WPG Beleid

1. Inleiding

De inwoners van gemeente Noordwijk verlangen van de gemeente dat deze op doelmatige en . doeltreffende wijze zorgdraagt voor de handhaving van de openbare orde en het onderwijs. Voorwaarde voor een goede taakuitvoering door gemeente Noordwijk is dat de daarvoor noodzakelijke politiegegevens kunnen worden vastgelegd en op een efficiënte en effectieve manier kunnen worden verwerkt. Op deze gegevensverwerkingen is de Wet politiegegevens (Wpg) van toepassing.

De Wpg biedt evenwicht tussen de bescherming van de privacy van de burger enerzijds en het belang van de rechtshandhaving anderzijds. Waar aan de ene kant uitdrukkelijk is gekozen voor verruiming van de wettelijke mogelijkheden tot opslag, gebruik en verstrekking van persoonsgegevens door de gemeente voorziet de Wpg aan de andere kant in de nodige waarborgen voor de burger tegen ongerechtvaardigde inbreuken op zijn persoonlijke levenssfeer.

Voor het toezicht houden op en handhaven van de openbare orde en het onderwijs, heeft gemeente Noordwijk buitengewoon opsporingsambtenaren (boa’s) in dienst. De Wpg is uitsluitend van toepassing op boa’s wanneer zij gegevens verwerken in hun rol als opsporingsambtenaar door gebruik te maken van hun strafrechtelijke bevoegdheid. Daarnaast is een aantal andere regelingen
van toepassing op de verwerking van politiegegevens, zoals het Besluit politiegegevens, het Besluit politiegegevens buitengewoon opsporingsambtenaren en de Regeling periodieke audit politiegegevens. Gemeente Noordwijk heeft boa’s in dienst en is als werkgever ‘verwerkingsverantwoordelijke’ in het kader van de Wpg.

Naast de opsporingstaak hebben boa’s ook andere taken zoals handhaving en toezicht binnen het eigen domein, bijvoorbeeld in het kader van de leerplichtwet. Deze persoonsgegevensverwerking door boa’s in het kader van de overige toezichtstaken vallen niet onder de werking van de Wpg, maar de AVG.De AVG en de Wpg sluiten elkaar wederzijds uit, echter is op een aantal onderdelen sprake van overlap.

Dit beleid is van toepassing op de BOA-organisatie binnen gemeente Noordwijk en alle processen, onderdelen, objecten en gegevensverzamelingen waarin politiegegevens worden verwerkt. Het Wpg beleid van de gemeente Noordwijk is in lijn met het algemene beleid van de gemeente en de relevante lokale, regionale, nationale en Europese wet- en regelgeving. Dit beleid wordt ondersteund door verschillende procedures en documentatie die in meer detail beschrijven hoe de
principes die in dit beleid worden vermeld, zijn geïmplementeerd en uitgevoerd.

2. Wet politiegegevens


2.1. Reikwijdte

Dit beleid is van toepassing op de BOA-organisatie binnen gemeente Noordwijk en alle processen, onderdelen, objecten en gegevensverzamelingen waarin politiegegevens worden verwerkt.

2.2. Wettelijke kaders voor de omgang met gegevens

Voor de omgang met politiegegevens gelden onder andere de volgende wettelijke kaders:

  • Wet politiegegevens (Wpg);
  • Wetboek van Strafvordering;
  • Regeling periodieke audit politiegegevens;
  • Besluit politiegegevens (Bpolg);
  • Besluit buitengewoon opsporingsambtenaar (BBO);
  • Algemene Plaatselijke Verordening (APV).

Interne kaders

  • privacybeleid;
  • informatiebeveiligingsbeleid.

2.3 Visie

Inwoners van de gemeente Noordwijk kunnen erop vertrouwen dat de gemeente hun privacy respecteert en zorgvuldig omgaat met hun politiegegevens.

2.4 Uitgangspunten

De gemeente houdt zich hierbij aan de volgende uitgangspunten:

Noodzakelijkheid, rechtmatigheid en doelbinding

Gemeente Noordwijk verwerkt politiegegevens alleen als daar een doel en een wettelijke grondslag voor is. Gemeente Noordwijk verwerkt politiegegevens uitsluitend op basis van artikel 8 van de Wpg (uitvoering van de dagelijkse politietaak) en op basis van de artikelen over ter beschikking stellen en verstrekking van politiegegevens (artikel 15-21 en 23-24). Verder verwerkt gemeente Noordwijk politiegegevens in het kader van artikel 13 Wpg (ondersteunende taken).

Het is mogelijk dat persoonsgegevens voor een ander dan het originele doel worden verzameld. In een dergelijk geval zal sprake moeten zijn van een zwaarwegend algemeen belang of wetgeving van de Europese Unie.

Politiegegevens worden slechts verwerkt voor zover dit behoorlijk en rechtmatig is, de gegevens rechtmatig zijn verkregen en de gegevens, gelet op de doeleinden waarvoor zij worden verwerkt, toereikend, ter zake dienend en niet bovenmatig zijn.

Juistheid en volledigheid

De gemeente heeft de nodige maatregelen getroffen opdat politiegegevens, gelet op de doeleinden waarvoor zij worden verwerkt, juist en nauwkeurig zijn, bijvoorbeeld door periodiek de juistheid, nauwkeurigheid en actualiteit te controleren. Als blijkt dat gegevens niet langer juist en compleet zijn, dan zullen deze onverwijld worden gewijzigd of vernietigd. Daarnaast is het voor betrokkenen mogelijk om bij de gemeente een verzoek in te dienen op rectificatie of vernietiging van politiegegevens.

Bewaartermijnen

Binnen gemeente Noordwijk worden politiegegevens niet langer bewaard dan noodzakelijk, zoals vereist door de toepasselijke wet- en regelgeving, of voor de doeleinden waarvoor deze zijn verwerkt. De door de gemeente vastgestelde bewaartermijn zijn opgenomen in het register van verwerkingsactiviteiten. Als verwerkingsverantwoordelijke, dient gemeente Noordwijk te voorzien in voldoende waarborgen om te bewerkstelligen dat de politiegegevens conform de wet en de doeleinden worden bewaard, verwijderd en vernietigd.

Overeenkomstig de Wpg dienen politiegegevens na verwijdering nog maximaal vijf jaar te worden bewaard. Het uitgangspunt voor de bewaarde gegevens is dat deze in beginsel niet meer beschikbaar zijn voor operationeel gebruik, noch kunnen worden verstrekt aan derden. Artikel 14 van de Wpg biedt echter een aantal uitzonderingen op de hoofdregel, bijvoorbeeld voor gebruik bij een toekomstig onderzoek in opdracht van het bevoegde gezag.

Voorts worden alle politiegegevens gelabeld per doel: opsporing en toezicht en per artikel 8, 9 en 13 informatie, dan wel apart opgeslagen in een systeem opdat onderscheid kan worden gemaakt tussen de toezichtstaken enerzijds en de opsporingstaken anderzijds. Er zijn immers twee regimes van toepassing, de Wpg en de AVG, waaraan verschillende bewaartermijnen gekoppeld zijn. Door de gegevens van elkaar te onderscheiden wordt geborgd dat politiegegevens niet langer worden bewaard dan noodzakelijk overeenkomstig de van toepassing zijnde wet- en regelgeving, dan wel voor de doeleinden waarvoor deze zijn verwerkt.

Geautomatiseerde besluitvorming

Gemeente Noordwijk maakt geen gebruik van geautomatiseerde besluitvorming, waaronder profilering als bedoeld in artikel 7a van de Wpg.

 3. Rollen en verantwoordelijkheden

Binnen de gemeente zijn verschillende rollen en verantwoordelijkheden belegd om uitvoering te geven aan dit beleid:

3.1. Clustermanager boa’s

De clustermanager van het team met daarin boa’s is naar de medewerkers verantwoordelijk voor het sturen op en monitoren van de uitvoering van het Wpg beleid en andere van toepassing zijn de wet- en regelgeving. In dat kader heeft de clustermanager onder meer de volgende taken:

  • Het onder de aandacht brengen van de handreiking/gedragsregels voor boa’s bij de medewerkers en het toezien op deze gedragsregels.
  • Het bijhouden van een overzicht met geautoriseerden.
  • Bewustmaking en opleiding van boa’s en andere geautoriseerden.
  • Actueel houden van het verwerkingenregister t.a.v. verwerkingen in het team.
  • Bijhouden van een lijst met veel regelmatig voorkomende verstrekkingen met daarbij de onderbouwing van de grondslag voor de verstrekking.
  • Zorg dragen dat artikel 8 gegevens:
    • Na 1 jaar alleen nog beschikbaar zijn voor gericht zoeken.
    • Na 5 jaar worden verwijderd, dat wil zeggen alleen beschikbaar zijn voor audits en klachtenprocedures.
    • Na 10 jaar worden vernietigd.

3.2 Buitengewoon Opsporingsambtenaren (boa’s)

Bij de gemeente zijn meerdere boa’s in dienst. Zij zijn belast met toezichts- en handhavingstaken en verwerken in dat kader persoonsgegevens. Als zij tijdens hun werkzaamheden strafbare feiten constateren, verwerken zij persoonsgegevens in het kader van de opsporingstaak. Op die verwerking is dan de Wpg van toepassing, wat inhoudt dat de verwerking van persoonsgegevens plaatsvindt in het kader van de uitvoering van de (ondersteuning van) de politietaak als bedoeld in artikel 3 Politiewet. Binnen de kaders van hun rol/functie, zijn boa’s verantwoordelijk voor een rechtmatige, behoorlijke en transparante verwerking van persoonsgegevens. Hierbij behoren boa’s zich te houden aan de handreiking, gedragsregels en werkinstructies.

3.3 Privacy Officer (PO)

De Privacy Officer stelt mede het beleid op en voert het beleid uit, ondersteunt en adviseert de gemeente en de clustermanager en is het eerste aanspreekpunt voor de gemeente voor privacy gerelateerde vragen. Hij of zij voert jaarlijks een review uit op beleidstukken, registers en overeenkomsten en zorgt dat de documentatie en vastgelegde afspraken actueel zijn en conform wet- en regelgeving.

3.4 Functionaris Gegevensbescherming (FG)

De FG houdt vanuit een onafhankelijke positie intern toezicht op de omgang met privacy en naleving van onder meer de Wpg door de gemeente Noordwijk. Hij of zij adviseert en ondersteunt de organisatie en de boa’s over de Wpg en data protection impact assessments (DPIAs) die in dit kader worden uitgevoerd. Ook zorgt de FG voor een periodieke rapportage over de naleving van de Wpg. De FG is contactpersoon voor de Autoriteit Persoonsgegevens.

3.5 Chief Information Security Officer (CISO)

De CISO ondersteunt, coördineert en adviseert vanuit een onafhankelijke positie over de te nemen maatregelen voor informatiebeveiliging. Hij of zij rapporteert hierover aan het bestuur, de directie en teamcoaches.

3.6 Autoriteit Persoonsgegevens (AP)

De Autoriteit Persoonsgegevens is de toezichthoudende instantie.

4. Verplichtingen Wpg

4.1 Register van verwerkingsactiviteiten

Net als de AVG verplicht de Wpg tot het bijhouden van een register van verwerkingen. De gemeente houdt een register van hun verwerkingsactiviteiten bij waarin een overzicht wordt gegeven van de verschillende processen die bij de gemeente worden uitgevoerd en welke soorten politiegegevens worden verwerkt. Het Wpg-register bevat onder meer informatie inzake de doeleinden van de verwerkingen, de categoriën ontvangers, de toekenning van autorisaties en of
sprake is van profilering. Dit register wordt periodiek gecontroleerd door de privacy officer in samenwerking met de clustermanager om de juistheid en volledigheid te waarborgen.

4.2 Datalekken

De gemeente heeft een proces datalekken geïmplementeerd om ervoor te zorgen dat aan alle vereisten onder de Wpg en de AVG met betrekking tot datalekken en beveiligingsincidenten wordt voldaan. In deze procedure is beschreven op welke wijze datalekken worden afgehandeld, wie daarbij welke verantwoordelijkheid heeft en hoe datalekken worden geregistreerd. De bewustwording hieromtrent is een terugkerend onderwerp tijdens awareness sessies en e-learning modules.

De gemeente houdt zich verder aan de Wpg-eisen met betrekking tot datalekken en beveiligingsincidenten door een register bij te houden van alle beveiligingsincidenten. Hierin is vastgelegd of een beveiligingsincident heeft geleid tot een datalek en, indien dat het geval is, of het datalek is gemeld en welke corrigerende maatregelen er zijn getroffen om de risico’s ten gevolge van het datalek te mitigeren.

Krachtens de meldplicht datalekken van artikel 33a van de Wpg, worden datalekken gemeld aan de Autoriteit Persoonsgegevens wanneer de inbreuk waarschijnlijk een (hoog) risico vormt voor de rechten en vrijheden van individuen wiens persoonsgegevens bij de inbreuk betrokken waren. Deze melding dient onmiddellijk, maar uiterlijk binnen 72 uur nadat er kennis is genomen van het datalek, te worden gemeld bij de AP.

Indien deze termijn niet wordt gehaald, dan wordt een motivering van de vertraging bij de melding gevoegd. Wanneer vaststaat dat het datalek een hoog risico met zich meebrengt voor betrokkenen, dan meldt de gemeente het datalek ook aan betrokkenen.

4.3 Data protection impact assessment

Een data protection impact assessment (DPIA) houdt in dat voorafgaand aan een
gegevensverwerking de privacyrisico’s in kaart worden gebracht. Op basis van een DPIA kunnen maatregelen worden getroffen om de risico’s te minimaliseren of uit te sluiten. In artikel 4c van de Wpg is een verplichting opgenomen voor het uitvoeren van een DPIA op het moment een verwerking waarschijnlijk een hoog risico voor de rechten en vrijheden van personen oplevert.

Voor de gemeente geldt als uitgangspunt dat voor iedere nieuwe verwerking of een wijziging in een bestaande verwerking waarbij politiegegevens worden verwerkt, een DPIA zal worden uitgevoerd. Een DPIA is verplicht omdat politiegegevens gevoelige gegevens zijn en er sprake is van een ongelijk machtsverhouding tussen de boa en de verdachte. De gemeente heeft een DPIA procedure opgesteld waarin het proces voor het uitvoeren van een DPIA is opgenomen. In deze procedure wordt onder meer besproken welke partijen betrokken moeten worden en aan welke verplichtingen een DPIA moet voldoen. Aanvullend is er een DPIA-register opgesteld waarin de status van alle DPIA’s is te volgens, alsmede een pre-DPIA vragenlijst.

4.4 Gegevensbescherming door beveiliging en ontwerp

Op grond van zowel de AVG als de Wpg moeten bij een gegevensverwerking de principes van gegevensbescherming door beveiliging en ontwerp worden toegepast. Op basis hiervan dient gemeente Noordwijk als verwerkingsverantwoordelijke passende technische en organisatorische
maatregelen te treffen vanaf de ontwerpfase van producten en diensten waarmee politiegegevens worden verwerkt. Bij de inrichting van een proces of de bouw van een systeem worden bijvoorbeeld alleen de politiegegevens verwerkt die noodzakelijk zijn voor het doeleinde (dataminimalisatie). Ook wordt gekeken naar de benodigde beveiligingsmaatregelen om de persoonsgegevens te beschermen en gecontroleerde autorisaties tot de persoonsgegevens te verlenen.

Voorts zullen de standaardinstellingen van een programma ingesteld moeten worden op de meeste privacy-vriendelijke manier. De gemeente zorgt er daarom voor dat programma’s niet meer politiegegevens van betrokkenen kunnen verzamelen dan nodig is voor het specifieke doeleinde en deze ook niet langer worden bewaard dan noodzakelijk is volgens wet- en regelgeving of het
doeleinde.

4.5 Rechten van betrokkenen

Binnen dit beleid worden de volgende rechten van betrokkenen geborgd:

  • Recht op informatie: betrokkenen moeten erop kunnen vertrouwen dat hun persoonsgegevens zorgvuldig worden verwerkt. Betrokkenen worden door de gemeente geïnformeerd op het moment dat zijn/haar persoonsgegevens worden verwerkt. In dit kader is onder meer een privacyverklaring met betrekking tot de Wpg gepubliceerd op de webpagina van de gemeente.
  • Recht op inzage: betrokkenen hebben de mogelijkheid om in te zien of, en op welke manier, zijn/haar politiegegevens worden verwerkt.
  • Recht op rectificatie: als duidelijk wordt dat de gegevens niet kloppen, kan de betrokkene een verzoek indienen bij de gemeente om dit te corrigeren.
  • Recht op vernietiging: betrokkenen hebben het recht om politiegegevens te laten verwijderen. De gemeente stelt eventuele partners van de gemeente, als deze de gegevens ook hebben, op de hoogte dat de betrokkene een verwijderingsverzoek heeft ingediend.
  • Recht op beperking van de verwerking: de betrokkene heeft het recht om een verzoek in te dienen tot beperking van de gegevensverwerking, bijvoorbeeld wanneer de betrokkene de juistheid van de gegevens betwist. Om te voldoen aan de vereisten met betrekking tot de rechten van betrokkenen, heeft de gemeente een procedure voor de rechten van betrokkenen opgesteld waarin is beschreven op welke wijze verzoeken worden afgehandeld, wie daarbij welke verantwoordelijkheid heeft en welke uitzonderingen van toepassing zijn. Deze procedure waarborgt een tijdige afhandeling van de verzoeken.

4.6 De doorgifte of verstrekking van politiegegevens

Overeenkomstig de Wpg kunnen politiegegevens worden gedeeld met derden partijen. Het uitgangspunt is dat doorgifte van gegevens alleen mogelijk is indien dit in de wet is bepaald. Bijvoorbeeld aan de politie om aangifte te doen naar aanleiding van een incident of aan het Regionale Informatie- en Expertise Centra (RIEC’s) inzake de bestrijding van ondermijnende criminaliteit. In het geval een andere organisatie de politiegegevens ontvangt, legt gemeente Noordwijk afspraken vast over de eisen waaraan de gegevensuitwisseling moet voldoen. Deze afspraken worden vastgelegd in overeenkomsten en voldoen aan wet- en regelgeving.

De gemeente kan voor het uitoefenen van haar taken de verwerking van politiegegevens uitbesteden aan verwerkers. Overeenkomstig artikel 6c van de Wpg maakt de gemeente alleen gebruik van verwerkers die afdoende garanties bieden dat er passende technische en organisatorische maatregelen zijn getroffen opdat de rechten van de betrokkene worden gewaarborgd. De afspraken met de verwerkers worden schriftelijk vastgelegd in verwerkersovereenkomsten. Hiervoor wordt gebruik gemaakt van het model verwerkersovereenkomst van de Informatiebeveiligingsdienst voor Gemeenten (IBD).

In het register van data doorgiften van de gemeente is per verwerking inzichtelijk of de persoonsgegevens zijn gedeeld met derden, hoe deze derden worden gekwalificeerd en of hiermee een overeenkomst is aangegaan. Voorafgaand aan iedere doorgifte voert de privacy officer een controle uit op de kwalificatie van partijen en de overeenkomst. De privacy officer controleert de overeenkomsten en de daarin vastgestelde afspraken jaarlijks.

Met betrekking tot doorgifte van persoonsgegevens buiten de Europese Economische Ruimte (EER), geldt als uitgangspunt dat politiegegevens niet worden doorgegeven. Dit uitgangspunt is niet van toepassing op een aantal derde landen, of sectoren binnen die landen, waarvoor een adequaatheidsbesluit is genomen door de Europese Commissie (EC). De EC geeft daarmee aan dat deze landen een passend en toereikend beschermingsniveau verzekeren. Voorts kan de doorgifte van politiegegevens naar derde landen of internationale organisaties plaatsvinden indien een wettelijke uitzondering of een rechtmatige overdrachtsmechanisme zoals omschreven in de artikel 17a van de Wpg van toepassing is. Voornoemde doorgifte zal iedere keer binnen de voorwaardelijke kaders van wet- en regelgeving plaatsvinden.

4.7 Informatiebeveiliging

Informatieveiligheid gaat over de beschikbaarheid, integriteit en vertrouwelijkheid van alle informatie. Hiertoe is binnen gemeente Noordwijk het Strategisch Informatiebeveiligingsbeleid 2020 – 2023 vastgesteld. De basis voor dit beleid is de NEN-ISO/IEC 27002:2017 en de daarop gebaseerde Baseline Informatiebeveiliging Overheid (BIO).

In de Wpg zijn verplichtingen opgenomen met betrekking tot het uitvoeren van interne en externe audits. Gemeente Noordwijk moet als verwerkingsverantwoordelijke jaarlijks een interne audit uitvoeren en om de vier jaar een externe audit. Hierin wordt onder meer aandacht besteed aan informatiebeveiliging, zoals logging en toegangscontrole. De rapportage die uit de externe audit voortvloeit moet worden verstrekt aan de AP. Als hierin tekortkomingen worden geconstateerd moet 3 maanden na het uitvoeren van de audit een verbeterrapportage worden opgesteld, waarop binnen een jaar een hercontrole plaatsvindt. De hercontrole geldt alleen voor die onderdelen van de wet waar de tekortkomingen geconstateerd worden. De resultaten van de hercontrole worden vastgelegd in een rapportage en eveneens verstrekt aan de AP, uiterlijk 1 jaar na het uitvoeren van de externe audit.

In het kader van de Wpg hebben medewerkers uitsluitend toegang tot politiegegevens indien dat noodzakelijk is voor de uitvoering van hun politietaak. Er is een systeem van autorisaties dat voldoet aan de vereisten van zorgvuldigheid en evenredigheid. Dit houdt in dat gemeente Noordwijk alleen die personen heeft geautoriseerd die vanuit hun functie en de wet toegang mogen hebben tot bepaalde politiegegevens. Er is een proces voor het toewijzen, wijzigen en intrekken van autorisaties ten behoeve van de toegang tot politiegegevens en er zijn maatregelen vastgesteld en geïmplementeerd met als doel dat periodiek de identiteit en de toegangsrechten van een gebruiker worden gecontroleerd.

De medewerkers zijn verplicht om de politiegegevens waarvan zij kennisnemen geheim te houden. Bij de verzending van politiegegevens worden deze altijd versleuteld verstuurd.

5. Review beleid

Dit Wpg beleid wordt minimaal 1x per jaar getoetst, of eerder indien nodig vanwege strategische ontwikkelingen, ontwikkelingen in de samenleving of verplichtingen voortvloeiend uit wet- en regelgeving.

6. In werking treding

Dit Wpg beleid treedt in werking na vaststelling door het college van burgemeester en wethouders.