Veel werkgevers van boa’s hebben de resultaten van de verplichte Wpg-audit niet of te laat toegestuurd. Dat constateert de Autoriteit Persoonsgegevens (AP). De AP gaat deze organisaties om tekst en uitleg vragen.

Werkgevers van buitengewoon opsporingsambtenaren (boa) met opsporingstaken zijn verplicht om jaarlijks een interne audit uit te voeren om de omgang met persoonsgegevens te beoordelen. Ook moet elke vier jaar een externe audit uitgevoerd worden. Een verslag hiervan wordt aan de AP gezonden. Dat staat in de Wet politiegegevens (Wpg) waar de privacyregels voor onder meer de Nationale Politie en opsporingsdiensten in staan. De AP houdt hier toezicht op. Op 31 december 2022 had de AP van ruim 600 boa-werkgevers een auditrapport moeten hebben ontvangen. De teller bleef steken op een derde daarvan.

Redenen tot zorg
Katja Mur, bestuurslid AP: “Het lage aantal opgeleverde Wpg-auditrapporten baart ons zorgen. Mensen van wie gegevens door een boa worden geregistreerd moeten erop kunnen vertrouwen dat zorgvuldig wordt omgegaan met die registratie. De impact van een registratie op een burger kan erg groot zijn. In sommige gevallen kan iemand er jarenlang last van hebben. Daar moeten werkgevers zich bewust van zijn. Om de kwaliteit van de omgang met persoonsgegevens te verbeteren schrijft de wet audits voor. Wanneer een boa-werkgever geen verslag aanlevert bij de AP, kan dat betekenen dat er geen audit is uitgevoerd. We zien in de rapportages die wél zijn aangeleverd dat veel organisaties hun zaken niet op orde hebben. Zij scoren slecht, maar brengen met een rapport op zijn minst in beeld waar verbetering nodig is. De AP maakt zich dan ook bovenal zorgen over de organisaties die helemaal geen rapport aanleveren.”

Gesprekken met organisaties
De AP gaat boa-werkgevers aanspreken op het niet of niet tijdig aanleveren en sluit niet uit dat er handhavende activiteiten voortvloeien uit deze gesprekken. De organisaties waar de AP een gesprek mee zal voeren, krijgen uiterlijk 20 januari bericht.
De AP benadrukt dat het aanleveren van een rapport een verplicht onderdeel is van de auditcyclus van de Wpg. Het uitvoeren van audits, zowel jaarlijks intern als eens per vier jaar extern, biedt de boa-werkgever essentiële informatie om de interne organisatie van persoonsgegevens te verbeteren. De wet schrijft voor dat een organisatie bij een onvoldoende resultaat een plan van aanpak opstelt. Binnen een jaar moeten de vorderingen opnieuw worden beoordeeld. Ook dit rapport wordt met de AP gedeeld.
Organisaties zijn verantwoordelijk om na te gaan of zij onder de auditplicht vallen. Op de website van de AP vinden zij antwoorden op veel gestelde vragen.