Toezine

Wekelijkse verdieping voor professionals in toezicht, handhaving en inspectie

Bezig met laden...
Privacywetgeving AVG en Wpg: “Een mooie kans om heldere keuzes te maken”

Privacywetgeving AVG en Wpg: “Een mooie kans om heldere keuzes te maken”

Het kan bijna niemand zijn ontgaan: de privacywetgeving verandert deze maand ingrijpend. De AVG stelt nieuwe eisen aan de bescherming van persoonsgegevens. Allerlei organisaties krijgen bovendien te maken met een nieuwe wet rondom justitiële en politiegegevens. Dit betekent nogal wat voor organisaties met boa’s en toezichthouders. Wat wordt er van hen verwacht en hoe kunnen zij zich voorbereiden?

Voor alle helderheid eerst even de veranderingen op een rij. De Algemene verordening gegevensbescherming (AVG) vervangt per 25 mei de Wet bescherming persoonsgegevens (Wbp). De AVG geldt voor de verwerking van alle persoonsgegevens, maar kent wel enkele uitzonderingen. Eén daarvan is de verwerking van persoonsgegevens ter voorkoming, opsporing of vervolging van strafbare feiten. Deze ‘politiegegevens’ vallen onder een apart regime: de Wet politiegegevens (Wpg).

Ambtenaren en boa’s

De nieuwe wetten betekenen een grote verandering voor organisaties die zich voorheen alleen aan de Wbp hoefden te houden. Alle instanties krijgen nu te maken met de AVG. Maar als zogenoemde ‘bevoegde autoriteiten’ persoonsgegevens verwerken ten behoeve van de uitvoering van de politietaak, vervolging van strafbare feiten of de tenuitvoerlegging van straffen moeten zij zich aan de Wpg houden. Die bevoegde autoriteiten zijn onder andere alle buitengewoon opsporingsambtenaren, dus bijvoorbeeld gemeentelijke handhavers, parkeercontroleurs, milieu-inspecteurs, leerplichtambtenaren, conducteurs, ov-handhavers en sociaal rechercheurs.

Suzanne Franken is Wpg-deskundige, trainer en beleidsmedewerker. Ze werkt als businessanalist, trainer en tekstschrijver voor verschillende instellingen, met als specialisme politie en privacywetgeving.

“Simpel gezegd: de ambtenaar werkt onder de AVG. Maar zodra hij persoonsgegevens verwerkt vanuit zijn status als boa, valt dit onder de Wpg. Stel: een gemeentelijke handhaver geeft tijdens een toezichtronde iemand een boete voor een strafbaar feit. Dan vallen de gegevens die hij vastlegt niet onder de AVG, maar onder de Wpg.” Aan het woord is Wpg-deskundige Suzanne Franken. Samen met Sander Flight, adviseur privacywetgeving, verzorgt zij cursussen om organisaties voor te bereiden op de AVG en de Wpg. Met als belangrijkste vraag: wat betekenen deze nieuwe wetten voor boa’s, toezichthouders en hun werkgevers?

Labelen en verantwoorden

“De nieuwe privacywetgeving heeft voor boa’s vooral gevolgen voor hoe ze hun werk verantwoorden”, zegt Franken. “Dus in welke systemen ze werken en met wie ze de gegevens mogen delen. De Wpg is veel specifieker dan de AVG, vanwege de politiegegevens. Voor deze gegevens gelden andere termijnen, je mag ze voor andere doelen gebruiken en je mag ze verzamelen zonder dat de betrokkene toestemming hoeft te geven. De organisaties moeten voorzieningen treffen om deze gegevens goed te beschermen, bijvoorbeeld door ze te labelen. Ook moeten alle strafrechtelijke politiegegevens een labeltje krijgen, zodat alleen mensen met een opsporingsbevoegdheid erbij kunnen komen.”

Sander Flight is adviseur en onderzoeker met als specialisme (camera)toezicht door politie en andere handhavers, zoals boa’s. Hij adviseert organisaties over openbare orderecht en privacywetgeving.

Overheidsinstanties en publieke organisaties zijn verplicht een onafhankelijke, kritische, interne functionaris voor de gegevensbescherming aan te stellen. “Die functionarissen moeten toezicht houden binnen hun eigen organisatie en ze zijn contactpersoon voor de Autoriteit Persoonsgegevens. Ze zijn dus een soort vooruitgeschoven post van de AP, maar wel in dienst van de organisatie”, vertelt Sander Flight. “Dus moeten ze stevig in hun schoenen staan om intern op het hoogste niveau kritisch mee te praten over de vraag of alles goed georganiseerd is.”

Register en beoordeling

De verantwoordingsplicht van de privacywetten brengt ook met zich mee dat organisaties een register moeten aanmaken van alle verwerkingsactiviteiten en moeten beoordelen welke impact de gegevensverzameling gaat hebben op alle betrokkenen. Hiervoor is het soms nodig een gegevensbeschermingseffectbeoordeling (geb) op te stellen, legt Suzanne uit. “Dat is een document waarin je de verwerking van gegevens systematisch beschrijft en onderbouwt waarom het noodzakelijk is. Daarna beschrijf je de maatregelen die je gaat nemen om de privacyrisico’s te verkleinen of weg te nemen.”
“Privacybescherming kun je niet uitbesteden: iedereen in de organisatie moet meedoen.”
Veel organisaties huren nu tijdelijk externe krachten in om het register te maken of geb’s uit te voeren. Maar dat is volgens Sander Flight niet dé oplossing om als organisatie de gegevensverwerking goed in te richten. “Het is verleidelijk om dit door deze ene ingehuurde persoon te laten doen. Maar privacybescherming kun je niet uitbesteden: iedereen in de organisatie moet meedoen. Nodig dus liever iedereen uit om mee te denken: de werkvloer, de IT-afdeling, marketing en personeelszaken. Bespreek welke persoonsgegevens je verwerkt, wat je daarmee wilt en wat de gevolgen zijn voor de personen van wie je gegevens verzamelt. Als je kunt uitleggen waarom het goed is dat je die gegevens verzamelt en je aan de wet- en regelgeving voldoet, dan mag je ze verzamelen. Als je dit niet kunt, moet je samen bekijken hoe je dit gaat aanpassen.”

Privacywetgeving in de schijnwerpers

De nieuwe wetten hebben bij organisaties het bewustzijn van privacy flink verhoogd, aldus Flight. “De invoering van de AVG heeft iets in gang gezet waardoor mensen ook de al bestaande Wbp met meer aandacht zijn gaan lezen. Het was altijd al verboden om gegevens te verzamelen als je daar geen grondslag voor had, maar veel organisaties denken daar nu pas over na. Verder valt me op dat iedereen het heeft over de boetes die de Autoriteit Persoonsgegevens kan opleggen. Maar dat kan zij al sinds januari 2016, toen de ‘meldplicht datalekken’ van kracht werd: een boete van ruim acht ton, te verhogen tot tien procent van de jaaromzet. Ik begrijp dus niet helemaal waar dat haastgevoel nu vandaan komt.”
“De meeste organisaties waren zich niet bewust van de eisen die de Wbp altijd al stelde.”
Franken: “Ik denk dat de AVG maar zo’n tien procent verschilt van de Wbp. De toezichtregels zijn verscherpt en in Europa is alles nu gelijkgeschakeld. Je hebt meer eigen verantwoordelijkheid als verwerker en de betrokkenen krijgen meer rechten. Maar als je al voldeed aan de eisen uit de Wbp, dan hoef je nu maar weinig aan te passen. Wat wij nu zien is dat het merendeel van de organisaties zich niet bewust was van de eisen die de Wbp altijd al stelde en dat ze maar voor de helft daaraan voldeden, of zelfs helemaal niet. Voor die organisaties is er dus werk aan de winkel.”

Cursus 'Privacywetgeving voor BOA's vanaf mei 2018'

Op 23 mei 2018 geven Franken en Flight de cursus ‘Privacywetgeving voor BOA’s vanaf mei 2018’, georganiseerd door Kerckebosch.

Bedrijfsprocessen onder de loep

De afgelopen twee jaar was een overgangsperiode van de Wbp naar de AVG, die op 25 mei ingaat. De Europese Richtlijn ging op 6 mei in, maar die moest in een nationale wet worden omgezet: de nieuwe Wpg. Hoe kunnen organisaties zich voorbereiden en aanpassen op deze veranderingen? “Boa’s hoeven de AVG en de Wpg niet uit het hoofd te leren”, vindt Flight, “maar ze moeten wel nadenken over de praktische gevolgen. Wat ben ik verplicht om te doen? Wat mag ik juist níet meer doen? Zoek daar goede praktijkvoorbeelden bij en bespreek deze met elkaar. Overigens is er altijd ruimte voor het maken van een afweging per geval. Dat geldt altijd bij wetten en regels. We hebben ook nog geen jurisprudentie die ons kan helpen de wet te interpreteren.”
Managers zijn nu flink aan het puzzelen met de wet, weet Flight. “De nieuwe eisen worden door sommigen beschouwd als een hoop bureaucratie. Maar ik zeg dan: zie het vooral als een mooie kans. Want een register maken van alle gegevensverwerkingen is een perfecte aanleiding om de bedrijfsprocessen eens goed door te lichten. En om na te denken over je systemen en de beveiliging van de gegevens. Het dwingt je om heldere keuzes te maken.”

Twee petten, twee databases?

Veel boa’s hebben niet alleen een opsporingsbevoegdheid voor bepaalde strafbare feiten, maar ook een toezichttaak. Opsporing en toezicht zijn dus twee verschillende ‘petten’. Onder die twee petten moeten persoonsgegevens vanaf mei 2018 verschillend worden behandeld. Persoonsgegevens die gaan over de opsporing van strafbare feiten vallen onder het regime van de Wpg en persoonsgegevens die gaan over het toezicht vallen onder het regime van de AVG. Die persoonsgegevens moeten van elkaar worden gescheiden. Eén manier om dat te doen is door te werken in twee verschillende bestanden. Een andere manier is door binnen één database de gegevens te voorzien van een label ‘toezicht’ of ‘opsporing’. Voor beide soorten gegevens gelden andere bewaartermijnen, andere rechten van betrokkenen én andere regels om de gegevens aan anderen te verstrekken.

Iedereen wil natuurlijk weten welke regels er precies gaan gelden voor boa’s die politiegegevens verwerken. Dat zal allemaal worden beschreven in het Besluit politiegegevens voor boa’s. Het besluit is nog niet gepubliceerd. Dit gebeurt pas nadat de Europese richtlijn gegevensbescherming opsporing en vervolging is geïmplementeerd door aanpassingen in de Wpg en de Wjsg. De minister wil die aanpassingen tegelijk met of zo kort mogelijk na de AVG (25 mei 2018) in werking laten treden.