Wet Politie Gegevens

Wat is de Wet politiegegevens (Wpg)?

De Wet politiegegevens (Wpg) is een specifieke Nederlandse privacywet die bepaalt hoe politiediensten en andere instanties persoonsgegevens mogen verwerken die zij gebruiken voor hun opsporings- en handhavingstaken. De wet is ingevoerd om de privacy van burgers te beschermen, juist in situaties waarin gevoelige gegevens verwerkt worden, zoals:

  • Verdenkingen van strafbare feiten

  • Signaleringen en observaties

  • Informatie over iemands gedrag of locatie

  • Contactmomenten met opsporingsinstanties

De Wpg is daarmee vergelijkbaar met de Algemene Verordening Gegevensbescherming (AVG), maar is speciaal ontwikkeld voor situaties waarin de belangen van veiligheid en privacy sterk botsen. De Wpg geldt dus naast de AVG, niet in plaats van.

dreamstime_xxl_61658182.jpg

Voor wie is de Wpg van toepassing?

De Wpg geldt voor organisaties die politiegegevens verwerken voor de uitvoering van politietaken. Dit zijn onder andere:

  • Nationale Politie

  • Koninklijke Marechaussee

  • Gemeentelijke handhavers (BOA’s) die actief zijn in strafrechtelijke handhaving

  • Milieudiensten of toezichthouders met strafrechtelijke opsporingstaken

  • IT-dienstverleners of softwareleveranciers die werken met of toegang hebben tot politiegegevens

Ook organisaties die incidenteel politiegegevens verwerken (zoals bij een samenwerkingsproject met de politie), kunnen onder de reikwijdte van de Wpg vallen.

Wat houdt de Wpg-norm in?

De Wpg-norm is een praktische vertaling van de Wpg-wetgeving naar eisen voor informatiebeveiliging en privacybeheer. De norm bevat zowel technische als organisatorische maatregelen.

Voorbeelden van eisen in de Wpg-norm:

  • Authenticatie en autorisatie: Alleen bevoegde medewerkers mogen toegang hebben tot politiegegevens.

  • Versleuteling van gegevens: Gegevens moeten onderweg en in opslag beveiligd zijn.

  • Gedragsregels en opleidingen: Medewerkers moeten getraind zijn in omgang met privacygevoelige informatie.

  • Logging en controlemechanismen: Alle bevragingen van systemen moeten worden gelogd en gecontroleerd.

  • Afspraken met derden: Iedere externe partij moet formeel gebonden zijn aan de regels via een verwerkersovereenkomst.

De norm heeft overlap met ISO 27001 (informatiebeveiliging), maar bevat aanvullende vereisten vanwege het bijzondere karakter van politiegegevens.

Praktische toepassing van de Wpg

Een gemeente zet toezichthouders in die via een mobiele app processen-verbaal opmaken en doorsturen naar een centrale database. Omdat zij strafbare feiten registreren (bijvoorbeeld vandalisme of openbare dronkenschap), vallen deze gegevens onder de Wpg.

Dat betekent onder andere:

  • De app moet technisch beveiligd zijn tegen datalekken

  • Alleen gecertificeerde medewerkers mogen toegang hebben

  • De gemeente moet logging bijhouden en controleren wie welke gegevens heeft ingezien

  • Jaarlijks moet een onafhankelijke partij de verwerking toetsen via een Wpg-audit

Jaarlijkse auditverplichting

Een cruciaal onderdeel van de Wpg is de verplichte jaarlijkse audit. Elke organisatie die onder de Wpg valt, moet jaarlijks laten toetsen of zij voldoet aan de wettelijke eisen. Dit moet gedaan worden door een onafhankelijke auditor.

De audit omvat o.a.:

  • Beoordeling van beleidsdocumenten en procedures

  • Technische controle van systemen en toegang

  • Interviews met medewerkers en verantwoordelijken

  • Inzicht in logging, incidentregistratie en meldprocedures

  • Onderzoek naar ketensamenwerking met externe verwerkers

De resultaten van de audit worden gerapporteerd aan de Autoriteit Persoonsgegevens (AP). De AP kan op basis hiervan aanbevelingen doen of zelfs handhavend optreden bij ernstige tekortkomingen.

ISO-Cyber-Security-Normen.jpg

uw: Risico’s bij niet-naleving van de Wpg

Naleving van de Wpg is niet alleen een wettelijke verplichting, maar ook van groot belang voor de reputatie en betrouwbaarheid van de organisatie.

Gevolgen van niet-naleving kunnen zijn:

  • Boetes en sancties
    De AP kan boetes opleggen bij ernstige overtredingen of bij het ontbreken van een juiste audit.

  • Reputatieschade
    Een datalek of onrechtmatige verwerking van politiegegevens kan leiden tot negatieve media-aandacht en verlies van vertrouwen bij burgers en samenwerkingspartners.

  • Juridische gevolgen
    Burgers die schade lijden door privacy-inbreuken kunnen een rechtszaak aanspannen tegen de verwerkingsverantwoordelijke.

  • Opschorting van gegevensverwerking
    De AP kan een organisatie tijdelijk verbieden om politiegegevens te verwerken totdat de zaken op orde zijn.

Daarom is het van belang om privacy en informatiebeveiliging structureel te verankeren in beleid, processen en technologie.

Kies IRM360

Met IRM360 bent u verzekerd van een veilige en conforme toekomst op een schaalbare, praktische en kostenefficiënte manier.

Met onze managementsystemen voor onder andere Privacy, Business Continuity, Artificial Intelligence en Risk Awareness kunt u uw controle eenvoudig uitbreiden, geheel op uw eigen tempo.

Neem vandaag nog contact met ons op voor meer informatie of vraag een online demo van onze software aan.

[Klik hier om een online demo aan te vragen.]

Error:

Object reference not set to an instance of an object. : at Umbraco.Web.PublishedContentExtensions.GetPropertyValue[T](IPublishedContent content, String alias, Boolean recurse, Boolean withDefaultValue, T defaultValue) at Umbraco.Web.PublishedContentExtensions.GetPropertyValue[T](IPublishedContent content, String alias) at ASP._Page_Views_MacroPartials_Highlights_cshtml.Execute() in d:\wwwroot\IRM360\www\Views\MacroPartials\Highlights.cshtml:line 8