Ons auditteam is de afgelopen maanden druk bezig geweest met de Wet politiegegevens (Wpg). De audit moest formeel voor februari 2021 zijn uitgevoerd, maar er is uitstel gegeven tot eind 2022. Dit betekent dat vóór eind 2022 een externe auditrapportage moet zijn opgestuurd naar de Autoriteit Persoonsgegevens (AP). Wat komt er zoal kijken bij deze audit?
Nieuw vakgebied
De Wpg is een nieuw vakgebied voor alle betrokkenen. Het normenkader van de Wpg bevat eisen op het gebied van:
- Wet- en regelgeving
- Privacy
- Security
- Applicatiebeheer
- Systeembeheer
- Interne controle en interne audit
- Handhaving
De auditoren hebben in de voorbereiding een aantal specifieke eisen eigen moeten maken en vooral ook de vakinhoudelijke aspecten van handhaving moeten leren. Voorbeeld: het is van belang om het verschil te weten tussen waarnemen en observeren. Het lijken twee vergelijkbare termen, maar vakinhoudelijk maakt verschillen ze erg van elkaar.
Bij observeren is er een grotere inbreuk op de privacy en zijn er extra normen van toepassing. Op het gebied van leerplicht hebben we het ineens over verschillende soorten verzuim (absoluut, relatief en luxe verzuim). Het leren van het juridisch kader en de terminologie is een studie op zich, daar we te maken hebben met verschillende vakgebieden die ieder ook weer eigen aandachtspunten kennen. De voorbereiding en de ervaring in het veld helpt de auditoren om de goede vragen te stellen tijdens de audit en onze klanten echt een stap verder te helpen.
Doel van de Wpg-audit
Met een audit helpen wij altijd om te verbeteren. Op grond van de analyse formuleren de auditoren bevindingen en aanbevelingen die worden gedeeld via een formele rapportage. De rapportages van de Wpg bevatten tussen de 70 en 250 pagina’s. Dit is afhankelijk van het aantal verwerkingen. Het opstellen van een dergelijke rapportage is tijdrovend. De auditoren maken ook een korte versie die de klant naar de autoriteit persoonsgegevens kan opsturen. Tot op heden zijn onze klanten erg blij met onze rapportages met bevindingen omdat ze op grond hiervan eenvoudig hun verbeterplan kunnen opstellen.
Meest voorkomende verbeterpunten
In de tot nu toe uitgevoerde audits zien we ten eerste dat handhavers hun vak verstaan. Ze hebben kennis van de wet- en regelgeving en inzicht in hun werkprocessen.
De verbeterpunten zitten veelal in:
- Vastleggen van processen.
- Het vastleggen van de verwerkingen (art 8, 9 en 13). Wat doe je wel en niet?
- Het uitvoeren van controles.
5 Praktische tips
Wanneer je bezig bent met de audit, neem dan de volgende tips mee ter overweging:
1) Ga niet in je eentje aan het werk, maar pak dit onderwerp op als een project
- Analyseer de normen
- Maak een realistische planning
- Verdeel de taken deze over de diverse vakgebieden
- Monitor de voortgang
2) Inventariseer welke verwerkingen er zijn en de systemen die deze verwerkingen ondersteunen.
Denk ook aan communicatiekanalen, zaaksystemen, cloudopslag.
Ga bij de inventarisatie uit van het werkproces van de handhaver. Vraag na hoe het proces verloopt en welke systemen daarbij gebruikt worden voor de opslag van Wpg gegevens.
3) Inventariseer binnen elke verwerking of er sprake is van onderstaande zaken
- Is er echt sprake van Wpg-verwerkingen (strafrechtelijk of bestuursrechtelijk)?
- Is er naast artikel 8 sprake van artikel 9 en 13 verwerkingen?
Deze inventarisatie is medebepalend voor de scope van de audit.
4) Inventariseer de samenwerking en gegevensdeling met andere partijen
Vraag aan de handhaver en de applicatiebeheerder of er gegevens gedeeld worden met andere collega’s en partijen.
5) Maak een controleplan
Ga aan de hand van de eisen van de Wpg na wie welke controles moet uitvoeren en plan de acties. Gebruik de controles om te bekijken of de voorgaande acties effectief zijn.
Whitepaper
Whitepaper l Wet Politiegegevens (Wpg) dashboard
Inergy heeft voor jou een Wet politiegegevens dashboard in Excel ontwikkeld, zodat je precies kunt zien in hoeverre jouw gemeente compliant is aan de Wpg. Doe er vooral jouw voordeel mee om inzicht te krijgen waar je staat en aan welke normen (eventueel) nog niet wordt voldaan. Zo kun je gericht actie ondernemen.
Tenslotte nog een paar tips
Bij de Wpg-audit kijken we naar het verleden. Een periode waarin we ons niet bewust waren dat bepaalde maatregelen moesten zijn getroffen. Zaken die niet op orde waren kunnen we dan ook niet meer herstellen. Ons advies is dan ook als volgt:
- Doe zo snel mogelijk de externe audit.
- Gebruik de bevindingen voor je verbeterplan (projectplan).
- Gebruik bovenstaande tips.