Skip to the content

Wpg audit: Help, ik moet een interne audit doen!

Wpg audit: Help, ik moet een interne audit doen

Afgelopen jaar werden alle organisaties (veelal gemeenten) met bijzondere opsporingsambtenaren (boa’s) voor de eerste keer geconfronteerd met de audit op de Wet politiegegevens (Wpg). In het kort betekent deze audit dat deze organisaties éénmaal in de 4 jaar door middel van een externe privacy audit aantoonbaar aan de eisen van deze wet moeten voldoen voor wat betreft verwerkingen van politiegegevens.

Zie ook: De Wpg audit, bent u voorbereid? voor meer informatie.

Daarnaast moeten deze organisaties jaarlijks een interne audit doen. In deze blog wil ik u meenemen naar wat dit betekent voor uw organisatie, wat de verschillende varianten zijn hoe u dit kunt aanpakken en welke valkuilen u tegen kunt komen. Laten we starten met een belangrijke valkuil.

Valkuil: uitstel Autoriteit Persoonsgegevens

Omdat veel organisaties nog niet klaar waren om de Wpg audit uit te voeren, heeft de autoriteit persoonsgegevens uitstel verleend op het inleveren van het rapport (Uitstel Wpg | Autoriteit Persoonsgegevens). Maar let op: dit betekent niet dat u geen audit meer hoeft uit te voeren over de eerste verslagperiode (maart 2019 t/m 2021). Zie: Welke periode | Autoriteit Persoonsgegevens, hierin staat letterlijk:

Het uitstel zegt niets over de periode die u moet laten onderzoeken, maar alleen over de termijn waarbinnen u het auditrapport moet aanleveren aan de Autoriteit Persoonsgegevens (AP).

Sterker nog, 2022 is onderdeel van de volgende auditperiode. De grootste valkuil voor de boa organisaties is dus dat men dit uitstel interpreteert als een optie om nog een jaar te wachten met de audit en dus een jaar stil te staan. Gevolg hiervan is dat nog steeds niet de juiste zaken in gang worden gezet met betrekking tot deze audit en daar is het gevolg dan weer van dat u niet alleen voor de audit over 2019 t/m 2021 een (al dan niet deels) afkeurend oordeel zou krijgen, maar ook voor de volgende audit loopt u het risico dat u nog steeds een afkeurend oordeel heeft omdat u in 2022 geen stappen heeft gezet.

Wat moet ik dan nu doen?

Het is dus zaak dat u het stelsel aan maatregelen rondom de Wpg direct aanpakt. Voor dit jaar is met name belangrijk dat u kijkt naar de borging van de zogenaamde Toezichthoudende Maatregelen (TZM). Dit zijn maatregelen waar tijdens de vierjaarlijkse externe audit ieder jaar van moet worden aangetoond dat u hieraan voldoet, en toezichthouden kunt u niet met terugwerkende kracht uitvoeren.

Opgesomd betreft dit:

  1. Jaarlijks toezicht van de Functionaris Gegevensbescherming (FG) op doelbinding (norm 2);
  2. Jaarlijkse (toezicht op) controles door FG of Privacy Officer (PO) op noodzakelijkheid & rechtmatigheid en vermelding herkomst, juistheid en volledigheid (norm 3 en 4);
  3. Jaarlijkse controles op privacy by design (norm 6);
  4. Beschikbaarheid van logbestanden over de verslagperiode (norm 28);
  5. Planning, uitvoering en opvolging van interne audits door een bekwame interne auditor (norm 29);
  6. Jaarlijks toezicht van de FG op naleven van de Wpg, beleid met betrekking tot bescherming van persoonsgegevens, toewijzing van autorisaties, bewustwording en opleiding, interne audits, uitvoering van DPIA’s en rapportage hierover aan de verwerkingsverantwoordelijke.

Grofweg betekent dit twee zaken:

  1. Uw FG dient te borgen dat jaarlijks een aantal zaken worden uitgevoerd;
  2. U dient een interne auditor aan te stellen (niet de FG) en te borgen dat het interne audit proces wordt geïmplementeerd.

Daarnaast dient u uiteraard ook jaarlijks tijdens de interne audit na te gaan of u aan alle overige eisen voldoet en dient u aandacht te besteden aan opvolging van eventuele bevindingen en aanbevelingen uit eerdere audits.

Interne auditor, wie moet dat doen?

Wie moet dat dan worden, de interne auditor? Het is belangrijk om eerst vast te stellen dat de wet bepaalde bekwaamheidseisen stelt aan een interne auditor. Deze zijn vertaald naar de boa organisaties in de handreiking van de NOREA (Handreiking Wpg audit, paragraaf 2.5.2):

  1. De interne auditor moet een training hebben gevolgd waarbij invulling is gegeven aan kennis met betrekking tot auditing, de boa-organisatie en het verwerken van politiegegevens;
  2. De interne auditor beschikt over voldoende kennis en vaardigheden op het gebied van:
    a. geautomatiseerde informatiesystemen en methoden en technieken rond IT-auditing;
    b. de boa-organisatie;
    c. de informatievoorziening en processen van verwerking van politiegegevens;
    d. de vigerende wet- en regelgeving, in het bijzonder de Wet politiegegevens, het Besluit politiegegevens en de Algemene verordening gegevensbescherming en Uitvoeringswet Algemene verordening gegevensbescherming;
  3. De interne auditor stelt zich onafhankelijk op ten opzichte van de auditee.

Onze ervaring is dat veel boa-organisaties een persoon met de hierboven bekwaamheidseisen niet per direct beschikbaar hebben. Ons inziens heeft u drie opties voor invulling van de interne auditor:

Eigen interne auditor
Dit betekent dat u in uw eigen boa-organisatie een persoon moet aanstellen die enerzijds over de bekwaamheidseisen beschikt en anderzijds voldoende tijd en budget heeft om de interne audit uit te voeren. Veel boa-organisaties hebben een vacature uitgezet om deze persoon te werven, maar tot op heden blijkt dit vaak lastig om in te vullen.

Samenwerken met andere boa-organisaties
In de praktijk werken boa-organisaties vaak ook al samen op het gebied van een FG. Een vergelijkbare constructie zou wellicht ook heel goed werkbaar zijn voor het uitvoeren van de interne audit.

Uitvoeren door een externe partij
De laatste optie betreft het laten uitvoeren van de interne audit door een externe partij. Dit kan uw vierjaarlijkse externe privacy Wpg auditpartij zijn. Voordeel van deze optie is dat u een aantal zaken kunt combineren (interim controles) en dat u zich geen zorgen hoeft te maken over de bekwaamheidseisen.

Interne auditor, wat moet die doen?

De wet beschrijft over de interne audit:

De interne audit heeft betrekking op één dan wel een aantal onderdelen van de wet en heeft tot doel voor het onderdeel of de onderdelen van de wet waar de interne audit zich op richt, op systematische wijze te toetsen of aan de bepalingen van de wet op adequate wijze uitvoering is gegeven. Hiertoe vindt een beoordeling plaats van de volgende aspecten binnen de organisatie van de auditee:

  1. De opzet en het bestaan van maatregelen en procedures die in de borging van de wettelijke eisen moeten voorzien;
  2. De werking van de getroffen maatregelen en procedures.

In de praktijk betekent dit het jaarlijks opstellen van een auditplan, het uitvoeren van de audit en het opstellen van een auditrapportage. De rapportage wordt opgeleverd aan de verwerkingsverantwoordelijke. Zie voor gedetailleerde eisen de handreiking van de NOREA (paragraaf 2.2).

U hoeft niet jaarlijks alles te toetsen, maar u zou bijvoorbeeld jaarlijks roulerend een ander domein kunnen toetsen. Indien u de interne audit zelf uitvoert is het verstandig te overleggen met uw extern auditor om de auditplanning af te stemmen. In de volgende externe audit zullen immers ook de interne audits van de afgelopen 4 jaar worden beoordeeld. Dit kan prima in een jaarlijkse evaluatie bespreking met uw auditor.

Plan van aanpak

Hoe kunt u nu dit jaar het beste van start gaan om te zorgen dat u tijdig de juiste dingen doet ten behoeve van de Wpg audit? Wij adviseren:

  1. Voer de externe audit over de vorige verslagperiode (2019 – 2021) zo snel mogelijk uit indien dit nog niet is gebeurd. Wacht niet tot na de zomer. U kunt de externe audit gebruiken als startpunt waarmee u goed inzicht krijgt in mogelijk te nemen verbeteracties;
  2. Maak een start met het implementeren van verbeteringen naar aanleiding van de resultaten van de externe audit. Formeer hiervoor een projectgroep met minimaal één centraal aanspreekpunt vanuit de privacy vakgroep (bijvoorbeeld de FG of een PO);
  3. Besluit intern hoe u de interne audit functie de komende jaren wilt invullen en zorg dat deze functie indien nodig de juiste opleiding krijgt;
  4. Neem contact op met uw externe auditor om ook dit jaar al een afspraak te plannen ten behoeve van de externe audit, waarin u voortgang van eventuele verbeterplannen, de bewaking van de TZM maatregelen en eventuele wijzigingen in wet- en regelgeving tijdig kunt afstemmen;
  5. Voer voor de eerste keer een interne audit uit en bespreek de resultaten met uw externe auditor.

Stap 1 t/m 4 dient u voor een goede voortgang uiterlijk eind Q2 uitgevoerd te hebben.

Hoe kunnen wij u helpen?

Uiteraard hebben wij als 2-Control ook nagedacht over hoe wij u op de meest efficiënte manier kunnen helpen, waarbij de uitgangspunten zijn:

Borg dat de interne audit goed wordt uitgevoerd en dat niet al het werk voor de externe audit pas aan het einde van de verslagperiode (jaar 4) komt.

Afhankelijk van hoe u de functie van interne auditor gaat invullen, kunnen wij u op een aantal manieren ondersteunen:

  1. Training interne auditor: indien u zelf een interne auditor beschikbaar heeft, bieden wij aan deze te trainen in het uitvoeren van de interne audit. Dit kan zowel klassikaal als InCompany;
  2. Uitvoeren periodiek overleg ter voorbereiding op de externe audit: wij voeren de externe audit uit in het laatste jaar van de verslagperiode en rapporteren hierover in een assurance-rapport. Jaarlijks plannen wij minimaal één dag samen met uw interne auditor voor tussentijdse afstemming en voorbereiding (zie hierboven);
  3. Uitvoeren externe en interne audit: indien u zelf geen interne auditor beschikbaar heeft, kunnen wij de jaarlijkse interne audit voor u uitvoeren in combinatie met de externe audit;
  4. Uitvoeren heraudit: indien uit de audit over de vorige verslagperiode is gebleken dat u een hercontrole moet laten uitvoeren, kunnen wij u ondersteunen bij het uitvoeren van deze heraudit, eventueel in combinatie met andere onderdelen.

Ik hoop u met deze blog van input te hebben voorzien om in uw eigen organisatie adequaat aan de slag te gaan en hoe u eventueel kunt samenwerken met een extern bureau. Uiteraard is iedere casus vaak specifiek, dus als u vragen heeft of meer informatie nodig heeft, schroom niet om contact op te nemen!

Rogier Haest RE
2-Control B.V.

 

Over de auteur

Rogier Haest

RE CISA IT-auditor
T: 076-5019470
Stel uw vraag

Contact

Vragen over onze IT-audit diensten of autorisatiesoftware voor Dynamics? Wij beantwoorden ze graag.