Inrichting en borging Wpg

De verwerking van persoonsgegevens door buitengewoon opsporingsambtenaren (boa’s) valt niet onder de Algemene Verordening Gegevensbescherming (AVG), maar in plaats daarvan onder de Wet politiegegevens (Wpg). De nieuwe Wpg is per 1 januari 2019 ingegaan, net als het bijbehorende Besluit politiegegevens (Bpg). Voor boa’s is daarnaast het Besluit Politiegegevens boa’s verschenen. 

Door deze ontwikkelingen vallen de werkzaamheden van boa’s, politie en bijzondere opsporingsdiensten nu onder de Wpg en is uitwisseling tussen deze partijen gemakkelijker geworden. Voor verstrekkingen van gegevens buiten dit domein is een specifieke grondslag nodig. Dit betekent dat boa’s met een bestuursrechtelijke toezichtstaak zowel met de Avg als de Wpg te maken hebben.

Onze adviseurs helpen bij de inrichting en borging van de Wpg, zodat u voldoet aan de Wpg en audits met vertrouwen tegemoet kunt zien. BMC heeft daarvoor sjablonen ontwikkeld die een vlotte en pragmatische implementatie mogelijk maken. Wij kunnen de verplichte Wpg-audits ook voor u uitvoeren. Benieuwd wat BMC voor u kan betekenen? Lees dan verder of neem contact met ons op.

Neem contact met ons op

Op deze pagina
Aandachtsgebieden bij inrichting en borging Wpg
Wpg audit
Nieuwe en gewijzigde verwerkingen, waaronder de DPIA
Inventarisatie politiegegevens
Meldplicht datalekken
Verwerkersovereenkomst
Gegevensbeheer, waaronder bewaartermijnen 
Logging
Autorisatie
Onze dienstverlening op het gebied van inrichting en borging AVG
Praktijkcases en oplossingen
Adviseurs inrichting en borging AVG

Actueel

Toon alles

Aandachtsgebieden bij inrichting en borging Wpg

Nu de nieuwe Wpg is ingevoerd, blijft de werkgever van de boa verantwoordelijk voor de verwerking van persoonsgegevens volgens de Bpg boa. Verder is in de EU-richtlijn 2018/680, waarop de Wpg is gebaseerd, aansluiting gezocht bij de AVG. Dat betekent dat organisaties die de AVG hebben geïmplementeerd voor een deel ook voldoen aan de eisen van de Wpg. Voorbeelden hiervan zijn de meldplicht datalekken, het uitvoeren van DPIA’s en het aanstellen van een Functionaris Gegevensbescherming (FG). Er zijn echter ook een aantal extra aspecten, zoals:

  • scheiding van gegevens die onder de Avg of de Wpg vallen;
  • documentatie van onder andere verstrekkingen en doelen van onderzoeken;
  • logging van het gebruik van informatiesystemen;
  • interne en externe privacy audits.

Bij de volgende essentiële aandachtsgebieden ondersteunt BMC uw organisatie bij de inrichting en borging van de Wpg: 

Wpg audit

Volgens de Wpg moeten decentrale overheden elk jaar een interne en iedere vier jaar een externe IT-audit laten uitvoeren. Deze audit laat zien of de Wpg goed wordt uitgevoerd. De uitkomsten van de externe audit worden gerapporteerd aan de AP. BMC kan de interne audits voor u uitvoeren. Voor de externe audits werken we samen met een partner.

Meer over de Wpg audit

Nieuwe en gewijzigde verwerkingen, waaronder de DPIA

Voor de verwerking van politiegegevens met een hoog risico is een Data Protection Impact Assessment (DPIA) vereist. Dit is een grondige analyse van rechtmatigheid en risico’s, waaruit aanvullende (beveiligings)maatregelen kunnen voortvloeien. 

De DPIA is bedoeld om vooraf risico’s van een bepaalde gegevensverwerking te kunnen inschatten en tijdig passende maatregelen te nemen om die risico’s te beperken. De DPIA wordt ook wel Privacy Impact Assessment (PIA) genoemd. BMC helpt organisaties bij het uitvoeren van de DPIA. 

Meer over de DPIA

Inventarisatie politiegegevens

Om politiegegevens te beschermen en te zorgen dat deze op de juiste manier gebruikt worden, is overzicht nodig. Dit overzicht wordt gecreëerd met een verwerkingenregister. Een verwerkingenregister is verplicht vanuit de Avg en de Wpg. BMC helpt bij het inventariseren van verwerkingen van persoonsgegevens en het opstellen of verifiëren van een verwerkingenregister. 

Meer over het verwerkingenregister

Meldplicht datalekken

Er is sprake van een datalek als er bij een beveiligingsincident politiegegevens verloren zijn gegaan of als onrechtmatige verwerking van de persoonsgegevens niet uitgesloten is.

Een datalek moet zowel volgens de AVG als de Wpg zo snel mogelijk, in ieder geval binnen 72 uur, worden gemeld aan de autoriteit persoonsgegevens, tenzij er waarschijnlijk geen risico voor de privacy van betrokkenen is. BMC helpt organisaties bij het melden en afhandelen van datalekken. 

Meer over datalekken

Verwerkersovereenkomst

Wanneer een organisatie de verwerking van persoonsgegevens aan een leverancier toevertrouwd, is het belangrijk dat die daar net zo zorgvuldig en integer mee om gaat als de organisatie zelf. 

Om dit juridisch te borgen is het afsluiten van verwerkersovereenkomsten verplicht. In zo’n verwerkersovereenkomst moeten afspraken worden gemaakt over bijvoorbeeld het informeren van betrokken, de rechten van betrokkenen en over de verwerking van gegevens buiten Nederland, de EU of de EER. BMC ondersteunt organisaties in het onderhandelen, voorstellen en afsluiten van verwerkersovereenkomsten.

Meer over de verwerkersovereenkomst

Gegevensbeheer, waaronder bewaartermijnen

Zorgvuldig omgaan met politiegegevens betekent ook deze niet langer te bewaren dan nodig. Dit voorkomt dat verouderde of foutieve gegevens worden gebruikt. Daarnaast zijn de gevolgen van een datalek kleiner wanneer deze gegevens zijn gewist. Bij het bepalen van bewaartermijnen wordt soms uitgegaan van wettelijke vereisten. BMC helpt organisaties bij zorgvuldig gegevensbeheer.

Meer over bewaartermijnen

Politiegegevens mogen niet onbeperkt worden gebruikt en bewaard. Afhankelijk van de grondslag waaronder de gegevens worden bewaard, zijn er regels over het gebruik en de vernietiging. We vatten dit samen voor de door Boa’s meest gebruikte verwerkingen: 

Dagelijkse politietaak
Verwerkingen in het kader van de dagelijkse politietaak (Wpg Art 8) mogen gedurende 1 jaar breed gebruikt worden. Gedurende de 4 jaar daarna mogen ze alleen worden gebruikt via gericht zoeken, bijvoorbeeld op naam of kenteken. Daarna mogen de gegevens gedurende 5 jaar  alleen voor audits en klachten worden gebruikt en mogen ze ook niet meer worden verstrekt aan derden. Na deze termijn moeten de gegevens worden vernietigd.

Onderzoeken
Voor onderzoeken (Wpg Art 9) geldt dat de gegevens voor het onderzoek mogen worden gebruikt tot de dader is veroordeeld of het delict is verjaard. Daarna mag de informatie gedurende ½ jaar worden gebruikt voor andere onderzoeken. Vervolgens mogen de gegevens gedurende 5 jaar alleen voor audits en klachten worden gebruikt en mogen ze ook niet meer worden verstrekt aan derden. Na deze termijn moeten de gegevens worden vernietigd.

Boa’s en bewaartermijnen
Veel Boa’s gebruiken specifiek applicaties, zoals City control of BRS om de politiegegevens in te verwerken. Deze applicaties ondersteunen de bovengenoemde beperkingen in gebruik en vernietiging. Andere Boa’s maken hun PV’s in een tekstverwerker en slaan deze op in een gemeenschappelijke map of een zaaksysteem. Dan is het risico groter dat gegevens toegankelijk zijn voor onbevoegden en dat bewaartermijnen niet worden nageleefd.

Logging 

Met logging wordt het mogelijk om inbreuken van buiten en ongeoorloofd gebruik van informatie binnen de organisatie vast te stellen. In computersystemen worden gebeurtenissen die belangrijk zijn voor de beveiliging of voor de analyse van verstoringen in een logbestand vastgelegd. Om inbreuken en ongeoorloofd gebruik van informatie vast te kunnen stellen is niet alleen het registreren van loggegevens nodig, maar juist ook de analyse daarvan. BMC heeft modelbeleid voor logging, ervaring met inventariseren van bronnen van loginformatie en het analyses van loggegevens, waarbij de privacy van medewerkers zo veel mogelijk wordt ontzien. Lees verder om te zien hoe we u ondersteunen. 

Meer over logging

Autorisatie

Het goed inregelen van de toegang tot gegevens is een van de basismaatregelen van informatiebeveiliging. Het zorgt ervoor dat medewerkers toegang hebben tot informatie die nodig is voor hun werk en dat oud-medewerkers die toegang niet meer hebben. BMC beschikt over modelbeleid en ruime ervaring met het opstellen van toegangsbeleid, waarin de relevante beheersmaatregelen uit de BIO, NEN7510 of ISO27001 zijn verwerkt, toegangsprocedures, checklists voor applicaties en autorisatiematrices. Lees verder om te zien hoe we u ondersteunen. 

Lees meer over autorisatie


Onze dienstverlening voor inrichting en borging Wpg

Advies

BMC adviseert en ondersteunt uw organisatie bij de implementatie van de Wpg. Zo hebben we een instrument ontwikkeld waarmee u eenvoudig ziet welke onderdelen van de Wpg u nog moet implementeren. Er zijn ook sjablonen voor beleid en werkinstructies beschikbaar om de Wpg snel en pragmatisch te implementeren. BMC heeft ruime ervaring met de implementatie van de Wpg bij decentrale overheden. Daarmee kunt u de audits met vertrouwen tegemoet zien. Daarnaast kan BMC de verplichte audits ook voor u uitvoeren. Onze medewerkers zijn hiervoor gekwalificeerd.

Meer over advies en onderzoek

Naast advies en ondersteuning kunt u bij BMC ook terecht voor de werving van medewerkers en inhuur van professionals. Ook leveren wij persoonlijke opleidingstrajecten en in-company trainingen op maat. Deze trainingen worden afgestemd op de specifieke behoeften van uw organisatie.

Adviseurs inrichting en borging van de Wpg

Meer informatie over de inrichting en borging van de Wpg? Neem dan contact op met één van onderstaande adviseurs:

Alex Commandeur
senior adviseur, CIPP/E

"Als senior adviseur heb ik ruime ervaring binnen het openbaar bestuur. Mijn brede achtergrond in de publieke sector in verschillende rollen en verantwoordelijkheden maken dat ik mij makkelijk kan verplaatsen in mijn gesprekspartners. Een beetje humor en relativeringsvermogen helpen mij daarbij."

Julius Duijts
managing consultant, CMC CISSP CEH CIPP/E

"Mijn ambitie is om informatiebeveiliging en privacy op een praktische manier te implementeren, zodat het de kerntaken van de organisatie ondersteunt. Dat betekent aansluiten bij de besturing van de organisatie en vooral zeggen wat je doet, doen wat je zegt en dat samen regelmatig checken."

Neem contact met ons op

Meer informatie over privacy

Deze expertise valt onder privacy binnen het domein data en dienstverlening. Bekijk ook andere expertises binnen dit domein:

Contact

Uw privacy is belangrijk voor ons. BMC gaat zorgvuldig om met uw persoonsgegevens, zie hierover meer in ons privacy statement