In een samenleving waarin steeds meer persoonsgegevens digitaal worden verzameld, verwerkt en opgeslagen, is het van cruciaal belang dat er transparantie en controle is over hoe deze gegevens worden behandeld. Dit geldt met name voor overheidsinstellingen zoals de politie en gemeentelijke buitengewoon opsporingsambtenaren (boa’s), die dagelijks met gevoelige informatie werken. De Wet politiegegevens (Wpg), die de verwerking van persoonsgegevens door opsporingsinstanties regelt, bevat daarom een belangrijke maatregel: de auditverplichting. De privacy audit heeft tot doel op systemische wijze te toetsen of aan de Wpg bepalingen op adequate wijze uitvoering is gegeven. Deze verplichting zorgt ervoor dat de verwerking van Wpg persoonsgegevens op een zorgvuldige, verantwoorde en transparante manier gebeurt.
Wat is de auditverplichting in de Wet politiegegevens?
De auditverplichting in de Wet politiegegevens verplicht de politie en andere opsporingsinstanties om regelmatig te laten controleren of zij zich houden aan de regels voor het verzamelen, verwerken en opslaan van persoonsgegevens. De wet legt vast dat de verantwoordelijke zorg draagt dat ten minste jaarlijke een interne audit plaatsvindt. Dit dient plaats te vinden aan de hand van een auditplan dat voldoet aan de Regeling Periodieke Audit Politiegegevens (2019).
Naast de jaarlijkse interne Wpg-audit, moet er ook elke vier jaar een externe Wpg-audit uitgevoerd worden. Het rapport van de externe Wpg-audit moet ingeleverd worden bij de toezichthouder: Autoriteit Persoonsgegevens (AP). Wanneer uit de externe Wpg-audit naar voren komt dat er niet wordt voldaan aan de Wpg, dan moet er binnen een jaar een hercontrole plaatsvinden op de onderdelen die niet voldeden aan de gestelde voorwaarden. Deze hercontrole dient plaats te vinden aan de hand van een verbeterplan dat verplicht opgesteld moet worden binnen drie maanden tijd. De resultaten van de hercontrole moet naar de AP verstuurd worden.
Waarom is de auditverplichting belangrijk?
De privacy van burgers staat in de Wet politiegegevens centraal. Politiemensen en boa’s verzamelen vaak gevoelige informatie, zoals gegevens over verdachten, slachtoffers of getuigen van misdrijven. Omdat deze gegevens persoonlijke levenssfeer van burgers kunnen raken, is het essentieel dat ze niet alleen op een rechtmatige en proportionele manier worden verzameld, maar ook dat ze zorgvuldig worden verwerkt en beveiligd.
De auditverplichting speelt hierbij een sleutelrol. Door periodieke audits kan gecontroleerd worden of de gegevensverwerking in overeenstemming is met de wet en of er geen onterechte of ongecontroleerde toegang tot gegevens is. Dit verhoogt de verantwoording van opsporingsdiensten en zorgt ervoor dat er geen misbruik van persoonsgegevens wordt gemaakt.
Wat wordt er gecontroleerd tijdens een audit?
Bij een audit van de gegevensverwerking wordt er gekeken naar verschillende belangrijke aspecten van de gegevensverwerking door opsporingsinstanties. De auditor onderzoekt bijvoorbeeld:
- De juridische basis van gegevensverwerking: Zijn de verzamelde gegevens gerechtvaardigd op basis van de Wet politiegegevens en andere relevante wetgeving? Mag de politie de verzamelde persoonsgegevens voor de bedoelde doelen gebruiken?
- Proportionaliteit en doelbinding: Zijn de gegevensverwerkingen proportioneel in verhouding tot het doel? Worden de gegevens alleen verzameld voor specifieke, vooraf vastgestelde doeleinden? Worden er geen gegevens verzameld die niet noodzakelijk zijn voor het onderzoek of de opsporing?
- Beveiliging van gegevens: Zijn er voldoende technische en organisatorische maatregelen getroffen om de persoonsgegevens te beveiligen tegen ongeautoriseerde toegang, verlies of diefstal? Dit kan bijvoorbeeld gaan over de beveiliging van digitale systemen en de fysieke beveiliging van opslaglocaties. Maar ook wat het Wpg privacybewustzijn is van de politie en andere opsporingsambtenaren.
- Bewaartermijnen: Hoe lang worden persoonsgegevens bewaard? Volgens de Wet politiegegevens mogen gegevens alleen zo lang worden bewaard als strikt noodzakelijk voor het doel waarvoor ze zijn verzameld. Na afloop van de bewaartermijn moeten de gegevens veilig worden vernietigd of geanonimiseerd.
- Toegang tot gegevens: Wie heeft toegang tot de verzamelde persoonsgegevens? Is er een beheersysteem om te zorgen dat alleen bevoegde personen toegang hebben tot gevoelige informatie?
Wat betekent dit voor burgers?
Voor burgers is de auditverplichting van groot belang, omdat het hen extra bescherming biedt tegen onterecht gebruik van hun persoonsgegevens. Dankzij de onafhankelijke controle kunnen burgers erop vertrouwen dat er een mechanisme is dat toezicht houdt op de manier waarop hun gegevens door opsporingsinstanties worden verwerkt. Als er sprake is van overtredingen van de Wet politiegegevens, kan de Autoriteit Persoonsgegevens optreden en maatregelen nemen.
Daarnaast zorgt de auditverplichting ervoor dat opsporingsinstanties verantwoording moeten afleggen over hun gegevensverwerking. Dit bevordert transparantie en zorgt ervoor dat burgers weten dat hun persoonsgegevens met respect voor hun privacy worden behandeld.
Conclusie
De auditverplichting in de Wet politiegegevens is een belangrijk instrument om de privacy van burgers te beschermen en om ervoor te zorgen dat opsporingsinstanties zorgvuldig omgaan met de persoonsgegevens die ze verzamelen. Door periodieke audits kunnen de verwerkingsverantwoordelijke en de Autoriteit Persoonsgegevens nagaan of de wet correct wordt nageleefd. Dit verhoogt de verantwoording en transparantie van de politie en andere opsporingsinstanties, en zorgt ervoor dat burgers erop kunnen vertrouwen dat hun gegevens op een zorgvuldige en rechtmatige manier worden verwerkt.
