11 augustus 2024

Meerdere organisaties, waaronder gemeenten, maken gebruik van boa’s: Buitengewoon opsporingsambtenaren. Een boa is een ambtenaar met een specifieke opsporingsbevoegdheid. Dit betekent onder andere dat hij/zij mag onderzoeken of er bepaalde strafbare feiten zijn gepleegd. Boa’s mogen verdachten aanhouden, iemands identiteit controleren, processen-verbaal opmaken en boetes uitschrijven. Daarnaast doen zij reguliere taken die geen “opsporingshandeling” betreffen. Er zijn 6 domeinen waarin boa’s werkzaam zijn en voor elk domein gelden specifieke opleidingseisen en bevoegdheden. In de Beleidsregels boa staat een uitgebreide beschrijving van de 6 domeinen. De boa’s, die voor hun opsporingstaken persoonsgegevens verwerken, vallen onder de regels van de Wet Politiegegevens (Wpg). Voor de andere handelingen is de AVG onverkort van toepassing. Juist deze mengvorm van strafrecht en civiel recht zorgt voor ingewikkelde situaties op de werkvloer. De Wpg verplicht boa werkgevers om elk jaar een interne privacy-audit uit te voeren. Dit kan door interne auditors in te zetten of daarvoor een externe auditor te betrekken. Eens per 4 jaar moet een externe Wpg-audit worden uitgevoerd. Regels voor de interne en externe Wpg-audit zijn vastgelegd in: De resultaten van de externe Wpg-audit (het Assurance auditrapport) moet de boa werkgever aan de Autoriteit Persoonsgegevens (AP) sturen. De Regeling Periodieke audit politiegegevens geeft in artikel 5 aan dat de auditor een Register EDP-Auditor (RE) dient te zijn, ingeschreven bij de NOREA. Aan deze RE worden nog een aantal aanvullende eisen gesteld. In de praktijk blijkt dat vooralsnog een kleine groep RE’s zich bezig houdt met Wpg audits. De NOREA heeft een handreiking geschreven voor de RE’s voor het uitvoeren van deze audits waarin ook het object, scope en aspecten van zo’n onderzoek ten behoeve van de interne en externe auditaanpak zijn uitgewerkt. Tevens adviseert de NOREA haar template te gebruiken voor het Assurance rapport. De Autoriteit Persoonsgegevens meldt op haar website op 24 juli 2024 dat nog lang niet alle boa-werkgevers de naleving van de Wet politiegegevens (Wpg) voldoende op orde hebben. In dat artikel klinkt door dat er nog geen volledig overzicht is van welke organisaties met boa’s werken, en dus geen Assurance rapporten hebben ingeleverd, terwijl boa’s daar wel gebruik maken van persoonsgegevens zoals beschreven in de Wpg. Dit ‘kattebelletje’ is alvast een aanloopje naar het eerstvolgende moment van eind 2025 waarop boa-werkgevers opnieuw verplicht zijn om een externe audit te laten uitvoeren naar de omgang met persoonsgegevens. Uit de praktijk blijkt dat het voldoen aan de regels rond de verwerking van persoonsgegevens onder het regime van de Wpg erg lastig is. De AP spreekt de verwachting uit dat het, volgens de uitkomsten van de Wpg externe audit, allemaal op orde zal zijn. Vanuit de wettelijke regels is een normenkader opgesteld. Binnen het normenkader is een onderscheid gemaakt in normen voor de algemene IT beheersing en normen voor de specifieke opvolging van vastgelegde regels in de wetteksten. Dit normenkader vormt de basis voor de bedoelde interne audits en de externe audit. Vanuit TOPP audit kunnen we alvast de volgende tips geven: 1. Stel vast of de organisatie boa diensten verricht. Vaak is wel inzichtelijk dat er boa diensten worden verricht, maar bestaat minder duidelijkheid over wie nu welke verantwoordelijkheid heeft. Het is raadzaam dat goed in kaart te brengen en vooral aandacht te hebben voor de betrokkenheid van ICT dienstenleveranciers waar de ondersteunende systemen en vastlegging van de persoonsgegevens zich bevinden. Tevens vraagt het proces rond de gevraagde verstrekking van (potentieel) politiegegevens door de Politie zelf, waar soms ook sprake van is, de aandacht. 2. Inventariseer de gegevensverwerkingen die politiegegevens bevatten of gegevens die door hun gebruik politiegegevens kunnen worden. Vaak is sprake van ‘gemengd gebruik’ van persoonsgegevens. Dit geef extra uitdagingen om bij de beveiliging van die gegevens te voldoen aan de AVG en de Wpg. Daarnaast kent de WPg verder gaande eisen voor logging en monitoring (die in zichzelf ook gegevensverwerkingen met persoonsgegevens zijn). Het is belangrijk hierin vooraf inzicht te hebben om eventueel aanvullende maatregelen te kunnen treffen of verfijningen op bijvoorbeeld autorisaties aan te brengen. 3. Investeer in het  trainen van de boa’s, en maak ze bewust, voor het zorgvuldig gebruik van de data. Handige achtergrondinformatie is te vinden bij de NOREA, de website van de Autoriteit Persoonsgegevens en op de website van Boa Registratie Systeem (BRS). Het “Praktijkhandboek Wet politiegegevens voor boa’s” van Suzanne Franken geeft een helder geschreven overzicht van wat er bij het werken met politiegegevens komt kijken. 4. Zorg voor impact assessments gericht op de boa gegevensverwerkingen. Dit is sowieso een criterium voor het kunnen verwerken van politiegegevens. Het geeft een gedegen inzicht in de wijze waarop de verwerkingen plaatsvinden, wie deze uitvoeren en welke ICT systemen daarbij in gebruik zijn. Met deze informatie kunnen gericht de benodigde beveiligings- en beheersingsmaatregelen worden vastgesteld en geïmplementeerd. Dit is ook een belangrijke bron voor het stellen van de juiste vragen en eisen aan ICT service organisaties die betrokken zijn bij de gegevensverwerkingen. 5. Maak tijdig afspraken met ICT service organisaties. Voor de bevestiging dat ICT dienstenleveranciers ook voldoende bijdragen aan het voldoen aan de regels uit de Wpg, is het belangrijk vroegtijdig met hen aan tafel te gaan zitten en heldere afspraken te maken. Dit in de vorm van een auditrecht of (beter nog) het tijdig verkrijgen van een Assurance rapport dat voldoende invulling geeft aan de van toepassing zijnde eisen uit de Wpg. 6. Overweeg een pré-audit. Hiermee kan duidelijk worden of alle relevante informatie beschikbaar en inzichtelijk kan worden gemaakt voor de IT auditor. Dit biedt ruimte tekortkomingen nog op te lossen alvorens de Wpg audit start. Wel realiseren dat de Wpg audit gaat over werking van de maatregelen gedurende een periode van 12 maanden, dit beperkt de impact van verbetering als die nog gedurende dat jaar plaatsvinden. Raadzaam in te zetten op een pré-audit voorafgaand aan het starten van die 12 maanden periode! De pré-audit zorgt er ook voor dat vooraf al bekend is welke informatie dient te worden aangeleverd door de organisatie aan de IT auditor. Met een goede voorbereiding kan die efficient plaatsvinden. 7. Betrek de externe auditor bij de