Ik geef samen met Suzanne Franken de cursus Privacywetgeving voor boa’s. Vanaf 2018 moeten boa’s bepaalde persoonsgegevens verwerken onder het regime van de Wet politiegegevens (Wpg) en niet onder de Algemene Verordening Gegevensbescherming (AVG). Dat levert twee ‘petten’ op voor elke boa: persoonsgegevens die ze verwerken vanuit toezicht vallen onder de AVG en gegevens die ze verwerken voor opsporing vallen onder de Wpg. In de cursus leggen we uit hoe het zit en welke consequenties dit heeft.
In mei 2018 is de Wet bescherming persoonsgegevens vervangen door de Algemene Verordening Gegevensbescherming (AVG). Maar de AVG geldt niet voor de verwerking van persoonsgegevens ter voorkoming, opsporing of vervolging van strafbare feiten: daarvoor heeft Europa namelijk een aparte Richtlijn Opsporing opgesteld. Die Richtlijn wordt door Nederland uitgevoerd door aanpassing van de Wet politiegegevens. En die Wpg gaat nu ook gelden voor boa’s op grond van het Besluit politiegegevens voor boa’s.
Voor privacybescherming is privacybewustzijn nodig
Veel organisaties huren nu tijdelijk externe krachten in om een register van verwerkingen te maken of een gegevensbeschermingseffectbeoordeling op te laten stellen. Maar dat is niet dé oplossing om als organisatie de gegevensverwerking goed in te richten.
“Privacybescherming kun je niet uitbesteden: iedereen in de organisatie moet meedoen.”
Het is verleidelijk om een ingehuurde persoon de privacy te laten ‘regelen’. Maar privacybescherming kun je niet uitbesteden: iedereen in de organisatie moet zich bewust worden van het belang van privacy. En iedereen moet meedoen. Nodig dus liever alle relevante personen in je organisatie uit om mee te denken: de werkvloer, de IT-afdeling, marketing en personeelszaken. Bespreek welke persoonsgegevens jullie verwerken, waarom je die verwerkt en wat de gevolgen zijn voor de personen waar de gegevens over gaan. Als je kunt uitleggen waarom het goed is dat je die gegevens verzamelt en je aan de wet- en regelgeving voldoet, dan mag je ze verzamelen. Als je dit niet kunt, moet je samen bekijken hoe je dit gaat aanpassen.
Streng, maar flexibel
Voor het verwerken van politiegegevens gelden andere regels dan voor persoonsgegevens. Aan de ene kant is de Wpg een strenger regime dan de AVG. Dat is ook logisch omdat de consequenties voor de personen waar gegevens van worden verwerkt heel groot kunnen zijn (vervolging, veroordeling). Daarom moet de verwerking van hun persoonsgegevens aan strenge eisen van betrouwbaarheid, rechtmatigheid en controleerbaarheid voldoen. Maar op bepaalde punten is de Wpg juist ook een opvallend soepel regime. Want binnen het domein van de politiegegevens kunnen sommige gegevens makkelijk worden gedeeld met andere opsporingsinstanties. Daarvoor geldt namelijk het principe van free flow of information – totaal anders dan in de AVG.
Theorie en praktijk
We gaan in de cursus in op de theorie en op de praktijk. Eerst bespreken we wat privacy eigenlijk is en welke wet- en regelgeving relevant is. Daarna gaan we in op het verschil tussen persoonsgegevens (AVG) en politiegegevens (Wpg). De belangrijkste wetsartikelen worden uitgebreid besproken en – in de vorm van een battle – betrekken we de deelnemers. Daarna is het tijd voor de praktijk van de boa. Welke consequenties heeft de Wpg voor de informatiesystemen? Wanneer ga je over van toezicht op opsporing? Moet je die gegevens dan anders labelen? Welke politiegegevens mag je delen met anderen? En met welke organisaties dan? Moet je altijd een convenant sluiten met anderen of kan het ‘gewoon’ onder de Wpg?
Data
23 mei 2018
10 oktober 2018 (hier aanmelden)
Zijn er meerdere collega’s met dezelfde opleidingsbehoefte? Dan kunnen we de cursus ook incompany geven. Dat is interessant vanaf tien deelnemers. Stuur even een mailtje naar info(@)kerckebosch.nl met je verzoek.
Meer weten?
Lees dit interview in Toezine.