen aan de Wpg. Dit zijn bijvoorbeeld gemeenten, provincies en omgevingsdiensten.

Daarnaast is de Wpg ook van toepassing wanneer politiegegevens worden verstrekt aan andere instanties die deze gegevens nodig hebben voor de uitvoering van hun wettelijke taak. Denk bijvoorbeeld aan het Centraal Justitieel Incassobureau (CJIB), dat voor de afhandeling van boetes politiegegevens zoals NAW-gegevens, kenteken of overtreding nodig heeft. Ook bij een doorverwijzing naar HALT (op basis van de landelijke aanwijzing voor HALT-afdoeningen) is de Wpg van toepassing. Veel gemeenten werken in de praktijk samen met deze instanties. Ook in dat kader moeten de regels van de Wpg worden gevolgd.

“Het enige verschil tussen de interne en externe Wpg-audit is de frequentie.”

❌ FABEL

Het klopt dat de dat de interne audit jaarlijks plaatsvindt en de externe audit eens per vier jaar, maar er zijn meer verschillen:

• Reikwijdte: De interne audit richt zich op één of enkele onderdelen van de Wpg, terwijl de externe audit gaat over de volledige naleving van de Wpg.
• Uitvoerder: De interne audit wordt uitgevoerd door een interne auditor en de externe audit door een onafhankelijke, externe IT-auditor (RE).
• Doel: De interne audit is vooral bedoeld voor kwaliteitsbewaking en de externe audit is daarnaast ook voor wettelijke verantwoording aan de Autoriteit Persoonsgegevens (AP).
• Rapportage: De rapportage van de interne audit is vormvrij en wordt enkel intern gedeeld. Voor de externe rapportage wordt het NOREA-format gevolgd. Deze rapportage wordt tevens ingediend bij de AP.

“Bij tekortkomingen tijdens de externe audit ben ik verplicht een verbeterplan op te stellen.“

✅ FEIT

Bij tekortkomingen tijdens de externe audit moet inderdaad een verbeterplan worden opgesteld. In dit plan staat op welke wijze de tekortkomingen verbeterd worden. Het verbeterplan moet binnen drie maanden na de audit gereed zijn en bevat minimaal:

• Overzicht van alle tekortkomingen;
• Concreet geformuleerde, uitvoerbare maatregelen;
• Tijdsplanning voor implementatie (voor de heraudit);
• Toewijzing van verantwoordelijkheden en actiehouders per maatregel;
• Borging en opvolging volgens de PDCA-cyclus.

De heraudit toetst of de tekortkomingen aantoonbaar zijn verholpen.