Vanaf maart 2025 zijn ruim 600 boa-werkgevers verplicht om een externe audit uit te voeren en de resultaten te verstrekken aan de Autoriteit Persoonsgegevens (AP). Deze verplichting volgt uit de Wet politiegegevens (Wpg). De AP houdt hier toezicht op. Het gaat om boa-werkgevers als gemeenten, vervoersbedrijven of natuurbeheerders. Boa-werkgevers hebben tot maart 2026 de tijd om de resultaten van de vierjaarlijkse externe audit door te geven.
Registraties door boa’s (buitengewoon opsporingsambtenaren) kunnen diep ingrijpen in iemands levenssfeer. Boa’s kunnen als opsporingsambtenaar een proces-verbaal opmaken, waaraan in het strafrecht speciale bewijskracht toekomt. Deze informatie kan onder andere voor politietaken gebruikt worden. Een registratie door een boa kan jarenlange impact hebben op een persoon. De gegevens kunnen worden opgenomen in een persoonsdossier of worden gebruikt voor een aanvraag van een Verklaring Omtrent het Gedrag (VOG). Onjuiste informatie of onzorgvuldige omgang hiermee moet voorkomen worden.
Audits zijn een belangrijk instrument voor het interne toezicht binnen een organisatie. Door de audit goed en op tijd uit te voeren, helpt dit boa-werkgevers om op de juiste manier persoonsgegevens te verwerken. De AP stimuleert het interne toezicht door het toezien op de auditplicht.
De AP benadrukt dat het (tijdig) aanleveren van een rapport een verplicht onderdeel is van de auditcyclus van de Wpg. Het uitvoeren van audits, zowel jaarlijks intern als eens per vier jaar extern, biedt de boa-werkgever essentiële informatie om de interne organisatie van persoonsgegevens te verbeteren. Bij een onvoldoende resultaat schrijft de wet voor dat een organisatie een verbeterplan opstelt en op deze punten laat herbeoordelen binnen een jaar. Door deze stukken in te dienen kan de AP effectief toezicht houden, onder meer door guidance te geven en knelpunten te signaleren.
Organisaties zijn zelf verantwoordelijk om na te gaan of zij onder de auditplicht vallen. Op de website van de AP vindt u antwoorden op veelgestelde vragen.
Om tijdnood en onjuiste of onvolledige rapporten te voorkomen, wijst de AP nogmaals op de aanleverplicht en de naderende einddatum. De AP moet uw rapportage tussen 1 maart 2025 en 1 maart 2026 hebben ontvangen. De AP verleent geen uitstel. Voor de auditcyclus gaat de AP uit van het gedetailleerde overzicht van de auditcyclus in de Handreiking Privacy audit Wpg voor boa’s van NOREA.
Voldoet u niet aan de aanleverplicht? Dan kan dat aanleiding zijn voor de AP om handhavende bevoegdheden in te zetten.
Wilt u weten in welke gevallen een audit verplicht is en welke eisen eraan zijn verbonden? Bekijk de antwoorden op veelgestelde vragen op de website van de AP. De AP is niet beschikbaar om met afzonderlijke partijen te overleggen of uw organisatie onder de auditplicht valt. Raadpleeg bij twijfel een vergelijkbare organisatie, branchevereniging of (externe) adviseur.
