Veel boa-werkgevers voldoen nog altijd niet aan de Wet politiegegevens (Wpg), zo blijkt uit onderzoek van de Autoriteit Persoonsgegevens (AP). Geen van de onderzochte boa-werkgevers kan aantonen dat zij persoonsgegevens verwerken in overeenstemming met de Wpg. Daarnaast zijn er honderden werkgevers die verplichte audits niet aanleveren. Gemeenten en andere partijen die boa’s met opsporingstaken inzetten zijn wettelijk verplicht om elke vier jaar een externe Wpg-audit uit te laten voeren naar de omgang met persoonsgegevens. Dit staat in de Wpg. De rapportages moeten naar de AP worden gestuurd, die ze gebruikt om toezicht te houden.
Volgens de AP kan een boa door iemands gegevens te registreren een grote invloed hebben op het leven van die persoon. Zo kunnen boa’s een proces-verbaal opmaken, dat in het strafrecht speciale bewijskracht heeft en onder meer voor politietaken is te gebruiken. Daarnaast kunnen geregistreerde gegevens worden opgenomen in een persoonsdossier of gebruikt worden voor een beoordeling van een aanvraag voor een Verklaring Omtrent het Gedrag (VOG).
"Het registreren van onjuiste informatie of een onzorgvuldige omgang met deze informatie, kan ertoe leiden dat iemand ten onrechte geen VOG kan krijgen", zo stelt de privacytoezichthouder. Eind 2023 oordeelde de AP op basis van ontvangen Wpg-audits dat een groot deel van de boa-werkgevers niet aan de Wpg voldoet. De AP heeft nu een quickscan uitgevoerd naar de resultaten van de hercontroles.
De toezichthouder stelt aan de ene kant dat werkgevers wel vorderingen maken in het op de juiste manier verwerken van persoonsgegevens op grond van de Wpg, maar komt ook tot de conclusie dat geen van de boa-werkgevers uit de quickscan volledig voldoet aan de beoordeelde beheersingsmaatregelen. "Daarmee kunnen zij niet aantonen dat zij de persoonsgegevens verwerken in overeenstemming met de Wpg." Volgens de AP zullen veel boa-werkgevers nog flinke stappen moeten zetten om de opzet en het bestaan van de beheersingsmaatregelen op orde te krijgen én aan te tonen dat deze in de praktijk werken.
Verder blijkt dat veel organisaties moeite hebben om te voldoen aan de wettelijke eisen om een audit uit te voeren en de resultaten daarvan tijdig aan te leveren bij de AP. De Autoriteit Persoonsgegevens heeft bij de hercontrole ruim driehonderd auditrapporten tijdig ontvangen. Daarmee is meer dan de helft van de ruim zeshonderd boa-werkgevers in gebreke gebleven. Eind 2025 zijn boa-werkgevers opnieuw verplicht om een externe audit te laten uitvoeren naar de omgang met persoonsgegevens. Wanneer een organisatie hieraan niet voldoet kan de AP handhavende maatregelen opleggen.
"De resultaten van de audits laten zien dat veel boa-werkgevers hun zaken beter op orde hebben. Maar tegelijk moet er nog veel gebeuren. Alle mensen die te maken krijgen met boa’s, moeten erop kunnen vertrouwen dat die boa’s goed met hun gegevens omgaan. Ik ga ervan uit dat boa-werkgevers bij de volgende audit kunnen laten zien dat ze hun zaken helemaal op orde hebben", zegt AP-bestuurslid Katja Mur.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.