31 juli 2024

Wpg audit: de volgende externe audit komt eraan!

De eerste externe Wpg audit ging over de periode 9 maart 2019 t/m 31 december 2020. Echter heeft de Autoriteit Persoonsgegevens (AP) uitstel verleend voor het inleveren van het eerste rapport tot 31 december 2022. In dit externe rapport is dan vaak 2021 ook meegenomen.  

De AP heeft een korte inventarisatie (zie Wpg-audit: Onderzoek aanlevering auditrapporten | Autoriteit Persoonsgegevens) gemaakt van de ontvangen rapporten en aangegeven de her-audit rapporten per 1 maart 2024 (na uitstel) af te wachten voor een inhoudelijke beoordeling. 

In juli van dit jaar heeft de AP de (her)audit rapporten inhoudelijk beoordeeld en geconstateerd ‘dat er nog werk aan de winkel is’ (zie: Rapport Wpg-audit: Onderzoek auditrapporten hercontroles | Autoriteit Persoonsgegevens en Privacyproof werken boa-werkgevers iets verbeterd | Autoriteit Persoonsgegevens). 

En in de tussentijd heeft u als boa-organisatie jaarlijkse een interne audit moeten uitvoeren, die deels overlap had met de externe (her)audit. 

Het vervolg 

Duizelt het u ook met alle termijnen en uitstel? De AP geeft aan dat in 2025 een nieuwe externe audit uitgevoerd moet zijn, over de periode 2021 t/m 2024. Officieel is de inleverdatum nog niet gecommuniceerd.  

Let op dat u moet blijven voldoen aan de jaarlijkse interne auditverplichting. De interne auditperiode hoeft niet gelijk te lopen met het kalenderjaar. Het is belangrijk dat minimaal jaarlijks een interne audit wordt uitgevoerd en dat de auditperiode aansluit op de vorige.  

U kunt het auditmoment dus aanpassen zoals dat voor de organisatie het beste uitkomt. De resultaten van de interne audit hoeft u alleen te rapporteren aan de het college, bestuur of management (de verwerkingsverantwoordelijke).  

De inhoud 

De inhoud van de externe audit verandert op hoofdlijnen niet. Immers, u moet aan de wet voldoen. De NOREA (beroepsorganisatie van IT-Auditors) is wel bezig met de handreiking op detailpunten aan te passen. Naar verwachting zal hierbij bijvoorbeeld gekeken worden naar de toezichtmaatregelen die nu op verschillende plaatsen in de handreiking staan. Zodra de handreiking beschikbaar is, kunt u die vinden op de site van de NOREA.  

Ook zijn er gesprekken geweest tussen de AP en het ministerie naar aanleiding van het signaal van kleine boa-werkgevers dat de audit voor hen disproportioneel zou zijn. Conclusie van deze gesprekken is dat de AP de auditplicht wil handhaven om effectief toezicht te kunnen houden. Wel heeft de AP aangegeven open te staan voor aanpassingen in de audit mits het doel van effectief toezicht wordt behaald. Het ministerie neemt dit verder in overweging.  

Samenvatting 

In 2025 moet weer een externe audit rapport worden ingeleverd bij de AP. Deze audit zal inhoudelijk grotendeels gelijk zijn aan de eerste externe audit. De werking zal getoetst worden over 2024. Het toezicht door de FG en de uitgevoerde interne audits worden beoordeeld over de periode 2021 tot en met 2024.  

2-Control kan u helpen bij het uitvoeren van de interne en externe Wpg audits. Ook indien u nog niet eerder een Wpg audit heeft (laten) uitvoeren, dan kunnen wij u ook helpen. Wij volgen de ontwikkelingen op de voet. Zodra de nieuwe Wpg handreiking wordt gepubliceerd, zullen we u hierover informeren. Wilt u niets missen, abonneer u dan op onze nieuwsbrief.