Skip to the content

De WPG audit, bent u voorbereid?

De WPG audit, bent u voorbereid?

Nederland kent naast de politie ook buitengewoon opsporingsambtenaren (boa’s). Boa’s helpen mee met toezicht houden op de lokale orde en veiligheid. In Nederland werken zo’n 23.700 boa’s bij circa 1100 verschillende instanties. Boa’s maken bij het uitvoeren van hun werkzaamheden gebruik van persoonsgegevens. Het verwerken van deze persoonsgegevens valt uiteraard onder de Algemene verordening gegevensbescherming (AVG). Daarnaast moeten instanties met boa’s rekening houden met de Wet Politiegegevens (WPG), aangevuld met het Besluit Politiegegevens (BPG).

Deze wet stelt een aantal criteria met betrekking tot noodzakelijkheid, rechtmatigheid, juistheid, proportionaliteit, subsidiariteit en volledigheid. Daarnaast moet de verwerkingsverantwoordelijke een aantal technische en organisatorische maatregelen nemen om te voldoen aan de WPG. De reden voor deze strenge eisen ligt in de aard van de bevoegdheden. Bij de uitvoering van wettelijke opsporingstaken betreft dit vaak bevoegdheden waarmee diepgaand op de privacy van burgers kan worden ingegrepen.

Onderdeel van deze wet is een verplichte audit (art. 33): de verwerkingsverantwoordelijke doet de uitvoering van de bij of krachtens deze wet gegeven regels controleren door middel van het periodiek doen verrichten van privacy audits. Deze verplichting is nader uitgewerkt in Artikel 6:5 van het BPG en stelt:  Twee jaren na inwerkingtreding van de wet, en vervolgens eenmaal in de vier jaren, laat de verwerkingsverantwoordelijke de uitvoering van de bij of krachtens de wet gegeven regels door een privacy audit controleren, op bij ministeriële regeling te bepalen wijze.

Daarnaast moet jaarlijks een interne audit worden uitgevoerd. In het vervolg wordt aan deze twee audits gerefereerd als interne en externe audit.

Nog meer specificatie is te vinden in de Regeling periodieke audit politiegegevens. Hierin is concreet benoemd waar de interne en externe audit aan moeten voldoen. In onderstaande tabel is dit uitgewerkt in een aantal onderwerpen.

Onderdeel

Interne audit

Externe audit

Periodiciteit

Jaarlijks

Iedere 4 jaar

Doel

Heeft betrekking op één dan wel een aantal onderdelen van de wet en heeft tot doel voor het onderdeel of de onderdelen van de wet waar de interne audit zich op richt, op systematische wijze te toetsen of aan de bepalingen van de wet op adequate wijze uitvoering is gegeven

Op systematische wijze te toetsen of aan de bepalingen van de wet op adequate wijze uitvoering is gegeven

Type audit

Opzet, bestaan en werking

Opzet, bestaan en werking

Resultaat

Interne rapportage

Auditrapportage ten behoeve van de AP

Auditor

Interne auditor heeft een auditorenopleiding van de politie gevolgd

Geregistreerde EDP-auditor (RE)

 

Hoe nu verder?

Aangezien ook de werking moet worden getoetst, is het raadzaam om hier tijdig acties voor uit te zetten. De Nederlandse Orde van Register EDP Auditors (NOREA) is daarnaast op dit moment in een vergevorderd stadium met het uitwerken van een handreiking en testaanpak ten behoeve van de externe audit. Daarmee zal duidelijk(er) worden wat de exacte criteria zijn waar u aan moet voldoen.

Zodra hier meer bekend over is zullen wij dat publiceren op onze website.

Ons advies? Houd de ontwikkelingen rondom de WPG audit scherp in de gaten de komende tijd en stel alvast een team samen dat de externe audit gaat uitvoeren. Borg daarnaast intern dat de interne audit tijdig én door de juiste persoon, wordt uitgevoerd. Wij adviseren u uiteraard graag om deze nieuwe audit tot een goed einde te brengen.

Indien u vragen heeft, neem contact op met een van onze IT-auditors.

Contact

Vragen over onze IT-audit diensten of autorisatiesoftware voor Dynamics? Wij beantwoorden ze graag.