Vergroot contrast

Bijzondere opsporing

De politie houdt zich bezig met opsporing in het algemeen. Specifieke opsporing is in handen van bijzondere opsporingsorganisaties.

Actueel: Wpg-audit voor boa's

Let op: de werkgevers van boa's zouden in 2021 voor het eerst een externe Wpg-audit moeten laten uitvoeren. En het auditrapport naar de Autoriteit Persoonsgegevens (AP) sturen.

Maar de AP geeft organisaties hiervoor 1 jaar uitstel. Organisaties hebben nu tot en met 31 december 2022 de tijd. Zie verder: Vragen over boa's en de Wpg-auditplicht.

Bijzondere opsporingsorganisaties

Onder de bijzondere opsporingsorganisaties in Nederland vallen:

  • bijzondere opsporingsdiensten;
  • de Koninklijke marechaussee;
  • de Rijksrecherche;
  • Teams Criminele Inlichtingen;
  • buitengewone opsporingsambtenaren (boa's).

Bijzondere opsporingsdiensten

Bijzondere opsporingsdiensten (BOD'en) zijn verantwoordelijk voor de strafrechtelijke handhaving van de rechtsorde op een specifiek beleidsterrein. Bijvoorbeeld om fraude en witwassen, mensenhandel, illegale dierenhandel en milieucriminaliteit te bestrijden.

Zij doen dit in opdracht van het Functioneel Parket, onderdeel van het Openbaar Ministerie. De persoonsgegevens die de BOD'en hierbij verwerken, vallen onder de Wet politiegegevens (Wpg). De Autoriteit Persoonsgegevens houdt toezicht op deze wet.

In Nederland zijn er 4 BOD'en. Het ministerie waar zij onder vallen is verantwoordelijk voor het verwerken van persoonsgegevens.

  1. FIOD (Fiscale Inlichtingen- en Opsporingsdienst), valt onder het ministerie van Financiën;
  2. ISZW-DO (Inspectie Sociale Zaken en Werkgelegenheid, Directie Opsporing), valt onder het ministerie van Sociale Zaken en Werkgelegenheid;
  3. NVWA-IOD (Nederlandse Voedsel- en Warenautoriteit, Inlichtingen- en Opsporingsdienst), valt onder het ministerie van Economische Zaken;
  4. ILT-IOD (Inspectie Leefomgeving en Transport, Inlichtingen- en Opsporingsdienst), valt onder het ministerie van Infrastructuur en Milieu.

De Koninklijke marechaussee

De Koninklijke marechaussee valt onder het ministerie van Defensie. De Koninklijke marechaussee voert een aantal politietaken uit, waaronder beveiliging van de leden van het koninklijk huis, bewaking op luchthaven Schiphol, bestrijding van mensensmokkel en bestrijding van fraude met reis- en identiteitsdocumenten. Dit valt onder de Wpg.

De taak binnenlands vreemdelingentoezicht en grensbewaking die de Koninklijke marechaussee uitvoert, valt onder de Algemene verordening gegevensbescherming (AVG).

Rijksrecherche

De Rijksrecherche bewaakt de integriteit van de Nederlandse overheid. Hiertoe onderzoekt de Rijksrecherche strafbare feiten in opdracht van het College van procureurs-generaal. Bijvoorbeeld (vermeend) strafbaar gedrag van overheidsfunctionarissen. Dit valt onder de Wpg.

Teams criminele inlichtingen

Teams Criminele Inlichtingen (TCI’s, voorheen Criminele Inlichtingen Eenheden (CIE’s) geheten) verzamelen, registreren en analyseren informatie over zware en georganiseerde criminaliteit.

De politie-eenheden, bijzondere opsporingsdiensten, Koninklijke marechaussee en Rijksrecherche hebben elk een eigen TCI. Dit valt onder de Wpg.

Buitengewone opsporingsambtenaren (boa's)

Naast de opsporingsambtenaren die behoren tot de politie en de hierboven genoemde organisaties, vallen ook de zogenoemde buitengewone opsporingsambtenaren (boa’s) onder de de Wpg.

Boa's zijn belast met de opsporing van bepaalde categorieën strafbare feiten op bijvoorbeeld het terrein van openbaar vervoer, milieu of onderwijs.

Deze boa’s kunnen in dienst zijn van de overheid, zoals de boa’s werkzaam bij de Douane, maar dat hoeft niet. Ze kunnen ook in dienst zijn van bijvoorbeeld de Nederlandse Spoorwegen, Staatsbosbeheer of Natuurmonumenten.

Nieuws

Alle nieuwsberichten over het onderwerp 'Bijzondere opsporing'

Alle antwoorden op mijn vragenVragen over boa's en de Wpg-auditplicht

  • Vallen boa's onder de Wpg als zij persoonsgegevens verwerken? En mag hun werkgever bij deze informatie?

    Ja, buitengewone opsporingsambtenaren (boa’s) die voor hun opsporingstaak persoonsgegevens verwerken, vallen onder de Wet politiegegevens (Wpg). Dat is zo sinds de Richtlijn politie en justitie. De werkgever van een boa heeft, als verwerkingsverantwoordelijke, toegang tot de persoonsgegevens die boa’s voor hun opsporingstaken verwerken.

    Verwerkingsverantwoordelijke bij opsporingstaken

    Boa’s kunnen als taak hebben bepaalde categorieën strafbare feiten op te sporen. Bijvoorbeeld op het terrein van openbaar vervoer, milieu of onderwijs. In zo’n geval geldt de Wpg. 

    Boa’s kunnen in dienst zijn van de overheid, zoals boa’s die werken bij de Douane of Staatsbosbeheer, maar dat hoeft niet. Ze kunnen ook in dienst zijn van private organisaties. Bijvoorbeeld de Nederlandse Spoorwegen of Natuurmonumenten. 

    Niet de werkgever, maar de individuele boa is belast met de opsporing. En die opsporing vindt plaats onder gezag van de officier van justitie. Boa’s verwerken de politiegegevens echter onder beheer van hun werkgever. Daarmee is de werkgever de verwerkingsverantwoordelijke. 

    De werkgever is verantwoordelijk voor het toezicht op de naleving van de Wpg. Daarom heeft de werkgever toegang tot de gegevens die boa’s voor hun opsporingstaken verwerken.

    Verwerkingsverantwoordelijke bij toezichtstaken 

    De toezichtstaken van de boa vallen onder de Algemene verordening gegevensbescherming (AVG). De werkgever is ook dan de verwerkingsverantwoordelijke.

    Zie ook

  • Geldt de Wpg-auditplicht ook voor boa's?

    Ja. Buitengewone opsporingsambtenaren (boa’s) die voor hun opsporingstaken persoonsgegevens verwerken, vallen onder de Wet politiegegevens (Wpg). Dit betekent onder meer dat de Wpg-auditplicht ook geldt voor de werkgever van boa’s. De werkgever is namelijk de verwerkingsverantwoordelijke.

    Interne Wpg-audit: elk jaar

    Dat betekent dat de werkgevers van die boa’s verplicht zijn om elk jaar een interne Wpg-audit te doen.

    Externe Wpg-audit: elke 4 jaar

    Daarnaast moeten de werkgever elke 4 jaar een externe Wpg-audit laten uitvoeren en de resultaten daarvan aan de Autoriteit Persoonsgegevens (AP) sturen. Zo nodig moeten zij na een jaar een hercontrole laten uitvoeren.

    Eerste externe Wpg-audit

    De Wpg bepaalt dat de externe audit 2 jaar na inwerkingtreding voor de eerste keer moet worden uitgevoerd. Die auditverplichting is met ingang van 1 januari 2019 (inwerkingtreding van de nieuwe Wpg) van kracht geworden voor (de werkgevers van) boa’s.

    Werkgevers van boa’s zouden die externe Wpg-audit dus voor het eerst in 2021 moeten laten uitvoeren. En daarna eenmaal in de 4 jaar.

    Maar de AP geeft werkgevers van boa’s 1 jaar uitstel. Dat betekent dat zij tot en met 31 december 2022 de tijd hebben om hun Wpg-auditrapport aan de AP te sturen.

    Zie ook

  • Geldt de Wpg-auditplicht alleen voor de overheid?

    Nee. Iedere werkgever van een of meer boa’s valt onder de auditplicht. Het maakt daarbij niet uit of deze werkgever een overheidsorganisatie is of niet.

    Ook private organisaties kunnen boa’s in dienst hebben. Bijvoorbeeld de Nederlandse Spoorwegen of Natuurmonumenten.

  • Welke eisen worden gesteld aan een interne en externe Wpg-audit?

    De wetgever heeft de regels vastgesteld voor de wijze waarop interne en externe Wpg-audits moeten worden uitgevoerd en voor de inhoud van de audits. Deze regels zijn opgenomen in artikel 33 van de Wpg, artikel 6:5 van het Besluit politiegegevens en in de Regeling periodieke audit politiegegevens.

    Eisen Wpg-audit

    Voor een Wpg-audit gelden onder meer de volgende eisen:

    • De resultaten van de externe Wpg-audit (het auditrapport) moeten aan de Autoriteit Persoonsgegevens (AP) worden gestuurd.
    • Blijkt uit de interne of externe Wpg-audit dat niet (volledig) wordt voldaan aan de Wpg? Dan moet binnen 1 jaar een hercontrole worden uitgevoerd.
    • De uitvoerders van de Wpg-audits zijn verplicht tot geheimhouding van de persoonsgegevens waarover zij de beschikking hebben gekregen.
    • De controle moet gaan over hoe het verwerken van politiegegevens is georganiseerd, de maatregelen en procedures die daarop van toepassing zijn en de werking van deze maatregelen en procedures.
    • De externe auditor moet onafhankelijk zijn en voldoen aan de eisen aan werkwijze, deskundigheid en betrouwbaarheid die in de Regeling periodieke audit politiegegevens staan.

    Eigen verantwoordelijkheid

    De invulling en toepassing van deze regels is de verantwoordelijkheid van de verwerkingsverantwoordelijke. De AP kan hierover niet oordelen of adviseren. Die invulling en toepassing hangen namelijk mede af van de specifieke situatie.

    En daarover geeft de AP zelden een oordeel of specifiek advies. Want dat vraagt om een beoordeling van alle feiten, omstandigheden en belangen. En daarin heeft niet de AP, maar de verwerkingsverantwoordelijke bij uitstek het benodigde inzicht.

    Zie ook

  • Mag uw FG de Wpg-audit uitvoeren?

    Nee, dat mag niet. De functionaris gegevensbescherming (FG) heeft als taak toezicht te houden op de naleving van de Wet Politiegegevens (Wpg) in uw organisatie. Dit is inclusief de audits. Daarom kan de FG niet zelf ook de audits uitvoeren.

Alle antwoorden op mijn vragenVragen over het aanleveren van het Wpg-auditrapport

  • Wanneer moet u het Wpg-auditrapport aanleveren bij de AP?

    U heef tot en met 31 december 2022 de tijd om uw eerste Wpg-auditrapport aan te leveren bij de Autoriteit Persoonsgegevens (AP).

    Wpg-auditplicht

    Bent u werkgever van boa’s, dan geldt de Wpg-auditplicht ook voor u. Dit betekent dat u elke 4 jaar een externe Wpg-audit moet laten uitvoeren. De resultaten daarvan moet u aan de AP sturen.

    Eerste Wpg-audit

    De Wpg bepaalt dat de externe audit 2 jaar na inwerkingtreding voor de eerste keer moet worden uitgevoerd.

    Die auditverplichting is met ingang van 1 januari 2019 (inwerkingtreding van de nieuwe Wpg) van kracht geworden voor (de werkgevers van) boa’s.

    Uitstel tot en met 2022

    U zou de externe Wpg-audit dus voor het eerst in 2021 moeten laten uitvoeren. Maar let op: de AP geeft u 1 jaar uitstel. Dat betekent dat u uw Wpg-auditrapport tot en met 31 december 2022 aan de AP mag sturen.

    De AP geeft deze extra tijd omdat Wpg-audits een belangrijk instrument zijn voor uw interne toezicht.

    De AP vindt het daarom belangrijk dat u de audit goed doorloopt en u de kans krijgt om verbeterplannen op te stellen en hercontroles uit te voeren, als dat nodig is. Zorgvuldigheid vindt de AP hierbij van groter belang dan snelheid.

    Automatisch uitstel

    Het uitstel van 1 jaar geldt automatisch voor alle werkgevers van boa’s. U hoeft dus niet zelf uitstel te vragen aan de AP.

    Levert u uw auditrapport niet vóór 1 januari 2022 aan? Dan gaat de AP ervan uit dat u gebruikmaakt van het jaar uitstel.

    Zie ook

  • Over welke periode moet uw Wpg-audit gaan als u gebruikmaakt van 1 jaar uitstel?

    Uw Wpg-auditrapport moet gaan over de vastgestelde wettelijke periode van onderzoek. Het uitstel zegt niets over de periode die u moet laten onderzoeken, maar alleen over de termijn waarbinnen u het auditrapport moet aanleveren aan de Autoriteit Persoonsgegevens (AP).

    Levert u bijvoorbeeld medio 2022 uw auditrapport aan? Dan moet dit rapport dus in ieder geval het jaar 2021 volledig omvatten.

    Rondt u uw auditrapport toch al in 2021 af? En stuurt u dit in 2021 nog naar de AP? Dan hoeft het rapport uiteraard 2021 niet volledig te omvatten.

    Ontwikkelingen na de wettelijke periode

    Maakt u gebruik van het uitstel dat de AP biedt? Dan kunt u uiteraard vragen om de audit ook te laten kijken naar de periode na de wettelijke periode van onderzoek.

    Maar die informatie moet u vooral gebruiken in een volgend auditrapport over de volgende wettelijke periode. 

    Eventueel kunt u wel in uw auditrapport een afzonderlijke paragraaf opnemen over de ontwikkelingen die zich hebben voorgedaan na de wettelijke periode.

  • Hoe moet u het Wpg-auditrapport aanleveren bij de AP?

    Bent u werkgever van boa’s, dan geldt de Wpg-auditplicht ook voor u. Dit betekent dat u elke 4 jaar een externe Wpg-audit moet laten uitvoeren. De resultaten daarvan moet u aan de Autoriteit Persoonsgegevens (AP) sturen.

    Digitaal aanleveren

    U levert het Wpg-auditrapport digitaal aan via: 
    wpg-audit@autoriteitpersoonsgegevens.nl.

    Let hierbij op de volgende punten:

    • Verwijder namen van personen uit het document.
    • Kies voor een leesbaar bestandsformaat, bij voorkeur pdf/A.
    • Zorg dat de grootte van het bestand niet meer is dan enkele MB’s.

    Template auditrapport

    Wilt u de resultaten van uw audit vergelijken met die van anderen? En met de audits die u in de toekomst uitvoert? Dan is het handig om een template te gebruiken. 

    U kunt hiervoor bijvoorbeeld gebruikmaken van het template dat NOREA heeft ontwikkeld.

    Ontvangstbevestiging

    U ontvangt na het versturen een automatische ontvangstbevestiging.

    Let op: hou ook altijd een afschrift van de door u aangeleverde auditrapporten in uw eigen administratie.

    En verder?

    Verder hoeft u niets te doen richting de AP. Uiteraard moet u zelf passende opvolging geven aan de audit door het uitvoeren van verbeterplannen en hercontroles.

    Zie ook

  • Wat doet de AP met uw Wpg-auditrapport?

    De Autoriteit Persoonsgegevens (AP) registreert de aangeleverde Wpg-auditrapporten. Daarmee kijkt de AP of u voldoet aan uw wettelijke verplichting om het auditrapport aan de AP te sturen. 

    Verder gebruikt de AP de ingezonden auditrapporten als algemene input voor het toezicht van de AP. Bijvoorbeeld om te kijken of er over bepaalde onderwerpen meer voorlichting nodig is. 

    Let op: u krijgt geen individuele reactie van de AP op uw auditrapport.

Alle antwoorden op mijn vragenMijn gegevens bij bijzondere opsporing

Hulpmiddelen voor de burger