Inrichting en borging Wpg
De verwerking van persoonsgegevens door buitengewoon opsporingsambtenaren (boa’s) valt niet onder de Algemene Verordening Gegevensbescherming (AVG), maar in plaats daarvan onder de Wet politiegegevens (Wpg). De nieuwe Wpg is per 1 mei 2019 ingegaan, net als het bijbehorende Besluit politiegegevens (Bpg). Voor boa’s is daarnaast het Besluit Politiegegevens boa’s verschenen.
Door deze ontwikkelingen vallen de werkzaamheden van boa’s, politie en bijzondere opsporingsdiensten nu onder de Wpg en is uitwisseling tussen deze partijen gemakkelijker geworden. Voor verstrekkingen van gegevens buiten dit domein is een specifieke grondslag nodig. Dit betekent dat boa’s met een bestuursrechtelijke toezichtstaak zowel met de Avg als de Wpg te maken hebben.
Onze adviseurs helpen bij de inrichting en borging van de Wpg, zodat u voldoet aan de Wpg en audits met vertrouwen tegemoet kunt zien. BMC heeft daarvoor sjablonen ontwikkeld die een vlotte en pragmatische implementatie mogelijk maken. Wij kunnen de verplichte Wpg-audits ook voor u uitvoeren. Benieuwd wat BMC voor u kan betekenen? Lees dan verder of neem contact met ons op.
Op deze pagina
Aandachtsgebieden bij inrichting en borging Wpg
Wpg audit
Nieuwe en gewijzigde verwerkingen, waaronder de DPIA
Inventarisatie politiegegevens
Meldplicht datalekken
Verwerkersovereenkomst
Gegevensbeheer, waaronder bewaartermijnen
Logging
Autorisatie
Onze dienstverlening op het gebied van inrichting en borging AVG
Praktijkcases en oplossingen
Adviseurs inrichting en borging AVG
Actueel
Toon allesAandachtsgebieden bij inrichting en borging Wpg
Nu de nieuwe Wpg is ingevoerd, blijft de werkgever van de boa verantwoordelijk voor de verwerking van persoonsgegevens volgens de Bpg boa. Verder is in de EU-richtlijn 2018/680, waarop de Wpg is gebaseerd, aansluiting gezocht bij de AVG. Dat betekent dat organisaties die de AVG hebben geïmplementeerd voor een deel ook voldoen aan de eisen van de Wpg. Voorbeelden hiervan zijn de meldplicht datalekken, het uitvoeren van DPIA’s en het aanstellen van een Functionaris Gegevensbescherming (FG). Er zijn echter ook een aantal extra aspecten, zoals:
- scheiding van gegevens die onder de Avg of de Wpg vallen;
- documentatie van onder andere verstrekkingen en doelen van onderzoeken;
- logging van het gebruik van informatiesystemen;
- interne en externe privacy audits.
Bij de volgende essentiële aandachtsgebieden ondersteunt BMC uw organisatie bij de inrichting en borging van de Wpg:
Wpg audit
Volgens de Wpg moeten decentrale overheden elk jaar een interne en iedere vier jaar een externe IT-audit laten uitvoeren. Deze audit laat zien of de Wpg goed wordt uitgevoerd. De uitkomsten van de externe audit worden gerapporteerd aan de AP. BMC kan de interne audits voor u uitvoeren. Voor de externe audits werken we samen met een partner.
Nieuwe en gewijzigde verwerkingen, waaronder de DPIA
Voor de verwerking van politiegegevens met een hoog risico is een Data Protection Impact Assessment (DPIA) vereist. Dit is een grondige analyse van rechtmatigheid en risico’s, waaruit aanvullende (beveiligings)maatregelen kunnen voortvloeien.
De DPIA is bedoeld om vooraf risico’s van een bepaalde gegevensverwerking te kunnen inschatten en tijdig passende maatregelen te nemen om die risico’s te beperken. De DPIA wordt ook wel Privacy Impact Assessment (PIA) genoemd. BMC helpt organisaties bij het uitvoeren van de DPIA.
Meer over de DPIA
Inventarisatie politiegegevens
Om politiegegevens te beschermen en te zorgen dat deze op de juiste manier gebruikt worden, is overzicht nodig. Dit overzicht wordt gecreëerd met een verwerkingenregister. Een verwerkingenregister is verplicht vanuit de Avg en de Wpg. BMC helpt bij het inventariseren van verwerkingen van persoonsgegevens en het opstellen of verifiëren van een verwerkingenregister.
Meer over het verwerkingenregister
Meldplicht datalekken
Er is sprake van een datalek als er bij een beveiligingsincident politiegegevens verloren zijn gegaan of als onrechtmatige verwerking van de persoonsgegevens niet uitgesloten is.
Een datalek moet zowel volgens de AVG als de Wpg zo snel mogelijk, in ieder geval binnen 72 uur, worden gemeld aan de autoriteit persoonsgegevens, tenzij er waarschijnlijk geen risico voor de privacy van betrokkenen is. BMC helpt organisaties bij het melden en afhandelen van datalekken.
Verwerkersovereenkomst
Wanneer een organisatie de verwerking van persoonsgegevens aan een leverancier toevertrouwd, is het belangrijk dat die daar net zo zorgvuldig en integer mee om gaat als de organisatie zelf.
Om dit juridisch te borgen is het afsluiten van verwerkersovereenkomsten verplicht. In zo’n verwerkersovereenkomst moeten afspraken worden gemaakt over bijvoorbeeld het informeren van betrokken, de rechten van betrokkenen en over de verwerking van gegevens buiten Nederland, de EU of de EER. BMC ondersteunt organisaties in het onderhandelen, voorstellen en afsluiten van verwerkersovereenkomsten.
Meer over de verwerkersovereenkomst
Bewaartermijnen
Zorgvuldig omgaan met politiegegevens betekent ook deze niet langer te bewaren dan nodig. Dit voorkomt dat verouderde of foutieve gegevens worden gebruikt. Daarnaast zijn de gevolgen van een datalek kleiner wanneer deze gegevens zijn gewist. Bij het bepalen van bewaartermijnen wordt soms uitgegaan van wettelijke vereisten. BMC helpt organisaties bij zorgvuldig gegevensbeheer.
Logging
Met logging wordt het mogelijk om inbreuken van buiten en ongeoorloofd gebruik van informatie binnen de organisatie vast te stellen. In computersystemen worden gebeurtenissen die belangrijk zijn voor de beveiliging of voor de analyse van verstoringen in een logbestand vastgelegd. Om inbreuken en ongeoorloofd gebruik van informatie vast te kunnen stellen is niet alleen het registreren van loggegevens nodig, maar juist ook de analyse daarvan. BMC heeft modelbeleid voor logging, ervaring met inventariseren van bronnen van loginformatie en het analyses van loggegevens, waarbij de privacy van medewerkers zo veel mogelijk wordt ontzien. Lees verder om te zien hoe we u ondersteunen.
Autorisatie
Het goed inregelen van de toegang tot gegevens is een van de basismaatregelen van informatiebeveiliging. Het zorgt ervoor dat medewerkers toegang hebben tot informatie die nodig is voor hun werk en dat oud-medewerkers die toegang niet meer hebben. BMC beschikt over modelbeleid en ruime ervaring met het opstellen van toegangsbeleid, waarin de relevante beheersmaatregelen uit de BIO, NEN7510 of ISO27001 zijn verwerkt, toegangsprocedures, checklists voor applicaties en autorisatiematrices. Lees verder om te zien hoe we u ondersteunen.
Lees meer over autorisatie
Onze dienstverlening voor inrichting en borging Wpg
Advies
BMC adviseert en ondersteunt uw organisatie bij de implementatie van de Wpg. Zo hebben we een instrument ontwikkeld waarmee u eenvoudig ziet welke onderdelen van de Wpg u nog moet implementeren. Er zijn ook sjablonen voor beleid en werkinstructies beschikbaar om de Wpg snel en pragmatisch te implementeren. BMC heeft ruime ervaring met de implementatie van de Wpg bij decentrale overheden. Daarmee kunt u de audits met vertrouwen tegemoet zien. Daarnaast kan BMC de verplichte audits ook voor u uitvoeren. Onze medewerkers zijn hiervoor gekwalificeerd.
Naast advies en ondersteuning kunt u bij BMC ook terecht voor de werving van medewerkers en inhuur van professionals. Ook leveren wij persoonlijke opleidingstrajecten en in-company trainingen op maat. Deze trainingen worden afgestemd op de specifieke behoeften van uw organisatie.
Adviseurs inrichting en borging van de Wpg
Meer informatie over de inrichting en borging van de Wpg? Neem dan contact op met één van onderstaande adviseurs:
Alex Commandeur
partner privacy, CIPP/E
"Als senior adviseur heb ik ruime ervaring binnen het openbaar bestuur. Mijn brede achtergrond in de publieke sector in verschillende rollen en verantwoordelijkheden maken dat ik mij makkelijk kan verplaatsen in mijn gesprekspartners. Een beetje humor en relativeringsvermogen helpen mij daarbij."
Julius Duijts
managing consultant, CMC CISSP CEH CIPP/E
"Mijn ambitie is om informatiebeveiliging en privacy op een praktische manier te implementeren, zodat het de kerntaken van de organisatie ondersteunt. Dat betekent aansluiten bij de besturing van de organisatie en vooral zeggen wat je doet, doen wat je zegt en dat samen regelmatig checken."
Meer informatie over privacy
Deze expertise valt onder privacy binnen het domein data en dienstverlening. Bekijk ook andere expertises binnen dit domein: