Organisaties met buitengewoon opsporingsambtenaren (boa’s) moeten zich aan de Wet politiegegevens (Wpg) houden. Deze regels zijn een stuk specifieker dan die uit de Algemene Verordening Gegevensverwerking (AVG). Hoe zorg je er als werkgever voor dat de regels worden nageleefd?
Sinds 2019 is het wettelijk kader voor gegevensverwerking door een boa veranderd. Hierover lees je alles in dit artikel. Al in 2021 moet de eerste privacy-audit worden uitgevoerd om na te gaan of de wet op de juiste manier wordt nageleefd. De resultaten van deze audit moet de boa-werkgever bekend maken bij de Autoriteit Persoonsgegevens. Dit artikel helpt zowel de boa als zijn werkgever op weg zodat zij weten wat te doen om zo snel mogelijk volgens de wet te werken.
Alle organisaties waar boa’s werkzaam zijn, zoals gemeenten, provinciën, omgevingsdiensten en de bijzondere opsporingsdiensten zoals NVWA, ILT en ISZW, dienen hun werkprocessen en systemen aan te passen conform de Wet politiegegevens. Veel van deze boa’s hebben naast hun opsporingsbevoegdheid ook een toezichtstaak. Deze twee petten leiden ertoe dat ze zowel onder de AVG als onder de Wpg werken: nog een tikje ingewikkelder dus. Onder bepaalde omstandigheden is het toegestaan om gegevens die in het kader van de toezichtstaak verwerkt zijn, verder te verwerken als opsporingsambtenaar en andersom. Gelukkig maar, want toezicht gaat vaak naadloos over in opsporing zodra er sprake blijkt te zijn van strafbare feiten.
Vaak wordt er door kleine organisaties van oudsher in Word gewerkt en op groepsschijven of soms zelfs op persoonlijke schijven. Dat brengt risico’s met zich mee op het gebied van beveiliging, toegang voor collega’s die geen boa zijn en het bewaken van de Wpg-termijnen. Ook het onderling delen vindt vaak niet goed plaats. Zo heeft een boa meestal geen toegang tot gegevens van een collega-opsporingsambtenaar die elders werkzaam is, ook al heeft hij deze gegevens wel nodig voor zijn werk. Het onderling delen van gegevens met andere boa’s die bijvoorbeeld hetzelfde bedrijf, voertuig of gebouw op het oog hebben, is niet mogelijk bij het gebruik van Word, netwerkschijven of een op zichzelf staand systeem. Zo is het lastig opsporen en trends ontdekken, bijvoorbeeld bij foutief bodem saneren of afvaltransport, maar ook is het zo onmogelijk om recidive te bepalen, bijvoorbeeld bij het dumpen van mest.
De werkgever van de boa moet ervoor zorgen dat de systemen waarin de boa’s werken Wpg-proof zijn. Hij kan niet meer toestaan dat er in Word en op groepsschijven wordt gewerkt. Het Boa Registratie Systeem (BRS) zorgt voor tijdige verwijdering en vernietiging, maakt het mogelijk om gegevens te delen met andere, elders werkzame boa’s en zorgt ervoor dat gegevens worden afgeschermd indien nodig. Daarnaast zitten er controles in, zodat bijvoorbeeld alleen mensen met een actieve opsporingsakte bij de informatie kunnen. Voor de boa’s die zich bezighouden met milieuwetgeving is er ruimte om volledige tikverbalen en mutaties bij te houden op een veilige plek. En met het landelijk recidiveregister weet een boa altijd wat er zich eerder heeft voorgedaan. Tot slot bestaat er naast het BRS ook een TRS: een registratiesysteem om alle bestuurlijke informatie in te verwerken en onderling te delen indien er bestuursrechtelijk wordt opgetreden.
Toen de politie uit zesentwintig korpsen bestond, waren er diverse informatiesystemen beschikbaar. Om een betere informatiepositie te hebben en de opsporing goed te kunnen uitvoeren, is er gecentraliseerd en nu is er één basisvoorziening informatie waar alle politiegegevens landelijk in gedeeld worden. Iedere politiemedewerker die gegevens nodig heeft voor zijn werk, heeft direct toegang tot die informatie. De omgevingsdiensten staan voor een vergelijkbare uitdaging: alleen door met elkaar in hetzelfde informatiesysteem te werken, is het mogelijk een goede informatiepositie op te bouwen en de opsporing goed te kunnen uitvoeren.
Artikel 15 van de Wet politiegegevens bepaalt dat het verplicht is om te delen met andere opsporingsambtenaren. Die noodzaak om onderling landelijk te delen blijkt niet alleen uit de Wpg, maar bijvoorbeeld ook uit de Richtlijn bestuurlijke strafbeschikkingsbevoegdheid milieu- en keurfeiten. Omgevingsdiensten en andere partners schrijven indien nodig een bestuurlijke strafbeschikking milieu uit. Dit instrument maakt het mogelijk dat een bestuursorgaan zelf een straf oplegt, zodat het openbaar ministerie ontlast wordt. Het te betalen bedrag kan oplopen tot tienduizend euro en wordt geïnd door het CJIB. Indien dit instrument echter al drie keer eerder is gebruikt in de afgelopen vijf jaar, dan kan het niet worden toegepast en moet de boa een tikverbaal opstellen en insturen naar het parket. Weten welke partner wanneer aan wie een strafbeschikking heeft opgelegd, is dus noodzakelijk voor een juiste strafrechtelijke afhandeling. Hier blijkt de noodzaak om landelijk met elkaar samen te werken en gegevens te delen.
In 2021 moeten werkgevers van boa’s voor het eerst een privacy-audit uitvoeren, gericht op de verwerking van politiegegevens. Een flink deel van de eisen uit de Wet politiegegevens en het Besluit politiegegevens buitengewoon opsporingsambtenaar (Bpgboa) wordt afgedekt binnen het eerder genoemde BRS. Denk hierbij aan de verschillende verwerkingsgronden (artikel 8, 9 en 13), autoriseren, de bewaartermijnen, logging, et cetera. Op deze manier worden de BRS-gebruikers gefaciliteerd bij het laten uitvoeren van de audit.
Om te zorgen dat er geen dubbel werk wordt gedaan laat NatuurNetwerk, de leverancier van BRS, op dit moment zelf een Wpg-audit uitvoeren. De auditor onderzoekt alle wettelijke eisen en richtlijnen en zal voor alle gebruikersorganisaties een Third Party Mededeling (TPM) afgeven waarbij voor elke Wpg-maatregel is aangegeven wat door BRS wordt afgedekt, en wat nog bij de gebruikersorganisatie moet worden geïmplementeerd (en ge-audit). Naar verwachting wordt 70% van de beheersingsmaatregelen afgedekt middels de TPM van NatuurNetwerk. Dat scheelt voor de gebruikersorganisaties een hoop werk en kosten! De auditor van de gebruikersorganisatie kan namelijk conform de NOREA-richtlijnen op deze TPM steunen, zonder hier zelf onderzoek naar te hoeven doen. De verwachting is dat de TMP begin juni 2021 wordt afgegeven.
Bent u werkzaam als boa, als leidinggevende van boa’s of als beleidsmedewerker? Volg dan de eendaagse cursus ‘Opsporing door buitengewoon opsporingsambtenaren: de Wet politiegegevens’. Deze cursus vindt plaats op 15 juni 2021. Ook als u als HR-of ICT-manager verantwoordelijk bent voor rechtmatige gegevensverwerkingen door de boa, bent u welkom op deze cursus.
