Geen BOA's in dienst ≠ WPG audit!

maandag 03 april 2023

In het Besluit politiegegevens buitengewoon opsporingsambtenaren (Bpbo) is opgenomen dat de werkgever van de BOA verwerkingsverantwoordelijke is in het kader van de Wpg. In de praktijk heeft dit bij de Wpg-audit voor gemeenten veel discussie opgeleverd.[1] Moet je bijvoorbeeld tóch een Wpg-audit uitvoeren ondanks dat je geen BOA’s in dienst hebt? En wie is eigenlijk de werkgever van de BOA? Dit artikel legt uit hoe dat zit. Het artikel sluit af met een verwonderlijk neveneffect van de wet die de rechtspositie van ambtenaren heeft gewijzigd, de Wnra; betrokkenen hebben door deze wet minder rechtsbescherming gekregen.

Het korte antwoord: een Wpg-audit is enkel verplicht indien de gemeente zelf BOA’s in loondienst heeft. Worden BOA’s ingehuurd van een buurgemeente? Dan hoeft de inhurende gemeente geen Wpg-audit uit te voeren. BOA’s ingehuurd van een particuliere organisatie moeten wel aangesteld worden als onbezoldigd ambtenaar, in dit geval valt de gemeente (weer wel) onder de Wpg-verplichting.

Wie is verwerkingsverantwoordelijke?
Binnen L2P worden wij met enige regelmaat geconfronteerd met de discussie: wie is verwerkingsverantwoordelijke? De essentie van de Wpg en AVG is het rechtmatig verwerken van persoonsgegevens met de algemene beginselen voorop. Betrokkenen hebben weinig baat bij een eindeloze juridische discussie.[2]

Deze discussie wordt een stuk eenvoudiger als de wet voorschrijft wie verwerkingsverantwoordelijke is. Het Bpbo is hier een voorbeeld van. In artikel 1 staat dat de werkgever van de BOA verwerkingsverantwoordelijke is. Dit lijkt simpel, maar schijn bedriegt. Drie vervolgvragen die je hierover kan stellen:
1. Waarom is de werkgever verwerkingsverantwoordelijke?
2. Wie of wat is precies de werkgever van de BOA?
3. Hoef ik als gemeente geen audit uit te voeren indien BOA’s worden ingehuurd van een buurgemeente of van een particuliere organisatie?

1) Waarom is de werkgever verwerkingsverantwoordelijke?

Om meer te weten te komen over de vraag waarom de werkgever verwerkingsverantwoordelijke is kijken we eerst in de Nota van Toelichting bij het Bpbo.

Wat gelijk opvalt is dat de Autoriteit Persoonsgegevens (AP) opmerkte dat uit de (oude) toelichting niet duidelijk blijkt of de werkgever de verwerkingsverantwoordelijke is. De wetgever heeft gehoor gegeven aan de opmerking van de AP en gaat vervolgens uitvoerig in op de vraag wie verwerkingsverantwoordelijke is voor de verwerkingen van BOA’s. De wetgever beschrijft verschillende opties en geeft aan waarom onderstaande personen en organisaties geen optie zijn:
1) BOA’s vallen af omdat ze formeel niet bevoegd zijn om te bepalen hoe politiegegevens verwerkt dienen te worden
2) De Politie valt af omdat er geen hiërarchische relatie bestaat met BOA’s.Ook heeft de Politie geen beheersbevoegdheden.
3) De Officier van Justitie (OvJ) valt af omdat ook hier geen hiërarchische relatie bestaat en beheersbevoegdheden ontbreken. Hierbij wordt wel opgemerkt dat de BOA’s op basis van artikel 142 Wetboek van Strafvordering onder het gezag van de OvJ vallen. Dit heeft echter niet het gevolg dat de OvJ verwerkingsverantwoordelijke is.
4) Het OM valt af omdat het ongebruikelijk zou zijn haar aan te wijzen als verwerkingsverantwoordelijke. Hierbij merkt de wetgever op dat het OM ook geen zeggenschap over de gegevensverwerking van de politie heeft.

Vervolgens wordt zonder nadere toelichting de werkgever van de BOA aangewezen als verwerkingsverantwoordelijke. Hierbij wordt ook gekeken vanuit het oogpunt van betrokkenen: Veelal zal een burger zich met vragen over een sanctie en daaraan gerelateerde persoonsgegevens wenden door de instantie van wie de sanctie is uitgegaan en is de werkgever bij burgers een bekende instantie.

Een burgemeester heeft geen gezag over BOA’s
Zoals hiervoor werd aangegeven staan de BOA’s onder gezag van de OvJ. Dit vergt een toelichting. In de Wet politiegegevens staat dat de verwerkingsverantwoordelijke, indien noodzakelijk, politiegegevens moet verstrekken aan de burgemeester. Deze kunnen verstrekt worden in het kader van het gezag en zeggenschap van de burgemeester over de politie of in het kader van handhaving openbare orde.[3] In andere woorden: de burgemeester kan politiegegevens opvragen bij de politie indien noodzakelijk voor uitvoering van zijn taken.

In het Bpbo is opgenomen dat dit artikel niet van toepassing is op BOA’s.[4] In de Nota van Toelichting staat waarom: de burgemeester heeft geen gezag of zeggenschap over de taakuitvoering van een BOA voor zover het gaat om de opsporing van strafbare feiten. Hierdoor kan de burgermeester ook geen politiegegevens ‘opeisen’.

Gezag en verwerkingsverantwoordelijke zijn dus twee verschillende begrippen. Opsporing van strafbare feiten valt onder het gezag van de OvJ. De burgemeester heeft het gezag over de handhaving van de openbare orde en veiligheid. De burgemeester (lees: het college) heeft overigens wel zeggenschap over de toezichthoudende taken van BOA’s, dit valt onder de AVG.

Wet politiegegevens
Als we nog wat verder deze materie induiken dan blijkt dat de AP ook de nodige opmerkingen heeft gemaakt over de wetswijziging van de Wpg.[5] Ook hier heeft de discussie omtrent verwerkingsverantwoordelijke zich voorgedaan. De AP begint met de opmerking dat het begrip verwerkingsverantwoordelijke zowel een autonoom als functioneel begrip is. Dit wil zeggen dat gebruikelijk is om de verantwoordelijkheid neer te leggen daar waar de feitelijke invloed ligt. Om deze reden geeft de AP aan dat conform het wetsvoorstel de burgemeester verwerkingsverantwoordelijke is. De reden hiervoor is dat de burgemeester een feitelijke gezagshouding heeft ten opzichte van de politie.

De wetgever verwijst naar de richtlijn[6] als reactie op het advies van de AP. Hierin staat dat de richtlijn de mogelijkheid heeft om wettelijk te bepalen wie verwerkingsverantwoordelijke is. Vervolgens geeft de (in lijn met voorgenoemde nota van toelichtingen) wetgever aan waarom de werkgever van de BOA de verwerkingsverantwoordelijke is.

De bevoegdheid om BOA te mogen zijn wordt verleend door de minister van Justitie en Veiligheid of het College van procureurs-generaal.[7] De opsporing van strafbare feiten vindt vervolgens plaats onder het gezag van de OvJ. De OvJ kan geen verwerkingsverantwoordelijke zijn omdat de hiërarchische relatie ontbreekt en de OvJ is niet betrokken bij de bedrijfsvoering van de organisatie waar de BOA in dienst is. De wetgever sluit af met conclusie dat de werkgever van de BOA verwerkingsverantwoordelijke is vanwege de beheersmatige en hiërarchische zeggenschap die de werkgever heeft.

Besluit buitengewoon opsporingsambtenaar
Kunnen we nog verder de materie in? Ja, dat kan. In artikel 1 van het Bpboa is het volgende opgenomen: Verwerkingsverantwoordelijke: de werkgever, bedoeld in artikel 1, onderdeel h, van het Besluit buitengewoon opsporingsambtenaar. Er wordt dus een verwijzing gemaakt naar het Besluit buitengewoon opsporingsambtenaar (Bpo). In de Bpo is vervolgens het volgende opgenomen: Werkgever: de werkgever van de buitengewoon opsporingsambtenaar.

Als we in de wetsgeschiedenis van het Bpo kijken dan zien we dat de definitie van werkgever al sinds 1994 in het besluit is opgenomen en sindsdien ook niet is gewijzigd. Gelet op het jaartal is het niet verwonderlijk dat in de wetsgeschiedenis geen aandacht is besteed aan noch de verwerking van persoonsgegevens noch de rol van verwerkingsverantwoordelijke. In 1994 was zelfs de voorloper van de AVG (de Wet bescherming persoonsgegevens) niet eens vastgesteld.

Wat wel duidelijk naar voren komt in het Bbo is dat de werkgever van de BOA een belangrijke rol inneemt. Zo is bijvoorbeeld in artikel 9 opgenomen dat de werkgever een akte van opsporingsbevoegdheid moet indienen bij de minister.

2) Wie is de werkgever van de BOA?

In het Bpbo staat dus dat de werkgever van de BOA verwerkingsverantwoordelijke is. Maar wie is formeel de werkgever van de BOA binnen een gemeente?

De gemeente als publiekrechtelijke rechtspersoon.
Sinds de Wet normalisering rechtspositie ambtenaren (Wnra) valt de rechtspositie van een ambtenaar onder het privaatrecht en niet meer onder het publiekrecht. Een arbeidsovereenkomst wordt gesloten met de publiekrechtelijke rechtspersoon: de gemeente.[8] De burgemeester is bevoegd om de arbeidsovereenkomst te tekenen namens de gemeente.[9] De burgemeester tekent de overeenkomst dus niet namens zichzelf of het college (beide bestuursorganen).

Dit betekent dat de verwerkingsverantwoordelijke voor BOA’s de publiekrechtelijke rechtspersoon, de gemeente, is. Dit zou je niet verwachten, immers voor het merendeel van de verwerkingen die een ‘’gemeente’’ doet is het college of de burgemeester als bestuursorgaan verwerkingsverantwoordelijke. Dit laatste valt onder het publiekrecht.

3) Verplichte Wpg-audit bij (externe) inhuur?

En dan de laatste vraag: ik huur af en toe een BOA in van een buurgemeente of een particuliere organisatie. Moet ik dan ook een Wpg-audit uitvoeren?

Inhuren van een BOA van particuliere organisatie 
Door verschillende oorzaken, zoals langdurige ziekte, kan er binnen een gemeente de wens zijn om tijdelijk een BOA in te huren van een particuliere organisatie. In de Beleidsregels Buitengewoon Opsporingsambtenaar, hoofdstuk 3.1, is de hoofdregel opgenomen dat een BOA in beginsel in bezoldigde dienst moet zijn van de “overheid”. [10] De reden hiervoor is simpel: het gebruik van opsporingsbevoegdheden en geweldsmiddelen is voorbehouden aan de overheid. Op deze hoofdregel bestaat (uiteraard) een uitzondering. Deze uitzondering houdt in dat een overheidsorgaan een zogenoemde particuliere functionaris (lees: BOA) kan inzetten. Specifiek wordt vermeld dat de BOA dus een arbeidsovereenkomst heeft met een particuliere werkgever en dat de BOA loon ontvangt van deze werkgever.

De inhuur van een BOA van een particuliere organisatie is niet zonder beperkingen. In hoofdstuk 6.3[11] van de beleidsregels worden nadere eisen gesteld. Zo moet de lokale driehoek toestemming geven. Ook moet de BOA herkenbaar zijn als ambtenaar van de gemeente.. Tot slot zien we dat de gemeente ingehuurde BOA als onbezoldigde ambtenaar moet aanwijzen. Dit zorgt dat de BOA ambtenaar wordt van de gemeente. Hiermee is de gemeente de tweede werkgever van de BOA. Hieruit kunnen we de conclusie trekken dat de particuliere organisaties die BOA’s detacheren geen verwerkingsverantwoordelijke zijn. De inhurende gemeente is dat wel en moet als resultaat een verplichte Wpg-audit uitvoeren.

Inhuren van een BOA van een andere gemeente
Naast het inhuren van een particuliere BOA gebeurt het ook vaak dat (kleine) gemeenten een BOA van een buurgemeente inhuren. Dit zie je bijvoorbeeld als zich een casus voordoet die onder het strafrecht afgedaan moet worden. Deze situatie doet zich in de praktijk voornamelijk voor bij de Leerplichtwet en de Participatiewet waarbij naast bestuursrechtelijke handhaving ook het strafrecht gebruikt kan worden. Omdat dit (gelukkig) bij kleinere gemeenten weinig voorkomt loont het niet om een eigen BOA op te leiden en aan te stellen. Tijdelijk een BOA invliegen van een buurgemeente is dan veel eenvoudiger.

Als we kijken naar de mogelijkheden en eisen die de Beleidsregels Buitengewoon Opsporingsambtenaren geven voor de inhuur van een BOA van een andere gemeente dan zien we dat – anders dan bij de particuliere inhuur- deze situatie niet volledig is beschreven. Dit hoeft voor een enkele aanstelling geen problemen te geven. De hoofdregel dat een BOA in bezoldigde dienst moet zijn van een publiekrechtelijk rechtspersoon wordt niet geschonden bij inhuur door een buurgemeente. Van deze buurgemeente krijgt de BOA geen loon, van zijn primaire werkgever wel.

De beleidsregels geven wel aan dat een BOA in beginsel in zijn eigen gebied werkzaam moet zijn. Wil een BOA buiten dit gebied werkzaam zijn dan moet dit in overleg met de lokale driehoek plaatsvinden. Ook moet deze samenwerking worden vastgelegd in een samenwerkingsovereenkomst. In de bijlage bij de beleidsregels is een voorbeeld opgenomen van een dergelijke samenwerkingsovereenkomst. Afspraken over het werkgeverschap en/of de verwerking van politiegegevens zijn niet opgenomen in dit voorbeeld.

Als we de voorgaande lijn omtrent het begrip verwerkingsverantwoordelijke doortrekken dan krijgen we een enigszins bijzondere situatie. Stel, gemeente A heeft een casus waarbij een inwoner voor meer dan €50.000 euro heeft gefraudeerd. Conform de richtlijn voor strafvordering sociale zekerheidsfraude moet dit in beginsel strafrechtelijk worden afgedaan. Omdat gemeente A geen eigen BOA in dienst heeft in domein V wordt een beroep gedaan op buurgemeente B. Het dossier wordt overgedragen aan gemeente B en een strafbeschikking wordt uitgevaardigd. Dit heeft tot gevolg dat er twee verwerkingsverantwoordelijke zijn: gemeente A voor de AVG én gemeente B voor de Wpg. Het bestuursrecht (AVG) wordt gebruikt voor de preparatoire sanctie en het strafrecht (Wpg) voor de punitieve sanctie. Gemeente B treedt in dit geval dus niet op als verwerker van gemeente A.

Dit is ongeacht de werkwijze van de betreffende BOA in de praktijk. De BOA van gemeente B kan gebruik maken van de systemen van gemeente A, wat er weer toe leidt dat gemeente A voor het Wpg-dossier optreedt als verwerker van gemeente B. Deze verdeling van rollen sluit in onze beleving niet aan bij de tekst van de MvT bij de Wpg en de Nota van Toelichting bij het Bpbo.

Standpunt van de NOREA

De NOREA is de beroepsgroep van IT-auditors. Als beroepsorganisatie heeft de NOREA handreikingen opgesteld voor auditors die een externe Wpg-audit uitvoeren. In de FAQ van de NOREA komt ook de vraag naar voren omtrent de verwerkingsverantwoordelijke.
Vraag 1: Wie is verantwoordingsplichtig bij uitbesteding van taken? Milieu inspectie wordt bijvoorbeeld door gemeentes vaak belegd bij een omgevingsdienst. Dient dergelijke uitbesteding meegenomen te worden in de verantwoording door de gemeente? Dient de omgevingsdienst dan een TPM aan de gemeente te leveren? Of moet een omgevingsdienst zich rechtstreeks verantwoorden naar de AP?
Antwoord: Wij gaan er vooralsnog vanuit dat de omgevingsdienst in dit voorbeeld zich direct verantwoordt aan de AP. In de Handreiking staat ‘Hieruit volgt dat de verwerkingsverantwoordelijke (doorgaans is dit de werkgever van de boa) in het kalenderjaar 2021 een externe privacy audit Wpg laat uitvoeren.’ Wellicht komen we in de praktijk nog andere situaties tegen die nopen tot bijstelling van dit uitgangspunt, maar vooralsnog zien wij die niet. Dit is in lijn met de tekst in artikel 1 lid c is in het Besluit politiegegevens buitengewoon opsporingsambtenaren “verwerkingsverantwoordelijke: de werkgever, bedoeld in artikel 1, onderdeel h, van het Besluit buitengewoon opsporingsambtenaar”.

Vraag 2: Maakt het voor de Wpg verantwoording bij uitbesteding van taken nog uit of deze zijn gemandateerd of gedelegeerd aan een andere overheidsorganisatie?
Antwoord: Nee, bij uitbesteding van taken is de werkgever van de boa verantwoordingsplichtig.

De NOREA houdt vast aan de taal technische uitleg van de wet. Dit is niet onbegrijpelijk. Hierbij wordt wel opgemerkt dat het voorbeeld van de NOREA eenvoudiger te begrijpen is (voor betrokkenen) dan het inhuren van een BOA door een andere gemeente. Omgevingsdiensten werken immers op een grotere afstand van de gemeente. Voor de buitenwereld is dit dan ook een hele andere organisatie. Dat is anders dan wanneer je een uitkering ontvangt van gemeente A en vervolgens bij een strafbeschikking te maken hebt met gemeente B.

De gevolgen voor de praktijk

Welke gevolgen heeft dit alles voor de praktijk? Als we naar de Wpg-audit kijken dan is het van belang dat een gemeente duidelijk in beeld heeft welke BOA’s wel ambtenaar zijn van de gemeente, en welke niet. De auditverplichting is alleen van toepassing op BOA’s die ambtenaar zijn van de betreffende gemeente.

Onbedoelde neveneffect: minder rechtsbescherming voor de burger
Verder zijn er, naar mijn mening, onbedoelde neveneffecten waar betrokkenen de dupe van worden. Zo zal een betrokkene een verzoek tot inzage moeten indienen bij de gemeente waar de BOA werkzaam is en niet de gemeente waar het strafbare feit zich heeft voortgedaan. Daarnaast is de reactie van de gemeente als publiekrechtelijk rechtspersoon op een verzoek tot inzage geen besluit in de zin van de Algemene wet bestuursrecht. Het besluit is immers niet genomen door een bestuursorgaan. Dit heeft tot gevolg dat een betrokkene niet in bezwaar en beroep kan gaan tegen de afhandeling van zijn verzoek op basis van artikel 34 UAVG. De betrokkene zal zich dus bij de civiele rechter moeten melden indien hij het niet eens is met de afhandeling van zijn verzoek. Al schrijft artikel 29 Wpg voor dat een reactie op een verzoek een besluit is in de zin van de Awb. Een besluit genomen door een niet bestuursorgaan.

Gosse Bijlenga
Partner

^{^]} NB: dit artikel gaat enkel in op de situatie van de gemeente.
²Hierbij wel opgemerkt dat het wel duidelijk moet zijn wie welke rol inneemt.
³ Artikel 16, eerste lid, onderdeel b, eerste indent Wpg.
⁴ Artikel 2 lid 1 Bpbo.
⁵Tweede Kamer, vergaderjaar 2017–2018, 34 889, nr. 3, pagina 23 en verder.
⁶Richtlijn 2016/680.
⁷ Artikel 141 Wetboek van Strafvordering.
⁸ Artikel 2:1 BW.
⁹ Artikel 170 Gemeentewet.
¹⁰ Overheid is tussen haakjes gezet omdat dit juridisch niet helemaal juist is. Zie de tekst van hoofdstuk 3.1 voor de volledige tekst.
¹¹ Welke eisen aan externe inhuur worden gesteld is afhankelijk van het betreffende domein van de BOA.