image

AP: veel boa-werkgevers voldoen nog altijd niet aan Wet politiegegevens

dinsdag 23 juli 2024, 08:42 door Redactie, 7 reacties

Veel boa-werkgevers voldoen nog altijd niet aan de Wet politiegegevens (Wpg), zo blijkt uit onderzoek van de Autoriteit Persoonsgegevens (AP). Geen van de onderzochte boa-werkgevers kan aantonen dat zij persoonsgegevens verwerken in overeenstemming met de Wpg. Daarnaast zijn er honderden werkgevers die verplichte audits niet aanleveren. Gemeenten en andere partijen die boa’s met opsporingstaken inzetten zijn wettelijk verplicht om elke vier jaar een externe Wpg-audit uit te laten voeren naar de omgang met persoonsgegevens. Dit staat in de Wpg. De rapportages moeten naar de AP worden gestuurd, die ze gebruikt om toezicht te houden.

Volgens de AP kan een boa door iemands gegevens te registreren een grote invloed hebben op het leven van die persoon. Zo kunnen boa’s een proces-verbaal opmaken, dat in het strafrecht speciale bewijskracht heeft en onder meer voor politietaken is te gebruiken. Daarnaast kunnen geregistreerde gegevens worden opgenomen in een persoonsdossier of gebruikt worden voor een beoordeling van een aanvraag voor een Verklaring Omtrent het Gedrag (VOG).

"Het registreren van onjuiste informatie of een onzorgvuldige omgang met deze informatie, kan ertoe leiden dat iemand ten onrechte geen VOG kan krijgen", zo stelt de privacytoezichthouder. Eind 2023 oordeelde de AP op basis van ontvangen Wpg-audits dat een groot deel van de boa-werkgevers niet aan de Wpg voldoet. De AP heeft nu een quickscan uitgevoerd naar de resultaten van de hercontroles.

De toezichthouder stelt aan de ene kant dat werkgevers wel vorderingen maken in het op de juiste manier verwerken van persoonsgegevens op grond van de Wpg, maar komt ook tot de conclusie dat geen van de boa-werkgevers uit de quickscan volledig voldoet aan de beoordeelde beheersingsmaatregelen. "Daarmee kunnen zij niet aantonen dat zij de persoonsgegevens verwerken in overeenstemming met de Wpg." Volgens de AP zullen veel boa-werkgevers nog flinke stappen moeten zetten om de opzet en het bestaan van de beheersingsmaatregelen op orde te krijgen én aan te tonen dat deze in de praktijk werken.

Verder blijkt dat veel organisaties moeite hebben om te voldoen aan de wettelijke eisen om een audit uit te voeren en de resultaten daarvan tijdig aan te leveren bij de AP. De Autoriteit Persoonsgegevens heeft bij de hercontrole ruim driehonderd auditrapporten tijdig ontvangen. Daarmee is meer dan de helft van de ruim zeshonderd boa-werkgevers in gebreke gebleven. Eind 2025 zijn boa-werkgevers opnieuw verplicht om een externe audit te laten uitvoeren naar de omgang met persoonsgegevens. Wanneer een organisatie hieraan niet voldoet kan de AP handhavende maatregelen opleggen.

"De resultaten van de audits laten zien dat veel boa-werkgevers hun zaken beter op orde hebben. Maar tegelijk moet er nog veel gebeuren. Alle mensen die te maken krijgen met boa’s, moeten erop kunnen vertrouwen dat die boa’s goed met hun gegevens omgaan. Ik ga ervan uit dat boa-werkgevers bij de volgende audit kunnen laten zien dat ze hun zaken helemaal op orde hebben", zegt AP-bestuurslid Katja Mur.

Reacties (7)
23-07-2024, 09:01 door Anoniem
Zo werkt dat bij overheid Nederland. Sch**t aan de burger.
Maakt toch niet uit dat je niet aan de (toch al veel te slappe!) wetgeving voldoet. Glas, plas, bleef zoals het was. Joh, het zijn maar burgers!
Alle mensen die te maken krijgen met boa’s, moeten erop kunnen vertrouwen dat die boa’s goed met hun gegevens omgaan.
Keep on dreaming. We hebben het over Nederland he...
23-07-2024, 09:41 door Anoniem
De Wpg vereist dat een BOA werkgever (gemeenten, waterschappen, provincies, vervoersbedrijven maar ook veel kleinere organisaties zoals de beheerder van een landgoed) voldoet aan heel veel administratieve bepalingen. Bij de audit zien we dat de BOA's gedegen zijn opgeleid en volledig handelen conform de eisen van de Wpg. Het is dus niet zo dat er sprake is van grootschalige privacyschending.
Het grote probleem voor de organisaties is dat alles volledig gedocumenteerd moet zijn.De verschillende verwerkingen moeten volledig zijn beschreven. De ondersteunende systemen moeten zijn beschreven en daar waar gebruik wordt gemaakt van een SAAS oplossing moet er een verklaring van een leverancier zijn.
Met name het vastleggen van werkprocessen loopt achter terwijl er wel netjes wordt gewerkt. Nog niet alle systemen zijn auditproof maar ook daar zien we grote vorderingen.
Het grote probleem is dat de wet van toepassing is op alle BOA werkgevers. Dus ook op een leerplichtorganisatie waar in een jaar tijd soms maar 3 processen verbaal worden uitgeschreven. De auditlast is in die gevallen niet proportioneel. Er wordt naar de wet gekeken maar ondertussen moet de AP wel gewoon haar werk doen. Het kan op een aantal vlakken beter maar eea moet wel met elkaar in balans blijven.
23-07-2024, 11:04 door Anoniem
Door Anoniem: Zo werkt dat bij overheid Nederland. Sch**t aan de burger.
Al dat overheidswerk wordt door mensen gedaan en die mensen zijn allemaal zelf burgers.

Had je daar wel eens bij stilgestaan?
23-07-2024, 14:02 door Anoniem
Al deze bedrijfjes op non-actief zetten tot ze wel voldoen, moet je een kijken hoe snel ze het dan wel kunnen...
23-07-2024, 16:33 door Anoniem
Door Anoniem: Al deze bedrijfjes op non-actief zetten tot ze wel voldoen, moet je een kijken hoe snel ze het dan wel kunnen...

Jij hebt het artikel niet goed gelezen en/of geen idee waar je het over hebt. Deze 'bedrijfjes' zijn gemeenten, milieudiensten, de NS, etc. Zullen we die allemaal maar even op non-actief zetten?
23-07-2024, 20:32 door Anoniem
Door Anoniem: Het grote probleem is dat de wet van toepassing is op alle BOA werkgevers. Dus ook op een leerplichtorganisatie waar in een jaar tijd soms maar 3 processen verbaal worden uitgeschreven. De auditlast is in die gevallen niet proportioneel. Er wordt naar de wet gekeken maar ondertussen moet de AP wel gewoon haar werk doen. Het kan op een aantal vlakken beter maar eea moet wel met elkaar in balans blijven.
Dit maakte me nieuwsgierig genoeg om even te zoeken en ik vond hier een template voor zo'n auditverslag:
https://www.norea.nl/uploads/bfile/c97a8a0c-0b10-4be7-a10e-be3c041b9f2d
Dat zijn 34 pagina's waarin inderdaad wel heel veel uitgeplozen moet worden voor die drie processen-verbaal die je als voorbeeld noemt, en aangezien dat door een externe partij moet worden gedaan zal dat niet goedkoop zijn.

Je kan je afvragen of voor organisaties in die situatie niet een soort audit-light mogelijk is waarin in plaats van naar een groot plaatje, dat er eigenlijk niet echt is zonder voldoende processen verbaal, wordt gekeken of die paar gevallen goed zijn afgehandeld. Zouden organisaties die in die positie zitten én auditors er niet goed aan doen om eens de koppen bij elkaar te steken en gezamenlijk AP en/of de regering aan de haren trekken met goede argumenten? Er zijn wel meer situaties waar als iets klein is het niet wordt behandeld alsof het heel groot is.
24-07-2024, 11:11 door Anoniem
Komt door de algeheel lakse instelling van de Nederlander. "Doen we nog wel een keer."
Het is niet bewust dat dit gedaan wordt, maar Nederlanders zijn onzorgvuldig, laks en lui.
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.