Vrijwel niemand is het ontgaan dat vorig jaar mei de Algemene verordening gegevensbescherming (AVG) is ingegaan. Elke vereniging, school, bedrijf of ambtenaar die persoonsgegevens verwerkt, heeft met de AVG te maken. De Europese privacywet omschrijft hoe je rechtmatig met deze informatie moet omgaan.

Ook boa’s hebben zich aan deze regels te houden. Bovendien geldt voor hun een andere wet als het gaat om gegevens die ze verwerken voor de  opsporing.

Wet politiegegevens voor boa’s
Boa’s hebben verschillende petten en ze verwerken verschillende soorten persoonsgegevens. Alle gegevens die nodig zijn ter voorkoming, opsporing of vervolging van strafbare feiten moeten worden verwerkt volgens de regels uit de Wet politiegegevens (Wpg). Dus als een ambtenaar vanuit zijn functie als boa persoonsgegevens verwerkt, valt dit onder de Wpg. Op alle andere taken - zoals het houden van toezicht - is de AVG van toepassing. 

Twee regimes voor het verwerken van overtredingen
Beide wetten hebben overeenkomsten, maar meer nog verschillen. De Wpg hanteert bijvoorbeeld heel concrete bewaartermijnen en ook is in die wet geregeld aan welke partijen gegevens verstrekt mogen worden. In de praktijk betekent dit dat de boa in verschillende systemen moet gaan werken of dat de opsporingsgegevens in de systemen geoormerkt worden zodat ze anders behandeld worden dan de toezichtsgegevens.


Risico’s en boetes
De nieuwe privacywetgeving heeft voor boa’s vooral gevolgen voor hoe ze hun werk verantwoorden. Dus in welke systemen ze werken en met wie ze de gegevens mogen delen. De Wpg is specifieker dan de AVG. Er gelden andere termijnen, je mag ze voor andere doelen gebruiken en je mag ze verzamelen zonder dat de betrokkene toestemming hoeft te geven. De werkgever van de boa (de ‘verwerkingsverantwoordelijke’) moet voorzieningen treffen om deze gegevens goed te beschermen. Gebeurt dat niet, dan kan een verdachte worden vrijgesproken als een rechter oordeelt dat de gegevens onrechtmatig gebruikt zijn. Ook imagoschade is een reëel risico. Hoe vervelend zou het zijn als een burger de media informeert dat de gemeente zijn gegevens gedeeld heeft met partijen die daar helemaal geen toegang toe zouden mogen hebben? Tot slot kan er een last onder dwangsom of een boete worden opgelegd als de regels worden geschonden. In de Staatscourant van 14 maart zijn de beleidsregels gepubliceerd wat betreft de boetes die kunnen worden opgelegd door de Autoriteit Persoonsgegevens. Die bedragen zijn niet mis, zo heeft Uber een boete van 600.000 moeten betalen.

Auteur: drs. Suzanne Franken, Wpg-deskundige, trainer, beleidsmedewerker en tekstschrijver voor verschillende instellingen. Specialisme politie en privacywetgeving.
Suzanne Franken Consultancy


Een uitgebreide versie van dit verhaal is eerder verschenen op Toezine.nl.