Wet politiegegevens Laatste controle 14-05-2026, laatste wijziging 19-04-2026 (Bron: wetten.overheid.nl).

De verwerkingsverantwoordelijke houdt een register bij dat de volgende gegevens bevat:

1. de naam en de contactgegevens van de verwerkingsverantwoordelijke, de gezamenlijk verwerkingsverantwoordelijken en de functionaris voor gegevensbescherming;

2. de doelen van de verwerking;

3. de categorieën van ontvangers aan wie politiegegevens zijn of zullen worden verstrekt, met inbegrip van ontvangers in derde landen of internationale organisaties;

4. een beschrijving van de categorieën van betrokkenen en van de categorieën van persoonsgegevens;

5. in voorkomend geval, het gebruik van profilering;

6. in voorkomend geval, de categorieën van doorgiften van politiegegevens aan een derde land of een internationale organisatie;

7. een aanwijzing van de rechtsgrondslag van de verwerking, met inbegrip van doorgiften, waarvoor de politiegegevens bedoeld zijn;

8. zo mogelijk, de beoogde termijnen waarbinnen de verschillende categorieën van gegevens worden verwijderd of vernietigd;

9. zo mogelijk, een algemene beschrijving van de technische en organisatorische maatregelen ter beveiliging, bedoeld in artikel 4a;

10. de toekenning van de autorisaties, bedoeld in artikel 6.

De verwerker houdt een register bij dat de volgende gegevens bevat:

1. de naam en de contactgegevens van de verwerker of verwerkers en van iedere verwerkingsverantwoordelijke ten behoeve van wie de verwerker handelt en, in voorkomend geval, van de functionaris voor gegevensbescherming;

2. de categorieën van verwerkingen die namens iedere verwerkingsverantwoordelijke zijn uitgevoerd;

3. indien van toepassing, doorgiften van politiegegevens aan een derde land of een internationale organisatie, onder vermelding van dat derde land of die internationale organisatie, indien door de verwerkingsverantwoordelijke uitdrukkelijk daartoe geïnstrueerd;

4. indien mogelijk, een algemene beschrijving van de technische en organisatorische maatregelen, bedoeld in artikel 4a.

De verwerkingsverantwoordelijke draagt zorg voor de schriftelijke vastlegging van:

1. de doelen van de onderzoeken, bedoeld in artikel 9, tweede lid;

2. de verstrekking of doorgifte van politiegegevens op grond van paragraaf 3, met uitzondering van de verstrekking, bedoeld in artikel 17 en artikel 24, eerste en tweede lid, indien dit zich niet verdraagt met het belang van de veiligheid van de staat;

3. de feitelijke of juridische redenen die ten grondslag liggen aan een afwijzing, bedoeld in artikel 27, eerste lid;

4. een inbreuk op de beveiliging van persoonsgegevens, bedoeld in artikel 33a, inclusief de feiten omtrent de inbreuk, de gevolgen ervan en de maatregelen die zijn getroffen ter correctie.

Bij de doorgifte van politiegegevens aan een verwerkingsverantwoordelijke in een derde land of aan een internationale organisatie, bedoeld in artikel 17a, tweede lid, onderdeel b, en derde lid, omvat de schriftelijke vastlegging de datum en tijd van doorgifte, informatie over de ontvangende bevoegde autoriteit, de reden van doorgifte en de doorgegeven gegevens zelf.

De verantwoordelijke draagt zorg voor de schriftelijke melding van een gemeenschappelijke verwerking van politiegegevens aan de Autoriteit persoonsgegevens.

De politiegegevens, bedoeld in het eerste lid, worden bewaard tenminste tot de datum waarop de laatste controle, bedoeld in artikel 33, is verricht.

Bij of krachtens algemene maatregel van bestuur worden nadere regels gesteld over de wijze van vastlegging.

De verwerkingsverantwoordelijke en de verwerker dragen zorg voor de vastlegging langs elektronische weg (logging) van ten minste de volgende verwerkingen van politiegegevens in geautomatiseerde systemen: het verzamelen, wijzigen, raadplegen, verstrekken onder meer in de vorm van doorgiften, combineren of vernietigen van politiegegevens.

De vastgelegde gegevens, bedoeld in het eerste lid, worden uitsluitend gebruikt voor de controle van de rechtmatigheid van de gegevensverwerking, voor interne controles, ter waarborging van de integriteit en de beveiliging van de politiegegevens en voor strafrechtelijke procedures.

De verwerkingsverantwoordelijke doet de uitvoering van de bij of krachtens deze wet gegeven regels controleren door middel van het periodiek doen verrichten van privacy audits.

De verwerkingsverantwoordelijke zendt een afschrift van de controleresultaten van de privacy audits aan de Autoriteit persoonsgegevens.

Indien uit de controleresultaten blijkt dat niet wordt voldaan aan het bij of krachtens deze wet bepaalde, laat de verwerkingsverantwoordelijke binnen een jaar een hercontrole uitvoeren op die onderdelen die niet voldeden aan de gestelde voorwaarden. Het tweede lid is van overeenkomstige toepassing.

Een ieder die betrokken is bij een controle als bedoeld in het eerste of derde lid is verplicht tot geheimhouding van de persoonsgegevens waarover hij de beschikking heeft gekregen, behoudens voor zover enig wettelijk voorschrift hem tot mededeling verplicht of zijn taak daartoe noodzaakt.

Bij of krachtens algemene maatregel van bestuur worden nadere regels gesteld betreffende de inhoud en wijze van uitvoering van de controles, bedoeld in het eerste en derde lid.

De verwerkingsverantwoordelijke meldt een inbreuk op de beveiliging onverwijld en uiterlijk binnen 72 uur nadat hij ervan heeft kennis genomen aan de Autoriteit persoonsgegevens, tenzij het niet waarschijnlijk is dat de inbreuk een risico voor de rechten en vrijheden van personen met zich meebrengt. In het geval de melding na 72 uur wordt gedaan, gaat deze vergezeld van een motivering voor de vertraging.

De melding, bedoeld in het eerste lid, bevat ten minste de volgende informatie:

1. een beschrijving van de aard en omvang van de inbreuk, bedoeld in het eerste lid, waaronder begrepen, waar mogelijk, de categorieën van betrokkenen en van gegevensbestanden en, bij benadering, het aantal betrokkenen en gegevensbestanden;

2. de mededeling van de naam en de contactgegevens van de functionaris voor gegevensbescherming of een ander contactpunt waar meer informatie kan worden verkregen;

3. een beschrijving van de waarschijnlijke gevolgen van de inbreuk, bedoeld in het eerste lid;

4. een beschrijving van de voorgestelde of uitgevoerde maatregelen om de inbreuk, bedoeld in het eerste lid, te beëindigen en, in voorkomend geval, de maatregelen ter beperking van de eventuele nadelige gevolgen ervan.

Voor zover het niet mogelijk is de informatie, bedoeld in het tweede lid, gelijktijdig te verstrekken, kan deze zonder onnodige vertraging in stappen worden verstrekt.

De verwerkingsverantwoordelijke deelt een inbreuk op de beveiliging van politiegegevens, die zijn doorgezonden door of aan een verwerkingsverantwoordelijke van een andere lidstaat, zonder onnodige vertraging mee aan de verwerkingsverantwoordelijke van deze lidstaat.

De verwerkingsverantwoordelijke deelt een inbreuk op de beveiliging mede aan de betrokkenen als deze inbreuk waarschijnlijk een hoog risico voor de rechten en vrijheden van personen met zich meebrengt. De mededeling bevat een omschrijving van de aard van de inbreuk op de beveiliging en ten minste de informatie, bedoeld in het tweede lid, onderdelen b, c en d.

De mededeling aan de betrokkenen, bedoeld in het vijfde lid, is niet vereist wanneer:

1. de verwerkingsverantwoordelijke passende technische en organisatorische beschermingsmaatregelen heeft getroffen en deze maatregelen zijn toegepast op de politiegegevens waarop de inbreuk, bedoeld in het eerste lid, betrekking heeft;

2. de verwerkingsverantwoordelijke maatregelen heeft getroffen om ervoor te zorgen dat het hoge risico, bedoeld in het vijfde lid, zich waarschijnlijk niet meer zal voordoen, of

3. de mededeling een onevenredige inspanning zou vergen. In dat geval volgt een openbare mededeling of vergelijkbare maatregel waarmee de betrokkenen even doeltreffend worden geïnformeerd.

De mededeling aan de betrokkene kan worden uitgesteld, beperkt of achterwege gelaten op de gronden, bedoeld in artikel 27, tweede lid.

De Autoriteit persoonsgegevens wordt door de verwerkingsverantwoordelijke of de verwerker geraadpleegd over de voorgenomen verwerking van politiegegevens die in een nieuw bestand zullen worden opgenomen, wanneer:

1. de aard van de verwerking, in het bijzonder met gebruikmaking van nieuwe technologieën, mechanismen of procedures, een hoog risico voor de rechten en vrijheden van de betrokkene met zich meebrengt;

2. uit een gegevensbeschermingseffectbeoordeling, bedoeld in artikel 4c, eerste lid, blijkt dat de verwerking een hoog risico zou opleveren als de verwerkingsverantwoordelijke geen maatregelen treft om het risico te beperken.

De Autoriteit persoonsgegevens kan een lijst opstellen van de verwerkingen waarvoor raadpleging, overeenkomstig het eerste lid, vereist is.

De verwerkingsverantwoordelijke verstrekt de Autoriteit persoonsgegevens de gegevensbeschermingseffectbeoordeling, bedoeld in artikel 4c, en, desgevraagd, alle andere informatie op grond waarvan de Autoriteit persoonsgegevens de conformiteit van de verwerking en met name de risico’s voor de bescherming van persoonsgegevens van de betrokkene en de betrokken waarborgen kan beoordelen.

Wanneer de Autoriteit persoonsgegevens van oordeel is dat de voorgenomen verwerking van politiegegevens, bedoeld in het eerste lid, niet voldoet aan het bij of krachtens deze wet bepaalde, geeft zij binnen een termijn van ten hoogste zes weken schriftelijk advies aan de verwerkingsverantwoordelijke en, in voorkomend geval, aan de verwerker.

De termijn, bedoeld in het vierde lid, kan, rekening houdend met de complexiteit van de voorgenomen verwerking, worden verlengd met een maand. In dit geval wordt de verwerkingsverantwoordelijke en, in voorkomend geval, de verwerker, binnen een maand na de ontvangst van het verzoek in kennis gesteld van de verlenging en de redenen daarvoor.

De verwerkingsverantwoordelijke benoemt een of meer privacyfunctionarissen. De privacyfunctionaris dient de verwerkingsverantwoordelijke en de personen die voor de verwerkingsverantwoordelijke werkzaam zijn van advies en ziet namens de verwerkingsverantwoordelijke toe op de verwerking van politiegegevens overeenkomstig het bij of krachtens de wet bepaalde.

De privacyfunctionaris houdt een overzicht bij van de schriftelijke vastlegging van de gegevens, bedoeld in artikel 32, eerste lid.

De privacyfunctionaris stelt jaarlijks een verslag op van zijn bevindingen.

De Autoriteit persoonsgegevens, bedoeld in artikel 6, eerste lid, van de Uitvoeringswet Algemene verordening gegevensbescherming, ziet in het Europese deel van Nederland toe op de verwerking van politiegegevens overeenkomstig het bij en krachtens deze wet bepaalde.

Artikel 16 van de Uitvoeringswet Algemene verordening gegevensbescherming is van overeenkomstige toepassing.

De Autoriteit persoonsgegevens treedt bij de uitvoering van haar taken en de uitoefening van haar bevoegdheden volledig onafhankelijk op.

Ieder lid van de Autoriteit persoonsgegevens beschikt over de nodige kwalificaties, ervaring en vaardigheden, met name op het gebied van de bescherming van persoonsgegevens, voor het uitvoeren van zijn taken en het uitoefenen van zijn bevoegdheden.

De leden van de Autoriteit persoonsgegevens blijven vrij van al dan niet rechtstreekse externe invloed en vragen noch aanvaarden instructies van wie dan ook bij de uitvoering van hun taken en de uitoefening van hun bevoegdheden overeenkomstig deze paragraaf.

De leden van de Autoriteit persoonsgegevens onthouden zich van alle handelingen die onverenigbaar zijn met hun taken en verrichten gedurende hun ambtstermijn geen al dan niet bezoldigde beroepswerkzaamheden die onverenigbaar zijn met hun taken.

De Autoriteit persoonsgegevens heeft tot taak:

1. het toezien op de verwerking van persoonsgegevens overeenkomstig het bij of krachtens deze wet bepaalde en het handhaven daarvan;

2. het geven van advies over voorstellen van wet en ontwerpen van algemene maatregelen van bestuur die geheel of voor een belangrijk deel betrekking hebben op de verwerking van persoonsgegevens;

3. het beter bekend maken van het brede publiek met, en verschaffen van meer inzicht in de risico's, de regels, de waarborgen en de rechten in verband met de verwerking van persoonsgegevens;

4. het beter bekend maken van de verwerkingsverantwoordelijken en de verwerkers met hun verplichtingen uit hoofde van het bij of krachtens deze wet bepaalde;

5. het desgevraagd verstrekken van informatie aan iedere betrokkene over de uitoefening van zijn rechten uit hoofde van het bij of krachtens deze wet bepaalde en het, in voorkomend geval, daartoe samenwerken met de autoriteiten in andere lidstaten, bedoeld in artikel 35d, eerste lid, die zijn belast met het toezicht;

6. het behandelen van klachten van betrokkenen, of van organen, organisaties of verenigingen die de betrokkene vertegenwoordigen, het onderzoeken van de inhoud van de klacht en de klager binnen een redelijke termijn in kennis stellen van de voortgang en het resultaat van het onderzoek, met name indien verder onderzoek of coördinatie met een andere toezichthoudende autoriteit nodig is;

7. het naar aanleiding van een klacht, bedoeld in artikel 31a, eerste lid, controleren van de rechtmatigheid van de verwerking en de betrokkene binnen een redelijke termijn informeren over het resultaat van de controle of van de redenen waarom de controle niet is verricht;

8. het samenwerken met andere autoriteiten die zijn belast met het toezicht, bedoeld in artikel 35d, eerste lid, teneinde voor de samenhang in de toepassing en de handhaving van het bij of krachtens deze wet bepaalde te zorgen, onder meer door informatie te delen en wederzijdse bijstand aan te bieden;

9. het verrichten van onderzoeken naar de naleving van het bij of krachtens deze wet bepaalde, ook op basis van informatie die de Autoriteit persoonsgegevens ontvangt van een andere autoriteit die is belast met het toezicht, bedoeld in artikel 35, eerste lid, of een andere overheidsinstantie;

10. het volgen van de relevante ontwikkelingen voor zover deze de bescherming van persoonsgegevens beïnvloeden, met name de ontwikkeling van de informatie- en communicatietechnologieën;

11. het verstrekken van advies naar aanleiding van een voorafgaande raadpleging, bedoeld in artikel 33b, eerste lid, en

12. het leveren van een bijdrage aan de activiteiten van het Comité, opgericht bij Verordening (EU) 2016/679 van het Europees Parlement en de Raad van 27 april 2016 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens en betreffende het vrije verkeer van die gegevens en tot intrekking van Richtlijn 95/46/EG.

De Autoriteit persoonsgegevens verricht haar taken kosteloos voor de betrokkene en voor de functionaris voor gegevensbescherming.

De Autoriteit persoonsgegevens is bevoegd:

1. de verwerkingsverantwoordelijke of de verwerker te waarschuwen dat met de voorgenomen verwerkingen waarschijnlijk een inbreuk wordt gemaakt op het bij of krachtens deze wet bepaalde;

2. een last onder bestuursdwang op te leggen ter handhaving van het bij of krachtens deze wet bepaalde;

3. een bestuurlijke boete op te leggen indien de verwerkingsverantwoordelijke handelt in strijd met hetgeen is bepaald bij of krachtens:

   1. de artikelen 4a, 4b, 4c, 6c, 31d, 32, 33a, 33b en 36 van ten hoogste het bedrag van de geldboete van de vijfde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;

   2. de artikelen 5, 7a, 24a, 24b, 25 en 28 van ten hoogste het bedrag van de geldboete van de zesde categorie van artikel 23, vierde lid, van het Wetboek van Strafrecht;

4. een advies te verstrekken aan de verwerkingsverantwoordelijke naar aanleiding van een voorafgaande raadpleging, bedoeld in artikel 33b, eerste lid;

5. de verwerkingsverantwoordelijke te verplichten een inbreuk in verband met persoonsgegevens te melden aan de betrokkene.

Bij het besluit over het opleggen van een bestuurlijke boete, bedoeld in het vierde lid, en over de hoogte daarvan wordt voor elk concreet geval naar behoren rekening gehouden met:

1. de aard, de ernst en de duur van de inbreuk, rekening houdend met de aard, de omvang of het doel van de verwerking in kwestie alsmede het aantal getroffen betrokkenen en de omvang van de door hen geleden schade;

2. de opzettelijke of nalatige aard van de inbreuk;

3. de door de verwerkingsverantwoordelijke of de verwerker genomen maatregelen om de door betrokkenen geleden schade te beperken;

4. de mate waarin de verwerkingsverantwoordelijke of de verwerker verantwoordelijk is gezien de technische en organisatorische maatregelen die hij heeft uitgevoerd overeenkomstig de artikelen 4a en 4b;

5. eerdere relevante inbreuken door de verwerkingsverantwoordelijke of de verwerker;

6. de mate waarin er met de Autoriteit persoonsgegevens is samengewerkt om de inbreuk te verhelpen en de mogelijke negatieve gevolgen daarvan te beperken;

7. de categorieën van persoonsgegevens waarop de inbreuk betrekking heeft;

8. de wijze waarop de Autoriteit persoonsgegevens kennis heeft gekregen van de inbreuk, met name of, en zo ja in hoeverre, de verwerkingsverantwoordelijke of de verwerker de inbreuk heeft gemeld;

9. de naleving van de in het eerste lid genoemde maatregelen, voor zover die eerder ten aanzien van de verwerkingsverantwoordelijke of de verwerker in kwestie met betrekking tot dezelfde aangelegenheid zijn genomen.

De werking van de beschikking tot oplegging van de bestuurlijke boete, bedoeld in het eerste lid, onder c, wordt opgeschort totdat de bezwaar- of beroepstermijn is verstreken of, indien bezwaar is gemaakt respectievelijk beroep is ingesteld, op het bezwaar respectievelijk het beroep is beslist.

De bevoegdheden, bedoeld in het eerste lid, onderdelen d en e, gelden als een besluit in de zin van de Algemene wet bestuursrecht.

De Autoriteit persoonsgegevens verstrekt aan een autoriteit in een andere lidstaat die is belast met het toezicht, bedoeld in artikel 35, eerste lid, relevante informatie en wederzijdse bijstand om deze richtlijn op een consequente manier ten uitvoer te leggen en toe te passen, en neemt maatregelen om doeltreffend met elkaar samen te werken.

De Autoriteit persoonsgegevens neemt alle passende maatregelen die nodig zijn om een verzoek om informatie of wederzijdse bijstand van een andere autoriteit, bedoeld in het eerste lid, zonder onnodige vertraging en in ieder geval binnen één maand na de ontvangst ervan te beantwoorden. De verzoekende autoriteit wordt geïnformeerd over de resultaten of, in voorkomend geval, de voortgang van de maatregelen die naar aanleiding van het verzoek zijn genomen.

Een verzoek om bijstand van de Autoriteit persoonsgegevens bevat alle nodige informatie, waaronder het doel van en de redenen voor het verzoek. De uitgewisselde informatie wordt alleen gebruikt voor het doel waarvoor om die informatie is verzocht.

De Autoriteit persoonsgegevens kan een verzoek om bijstand van een andere autoriteit, bedoeld in het eerste lid, gemotiveerd afwijzen indien:

1. zij niet bevoegd is voor het onderwerp van het verzoek of voor de maatregelen die zij wordt verzocht uit te voeren, of

2. inwilliging van het verzoek indruist tegen de richtlijn of het Unierecht of het Nederlandse recht dat op de Autoriteit persoonsgegevens van toepassing is.

Behoudens regels voor vergoeding voor specifieke uitgaven die voortvloeien uit het verstrekken van wederzijdse bijstand in uitzonderlijke omstandigheden geschiedt de wederzijdse bijstand, bedoeld in het tweede lid, kosteloos.

Bij algemene maatregel van bestuur kunnen nadere regels worden gesteld over de wijze van verstrekking van de informatie, bedoeld in het eerste lid.

De verwerkingsverantwoordelijke benoemt een functionaris voor gegevensbescherming. Voor verschillende bevoegde autoriteiten kan, rekening houdend met hun organisatiestructuur en omvang, één functionaris voor gegevensbescherming worden aangewezen. De functionaris voor gegevensbescherming wordt door de verwerkingsverantwoordelijke tijdig en naar behoren betrokken bij alle aangelegenheden die verband houden met de bescherming van politiegegevens.

De functionaris voor gegevensbescherming wordt aangewezen op grond van zijn professionele kwaliteiten en, in het bijzonder, zijn deskundigheid op het gebied van de wetgeving en de praktijk inzake gegevensbescherming en zijn vermogen de taken, bedoeld in het derde lid, te vervullen.

De functionaris voor gegevensbescherming is tenminste belast met de volgende taken:

1. het toezien op de naleving van het bepaalde bij of krachtens deze wet en op het beleid van de verwerkingsverantwoordelijke met betrekking tot de bescherming van persoonsgegevens, met inbegrip van de toewijzing van de autorisaties, bedoeld in artikel 6, de bewustmaking en opleiding van de ambtenaren van politie die zijn betrokken bij de verwerking van politiegegevens en de audits, bedoeld in artikel 33;

2. het informeren en adviseren van de verwerkingsverantwoordelijke en de ambtenaren van politie die politiegegevens verwerken over hun verplichtingen op grond van het bepaalde bij of krachtens deze wet en andere gegevensbeschermingsbepalingen op grond van het Unierecht of het Nederlandse recht;

3. het desgevraagd verstrekken van advies over de gegevensbeschermingseffectbeoordeling, bedoeld in artikel 4c, en het toezien op de uitvoering ervan;

4. het samenwerken met de Autoriteit persoonsgegevens;

5. het optreden als contactpunt voor de Autoriteit persoonsgegevens inzake aangelegenheden in verband met de verwerking van persoonsgegevens en, voor zover dienstig, het plegen van overleg over enige andere aangelegenheid.

De functionaris voor gegevensbescherming stelt jaarlijks een verslag op van zijn bevindingen.

De verwerkingsverantwoordelijke maakt de contactgegevens van de functionaris voor gegevensbescherming openbaar en meldt de functionaris voor gegevensbescherming aan bij de Autoriteit persoonsgegevens.

De verwerkingsverantwoordelijke stelt de functionaris voor gegevensbescherming de benodigde middelen ter beschikking voor het vervullen van de taken, bedoeld in het derde lid, en voor het in standhouden van zijn deskundigheid.