Privacywetgeving voor politie en justitie
Naast de Algemene verordening gegevensbescherming (AVG) hebben politie en justitie te maken met de Wet politiegegevens (Wpg) en de Wet justitiële en strafvorderlijke gegevens (Wjsg). Deze wetten vloeien voort uit de Europese Richtlijn gegevensbescherming bij rechtshandhaving. Aan welke privacywet politie en justitie zich bij hun werk moeten houden, hangt af van de taak die ze uitvoeren.
Op deze pagina
Wanneer Wpg/Wjsg en wanneer AVG?
Bij specifieke taken voor opsporing en vervolging moeten politie en justitie zich aan de Wpg en Wjsg houden. Deze wetten gelden ook bij:
- het uitvoeren van opgelegde straffen;
- taken om de openbare veiligheid te bewaken;
- taken om strafbare feiten te voorkomen.
Bij andere taken van politie en justitie is de AVG van toepassing. Bijvoorbeeld bij de verwerking van persoonsgegevens van het eigen personeel.
Privacywetgeving voor de politie
Voor de bescherming van persoonsgegevens bij de politie is er een speciale wet: de Wpg. Die regelt de verwerking van persoonsgegevens voor de uitoefening van de politietaak door onder meer de Nationale Politie en organisaties voor bijzondere opsporing.
De Wpg geldt bijvoorbeeld ook voor de verwerking van politiegegevens bij de uitvoering van de Wet administratiefrechtelijke handhaving verkeersvoorschriften.
De Autoriteit Persoonsgegevens (AP) houdt toezicht op de Wpg. Zie ook: Audit Wet politiegegevens (Wpg-audit)
Wanneer AVG bij de politie?
Soms valt een verwerking van gegevens door de politie niet onder de Wpg, maar geldt daarvoor de AVG. Dat is zo als de politie persoonsgegevens verwerkt voor:
- bepaalde politietaken, zoals de uitvoering van de Vreemdelingenwet en de grensbewakingstaak;
- toezichthoudende taken op grond van bijzondere wetten, zoals het verlenen van (wapen)vergunningen en het toezicht daarop;
- voorlichtingstaken van de politie, zoals bij het vrijgeven van camerabeelden in de (sociale) media;
- salarisadministratie en andere personeelszaken.
Meer weten? Lees de pagina Gebruik van persoonsgegevens door de politie.
Privacywetgeving voor justitie
Voor de bescherming van persoonsgegevens bij justitie is er een speciale wet: de Wjsg. Die regelt de verwerking van:
- justitiële gegevens in persoonsdossiers;
- justitiële gegevens voor de verklaring omtrent het gedrag (VOG);
- strafvorderlijke gegevens.
De AP houdt toezicht op de verwerking van justitiële en strafvorderlijke gegevens op basis van de Wjsg. Verwerken organisaties die onder justitie vallen persoonsgegevens die geen justitiële of strafvorderlijke gegevens zijn, dan geldt niet de Wjsg maar de AVG. Op deze verwerkingen houdt de AP ook toezicht.
Meer weten? Lees de pagina Gebruik van persoonsgegevens door justitie.
Aparte richtlijn gegevensbescherming politie & justitie
Naast de AVG is er een aparte Europese richtlijn voor gegevensbescherming door politie en justitie. Die wordt de Richtlijn gegevensbescherming bij rechtshandhaving genoemd.
De officiële naam daarvan is: ‘Richtlijn 2016/680 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door bevoegde autoriteiten met het oog op de voorkoming, het onderzoek, de opsporing en de vervolging van strafbare feiten of de tenuitvoerlegging van straffen, en betreffende het vrije verkeer van die gegevens’.
Alle lidstaten van de Europese Unie (EU) hebben deze Richtlijn gegevensbescherming bij rechtshandhaving omgezet in eigen nationale wetgeving. In Nederland is de Richtlijn geïmplementeerd in de Wpg en de Wjsg.
Overeenkomsten AVG en Richtlijn
Zowel de AVG als de Richtlijn gegevensbescherming bij rechtshandhaving zorgen voor:
- sterke privacyrechten voor de mensen van wie gegevens worden verwerkt;
- forse verantwoordelijkheden voor organisaties die gegevens verwerken;
- stevige bevoegdheden voor alle Europese privacytoezichthouders.
De uitgangspunten voor gegevensbescherming zijn daarom nagenoeg hetzelfde. Denk aan een:
- verwerkingsregister bijhouden;
- FG aanstellen;
- data protection impact assessment (DPIA) uitvoeren;
- voorafgaande raadpleging aanvragen.
Ook de uitgangspunten voor het doorgeven van persoonsgegevens aan landen buiten de EER zijn grotendeels gelijk.
Verschillen AVG en Richtlijn
Dit zijn de belangrijkste verschillen tussen de AVG en de Richtlijn gegevensbescherming bij rechtshandhaving c.q. de Wpg/Wjsg:
Algemene bepalingen
- De Richtlijn ziet toe op het strafrecht: het voorkomen, onderzoeken, opsporen of vervolgen van strafbare feiten of het uitvoeren van straffen door de overheid. Waaronder het beschermen van de openbare veiligheid. De AVG ziet toe op verwerkingen van persoonsgegevens die zijn gebaseerd op privaatrechtelijke en bestuurlijke rechtsverhoudingen.
- Bij de implementatie van de Richtlijn heeft de wetgever ervoor gekozen om de verwerkingsverantwoordelijke bij wet aan te wijzen. In de AVG gebeurt dit op feitelijke gronden. De verwerkingsverantwoordelijke is volgens de AVG degene die het doel en de middelen bepaalt voor de verwerking van persoonsgegevens.
- De Richtlijn bevat een voorschrift voor het onderscheid tussen feiten en meningen dat de AVG niet kent. Ook schrijft de Richtlijn voor dat er onderscheid moet worden gemaakt tussen verschillende partijen, zoals verdachten, getuigen en slachtoffers.
Beginselen
- De Richtlijn kent alleen de wet als grondslag. Verwerken politie en justitie persoonsgegevens om een taak uit te voeren die onder de Wpg of Wjsg valt? Dan vormt deze wettelijke taak de grondslag. In de AVG staan meerdere grondslagen voor het verwerken van persoonsgegevens.
- In de Wpg en Wjsg staan concrete bewaartermijnen genoemd. In de AVG staan geen concrete bewaartermijnen.
Rechten van betrokkenen
- De rechtsbescherming is verschillend. Betrokkenen hebben dezelfde privacyrechten, zoals het recht op inzage, rectificatie en wissen van gegevens. Maar vergeleken met de AVG staan er in de Richtlijn meer beperkingen en uitzonderingen. Die kunnen nodig zijn voor de opsporing en vervolging van strafbare feiten.
Beveiliging
- De Richtlijn bevat een verplichting tot logging, de AVG niet. De Richtlijn kent voor deze verplichting een langere implementatietermijn. Die liep tot 2023 en loopt in uitzonderlijke gevallen door tot 2026. In Nederland maken politie en justitie gebruik van die langere termijn.
- De Richtlijn maakt het mogelijk dat politie en justitie soms (tijdelijk) kunnen afzien van het melden van een datalek aan de slachtoffers. Dit mag wanneer de belangen van opsporen en vervolgen zwaarder wegen dan de privacybelangen van de slachtoffers. De AVG kent deze uitzondering op de meldplicht datalekken niet.
Toezichthouder
- De AVG kent meer uitgewerkte bevoegdheden voor de AP als toezichthouder om corrigerende maatregelen te nemen dan de Wpg en Wjsg.
- In tegenstelling tot de AVG biedt de Richtlijn geen ruimte aan de toezichthouder om een lijst van DPIA-plichtige verwerkingen op te stellen. Wel moeten opsporingsdiensten de AP in meer gevallen om een voorafgaande raadpleging vragen.
Overig
De Wpg kent een auditverplichting.