In de blog ‘Laten we stoppen met WPG-audits’ analyseert Sergej Katus, partner bij PMP en FG, de rechtmatigheid van de WPG-audits waar gemeenten momenteel mee te maken hebben. Of beter gezegd: hij maakt je deelgenoot van zijn FG-advies. Zijn conclusie is dat we een poppenkast opvoeren die om meerdere redenen conflicteert met de EU-normstelling. Hij schat in dat dit ons landelijk ruim 10 miljoen euro aan onnodige administratieve lasten kost. Dus laten we stoppen met de WPG-audits.
Het FG-advies kun je downloaden met behulp van de link onderaan de blog.
Hoger recht gaat voor lager recht
Wanneer lagere wet- en regelgeving niet rijmt met de EU-voorschriften, is de EU-normstelling doorslaggevend. Hoger recht gaat voor lager recht, heet dat. Je kunt dat vrij gemakkelijk nazoeken door bijvoorbeeld op internet ‘Van Gend en Loos-arrest’ te googelen.
Het gekke is dat we dat vaak vergeten als we het over EU-verordening 2016/679 en EU-richtlijn 2016/680 hebben. EU-verordening 2016/679 ken je beter als de AVG.
Richtlijn 680 had je in je hoofd misschien al vertaald naar de Wet politiegegevens (WPG), maar dan bega je een vergissing. Richtlijn 680 gaat over de verwerking van informatie over strafbare feiten voor vervolgingsdoelen, het ten uitvoer leggen van straffen of juist criminaliteitspreventie. Dat is een veel bredere scope dan de WPG.
Je gaat er bijna van blozen hoe Nederland verhaspelt
Het lastige van de WPG is bovendien – en dat zie je met name ook in de Nederlandse Uitvoeringswet AVG – dat de Nederlandse wetsartikelen afwijken van de Europese normstelling. Weliswaar laat de EU daarvoor soms de ruimte, maar zóveel vrijheid had Nederland nou ook weer niet.
Vergelijk de Europese wetsartikelen over de taken van de AP en de FG maar eens met de Nederlandse wetgeving op dit vlak. Je gaat er bijna van blozen hoe dat is verhaspeld. In onze blog: ‘Ongekend recht: de toeslagenaffaire en de AVG‘ kaart ik iets vergelijkbaars aan op het gebied van uitoefening van rechten.
Waar het mij in deze blog specifiek om te doen is, is het misverstand dat Nederlandse gemeenten (en iedere andere organisatie die buitengewoon opsporingsambtenaren voor zich heeft werken) verplicht zouden zijn om vierjaarlijks externe auditors in te huren. Waar staat dat in Richtlijn 680? Nergens. Sterker nog, de rol van auditors werd juist úit de Europese wetgeving geschreven.
Wat je in de EU-wetgeving nog wel terugvindt, is dat de verwerkinsgverantwoordelijke laat controleren of beheersmaatregelen zoals die uit DPIA’s naar voren komen, daadwerkelijk zijn genomen. Als je over een goede internal auditafdeling beschikt, is dat in principe prima.
Dat je vierjaarlijkse verplicht een externe auditor moet inhuren, is echter echt iets typisch Nederlands. En – belangrijker nog – niet per se passend. ‘Passend’ is hét kerncriterium voor goede naleving van de EU-wetgeving.
Gemeenten verwerken geen politiegegevens
In de FG-toets die je onderaan deze blog kunt downloaden, onderzoek ik de conformiteit van de externe WPG-auditplicht voor gemeenten met de EU-normstelling. Er blijft eigenlijk niets van over. Échte naleving houdt daarom in dat we moeten stoppen met de WPG-audits, en dat is ook mijn FG-advies.
Gemeenten verwerken immers helemaal geen politiegegevens. Dat is te gemakkelijk geredeneerd. Gemeenten verwerken soms wél opsporingsinformatie en dat valt onder Richtlijn 680. Neem als voorbeeld de leerplichtambtenaar. Nederland heeft eenvoudig gezegd verzuimd om dit goed te regelen. En dan geldt het Van Gend en Loos-principe.
Richtlijn 680 en de AVG zijn inhoudelijk nauw verwant. Iedere gemeente redt het prima op de kracht van het eigen gegevensbeschermingsbeleid – aangenomen dat dit goed in elkaar steekt. Ook het werk van de leerplichtambtenaar wordt er niet ineens anders door. Zolang zijn werk maar met passende waarborgen is omkleed, zodat hij een zorgvuldig samengesteld dossier veilig en betrouwbaar kan overdragen aan het OM.
Poppen aan het dansen
Afgaande op de informatie die mij ter ore is gekomen, bedragen de kosten voor externe audits gemakkelijk 30 duizend euro per gemeente. Landelijk praat je dan over ruim 10 miljoen euro aan onnodige administratieve lasten waarvoor vast een betere bestemming bestaat.
De huidige WPG-audits worden bovendien nog wel eens met te weinig expertise uitgevoerd. De kwaliteit van de auditrapporten en de verbeterplannen die daaruit voortvloeien, kun je dan ook ernstig in twijfel trekken. Op zich onderschrijf ik dat audits een nuttige functie hebben, maar dan wel binnen het wettelijke systeem van checks & balances (‘3 lines’). Bestuurders schrik aanjagen met gebrekkige rapporten is niet de manier.
Die auditrapporten zouden ook naar de AP moeten worden opgestuurd. Nogmaals, dat is niet hoe het EU-gegevensbeschermingsrecht in elkaar steekt. Ik vraag me af wat de AP met al die rapporten aan moet. Ook daar hebben ze echt wel wat beters te doen. Straks worden ze door een of andere slimmerik geWOOt en heb je de poppen in de media en politiek weer aan het dansen. Deze situatie creëer je zelf zolang je met die poppenkast blijft meedoen. Laten we dus stoppen met WPG-audits.
Klik hier om het FG-advies: ‘WPG-audits’ te downloaden.
