Auditplicht: werk aan de winkel voor gemeenten met boa’s De verwerking van persoonsgegevens door buitengewoon opsporings ambtenaren (boa’s) valt gedeeltelijk onder de AVG en gedeeltelijk onder de Wet politiegegevens (Wpg). Maar wat betekent dit dan voor gemeenten die boa’s in dienst hebben? Alex Commandeur en Julius Duijts, managing consultants bij BMC, geven tekst en uitleg. Sinds 25 mei 2018 valt de verwerking van persoonsgegevens in het kader van opsporing door boa’s niet meer onder de AVG, maar onder de Wpg. ‘Er is nu één wettelijk regime voor de verwerking van persoonsgegevens in de strafrechtketen’, legt Alex Commandeur uit. Zijn collega Julius Duijts vult aan: ‘Voor het toezicht door boa’s valt de verwerking van persoonsgegevens nog steeds onder de AVG. Maar hebben we het over de verwerking van persoonsgegevens door boa’s in het kader van hun opsporingstaak, dan gaat het om de Wpg. Best ingewikkeld dus.’ Wpg-verplichtingen Commandeur en Duijts geven aan dat de werkgever van de boa’s verantwoordelijk is en blijft voor de verwerking van persoonsgegevens. ‘Voor gemeenten is dit het college van b en w. Zij zijn dus verantwoordelijk voor de gegevensverwerking en het voldoen aan de verplichtingen uit de Wpg.’ Maar wat zijn deze verplichtingen dan? Commandeur en Duijts geven een overzicht van de belangrijkste. ‘Ten eerste’, zo vertelt Duijts, ‘moet de verwerking van persoonsgegevens in het kader van opsporing duidelijk gescheiden zijn van de verwerking van persoonsgegevens in het kader van toezicht.’ Commandeur vult aan: ‘Dit betekent ook dat er onderscheid moet worden gemaakt in autorisaties. Alleen als er een functionele noodzaak is om toegang te krijgen tot opsporingsgegevens, kan een autorisatie worden verleend.’ Verwijderingstermijnen Voor de persoonsgegevens die boa’s verwerken in het kader van opsporing gelden ook duidelijke verwijderingstermijnen. Commandeur: ‘In principe zijn politiegegevens voor de uitvoering van de dagelijkse politietaak gedurende een jaar breed beschikbaar. Daarna alleen via gericht zoeken. Na vijf jaar moeten de gegevens worden verwijderd.’ De Wpg verplicht de verwerkingsverantwoordelijke ook om elke vier jaar een externe IT-audit uit te laten voeren. ‘Deze audit moet op systematische wijze toetsen of de bepalingen van de wet op een adequate manier zijn uitgevoerd’, vertelt Commandeur. ‘Het gaat kortom om een volledige toets op de Wpg. De uitkomsten van de externe IT-audit moeten worden gerapporteerd aan de toezichthouder, de Autoriteit Persoonsgegevens (AP).’ Werk aan de winkel Commandeur en Duijts waarschuwen gemeenten dat zij in 2021 hun eerste externe IT-audit moeten uitvoeren. Daarnaast moeten ze elk jaar – dus ook in 2021 – een interne IT-audit doen. Duijts: ‘Een interne audit is een uitgelezen kans om te kijken waar gemeenten staan met de toepassing van de Wpg en welke verbeteringen er het afgelopen jaar zijn doorgevoerd. De uitkomsten moeten worden meegenomen in de externe audit. Er moet dus eerst een interne audit plaatsvinden, gevolgd door de externe audit.’ Er is kortom werk aan de winkel voor gemeenten die boa’s in dienst hebben. Commandeur: ‘Niet alleen moeten ze een interne audit uitvoeren voorafgaand aan de externe audit. Ook moeten gemeenten aan de slag met de implementatie van de Wpg, voor zover zij deze nog niet hebben afgerond.’ Meer weten? Veel gemeenten beschikken niet over de tijd of de kennis voor het implementeren van de Wpg of het uitvoeren van de verplichte IT-audits. BMC kan u hierbij helpen. Neem voor meer informatie contact op met onze adviseurs of download de informatiebrochure op www.bmc.nl/auditplicht. Alex Commandeur managing consultant alex.commandeur@bmc.nl 06 - 82 12 03 17 Julius Duijts managing consultant julius.duijts@bmc.nl 06 - 29 52 55 31 Partners in verbetering
15 Online Touch Home