Veel boa-werkgevers hebben afgelopen jaar geen verplichte audit uitgevoerd op grond van de Wet politiegegevens (Wpg-audit) en een rapport hiervan aangeleverd bij de Autoriteit Persoonsgegevens. Van in totaal ruim zeshonderd boa-werkgevers heeft ongeveer de helft een auditrapport opgestuurd.
Het waren voornamelijk kleine boa-werkgevers die niets aanleverden, constateert de AP in een rapportage over de Wpg-audit.
Een boa (buitengewoon opsporingsambtenaar) kan door persoonsgegevens te registreren een grote invloed hebben op iemands levenssfeer. Zo kunnen boa’s een proces-verbaal opmaken. Dat heeft in het strafrecht speciale bewijskracht. En het kan onder meer voor politietaken gebruikt worden.
Daarnaast heeft een registratie door een boa mogelijk een jarenlange impact op een persoon. Geregistreerde gegevens kunnen worden opgenomen in een persoonsdossier of gebruikt worden voor een beoordeling van een aanvraag voor een Verklaring Omtrent het Gedrag (VOG). Het registreren van onjuiste informatie of een onzorgvuldige omgang met deze informatie kan er bijvoorbeeld toe leiden dat iemand ten onrechte geen VOG kan krijgen.
Externe audit
Werkgevers van boa’s met opsporingstaken zijn verplicht om jaarlijks een interne audit uit te voeren om de omgang met persoonsgegevens te beoordelen. Ook moeten zij elke vier jaar een externe audit laten uitvoeren. Een rapportage van deze externe audit moeten zij aan de AP sturen, zodat de AP hierop toezicht kan houden. Dit staat in de Wet politiegegevens (Wpg).
Naast politie en opsporingsdiensten gaat het om boa-werkgevers als gemeenten, vervoersbedrijven en natuurbeheerders. Boa-werkgevers hadden tot 31 december 2022 de tijd om de resultaten van de vierjaarlijkse externe audit door te geven aan de AP.
Gebrekkige aanlevering
Eind 2022 had nog geen derde van de boa-werkgevers een rapport toegestuurd. Begin 2023 was dit aantal gestegen naar ongeveer de helft van de werkgevers. Katja Mur, bestuurslid AP: “We zijn blij dat in de laatste periode toch nog behoorlijk wat Wpg-auditrapporten bij ons zijn aangeleverd. Hierdoor heeft een aanzienlijk deel van de werkgevers aan deze verplichting voldaan. Toch heeft uiteindelijk minder dan de helft van de boa-werkgevers een rapport aangeleverd.”
“Daarnaast blijken de resultaten van de externe audits helaas vaak onvoldoende te zijn. We willen dat boa-werkgevers hun zaken op orde hebben, zodat burgers erop kunnen vertrouwen dat er zorgvuldig wordt omgegaan met hun persoonsgegevens. Een groot deel van de boa-werkgevers schiet daarin op dit moment tekort.”
Onvoldoende resultaten
De AP constateert in haar rapport op basis van een steekproef van de ontvangen rapporten dat in zijn algemeenheid de naleving van de Wpg bij veel boa-werkgevers nog niet op orde is. In slechts de helft van de beoordeelde rapporten voldoen de werkgevers aan de gestelde eisen. Organisaties die onvoldoende aan de gestelde eisen voldoen, moeten verbetermaatregelen nemen. Zij moeten voor 31 december 2023 deze punten laten herbeoordelen en het verslag naar de AP sturen.
De AP gaat in gesprek met het ministerie van Justitie en Veiligheid over het lage aantal uitgevoerde audits, de onvoldoende resultaten en de eventuele vervolgstappen. Een punt van aandacht hierbij is de mate van proportionaliteit van de verplichte Wpg-audit. Ongeveer de helft van alle boa-werkgevers betreft organisaties die vijf of minder boa’s in dienst hebben. De AP heeft signalen van kleinere boa-werkgevers ontvangen die de Wpg-audit als een zware (financiële) belasting ervaren.