In Nederland zijn ongeveer 23.000 buitengewoon opsporingsambtenaren (boa’s) werkzaam. Boa’s voeren taken uit in domeinen als openbare ruimte, milieu, welzijn en infra, onderwijs, openbaar vervoer, werk, inkomen en zorg en generieke opsporing. Boa’s werken vanuit hun functie en taken met zeer privacygevoelige gegevens, waaronder politiegegevens. Vanaf begin 2019 vallen deze gegevens onder het regime van de Wet politiegegevens (Wpg).

De Wpg schrijft voor dat twee jaar na inwerkingtreding van de wet en vervolgens eens in een periode van vier jaren de verwerkingsverantwoordelijke de uitvoering van de regels laat controleren door een privacy audit.

Begin november 2021 heeft de Autoriteit Persoonsgegevens (AP) aangegeven één jaar uitstel te verlenen voor het voldoen aan deze auditplicht. Dit betekent dat u uiterlijk in 2022 voor het eerst een externe privacy audit moet laten uitvoeren. De externe auditrapportage moet uiterlijk 31 december 2022 bij de AP worden ingeleverd.

Let hierbij wel op dat de termijn waar de IT-audit zich op dient te richten, alsnog de wettelijke termijn uit de Wpg betreft. Dit betekent globaal dat de IT-audit zich alsnog richt op de opzet, het bestaan en de werking over het kalenderjaar 2021 voor de ‘niet toezichtmaatregelen’.  

We kunnen ons voorstellen dat u naar aanleiding van een inventarisatie naar de Wpg binnen uw organisatie nog vragen hebt over hoe u het beste verder invulling kunt geven aan uw auditverplichting Wpg. Daarom brengen we u in deze blog op de hoogte over:

→ Wat is de Wpg?
→ Waarom is de Wpg voor mij relevant?
→ Wat kan ik zelf doen?
→Wat blijft er daarna nog over?

De privacywetgeving heeft de laatste jaren veel aandacht gehad, vooral door de ingang van de Algemene verordening gegevensbescherming (AVG) per 25 mei 2018. Tot de inwerkingtreding van de AVG verwerkten boa’s politiegegevens onder het regime van de Wet bescherming
persoonsgegevens (Wbp).

In de AVG (artikel 10) is opgenomen dat persoonsgegevens met betrekking tot strafrechtelijke veroordeling en strafbare feiten vrij vertaald alleen in registers mogen worden bijgehouden onder toezicht van de overheid van een lidstaat.

Om aan deze bepaling invulling te geven, is de Wet politiegegevens (Wpg) in 2019 aangepast en is het Besluit politiegegevens buitengewoon opsporingsambtenaar (Bpg boa) per 6 februari 2019 in werking getreden. Vanaf dat moment verwerken boa’s politiegegevens onder het regime van de Wpg.

Als er in uw organisatie boa’s werkzaam zijn, moet u voldoen aan de Wpg. In het ‘besluit boa’s’ bent u als werkgever van de boa aangewezen als verwerkingsverantwoordelijke. Hierdoor bent u verantwoordelijk voor het treffen van relevante beheersmaatregelen die u moet (laten) controleren.

Als werkgever van boa’s is de documentatieplicht erg belangrijk voor het aantoonbaar voldoen aan de Wpg. Deze documentatieplicht is uitgebreid en bevat onderwerpen als:

→ een Data protection impact assessment (DPIA);
→ vastlegging van Bevoegde Functionarissen;
→ logging, et cetera.

U moet inzicht verkrijgen in hoe deze en andere onderwerpen in uw organisatie geregeld zijn en tijd reserveren om vastlegging van ontbrekende onderwerpen uit te werken. Daarnaast moeten er interne en externe audits plaatsvinden.

U kunt zelf uw interne audit verzorgen. De interne audit moet, ter voorbereiding op de externe privacy audit, tenminste jaarlijks plaatsvinden. Met de verplichte eerste externe audit over 2021 betekent dit dat u het beste ook in 2021 een eerste jaarlijkse interne IT-audit moet uitvoeren. Lukt dit niet, dan is het raadzaam om dit zo snel mogelijk in 2022 uit te voeren.

De interne IT-audit richt zich op het op systematische wijze toetsen of aan de bepalingen van de Wpg op adequate wijze uitvoering is gegeven. Hiertoe beoordeelt u de opzet, het bestaan van maatregelen en procedures die in de borging van de wettelijke eisen moeten voorzien. Daarnaast beoordeelt u de werking van de getroffen maatregelen en procedures.

De interne audit resulteert in een auditrapportage die minimaal een aantal verplichte elementen bevat, waaronder de gevolgde werkwijze, resultaten, oordelen en aanbevelingen.

De Wpg schrijft voor dat twee jaar na inwerkingtreding van de wet en vervolgens eens in een periode van vier jaren de verwerkingsverantwoordelijke de uitvoering van de regels laat controleren door een privacy audit.

Dit betekent dat u uiterlijk in 2022 voor het eerst een externe privacy audit moet laten uitvoeren. Deze externe auditrapportage moet uiterlijk 31 december 2022 bij AP worden ingeleverd. Deze audit moet door een onafhankelijke externe IT-auditor uitgevoerd worden. De audit resulteert in een formele assurancerapportage onder NOREA Richtlijn 3000. Na afronding van de externe IT-audit bent u als verwerkingsverantwoordelijke verplicht om deze externe assurancerapportage aan de Autoriteit Persoonsgegevens (AP) toe te sturen. Hierbij is een aantal formele vormvereisten van belang.

Afier kan naast het verzorgen van de formele externe IT-audit u ook ondersteunen bij het zo snel mogelijk inzichtelijk maken van hoe uw organisatie ervoor staat met betrekking tot de vereisten uit de Wpg. Ons team bestaat uit IT-auditors die een interne audit als nulmeting kunnen uitvoeren en privacy officers die met u de juridische vereisten uit de Wpg vertalen naar concrete acties en oplossingen voor uw organisatie.

Wilt u met ons van gedachten wisselen over dit onderwerp en hoe we u kunnen helpen? Neem dan contact met ons op.