De Wet Politiegegevens (Wpg) bestaat al langere tijd, maar staat recent weer in het middelpunt van de belangstelling. Waarom? Omdat iedere organisatie die bijzondere opsporingsambtenaren (Boa’s) in dienst heeft of inhuurt, voor het einde van dit jaar met een audit moet aantonen dat zij zich houdt aan de Wpg. Boa’s werken veelal bij gemeentes, waterschappen en inspectieorganisaties. Maar de Wpg, da’s toch ruwweg de AVG, de Algemene Verordening Gegevensbescherming?
Nou … nee. Ik zet even wat kenmerkende verschillen op een rij.
1. De Wpg kent veel meer specifieke regels dan de AVG. Er zijn duidelijkere kaders voor de verwerkingsgrondslagen en de verwerkings- en bewaartermijnen. Daarnaast kent de Wpg een gesloten verstrekkingengregime, wat betekent dat in de Wpg staat aan wie de Boa gegevens mag verstrekken (en aan wie niet). Bij de AVG is er meer vrijheid om de regels te interpreteren en die zelf in te vullen.
2. De grondslagen voor de verwerking van persoonsgegevens onder de Wpg zijn totaal anders opgezet dan in de AVG. Grondslagen als vitaal belang, toestemming en overeenkomst bestaan niet in de Wpg. De Wpg deelt de grondslagen in naar opsporingswerkzaamheden. Boa’s mogen de volgende grondslagen gebruiken: ‘artikel 8’ (dagelijkse politietaak), ‘artikel 9’ (handhaving van de rechtsorde in een bepaald geval) en ‘artikel 13’ (ondersteunende taken).
3. Verwijderen van politiegegevens onder de Wpg is anders. De Wpg spreekt over ‘verwijderen’ als zij gegevens nog even bewaart, maar minder toegankelijk maakt en over ‘vernietigen’ als gegevens permanent worden verwijderd.
4. De Wpg kent hele duidelijke verwerkings- en bewaartermijnen. Deze hangen samen met de grondslagen. Politiegegevens moeten na afronding van opsporingsactiviteiten binnen een vaste periode worden vernietigd. Dat scheelt een boel onduidelijkheid.
5. Boetes. Onder beide privacywetten mag de AP bestuurlijke (geld)boetes opleggen. Voor de AVG zijn deze boetes en bedragen in de AVG zelf beschreven. Voor de Wpg is de hoogte van boetes gekoppeld aan artikelen uit het Wetboek van Strafrecht.
6. Kansen voor Privacy by Design. De Wpg kent veel strakkere categorieën voor gegevens, bewaartermijnen en verstrekkingen. Dit biedt kansen om deze regels in ondersteunende systemen ook technisch af te dwingen.
7. De Wpg kent meerdere verplichte privacy-rollen. In de AVG is alleen de rol van de FG beschreven. De Wpg beschrijft ook de rol van de privacyofficer en die van de ‘bevoegd functionaris’. Deze laatste heeft een belangrijke rol in het begeleiden van artikel 9 verwerkingen, zoals het vastleggen van het doel van de verwerking, het bepalen van toegang en het verstrekken van politiegegevens.
8. Wpg = FGx2. Dit is geen hogere wiskunde, maar wel een opgave voor de FG: ook voor het interne toezicht op de Wpg moet een FG worden aangewezen. Moet de AVG FG dit dan maar doen? Dat kan, maar hoeft niet. Je kan deze FG-schappen ook scheiden. De taken van de Wpg FG lijken wel op de taken van de AVG FG, alhoewel voor de Wpg FG een jaarlijkse rapportageverplichting geldt. En oh ja: de Wpg FG kent geen ontslagbescherming, zoals de AVG FG dit wel kent.
9. AP toezicht en auditverplichtingen. De Autoriteit Persoonsgegevens is de toezichthouder voor de AVG en ook de Wpg. De Wpg legt een (jaarlijkse) auditverplichting op aan de verwerkingsverantwoordelijke, de AVG niet. De interne audits mogen een deel van de Wpg verwerkingen belichten, de externe audits moeten de volledige situatie onderzoeken. De externe audit is een officieel assurance-onderzoek en de rapportage ervan moet naar de AP worden gestuurd.
De externe Wpg audit is voor het eerst in 2021 verplicht en zorgt misschien wel voor de meest urgente hoofdbrekens. Dit onderzoek moet worden uitgevoerd door een register IT Auditor (RE). Het toetsingskader is openbaar en afgestemd met de AP.
(Download de Handreiking Privacy audit Wpg voor boa’s hier.)
10. Niet alles is volledig anders: zo kent de Wpg ook een verplichting tot het uitvoeren van DPIA’s en is een datalek protocol vereist. De Wpg kent ook rechten van betrokkenen, maar de uitvoering van rechten op inzage, correctie en verwijdering zijn natuurlijk net even iets anders, want bij de Wpg gaat het natuurlijk ook over opsporingsgegevens.
Is dit alles wat je moet weten? Natuurlijk is er veel meer over de Wpg te vertellen. Maar dit lijstje is vast genoeg om je er van te overtuigen om je verder in de Wpg te gaan verdiepen…