AP: veel boa-werkgevers voldoen nog altijd niet aan Wet politiegegevens
Veel boa-werkgevers voldoen nog altijd niet aan de Wet politiegegevens (Wpg), zo blijkt uit onderzoek van de Autoriteit Persoonsgegevens (AP). Geen van de onderzochte boa-werkgevers kan aantonen dat zij persoonsgegevens verwerken in overeenstemming met de Wpg. Daarnaast zijn er honderden werkgevers die verplichte audits niet aanleveren. Gemeenten en andere partijen die boa’s met opsporingstaken inzetten zijn wettelijk verplicht om elke vier jaar een externe Wpg-audit uit te laten voeren naar de omgang met persoonsgegevens. Dit staat in de Wpg. De rapportages moeten naar de AP worden gestuurd, die ze gebruikt om toezicht te houden.
Volgens de AP kan een boa door iemands gegevens te registreren een grote invloed hebben op het leven van die persoon. Zo kunnen boa’s een proces-verbaal opmaken, dat in het strafrecht speciale bewijskracht heeft en onder meer voor politietaken is te gebruiken. Daarnaast kunnen geregistreerde gegevens worden opgenomen in een persoonsdossier of gebruikt worden voor een beoordeling van een aanvraag voor een Verklaring Omtrent het Gedrag (VOG).
"Het registreren van onjuiste informatie of een onzorgvuldige omgang met deze informatie, kan ertoe leiden dat iemand ten onrechte geen VOG kan krijgen", zo stelt de privacytoezichthouder. Eind 2023 oordeelde de AP op basis van ontvangen Wpg-audits dat een groot deel van de boa-werkgevers niet aan de Wpg voldoet. De AP heeft nu een quickscan uitgevoerd naar de resultaten van de hercontroles.
De toezichthouder stelt aan de ene kant dat werkgevers wel vorderingen maken in het op de juiste manier verwerken van persoonsgegevens op grond van de Wpg, maar komt ook tot de conclusie dat geen van de boa-werkgevers uit de quickscan volledig voldoet aan de beoordeelde beheersingsmaatregelen. "Daarmee kunnen zij niet aantonen dat zij de persoonsgegevens verwerken in overeenstemming met de Wpg." Volgens de AP zullen veel boa-werkgevers nog flinke stappen moeten zetten om de opzet en het bestaan van de beheersingsmaatregelen op orde te krijgen én aan te tonen dat deze in de praktijk werken.
Verder blijkt dat veel organisaties moeite hebben om te voldoen aan de wettelijke eisen om een audit uit te voeren en de resultaten daarvan tijdig aan te leveren bij de AP. De Autoriteit Persoonsgegevens heeft bij de hercontrole ruim driehonderd auditrapporten tijdig ontvangen. Daarmee is meer dan de helft van de ruim zeshonderd boa-werkgevers in gebreke gebleven. Eind 2025 zijn boa-werkgevers opnieuw verplicht om een externe audit te laten uitvoeren naar de omgang met persoonsgegevens. Wanneer een organisatie hieraan niet voldoet kan de AP handhavende maatregelen opleggen.
"De resultaten van de audits laten zien dat veel boa-werkgevers hun zaken beter op orde hebben. Maar tegelijk moet er nog veel gebeuren. Alle mensen die te maken krijgen met boa’s, moeten erop kunnen vertrouwen dat die boa’s goed met hun gegevens omgaan. Ik ga ervan uit dat boa-werkgevers bij de volgende audit kunnen laten zien dat ze hun zaken helemaal op orde hebben", zegt AP-bestuurslid Katja Mur.
Maakt toch niet uit dat je niet aan de (toch al veel te slappe!) wetgeving voldoet. Glas, plas, bleef zoals het was. Joh, het zijn maar burgers!
Het grote probleem voor de organisaties is dat alles volledig gedocumenteerd moet zijn.De verschillende verwerkingen moeten volledig zijn beschreven. De ondersteunende systemen moeten zijn beschreven en daar waar gebruik wordt gemaakt van een SAAS oplossing moet er een verklaring van een leverancier zijn.
Met name het vastleggen van werkprocessen loopt achter terwijl er wel netjes wordt gewerkt. Nog niet alle systemen zijn auditproof maar ook daar zien we grote vorderingen.
Het grote probleem is dat de wet van toepassing is op alle BOA werkgevers. Dus ook op een leerplichtorganisatie waar in een jaar tijd soms maar 3 processen verbaal worden uitgeschreven. De auditlast is in die gevallen niet proportioneel. Er wordt naar de wet gekeken maar ondertussen moet de AP wel gewoon haar werk doen. Het kan op een aantal vlakken beter maar eea moet wel met elkaar in balans blijven.
Had je daar wel eens bij stilgestaan?
Jij hebt het artikel niet goed gelezen en/of geen idee waar je het over hebt. Deze 'bedrijfjes' zijn gemeenten, milieudiensten, de NS, etc. Zullen we die allemaal maar even op non-actief zetten?
https://www.norea.nl/uploads/bfile/c97a8a0c-0b10-4be7-a10e-be3c041b9f2d
Dat zijn 34 pagina's waarin inderdaad wel heel veel uitgeplozen moet worden voor die drie processen-verbaal die je als voorbeeld noemt, en aangezien dat door een externe partij moet worden gedaan zal dat niet goedkoop zijn.
Je kan je afvragen of voor organisaties in die situatie niet een soort audit-light mogelijk is waarin in plaats van naar een groot plaatje, dat er eigenlijk niet echt is zonder voldoende processen verbaal, wordt gekeken of die paar gevallen goed zijn afgehandeld. Zouden organisaties die in die positie zitten én auditors er niet goed aan doen om eens de koppen bij elkaar te steken en gezamenlijk AP en/of de regering aan de haren trekken met goede argumenten? Er zijn wel meer situaties waar als iets klein is het niet wordt behandeld alsof het heel groot is.
Het is niet bewust dat dit gedaan wordt, maar Nederlanders zijn onzorgvuldig, laks en lui.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
No more ransomware!
De nieuwe Ransomware Awareness Experience training biedt een realistische maar vooral leuke introductie in de wereld van ransomware. De deelnemers ervaren hoe eenvoudig een organisatie het slachtoffer kan worden van ransomware en leren meteen hoe een besmetting kan worden voorkomen!