De Wet Politiegegevens (Wpg). Een privacy wet, evenals de AVG, maar dan nét wat anders. Ook de Wpg kent de rol van een Functionaris Gegevensbescherming (FG), maar deze verschilt op een aantal punten van de FG rol in de AVG. Ik kom in mijn werk geregeld misverstanden tegen over deze zogenaamde Wpg-FG. Hieronder bespreek ik daarom 6 zaken die je wilt weten over de Wpg-FG.
1) Als FG voor de AVG ben je óók verantwoordelijk voor de naleving van de Wpg
Stel, jouw organisatie verwerkt persoonsgegevens die onder de Wpg vallen. Bijvoorbeeld omdat jouw organisatie boa’s inzet die opsporingstaken uitvoeren (denk aan gemeentelijke handhaving, parkeercontroleurs, leerplichtambtenaren, boswachters en milieuambtenaren). Je bent dan vanuit de Wpg verplicht om een FG aan te stellen. Stel nu dat je al een FG hebt aangesteld voor verwerkingen van persoonsgegevens onder de AVG. Je hoeft in dat geval geen specifieke FG voor de Wpg aan te stellen, want de AVG-FG is namelijk ook verantwoordelijk voor verwerkingen van persoonsgegevens onder de Wpg.
Let op: de aangestelde FG moet wel deskundig zijn op het gebied van de wetgeving, dus AVG én Wpg. Mocht dit niet het geval zijn, dan kan ervoor gekozen worden om een extra Wpg-FG aan te stellen (let er daarbij op dat de oorspronkelijke FG-aanmelding moet worden aangevuld; je behoudt dan één FG-nummer voor beide FG’s).
2. De Wpg-FG moet elk jaar een verslag met bevindingen opstellen over de naleving van de Wpg en dit verslag delen met de verwerkingsverantwoordelijke
In de Wpg is deze eis strenger geformuleerd dan in de AVG. De Wpg-FG moet namelijk (volgens artikel 36 lid 4 Wpg) ieder jaar een schriftelijk verslag uitbrengen van zijn of haar bevindingen over de naleving van de Wpg. Onder de AVG is een dergelijk schriftelijk verslag niet verplicht, al zie je in de praktijk vaak wel dat de FG een jaarverslag oplevert.
3. De Wpg-FG kent geen ontslagbescherming, in tegenstelling tot de AVG-FG
Onder de AVG kent de FG ontslagbescherming, wat inhoudt dat de FG ‘niet ontslagen of gestraft wordt voor de uitvoering van zijn taken’ (artikel 38 AVG). De Wpg-FG geniet deze ontslagbescherming niet, aangezien hier in de Wpg niet over gesproken wordt.
Bovenstaande betekent overigens niet dat de AVG-FG helemaal niet ontslagen kan worden, want dit is wel mogelijk als hier andere redenen aan ten grondslag liggen dan het uitvoeren van zijn of haar taken als FG. Denk bijvoorbeeld aan gevallen als diefstal, intimidatie of soortgelijke (zware) misdragingen.
4. Ook de Wpg-FG heeft een adviesrol bij DPIA’s en ziet toe op de uitvoering ervan
Organisaties hebben in de AVG in bepaalde gevallen de plicht om een gegevensbeschermingseffectbeoordeling uit te voeren (in de volksmond: GEB, DPIA of PIA). Hiermee breng je als organisatie de privacyrisico’s van een geplande gegevensverwerking in kaart en bepaal je maatregelen om deze risico’s te verkleinen. De AVG-FG heeft hierin een adviesfunctie (artikel 39 AVG).
Bij de Wpg heb je al snel te maken met bijzondere (want in de richting van strafrechtelijke) persoonsgegevens. In dergelijke gevallen zal vrijwel altijd een DPIA uitgevoerd moeten worden. Ook de Wpg-FG heeft hierin volgens artikel 36 Wpg een adviesrol.
5. De Wpg- of AVG-FG voert niet zelf de interne Wpg-audit uit
Alle organisaties die Boa’s in dienst hebben, moeten verplicht eens in de vier jaar een externe Wpg-audit uit laten voeren. Naast de externe audit moeten deze organisaties ook jaarlijks een verplichte, interne Wpg-audit uitvoeren. Deze interne audit mag niet worden uitgevoerd door de AVG of Wpg-FG. De FG houdt namelijk toezicht op de naleving van de Wpg in zijn/haar organisatie. De FG houdt vanuit die taak ook toezicht op de naleving van de auditverplichting en de kwaliteit van de audits. Het zelf uitvoeren van audits zou daarmee strijdig zijn.
6. De Wpg-FG dient toezicht te houden op specifieke zaken
In de NOREA-handreiking voor de Wpg is door de toezichthouder verder gespecificeerd (in norm 31) waar de Wpg-FG precies toezicht op dient te houden. Dit kan fungeren als een handig houvast voor de Wpg-FG. Volgens de handreiking dient de FG toezicht te houden op:
- Het naleven van de Wpg;
- Het beleid van de verwerkingsverantwoordelijke met betrekking tot de bescherming van persoonsgegevens;
- De toewijzing van de autorisaties;
- De bewustmaking en opleiding van de boa’s en andere functionarissen die betrokken zijn bij de verwerking van politiegegevens;
- De audits;
- De uitvoering van de DPIA’sTot slot noemt de handreiking nog de verplichting van de FG om jaarlijks aan de verwerkingsverantwoordelijke te rapporteren over de bevindingen m.b.t. de Wpg (zie punt 2).
Wil je nóg meer weten over de FG(‘s) en alles wat daarmee te maken heeft? Neem dan gerust contact met mij op!