Privacywetgeving voor politie en justitie

Naast de Algemene verordening gegevensbescherming (AVG) hebben politie en justitie te maken met andere privacywetten, zoals de Wet politiegegevens (Wpg), de Wet justitiële en strafvorderlijke gegevens (Wjsg), het Wetboek van Strafvordering en de Politiewet. Deze wetten vloeien voort uit de Europese Richtlijn gegevensbescherming bij rechtshandhaving (RGR). Aan welke privacywet politie en justitie zich bij hun werk moeten houden, hangt af van de taak die ze uitvoeren. 

Op deze pagina

Wanneer RGR en wanneer AVG?

Bij specifieke taken voor opsporing en vervolging moeten politie en justitie zich aan de RGR houden. De RGR geldt ook bij:

  • het uitvoeren van opgelegde straffen;
  • taken om de openbare veiligheid te bewaken;
  • taken om strafbare feiten te voorkomen.

Bij andere taken van politie en justitie is de AVG van toepassing. Bijvoorbeeld bij de verwerking van persoonsgegevens van het eigen personeel.

Privacywetgeving voor de politie

Voor de bescherming van persoonsgegevens bij de politie is er een speciale wet: de RGR, zoals omgezet in onder meer de Wpg, het Wetboek van Strafvordering en de Politiewet. 

Deze wetten regelen de verwerking van persoonsgegevens voor de uitoefening van de politietaak door onder meer de Nationale Politie en organisaties voor bijzondere opsporing.

De RGR geldt bijvoorbeeld ook voor de verwerking van politiegegevens bij de uitvoering van de Wet administratiefrechtelijke handhaving verkeersvoorschriften.

De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de privacywetgeving voor de politie. Zie ook: Audit Wet politiegegevens (Wpg-audit)

Wanneer AVG bij de politie?

Soms valt een verwerking van gegevens door de politie niet onder de RGR, maar geldt daarvoor de AVG. Dat is zo wanneer de politie persoonsgegevens verwerkt voor:

  • bepaalde politietaken, zoals de uitvoering van de Vreemdelingenwet en de grensbewakingstaak;
  • toezichthoudende taken op grond van bijzondere wetten, zoals het verlenen van (wapen)vergunningen en het toezicht daarop;
  • voorlichtingstaken van de politie, zoals bij het vrijgeven van camerabeelden in de (sociale) media;
  • salarisadministratie en andere personeelszaken.

Meer weten? Lees de pagina Gebruik van persoonsgegevens door de politie.

Privacywetgeving voor justitie

Voor de bescherming van persoonsgegevens bij justitie is er een speciale wet: de Wjsg. Die regelt de verwerking van:

De AP houdt toezicht op de verwerking van justitiële en strafvorderlijke gegevens op basis van de Wjsg. Verwerken organisaties die onder justitie vallen persoonsgegevens die geen justitiële of strafvorderlijke gegevens zijn? Dan geldt niet de Wjsg maar de AVG. Op deze verwerkingen houdt de AP ook toezicht. 

Meer weten? Lees de pagina Gebruik van persoonsgegevens door justitie.

Richtlijn gegevensbescherming bij rechtshandhaving

Naast de AVG is er een aparte Europese richtlijn voor gegevensbescherming door autoriteiten die zijn belast met rechtshandhaving, waaronder politie en justitie. Dat is de Richtlijn gegevensbescherming bij rechtshandhaving (RGR). Alle landen in de EER hebben de RGR omgezet in eigen nationale wetgeving. In Nederland is de RGR geïmplementeerd in onder meer de Wpg, de Wjsg, het Wetboek van Strafvordering en de Politiewet.

Overeenkomsten AVG en RGR

Zowel de AVG als de RGR zorgen voor:

  • sterke privacyrechten voor de mensen van wie gegevens worden verwerkt;
  • forse verantwoordelijkheden voor organisaties die gegevens verwerken;
  • stevige bevoegdheden voor alle Europese privacytoezichthouders.

De uitgangspunten voor gegevensbescherming zijn daarom nagenoeg hetzelfde. Denk aan een:

Ook de uitgangspunten voor het doorgeven van persoonsgegevens aan landen buiten de EER zijn grotendeels gelijk.

Verschillen AVG en RGR

​Dit zijn de belangrijkste verschillen tussen de AVG en de RGR: 

Algemene bepalingen

  • De RGR ziet toe op het strafrecht: het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten of het uitvoeren van straffen door de overheid. Waaronder het beschermen van de openbare veiligheid. De AVG ziet toe op verwerkingen van persoonsgegevens die zijn gebaseerd op privaatrechtelijke en bestuurlijke rechtsverhoudingen.
  • Bij de implementatie van de RGR heeft de wetgever ervoor gekozen om de verwerkingsverantwoordelijke bij wet aan te wijzen. In de AVG gebeurt dit op feitelijke gronden. De verwerkingsverantwoordelijke is volgens de AVG degene die het doel en de middelen bepaalt voor de verwerking van persoonsgegevens.
  • De RGR bevat een voorschrift voor het onderscheid tussen feiten en meningen dat de AVG niet kent. Ook schrijft de RGR voor dat er onderscheid moet worden gemaakt tussen verschillende partijen, zoals verdachten, getuigen en slachtoffers.

Beginselen

  • De RGR kent alleen de wet als grondslag. Verwerken politie en justitie persoonsgegevens om een taak uit te voeren die onder de RGR valt? Dan vormt deze wettelijke taak de grondslag. In de AVG staan meerdere grondslagen voor het verwerken van persoonsgegevens, bijvoorbeeld ook toestemming.
  • In de Wpg en Wjsg staan concrete bewaartermijnen genoemd. In de AVG staan geen concrete bewaartermijnen

Rechten van betrokkenen

  • De rechtsbescherming is verschillend. Betrokkenen hebben dezelfde privacyrechten, zoals het recht op inzage, rectificatie en verwijdering van gegevens. Maar vergeleken met de AVG staan er in de RGR meer beperkingen en uitzonderingen. Die kunnen nodig zijn voor de opsporing en vervolging van strafbare feiten.

Beveiliging

  • De RGR bevat een verplichting tot logging, de AVG niet. 
  • De RGR maakt het mogelijk dat politie en justitie soms (tijdelijk) kunnen afzien van het melden van een datalek aan de slachtoffers. Dit mag wanneer de belangen van opsporen en vervolgen zwaarder wegen dan de privacybelangen van de slachtoffers. De AVG kent deze uitzondering op de meldplicht datalekken niet.

Toezichthouder

  • De AVG kent meer uitgewerkte bevoegdheden voor de AP als toezichthouder om corrigerende maatregelen te nemen dan de Wpg en Wjsg.
  • In tegenstelling tot de AVG biedt de RGR geen ruimte aan de toezichthouder om een lijst van DPIA-plichtige verwerkingen op te stellen. Wel moeten opsporingsdiensten de AP in meer gevallen om een voorafgaande raadpleging vragen. 

Overig

De Wpg kent een auditverplichting.