Vergroot contrast
  1. Politie en justitie
  2. Voor professionals

Voor professionals

Naast de Algemene verordening gegevensbescherming (AVG) hebben politie en justitie te maken met de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg). Deze wetten vloeien voort uit de Richtlijn gegevensbescherming politie & justitie.

Op deze pagina vindt u het antwoord op veelgestelde vragen van onder meer functionarissen gegevensbescherming (FG’s) en privacycontactpersonen bij politie en justitie. 

    Informatie voor burgers

    Wilt u als burger meer weten over het verwerken van persoonsgegevens door politie en justitie? Dan vindt u het antwoord op veelgestelde vragen bij PolitieJustitie en Bijzondere opsporing.

    Nieuws

    Alle nieuwsberichten over het onderwerp 'Voor professionals '

    Alle antwoorden op mijn vragenVragen over de privacyregels voor politie en justitie

    • Geldt de AVG ook voor politie en justitie?

      Ja, bij sommige taken wel. Maar bij specifieke taken op het gebied van opsporing en vervolging niet. Dan hebben politie en justitie te maken met de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg).

      Wpg en Wjsg

      De Wpg en de Wjsg vloeien voort uit de Richtlijn gegevensbescherming politie & justitie. Aan deze wetten moeten politie en justitie zich houden als zij hun taken uitvoeren voor de opsporing en vervolging van strafbare feiten. 

      De wetten gelden ook bij het uitvoeren van opgelegde straffen en bij taken die erop gericht zijn om de openbare veiligheid te beschermen en strafbare feiten te voorkomen.  

      AVG

      Bij andere taken van politie en justitie is de Algemene verordening gegevensbescherming (AVG) van toepassing. Bijvoorbeeld bij de verwerking van personeelsgegevens.

      Zie ook: waarom gelden er naast de AVG andere privacyregels voor politie en justitie? 

    • Waarom gelden er naast de AVG andere privacyregels voor politie en justitie?

      Politie en justitie hebben de uitzonderlijke taak om de openbare veiligheid te bewaken en strafbare feiten op te sporen. Daarvoor zijn speciale bevoegdheden en regels nodig.  

      Gevoelige persoonsgegevens

      Voor het bestrijden van criminaliteit, verwerken politie en justitie zeer gevoelige persoonsgegevens. Dit doen zij voor het publieke belang. Zij mogen dit doen zonder de mensen hierover vooraf te informeren of hiervoor toestemming vragen. 

      Het is daarom extra belangrijk dat politie en justitie de grondrechten van burgers goed bewaken. Waaronder dus het recht op bescherming van persoonsgegevens. Ook moeten zij alle gegevens die ze verwerken heel goed beveiligen.

      Wpg en Wjsg

      Politie en justitie hebben daarom, naast de AVG, te maken met de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg).

      Zie ook: Geldt de AVG ook voor politie en justitie?

    • Wat zijn de belangrijkste overeenkomsten tussen de AVG en de Richtlijn gegevensbescherming politie en justitie?

      In Nederland is de richtlijn omgezet in de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg). Zowel de Algemene verordening gegevensbescherming (AVG) als de Wpg en de Wjsg zorgen voor sterke privacyrechten, forse verantwoordelijkheden voor organisaties en stevige bevoegdheden voor alle Europese privacytoezichthouders.

      De uitgangspunten voor gegevensbescherming zijn daarom nagenoeg hetzelfde. Denk aan het bijhouden van een register van verwerkingen, een FG aanstellen en een data protection impact assessment (DPIA) en/of voorafgaande raadpleging uitvoeren. 

      Ook de uitgangspunten voor het doorgeven van persoonsgegevens aan landen buiten de Europese Unie zijn grotendeels gelijk.  

      Zie ook: Wat zijn de belangrijkste verschillen tussen de AVG en de richtlijn Gegevensbescherming voor politie & justitie? 

    • Wat zijn de belangrijkste verschillen tussen de AVG en de Richtlijn gegevensbescherming politie en justitie?

      Een belangrijk verschil ligt in de basis. De Algemene verordening gegevensbescherming (AVG) is direct bindend en geldt in alle landen van de Europese Unie. De Richtlijn gegevensbescherming politie en justitie is niet direct bindend, maar moet omgezet worden in nationale wetgeving. 

      In Nederland is de richtlijn omgezet in de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg).

      Belangrijkste verschillen

      ​Hieronder staan de belangrijkste verschillen tussen de richtlijn – en daaruit voortvloeiend de Wpg en Wjsg - en de AVG. 

      Algemene bepalingen

      • De AVG ziet op verwerkingen van persoonsgegevens die zijn gebaseerd op privaatrechtelijke en bestuurlijke rechtsverhoudingen. De richtlijn ziet toe op het strafrecht: het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten of het uitvoeren van straffen. Waaronder het beschermen en voorkomen van gevaren voor de openbare veiligheid.
      • Bij de implementatie van de richtlijn heeft de wetgever ervoor gekozen om de verwerkingsverantwoordelijke bij wet aan te wijzen. In de AVG gebeurt dit op feitelijke gronden: degene die het doel en de middelen bepaalt.
      • De richtlijn bevat een voorschrift over het onderscheid tussen feiten en meningen dat de AVG niet kent. Ook schrijft de richtlijn voor dat er onderscheid moet worden gemaakt tussen verschillende partijen, zoals verdachte, getuigen en slachtoffers.

      Beginselen

      • De AVG kent meerdere grondslagen voor het verwerken van persoonsgegevens. De richtlijn kent alleen de wet als grondslag. 
      • In de Wpg en Wjsg staan concrete bewaartermijnen genoemd. In de AVG niet. 

      Rechten van betrokkenen

      • De rechtsbescherming is verschillend. Betrokkenen hebben dezelfde privacyrechten, zoals het recht op inzage, rectificatie en vernietiging. Maar in de richtlijn zijn er meer beperkingen en uitzonderingen opgenomen dan in de AVG.  

      Beveiliging

      • De richtlijn bevat een verplichting tot logging, de AVG niet. Logging is het geautomatiseerd vastleggen van gegevens over de gegevensverwerking. Bijvoorbeeld wie bepaalde gegevens heeft ingezien. De richtlijn kent voor deze verplichting een langere implementatietermijn, tot 2023. En in uitzonderlijke gevallen tot 2026. In Nederland maken politie en justitie ook gebruik van die langere termijn. 
      • De richtlijn maakt het mogelijk dat politie en justitie soms (tijdelijk) kunnen afzien van het melden van een datalek aan de betrokken persoon of personen. Dit wanneer de belangen op het gebied van opsporen en vervolgen zwaarder wegen.

      Toezichthouder

      • De AVG kent meer uitgewerkte bevoegdheden voor de AP als toezichthouder om corrigerende maatregelen te nemen dan de Wpg en Wjsg.
      • In tegenstelling tot de AVG biedt de richtlijn geen ruimte aan de toezichthouder om een lijst van DPIA-plichtige verwerkingen op te stellen. Wel moeten opsporingsdiensten de AP in meer gevallen om een voorafgaande raadpleging vragen. 

      Overig

      • De Wpg kent een auditverplichting. Deze verplichting vloeit overigens niet voort uit de richtlijn.

      Zie ook: Wat zijn de belangrijkste overeenkomsten tussen de AVG en de Richtlijn gegevensbescherming politie en justitie?

    • Is de Richtlijn politie en justitie direct bindend, zoals de AVG?

      Nee. Europese richtlijnen moeten altijd in nationale regelgeving worden geïmplementeerd. 

      In Nederland is de Richtlijn gegevensbescherming politie en justitie uitgewerkt in de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg). 

      Zie ook: Geldt de AVG ook voor politie en justitie? 

    • Welke grondslagen gelden er voor de verwerking van persoonsgegevens door politie en justitie?

      Dat hangt ervan af of het om een taak gaat die valt onder de Algemene verordening gegevensbescherming (AVG) of een taak die valt onder de Wet politiegegevens (Wpg) of de Wet justitiële en strafvorderlijke gegevens (Wjsg). 

      Zie ook: Geldt de AVG ook voor politie en justitie? 

      Taken die vallen onder de Wpg of Wjsg

      Verwerkt u persoonsgegevens om een taak uit te voeren die onder de Wpg of Wjsg valt? Dan vormt deze wettelijke taak de grondslag. 

      Taken die vallen onder de AVG

      Verwerkt u persoonsgegevens om een taak uit te voeren die onder de AVG valt? Dan moet u zich kunnen beroepen op een van de 6 grondslagen uit de AVG. 

    Alle antwoorden op mijn vragenVragen over boa's en de Wpg-auditplicht

    • Vallen boa's onder de Wpg als zij persoonsgegevens verwerken? En mag hun werkgever bij deze informatie?

      Ja, buitengewone opsporingsambtenaren (boa’s) die voor hun opsporingstaak persoonsgegevens verwerken, vallen onder de Wet politiegegevens (Wpg). De werkgever van een boa heeft, als verwerkingsverantwoordelijke, toegang tot de persoonsgegevens die boa’s voor hun opsporingstaken verwerken.

      Verwerkingsverantwoordelijke bij opsporingstaken

      Boa’s kunnen als taak hebben bepaalde categorieën strafbare feiten op te sporen. Bijvoorbeeld op het terrein van openbaar vervoer, milieu of onderwijs. In zo’n geval geldt de Wpg. 

      Boa’s kunnen in dienst zijn van de overheid, zoals boa’s die werken bij de Douane of Staatsbosbeheer, maar dat hoeft niet. Ze kunnen ook in dienst zijn van private organisaties. Bijvoorbeeld de Nederlandse Spoorwegen of Natuurmonumenten. 

      Niet de werkgever, maar de individuele boa is belast met de opsporing. En die opsporing vindt plaats onder gezag van de officier van justitie. Boa’s verwerken de politiegegevens echter onder beheer van hun werkgever. Daarmee is de werkgever de verwerkingsverantwoordelijke. 

      De werkgever is verantwoordelijk voor het toezicht op de naleving van de Wpg. Daarom heeft de werkgever toegang tot de gegevens die boa’s voor hun opsporingstaken verwerken.

      Verwerkingsverantwoordelijke bij toezichtstaken 

      De toezichtstaken van de boa vallen onder de Algemene verordening gegevensbescherming (AVG). De werkgever is ook dan de verwerkingsverantwoordelijke.

      Zie ook

    • Geldt de Wpg-auditplicht ook voor boa's?

      Ja. Buitengewone opsporingsambtenaren (boa’s) die voor hun opsporingstaken persoonsgegevens verwerken, vallen onder de Wet politiegegevens (Wpg). Dit betekent onder meer dat de Wpg-auditplicht ook geldt voor de werkgever van boa’s. De werkgever is namelijk de verwerkingsverantwoordelijke.

      De Wpg-audits zijn een belangrijk instrument voor het interne toezicht van een verwerkingsverantwoordelijke.

      Interne Wpg-audit: elk jaar

      Bent u werkgever van boa’s, dan bent u verplicht om elk jaar een interne Wpg-audit te doen.

      Externe Wpg-audit: elke 4 jaar, zo nodig verbeterplan en hercontrole

      Daarnaast moet u elke 4 jaar een externe Wpg-audit laten uitvoeren en de resultaten daarvan aan de Autoriteit Persoonsgegevens (AP) sturen.

      Zo nodig moet u een verbeterplan opstellen voor de onderdelen die niet voldeden aan de gestelde voorwaarden. En na een jaar een hercontrole laten uitvoeren.

      Dat verbeterplan hoeft u niet aan de AP te sturen, de resultaten van de hercontrole wel.

      Moment externe Wpg-audit

      De Wpg bepaalt dat de externe audit 2 jaar na inwerkingtreding van de auditverplichting voor de eerste keer moet worden uitgevoerd.

      Die auditverplichting is met ingang van 1 januari 2019 (inwerkingtreding van de nieuwe Wpg) van kracht geworden voor (de werkgevers van) boa’s.

      U moest de eerste externe Wpg-audit dus in 2021 laten uitvoeren. En daarna moet u dat eenmaal in de 4 jaar doen.

      Dat betekent dat u de volgende externe Wpg-audit in 2025 moet uitvoeren (over de stand van zaken in 2024).

      Wat moet ik aan de AP sturen?

      U moet de resultaten van de externe audit en van de eventuele herbeoordeling aan de AP sturen. Verslagen van interne audits en verbeterplannen hoeft u niet aan de AP te sturen.

      Zie ook

    • Geldt de Wpg-auditplicht alleen voor de overheid?

      Nee. Iedere werkgever van een of meer boa’s valt onder de auditplicht. Het maakt daarbij niet uit of deze werkgever een overheidsorganisatie is of niet.

      Ook private organisaties kunnen boa’s in dienst hebben. Bijvoorbeeld de Nederlandse Spoorwegen of Natuurmonumenten.

    • Welke eisen worden gesteld aan een interne en externe Wpg-audit?

      De wetgever heeft de regels vastgesteld voor de wijze waarop interne en externe Wpg-audits moeten worden uitgevoerd en voor de inhoud van de audits. Deze regels zijn opgenomen in artikel 33 van de Wpg, artikel 6:5 van het Besluit politiegegevens en in de Regeling periodieke audit politiegegevens.

      Eisen Wpg-audit

      Voor een Wpg-audit gelden onder meer de volgende eisen:

      • De resultaten van de externe Wpg-audit (het auditrapport) moeten aan de Autoriteit Persoonsgegevens (AP) worden gestuurd.
      • Blijkt uit de interne of externe Wpg-audit dat niet (volledig) wordt voldaan aan de Wpg? Dan moet binnen 1 jaar een hercontrole worden uitgevoerd.
      • De uitvoerders van de Wpg-audits zijn verplicht tot geheimhouding van de persoonsgegevens waarover zij de beschikking hebben gekregen.
      • De controle moet gaan over hoe het verwerken van politiegegevens is georganiseerd, de maatregelen en procedures die daarop van toepassing zijn en de werking van deze maatregelen en procedures.
      • De externe auditor moet onafhankelijk zijn en voldoen aan de eisen aan werkwijze, deskundigheid en betrouwbaarheid die in de Regeling periodieke audit politiegegevens staan.

      Eigen verantwoordelijkheid

      De invulling en toepassing van deze regels is de verantwoordelijkheid van de verwerkingsverantwoordelijke. De AP kan hierover niet oordelen of adviseren. Die invulling en toepassing hangen namelijk mede af van de specifieke situatie.

      En daarover geeft de AP zelden een oordeel of specifiek advies. Want dat vraagt om een beoordeling van alle feiten, omstandigheden en belangen. En daarin heeft niet de AP, maar de verwerkingsverantwoordelijke bij uitstek het benodigde inzicht.

      Zie ook

    • Mag uw FG de Wpg-audit uitvoeren?

      Nee, dat mag niet. De functionaris gegevensbescherming (FG) heeft als taak toezicht te houden op de naleving van de Wet Politiegegevens (Wpg) in uw organisatie. Dit is inclusief de audits. Daarom kan de FG niet zelf ook de audits uitvoeren.

    Alle antwoorden op mijn vragenVragen over het aanleveren van het Wpg-auditrapport

    • Wanneer moet u het Wpg-auditrapport aanleveren bij de AP?

      Als werkgever van boa's moet u de eerstvolgende externe Wpg-audit in 2025 laten uitvoeren. U moet de rapportage over de resultaten van de audit vervolgens uiterlijk 31 december 2025 aanleveren bij de Autoriteit Persoonsgegevens (AP).

      De AP raadt echter aan het rapport zo snel mogelijk na de audit aan te leveren. Daarmee voorkomt u dat wordt gerapporteerd over inmiddels achterhaalde informatie.

      Zie ook

    • Hoe moet u het Wpg-auditrapport aanleveren bij de AP?

      Bent u werkgever van boa’s, dan geldt de Wpg-auditplicht ook voor u. Dit betekent dat u elke 4 jaar een externe Wpg-audit moet laten uitvoeren. De resultaten daarvan moet u aan de Autoriteit Persoonsgegevens (AP) sturen.

      Digitaal aanleveren

      U levert het Wpg-auditrapport digitaal aan via: 
      wpg-audit@autoriteitpersoonsgegevens.nl

      Let hierbij op de volgende punten:

      • Verwijder namen van personen uit het document. Het is daarna niet nodig het document versleuteld te versturen.
      • Kies voor een leesbaar bestandsformaat, bij voorkeur pdf/A.
      • Zorg dat de grootte van het bestand niet meer is dan enkele MB’s.

      Template auditrapport

      Wilt u de resultaten van uw audit vergelijken met die van anderen? En met de audits die u in de toekomst uitvoert? Dan is het handig om een template te gebruiken. 

      U kunt hiervoor bijvoorbeeld gebruikmaken van het template dat NOREA heeft ontwikkeld.

      Ontvangstbevestiging

      U ontvangt na het versturen een automatische ontvangstbevestiging.

      Let op: hou ook altijd een afschrift van de door u aangeleverde auditrapporten in uw eigen administratie.

      En verder?

      Verder hoeft u niets te doen richting de AP. Uiteraard moet u zelf passende opvolging geven aan de audit door het uitvoeren van verbeterplannen en hercontroles.

      Zie ook

    • Wat doet de AP met uw Wpg-auditrapport?

      De Autoriteit Persoonsgegevens (AP) registreert de aangeleverde Wpg-auditrapporten. Daarmee kijkt de AP of u voldoet aan uw wettelijke verplichting om het auditrapport aan de AP te sturen. 

      Verder gebruikt de AP de ingezonden auditrapporten als algemene input voor het toezicht van de AP. Bijvoorbeeld om te kijken of er over bepaalde onderwerpen meer voorlichting nodig is. 

      Let op: u krijgt geen individuele reactie van de AP op uw auditrapport.