Wet politiegegevens audit ook van toepassing op gemeenten
28 juni 2023
Heeft jouw gemeente al een WPG audit uitgevoerd?
Vicevoorzitter van de AP, Monique Verdier: ‘’Werkgevers, waaronder gemeenten, zijn nu al geruime tijd verantwoordelijk voor het toezicht op het werk van hun boa’s. Het lage aantal opgeleverde Wpg-auditrapporten baart me zorgen.”
Een Wpg-audit? Waarom?
Tot mei 2018 verwerkte buitengewoon opsporingsambtenaren (boa’s) alle persoonsgegevens onder toepassing van de Wet bescherming persoonsgegevens (Wbp). De verwerkingen van boa’s in het kader van hun opsporingstaken vallen sinds 2018 onder de Wet Politiegegevens (de Wpg). De Wpg stelt eisen aan de verwerking van politiegegevens door boa’s. Politiegegevens zijn gegevens over strafbare feiten die een boa verwerkt in het kader van zijn opsporingstaken. Om te bepalen of boa’s en de gemeenten waarvoor zij werkzaam zijn aan deze eisen voldoen, dienen er interne en externe audits uitgevoerd te worden. Zowel voor gegevens die vallen onder de AVG als onder de Wpg zou een dergelijke auditplicht van toepassing worden bij de invoering van deze wetten. In het kader van de Wpg is de wetgever meegegaan met het implementeren van die certificeringsverplichting, alleen die certificeringsverplichting van de AVG is er nooit gekomen.
De Wpg-audit kijkt naar hoe het verwerken van politiegegevens is geregeld. Voor deze gegevens geldt nu een Europese Richtlijn voor gegevensverwerking van politiegegevens, welke door elke lidstaat vertaald moest worden in de eigen nationale wetgeving. Daarom is in Nederland de Wet politiegegevens herschreven, waardoor deze wetgeving nu ook voor boa’s geldt. Deze wet is dus ook van toepassing op elke gemeente die boa’s in dienst heeft of inhuurt.
De Wpg is, anders dan haar naam doet vermoeden, dus niet enkel van toepassing op de politie. De meeste boa’s combineren opsporingstaken met toezichtstaken, waardoor hun verwerkingen dan ook vallen onder de AVG en de Wpg. Eerst vielen alle persoonsgegevens die boa’s verwerkten onder de Wet bescherming persoonsgegevens (de oude privacywetgeving). Tegenwoordig is dit opgesplitst en geldt voor een deel van de verwerkingen door boa’s de AVG en voor de gegevens die boa’s verwerken in het kader van hun opsporingstaken de Wpg. Later in deze blog wordt toegelicht wanneer een verwerking onder de AVG valt en wanneer een verwerking onder de Wpg valt.
Verwerkingsverantwoordelijke en verwerker: wie zijn dat?
Het besluit politiegegevens bepaalt dat de verwerkingsverantwoordelijke voor de gegevens die boa’s verwerken de werkgever van de boa is. Het begrip verwerkingsverantwoordelijke is een begrip dat we ook kennen uit de AVG. De verwerkingsverantwoordelijke is degene, zoals de naam al doet vermoeden, die verantwoordelijk is voor het ‘hoe en waarom’ de gegevens worden verwerkt. Dit zijn in het geval van boa’s de gemeenten. Omdat je als gemeente verwerkingsverantwoordelijke bent volgens de Wpg, ben je ook belast met verplichtingen zoals het uitvoeren van de Wpg-audits. De boa is verwerker onder de Wpg, hij handelt namelijk in opdracht van de verwerkingsverantwoordelijke.
Onderscheid tussen de Wpg en de AVG
Hoewel zowel de AVG als de Wpg regels bevatten voor de verwerking van persoonsgegevens, verschillen deze wetten ook op een aantal punten. Zo heeft de Wpg specifieke regels voor de verstrekking van politiegegevens aan andere organisaties, terwijl de AVG algemene regels bevat over gegevensverwerking. Daarnaast kent de Wpg specifieke regels voor de bewaartermijnen van politiegegevens, terwijl onder de AVG per gegeven bepaald dient te worden hoelang deze bewaard mag worden. De uitgangspunten voor gegevensbescherming van de AVG en Wpg zijn nagenoeg hetzelfde. Een belangrijk onderscheid tussen de AVG en Wpg is dat de AVG meerdere grondslagen voor gegevensverwerking kent, de Wpg kent alleen de wet als juridische grondslag.
Wanneer is de AVG en wanneer is de Wpg van toepassing?
Het kan soms onduidelijk zijn, maar het onderscheid heeft betrekking op de taak die de boa uitvoert. Persoonsgegevens die boa’s verwerken, vallen afhankelijk van de verwerking onder de Wpg en de AVG. Een verwerking is elke handeling met een politie-of persoonsgegeven. Dus bijvoorbeeld opslaan, maar ook inzien en wijzigen. Voor een boa gelden er dus twee wetten die betrekking hebben op de bescherming van persoonsgegevens om rekening mee te houden. Als er sprake is van een opsporingstaak dan is de Wpg van toepassing en indien er sprake is van een toezichtstaak dan is de AVG van toepassing. Gegevens die bij het verzamelen onder de AVG vielen, kunnen weer onder de Wpg vallen als een boa bijvoorbeeld notities uit haar toezichthoudende functie omzet in een proces-verbaal.
In de praktijk betekent dit dat organisaties die persoonsgegevens verwerken zich moeten houden aan de regels van de AVG, terwijl organisaties die boa’s in dienst hebben zich naast de AVG ook aan de specifieke regels van de Wpg moet houden wanneer zij politiegegevens verwerken en delen.
Het maken van dit onderscheid zal in toenemende mate relevant zijn, aangezien boa’s vanuit veel gemeentes steeds vaker belast worden met opsporingstaken, zo blijkt uit de ‘’wijziging van de Gemeentewet in verband met de versteviging van de regierol van de gemeente ten aanzien van het lokaal veiligheidsbeleid.’’
In onderstaande tabel zie je voorbeelden wanneer de AVG en wanneer de Wpg van toepassing is.
Audits
Alle gemeenten die boa’s in dienst hebben of inhuren zijn verplicht Wpg-audits uit te voeren. Er dient minimaal eenmaal per jaar een interne audit uitgevoerd te worden en eens in de vier jaar een externe audit. Hierbij wordt gekeken of de verwerking van politiegegevens binnen jouw gemeente of afdeling voldoet aan de eisen van de Wpg en of er verbeteringen mogelijk zijn. Het doel van deze audit is om de kwaliteit van de verwerking van politiegegevens te waarborgen en waar nodig te verbeteren. De resultaten van de externe audit dienen in een audit-rapport gedeeld te worden met de Autoriteit Persoonsgegevens (AP). Alvorens je een audit gaat uitvoeren is het van belang om een auditplan op te stellen. Wanneer je met andere gemeenten samengewerkt, bijvoorbeeld in het geval van boa’s die je van een andere gemeente inhuurt, kan het lonen samen met die gemeente te kijken naar de aanpak van de Wpg-audit.
Maar wist je ook dat deze audits niet alleen maar een verplicht nummertje zijn? Ze bieden namelijk ook kansen voor verbetering en innovatie. Door kritisch naar het eigen handelen te kijken, kun je als gemeente nog beter voldoen aan de eisen van de wet en de privacy rechten van de burger waarborgen. Het draait dus niet enkel om controle.
Naast de externe audit dient er ook jaarlijks een interne audit uitgevoerd te worden, er dienen dus twee audits te worden uitgevoerd. De audit bestaat uit een uitgebreide IT-audit, waarvan een privacy audit onderdeel is. Omdat er sprake is van een jaarlijks, dan wel vierjaarlijks, terugkomende Wpg-audit dient deze een vaste plek te krijgen binnen jouw organisatie.
Interne audit
Een interne audit geeft vanuit de wet weinig bindende instructies, dus de wijze waarop deze audit uitgevoerd dient te worden geeft veel vrijheid. De interne audit is verplicht om uit te voeren ter voorbereiding op de externe audit. Deze audit dient jaarlijks plaats te vinden. Het is belangrijk dat de auditor een onafhankelijke houding heeft ten opzichte van degene die geaudit wordt. Deze audit wordt uitgevoerd doormiddel van een IT-audit. Er dient geaudit te worden op het bestaan van maatregelen en procedures en de werking van deze getroffen maatregelen en procedures. Belangrijkste voor aanvang van de audit is het bepalen van de scope, deze hangt af van de domeinen waarbinnen jouw organisatie boa’s werkzaam zijn. Elke gemeente vult zijn set gemeentelijke taken namelijk op zijn eigen manier in.
De resultaten van deze interne audit dien je op te nemen in een auditrapportage. Deze auditrapportage bevat minimaal:
- Beschrijving van de bij het uitvoeren van de audit gevolgde werkwijze;
- Beschrijving van de resultaten van de interne audit;
- Het oordeel en de aanbeveling van de auditor.
Hierbij is het belangrijk vast te stellen wie de verantwoordelijkheid gaat dragen voor de eventuele verbeterpunten.
Externe audit
Het doel van de externe audit is om onafhankelijk te toetsen of de organisatie voldoet aan de gestelde eisen en om te komen tot verbeteringen waar nodig. De externe audit dient eens in de vier jaar plaats te vinden door een externe auditor die is ingeschreven bij de Nederlandse orde van Register EDP-auditors, of bij een Europees of nationale gelijke daarvan. Deze auditor dient onafhankelijk te zijn van de organisatie die geaudit wordt. De resultaten van de interne audit dienen betrokken te worden bij de externe audit.
De externe audit vindt ook plaats door middel van een IT-audit. De rapportage van de externe audit is niet vormvrij, zo dienen uit deze rapportage de resultaten van de audit duidelijk te worden en dient de gevolgde aanpak vermeld te worden.
In onderstaande tabel zijn de overeenkomsten en verschillen tussen de interne en externe audit te zien.
Wpg verbeterplan
Het Wpg verbeterplan wordt opgesteld na de uitgevoerde Wpg-audit. Hierin leg je vast welke maatregelen je de komende periode gaat treffen om (beter) aan de Wpg te voldoen. Ook worden de tekortkomingen in kaart gebracht en wordt er bepaald hoe deze de kop in gedrukt kunnen worden. Aan te bevelen is hierbij ook richtlijnen vast te stellen wanneer deze verbeteringen doorgevoerd dienen te zijn. Een verbeterplan dient te zien op de borging van gegevensbescherming en informatiebeveiliging.
Als uit de audit blijkt dat er verbeterpunten zijn, wordt er een verbeterplan opgesteld. Dit verbeterplan beschrijft welke acties er moeten worden genomen om de geconstateerde verbeterpunten aan te pakken. Het is de verantwoordelijkheid van de betreffende gemeente of afdeling om dit verbeterplan uit te voeren en de verbeteringen te implementeren.
Het verbeterplan kan bijvoorbeeld bestaan uit het aanpassen van procedures, het verbeteren van de beveiliging van systemen of het trainen van medewerkers op het gebied van gegevensbescherming. Het is belangrijk dat het verbeterplan voldoende concreet is en dat er duidelijke deadlines worden gesteld om te zorgen dat de verbeteringen daadwerkelijk worden doorgevoerd. Officieel moet er binnen drie maanden een verbeterrapport komen. Voor de organisatie zelf is het sowieso prettig om een verbeterplan te hebben, zo kan je kijken hoe eventuele zwakke punten verbeterd kunnen worden.
Kortom, interne en externe audits spelen een belangrijke rol bij het waarborgen van de kwaliteit van de verwerking van politiegegevens en het naleven van de Wpg. Het verbeterplan dat hieruit voortvloeit, zorgt ervoor dat er concrete acties worden genomen om de geconstateerde verbeterpunten aan te pakken en de verwerking van politiegegevens te verbeteren.
Kan de FG de Wpg-audit uitvoeren?
De Autoriteit Persoonsgegevens (AP) meldt dat dit niet mag, de functionaris gegevensbescherming (FG) heeft namelijk als taak toezicht te houden op de naleving van de Wet Politiegegevens (Wpg) in jouw organisatie. Dit is inclusief de audits. Daarom kan de FG niet zelf ook de audits uitvoeren.
Heeft jouw organisatie nog geen externe Wpg-audit laten uitvoeren en de rapportage toegestuurd aan de Autoriteit Persoonsgegevens (AP)? Dan moet je snel aan de slag. Het AP heeft alle organisaties die nog niet voldaan hebben aan de Wpg -audit een brief gestuurd.