Lesboek 1
Geschreven door: Aart Sterk
Colofon
Niets uit deze uitgave mag worden verveelvoudigd en/of openbaar worden gemaakt door middel van druk, fotokopie, microfilm of op welke andere wijze dan ook zonder voorafgaande schriftelijke toestemming van de uitgever.
Samenstellers en uitgever zijn zich volledig bewust van hun taak een zo betrouwbaar mogelijke uitgave te verzorgen. Niettemin kunnen zij geen aansprakelijkheid aanvaarden op onjuistheden die eventueel in deze uitgave voorkomen.
De uitgever meent alle rechten van afbeeldingen te bezitten of daar afspraken over te hebben gemaakt. Indien rechthebbenden toch een opmerking hebben, kunnen zij zich tot de uitgever wenden.
ISBN 978-94-93326-41-5
NUR 820, 600
Auteur: Aart Sterk Foto’s eigendom van @eX:plain
©Smart Educational Tools 2023
Smart Educational Tools, onderdeel van Stichting eX:plain Disketteweg 6 Postbus 1230 3800 BE Amersfoort www.smarteducationaltools.nl
Augustus, 2024
Inhoud Lesboek 1
Module 1
De buitengewoon opsporingsambtenaar en de politie
De boa en de bescherming persoonsgegevens
Inleiding
Veel organisaties maken gebruik van gegevens over personen. Deze gegevens worden opgeslagen en soms ook met andere organisaties of bedrijven gedeeld. Sinds mei 2018 zijn de regels met betrekking tot het omgaan met persoonsgegevens vastgelegd in de Algemene verordening gegevensbescherming (AVG) en de Uitvoeringswet Algemene verordening gegevensbescherming (UAVG).
De regels van de AVG hebben betrekking op het rechtmatig omgaan met persoonsgegevens.
De AVG regelt wanneer je gegevens mag verwerken en met welke reden je de gegevens mag verwerken. Door de komst van de AVG zijn de toezichtregels verscherpt en deze zijn voor Europa nu gelijk.
Leerdoelen
Na het bestuderen van dit hoofdstuk kun je:
ĵ Benoemen wat de Algemene Verordening Gegevensbescherming (AVG) regelt;
ĵ Benoemen wat de taak is van de Autoriteit Persoonsgegevens (AP);
ĵ Omschrijven wat onder persoonsgegevens en bijzondere persoonsgegevens wordt verstaan;
ĵ Omschrijven wat het verschil is tussen de regelgeving AVG, Wet Politiegegevens (Wpg), het besluit politiegegevens (Bpg) en het besluit politiegegevens Boa (Bpg Boa);
ĵ Benoemen wie zijn belast en verantwoordelijk zijn voor de verwerking en verstrekking van persoonsgegevens in het kader van de AVG.
2.1 De Algemene Verordening Gegevensbescherming (AVG)
De Autoriteit Persoonsgegevens (AP) houdt toezicht op de naleving van de regels met betrekking tot persoonsgegevens (vanuit de AVG). Voor het uitvoeren van deze taak hebben de toezichthouders verschillende soorten bevoegdheden, zoals de bevoegdheid om controles te verrichten en alle informatie te vragen die voor het toezicht nodig is. Zij kunnen waarschuwend optreden maar ook kunnen zij corrigerende maatregelen nemen zoals het stopzetten van verwerkingen.
De Algemene verordening gegevensbescherming bevat de regels met betrekking tot het rechtmatig omgaan met persoonsgegevens. Het toezicht op de naleving van deze regels wordt door de Autoriteit Persoonsgegevens gedaan.
Alle overheidsinstanties en publieke organisaties zorgen ervoor dat zij een (onafhankelijke) interne medewerker aanwijzen voor de gegevensbescherming. Deze functionaris is belast met het toezicht en onderhoudt ook de contacten met de AP.
Voor de toepassing en het omgaan met de AVG is het van belang dat men kennis heeft van de volgende definities die van toepassing zijn:
De betrokkene is degene over en van wie de persoonsgegevens worden verwerkt.
Een persoonsgegeven is alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon (art. 4 lid 1 AVG).
Een natuurlijk persoon is identificeerbaar wanneer hij of zij direct of indirect kan worden geïdentificeerd. De identificatie kan bijvoorbeeld gebeuren aan de hand van een identificatiemiddel. Identificatiemiddelen zijn bijvoorbeeld een naam, een identificatienummer, locatiegegevens, een online identificerende variabele of andere elementen die kenmerkend zijn voor de persoon.
Voorbeelden van persoonsgegevens zijn:
ĵ Een naam (van een persoon);
ĵ Een foto;
ĵ Het BSN;
ĵ Een e-mailadres;
ĵ Een vingerafdruk.
Een persoon is identificeerbaar wanneer deze nog niet geïdentificeerd, maar dit zonder onevenredige inspanning wel mogelijk is. Een persoon is geïdentificeerd wanneer deze uniek van alle andere personen binnen een groep te onderscheiden is.
De verwerkingsverantwoordelijke
De verantwoordelijke is:
ĵ Een natuurlijk persoon of rechtspersoon;
ĵ Een overheidsinstantie;
ĵ Een dienst of een ander orgaan (bijvoorbeeld bedrijf);
ĵ Iemand die alleen of samen met anderen persoonsgegevens en de middelen voor de verwerking van persoonsgegevens vaststelt.
Verwerken persoonsgegevens
Het verwerken van persoonsgegevens is (art. 4 lid 2 AVG): ‘elke bewerking of elk geheel van bewerkingen met betrekking tot persoonsgegevens of een geheel van persoonsgegevens al dan niet uitgevoerd via geautomatiseerde procedures, zoals onder andere het verzamelen, vastleggen, ordenen’. Het begrip ‘verwerken’ is erg ruim. Het varieert van het verzamelen van gegevens tot en met het vernietigen van gegevens. Het komt er in het kort op neer dat alles wat je kan doen met gegevens onder de definitie van verwerken valt.
2.1.1 Soorten persoonsgegevens
Bijzondere persoonsgegevens
Volgens de AVG is het verwerken van bijzondere persoonsgegevens verboden, tenzij er een uitzondering op van toepassing is (art. 9 AVG). Wat zijn bijzondere persoonsgegevens? Dit zijn persoonsgegevens over onder andere ras, etnische afkomst, politieke opvatting, geloofsovertuiging, lidmaatschap van een vakbond, seksueel gedrag of seksuele geaardheid.
Als deze gegevens worden gebruikt met het oog op de unieke identificatie van een persoon, gegevens over gezondheid, seksueel gedrag of seksuele gerichtheid en waarvan in de Verordening is vastgesteld dat zij gezien hun gevoeligheid een speciale regeling behoeven. Er kan ook sprake zijn van gegevens die niet ‘bijzonder’ zijn in de zin van de Verordening en die toch volgens de Autoriteit Persoonsgegevens gevoelig zijn. Je kunt hierbij denken aan financiële gegevens of locatiegegevens van mensen.
De maatregelen die moeten worden genomen om persoonsgegevens te beschermen zijn mede afhankelijk van de gevoeligheid van de gegevens en het risico dat zij kunnen vormen voor de betrokkene bij verkeerd gebruik of misbruik.
De verwerkingsverantwoordelijke is een persoon of een organisatie die het doel van en de middelen voor het gebruik van persoonsgegevens bepaalt.
De verwerker is een natuurlijke persoon of rechtspersoon, een overheidsinstantie, een dienst of een ander orgaan die ten behoeve van de verwerkingsverantwoordelijke persoonsgegevens verwerkt.
De AVG is alleen van toepassing op de verwerking van gegevens over natuurlijke personen. Ook als gegevens van personen die bijvoorbeeld binnen een organisatie werken worden verzameld o.i.d. is er sprake van verwerking van persoonsgegevens.
Gegevens over organisaties (bedrijven, ondernemingen en dergelijke) zijn géén persoonsgegevens, omdat zij geen betrekking hebben op een natuurlijke persoon. In het geval dat de organisatie een eenmanszaak is dan zeggen de gegevens iets over de persoon, namelijk de eigenaar. In dat geval is er sprake van persoonsgegevens.
De Verordening is niet van toepassing op overleden personen, omdat dit volgens de wet geen natuurlijke personen meer zijn. Wanneer de gegevens van een overledene iets zeggen over een andere persoon (meer specifiek de nabestaanden) dan kunnen het wel persoonsgegevens zijn, maar dan betreffen ze niet de overledene, maar de andere, levende persoon.
Persoonsgegevens mogen alleen verzameld worden met een gerechtvaardigd doel waarbij:
ĵ Het doel waarvoor de gegevens worden verzameld moet van tevoren bepaald zijn en duidelijk omschreven.
ĵ Het doel waarvoor de persoonsgegevens worden verwerkt moet ook in relatie staan met het doel waarvoor de persoonsgegevens zijn verzameld. Uitgangspunt voor de verwerking van persoonsgegevens moet zijn ‘zo min mogelijk gegevens’.
ĵ De organisatie of persoon die persoonsgegevens verwerkt moet de persoon van wie de gegevens worden verwerkt op de hoogte stellen dat die gegevens worden verwerkt, met welk doel dit gebeurt en door wie of welke instantie.
ĵ Een verwerker moet ‘behoorlijk’ omgaan met de gegevens en deze moeten goed worden beveiligd. Als het gaat om bijzondere gegevens, zoals ras, gezondheid en geloofsovertuiging, zijn er extra geldende regels van toepassing.
Strafrechtelijke persoonsgevens
Strafrechtelijke persoonsgegevens zijn persoonsgegevens die te maken hebben met strafrechtelijke veroordelingen en strafbare feiten of daarmee verband houdende veiligheidsmaatregelen. Het kan hierbij gaan om veroordelingen of mogelijk gegronde verdenkingen. Gegronde verdenkingen zijn concrete aanwijzingen dat iemand een strafbaar feit heeft gepleegd, zoals een zwarte lijst bij een financiële instelling.
Onder veiligheidsmaatregelen wordt verstaan de persoonsgegevens die te maken hebben met een door de rechter opgelegd verbod voor onrechtmatig of hinderlijk gedrag, bijvoorbeeld een gebiedsverbod. Voor de verwerking van strafrechtelijke gegevens gelden speciale regels.
2.2 De Wet politiegegevens (Wpg)
Het verwerken van persoonsgegevens ter uitvoering van de politietaak (art. 3 Politiewet 2012, zie hoofdstuk 1). is vastgelegd in de Wet politiegegevens (Wpg). Deze wet is van toepassing op de persoonsgegevens die worden verwerkt voor:
ĵ de politietaak;
ĵ het vervolgen van strafbare feiten;
ĵ het tenuitvoerleggen van de straffen.
Art. 2 van de Wpg bepaalt de reikwijdte van de wet. De Wpg is van toepassing op de verwerking van politiegegevens die in een bestand zijn opgenomen of die bestemd zijn om daarin op te worden genomen. De Wpg is niet van toepassing op gegevens ten behoeve van activiteiten met uitsluitend persoonlijke doeleinden of ten behoeve van de interne bedrijfsvoering. Doordat het hier gaat om politiegegevens is de Wpg veel specifieker en in deze regelgeving staan ook andere termijnen.
De Wet politiegegevens stelt regels met betrekking tot de verwerking van gegevens ten behoeve van de politietaak, het vervolgen van strafbare feiten en het tenuitvoerleggen van straffen.
In art. 1 van de Wpg staat een aantal definities die voor het werken met de gegevens die belangrijk zijn om te weten. Die beschrijven we hierna.
Politiegegevens
Elk persoonsgegeven dat in het kader van de uitoefening van de politietaak wordt verwerkt. Onder een persoonsgegeven wordt hetzelfde verstaan als binnen de AVG: ‘alle informatie over een geïdentificeerde of identificeerbare natuurlijke persoon’.
Politietaak
De taken als bedoeld in de artikelen 3 en 4, eerste lid, Politiewet 2012. Artikel 3 van de Politiewet bevat de taakomschrijving van de politie en artikel 4 bevat de taakomschrijving van de Koninklijke Marechaussee.
Verwerken van politiegegevens
Onder het verwerken van politiegegevens vallen nagenoeg alle handelingen die met betrekking tot deze gegevens verrichten kunnen worden, zoals verzamelen, vastleggen, opslaan of het wijzigen maar ook het verspreiden van de gegevens.
Verstrekken van politiegegevens
Op het moment dat je politiegegevens (gegevens waarover je als opsporingsambtenaar beschikt) bekend maakt of ter beschikking stelt, valt dit onder het verstrekken van politiegegevens.
Ter beschikking stellen van politiegegevens
Bij het ter beschikking stellen verstrek je politiegegevens aan personen die overeenkomstig deze wet zijn geautoriseerd voor het verwerken ervan.
Verantwoordelijke
De verantwoordelijken voor de verwerking en verstrekking van politiegegevens is:
ĵ De korpschef voor de politie.
ĵ De Procureur Generaal voor de rijksrecherche.
ĵ De minister van Defensie Voor de Koninklijke Marechaussee.
ĵ Bij een samenwerking tussen twee of meer organisaties wordt een verantwoordelijke aangewezen.
Betrokkene
De betrokkene is degene op wie een politiegegeven betrekking heeft.
Bewerker
Onder de bewerker wordt verstaan degene die ten behoeve van de verantwoordelijke politiegegevens verwerkt, zonder aan zijn rechtstreeks gezag te zijn onderworpen.
Ambtenaar van politie
De ambtenaar van politie is de ambtenaar bedoeld in artikel 2 van de Politiewet 2012, alsmede de ambtenaar van de Koninklijke Marechaussee voor zover werkzaam ter uitvoering van de politietaken, bedoeld in artikel 4, eerste lid, van de Politiewet 2012, en, indien artikel 46 wordt toegepast, de ambtenaar, werkzaam bij de in dat artikel bedoelde dienst.
Voor de Wpg geldt dat je gegevens voor andere doelen mag gebruiken en dat de gegevens mogen worden verzameld zonder toestemming van de betrokkene.
De strafrechtelijke politiegegevens moeten gelabeld zijn zodat deze goed worden beschermd en alleen door opsporingsambtenaren kunnen worden geraadpleegd.
De Wet justitiële en strafvorderlijke gegevens geeft de regels aan voor het verwerken van justitiële gegevens en het afgeven van een verklaring omtrent het gedrag (VOG).
De bevoegde autoriteiten die met de opsporing, vervolging en tenuitvoerlegging van straffen zijn belast moeten zich, zodra zij persoonsgegevens verwerken ten behoeve van een van de in dit hoofdstuk genoemde doelen, houden aan de Wpg. Onder deze autoriteiten vallen de Nationale Politie, de Koninklijke Marechaussee en de Rijksrecherche. Ook de buitengewoon opsporingsambtenaren, gemeentelijke handhavers, parkeercontroleurs, conducteurs en handhavers binnen het Openbaar Vervoer vallen hieronder.
Voor de boa geldt dat hij met twee petten op zijn werk doet. Aan de ene kant is hij toezichthouder en aan de andere kant opsporingsambtenaar. Voor de verwerking van persoonsgegevens is het van belang vast te stellen binnen welke taak hij de gegevens gebruikt. Voor zijn optreden als opsporingsambtenaar geldt dat de boa zich op grond van art. 46 Wpg, het Besluit politiegegevens (Bpg) en Besluit politiegegevens buitengewoon opsporingsambtenaren (Bpg voor de Boa ) moet houden. Als de boa niet aan het werk is als opsporingsambtenaar moet hij zich aan de Algemene verordening gegevensbescherming (AVG) regelgeving houden. In paragraaf 2.3 gaan we dieper in op de Bpg voor de boa.
De boa moet steeds nadenken over wat hij wel of niet mag/moet doen als het gaat om het delen en verwerken van gegevens.
Het gaat dan om:
ĵ Wat ben ik verplicht te doen?
ĵ Wat mag ik juist niet (meer) doen?
ĵ Kan ik in dit geval mogelijk afwijken?
De boa zal tijdens zijn werkzaamheden steeds rekening moeten houden met beide wetten. Zo zal de boa er rekening mee moeten houden dat de gegevens in zijn notitieboekje onder de AVG dan wel de Wpg of de Bpg voor de Boa vallen. Hij zal deze gegevens daarom goed moeten opbergen en wanneer hij deze weggooit zal dit ook op een wijze moeten plaatsvinden dat de gegevens niet door anderen zijn te raadplegen.
De boa moet er ook rekening mee houden dat hij politiegegevens niet zonder meer kan verstrekken aan overige medewerkers van de gemeente zoals wethouders en andere ambtenaren. De boa heeft een geheimhoudingsplicht en moet zich houden aan de regelgeving van de Wpg, dus hij mag dit soort zaken niet delen met andere betrokkene. Het delen van informatie moet plaatsvinden via de verwerkingsverantwoordelijke.
Voor wat betreft de verstrekking van politiegegevens is onder andere artikel 4:2 van het Besluit politiegegevens en de artikelen 6 en 7 van de Bpg voor de Boa van belang. In deze artikelen staan vermeld aan wie informatie mag worden verstrekt als dit voor hun taak nodig is.
Voor de boa zijn dit onder andere de volgende instanties:
ĵ De commissie Schadefonds Geweldsmisdrijven;
ĵ De Slachtofferhulp Nederland;
ĵ Het Waarborgfonds Motorverkeer;
ĵ Het Centraal Bureau Rijvaardigheidsbewijzen;
ĵ Bureau Halt;
ĵ De reclassering;
ĵ De burgemeester en wethouders in verband met de jeugdzorg;
ĵ De Raad voor de Kinderbescherming;
ĵ Benadeelden van strafbare feiten, alsmede de personen die in verband met die feiten in hun rechten zijn getreden als zij de gegevens nodig hebben om in rechte voor hun belang op te komen, bijvoorbeeld in verband met het schadeverhaal.
2.3 Het Besluit politiegegevens (Bpg) voor de boa
Zoals hiervoor vermeld is voor de Boa behalve de AVG en de WPG ook het Besluit Politiegegevens Buitengewoon Opsporingsambtenaren (Bpg voor de boa) van belang. Artikel 1 Bpg voor de boa geeft de definities welke in dit besluit zijn opgenomen belangrijk is dat de verwerkingsverantwoordelijke de werkgever van de Boa is zoals bedoeld in artikel 1, onderdeel h, van het Besluit buitengewoon opsporingsambtenaar en het domein het in de akte van de boa vermelde terrein waar de boa werkzaam is.
Artikel 2 Bpg van dit Besluit bepaalt dat het bij de WPG bepaalde ook van toepassing is op de verwerking van persoonsgegevens door de boa. Een uitzondering hierop betreft onder andere de politiegegevens met betrekking tot het beramen of plegen van de ernstiger misdrijven.
Artikel 6 en 7 van dit Besluit geven nadere regels betreffende de verstrekking van gegevens door de verwerkingsverantwoordelijke die door de Boa zijn verzameld of verwerkt aan andere personen of bestuursorganen die met de opsporing of toezicht zijn belast.
Artikel 6 Bpg bepaalt dat de verwerkingsverantwoordelijke als dat in overeenstemming is met de opsporingstaak en in overeenstemming met het bevoegd gezag, de OvJ, beslissen dat politiegegevens verzameld en verwerkt door de boa worden verstrekt aan andere personen of instanties als dat nodig is voor hun taak.
Met betrekking tot de verstrekking wordt vastgelegd welk zwaarwegend belang er was om de gegevens te verstrekken en aan wie en onder welke voorwaarden de gegevens zijn verstrekt.
Artikel 7 Bpg bepaalt dat de verwerkingsverantwoordelijke in overeenstemming met het bevoegd gezag, de OvJ, politiegegevens die zijn verzameld en verwerkt door de boa worden verstrekt aan een bestuursorgaan of aan personen die bij of krachtens wetgeving is of zijn belast met het houden van toezicht op de naleving dan wel de uitvoering van wetgeving op het betreffende domein, voor zover dat noodzakelijk is voor een goede uitvoering van zijn of hun taak.
In bijzondere gevallen kan deze verstrekking ook worden gedaan voor het houden van toezicht of de uitvoering van wetgeving op een ander domein.
De boa moet zich, als hij met opsporingstaken bezig is, aan de regelgeving van de Wet politiegegevens (Wpg), het Besluit politiegegevens (Bpg) en aan het Besluit Politiegegevens Buitengewoon Opsporingsambtenaren houden. Als hij met overige werkzaamheden bezig is, moet hij zich houden aan de regels van de Algemene verordening gegevensbescherming (AVG).
Persoonsgegevens mogen alleen worden verzameld met een bepaald doel. De verantwoordelijke voor de verwerking en verstrekking van de gegevens is voor de Boa de werkgever, bedoeld in artikel 1, onderdeel h, van het Besluit buitengewoon opsporingsambtenaar (artikel 1 BPG Boa).
Samenvatting
De boa moet als hij met opsporingstaken bezig is zich aan de regelgeving van de Wet politiegegevens (Wpg), het Besluit politiegegevens (Bpg) en aan het Besluit Politiegegevens Buitengewoon Opsporingsambtenaren houden. Als hij met overige werkzaamheden bezig is, moet hij zich houden aan de regels van de Algemene verordening gegevensbescherming.
Persoonsgegevens mogen alleen worden verzameld met een bepaald doel. De verantwoordelijke voor de verwerking en verstrekking van de politiegegevens is de werkgever, bedoeld in artikel 1, onderdeel h, van het Besluit buitengewoon opsporingsambtenaar (artikel 1 BPG Boa).
Beantwoord de vragen en opdrachten van hoofdstuk 2 in de digitale leeromgeving.