Snel naar content

5 tips om te voldoen aan de Wet politiegegevens (Wpg)

Twee derde van de ruim 600 werkgevers van boa’s voldeed in 2022 niet aan de auditplicht voor de Wpg, volgens de Autoriteit Persoonsgegevens (AP). Het gaat hierbij om de externe privacy audit Wpg 2021. Inergy heeft meer dan 50 van deze audits uitgevoerd. We delen, op basis van onze ervaring, tips over hoe invulling gegeven kan worden aan de 36 illustratieve beheersingsmaatregelen zoals opgenomen in de NOREA Handreiking Wpg Versie 1.0, Definitief, 24 juni 2021.

Organisaties zoeken naar een praktische aanpak om te voldoen aan de beheersingsmaatregelen waarin de eisen van de Wpg zijn opgenomen en snappen de specifieke inhoud van de Wpg vaak nog niet volledig. Daarom vinden ze het vaak moeilijk toepasbaar op hun organisatie. De Wpg lijkt op onderdelen op de AVG (Algemene Verordening Gegevensbescherming) maar is toch net even anders en specifieker. 

De audit Wpg focust zich op drie zaken

  1. Hoe is het verwerken van politiegegevens ingericht?
  2. Welke maatregelen en procedures zijn daarop van toepassing?
  3. Is de werking van deze maatregelen en procedures aantoonbaar?

Bekijk ook eens de Regeling Periodieke Audit politiegegevens over de inhoud van de Wpg-audit.

Het is belangrijk om zicht te hebben op:
– In welk domeinen de boa’s actief zijn?
– Welke verwerkingen vallen onder de Wpg?
– Welke systemen de boa’s bij de Wpg verwerkingen gebruiken?

Vijf praktische tips om je op weg te helpen

Tip 1: Toezichtmaatregelen (TZM)

Start met de beschrijving, toewijzing en implementatie van de zeven beheersingsmaatregelen die als TZM zijn aangeduid.

  • # 2: Jaarlijks Toezicht van de FG op de doelbinding.
  • # 3: Controles op de noodzakelijkheid en rechtmatigheid door de FG (of PO).
  • # 4: Controles op het vernietigen en rectificeren van politiegegevens.
  • # 6 & # 31: Controles op uitvoering DPIA’s.
  • # 28: Beschikbaarheid logbestanden.
  • # 29: Planning, uitvoering en rapportage van de interne audits.
  • # 31: Overige toezichttaken van de FG.

Deze TZM’s worden over de gehele verslagperiode (1 januari 2022 t/m 31 december 2025) bij de volgende externe privacy audit Wpg getoetst. Daarom adviseren deze TZM’s in scope van de jaarlijkse interne audit Wpg te nemen. Deze scope wordt in het af te stemmen auditplan interne audit Wpg opgenomen. Voor de interne audit Wpg 2022 zou het implementatieplan over deze TZM’s getoetst kunnen worden.

Let op:
Als het te controleren proces nog niet of gedeeltelijk is ingericht, kan de betreffende TZM wel worden uitgevoerd en het resultaat (met motivering) worden vastgelegd. De TZM’s worden bij de interne audit Wpg over een periode van maximaal 12 maanden getoetst op de werking. Hoe eerder de TZM’s geïmplementeerd zijn en gestart wordt met de betreffende controles, des te eerder complice aangetoond kan worden.

Lees ook:
De Wpg is niet van de FG

Tip 2: Verwerkingsregister Wpg

De Wpg is een apart privacy regime. En door het beperkt aantal verwerking t.o.v. de AVG is het makkelijker te beheren. Stel een apart verwerkingsregister Wpg op. Je voert een flinke verbetering door als je daarnaast beschrijft hoe het beheer en de aantoonbare periodieke controle op het verwerkingsregister Wpg wordt uitgevoerd.

De Wpg beheersingsmaatregelen 1, 2, 3, 4, 5, 9 en 26 hebben betrekking op de verwerkingsregister Wpg. Dit geeft aan hoe belangrijk het verwerkingsregister Wpg is.

Tip 3: Leg vast wat je wel én niet doet

Onderzoek binnen welke domein(en) verwerking van politiegegevens plaatsvindt binnen jouw organisatie. Leg iedere verwerking van politiegegevens in het verwerkingsregister Wpg vast. Geef per verwerking aan op basis van welk artikel van de Wpg dit gebeurt (art. 8, 9, 11 en 13).

Dit betekent niet dat verwerking(en) op basis van alle genoemde artikelen gebeurt. Leg voor art. 9, 11 en 13 Wpg expliciet vast als deze niet wordt gebruikt en de reden hiervan.

Dit houdt de Wet Politiegegevens in

Whitepaper

Dit houdt de Wet Politiegegevens in

In deze whitepaper ontdek je wat deze wet precies inhoudt, wie binnen jouw organisatie er iets mee moet doen en hoe de interne en externe audits eruitzien.

Download whitepaper

Tip 4: Werkproces

Een aantal beheersingsmaatregelen houdt direct verband met de vastlegging van het betreffend werkproces zoals:

  • # 4: Het borgen van de juistheid en de volledigheid van de gegevensverwerking.
  • # 5: Onderscheid van feiten en oordelen (zeven redenen van wetenschap).
  • # 12: Onderscheid tussen categorieën van betrokkenen.

Tijdens de interviews die Inergy heeft uitgevoerd wordt het gevolgde proces helder uitgelegd, in zowel het primaire als aanvullende proces. Leg dit vast en maak ter verduidelijking gebruik van bijvoorbeeld relevante printscreens. Neem hierin alle gebruikte applicaties en opslag (zowel fysiek als digitaal) van data op. Hiermee wordt de opzet geborgd en kan bestaan en werking bijvoorbeeld via interne controles geverifieerd worden.

Overweeg een handboek Wpg op te stellen waarmee alle processen en documentatie centraal geregistreerd is. Categoriseer bijvoorbeeld per domein, groep beheersingsmaatregelen en onderdelen. Hiermee is de impact bij bijvoorbeeld wijziging van een verwerking of beheersingsmaatregel direct zichtbaar.

Tip 5: TPM verklaringen

Een aantal leveranciers geeft een TPM-verklaring af over de mate waarin het bedrijf, de applicatie en/of de hosting voldoen aan de illustratieve beheersingsmaatregelen zoals opgenomen in de NOREA Handreiking Wpg Versie 1.0, Definitief, 24 juni 2021.

Bij een aantal TPM-verklaringen is de scope beperkt. Bij andere is deze uitgebreid. Controleer voor iedere TPM verklaring de relevantie voor de gebruikersorganisatie. Lees de TPM goed door en vertaal deze naar jouw eigen situatie.

Let bij de TPM-verklaringen op de volgende zaken:

  • Welke versie van de applicatie is in scope van de TPM en welke versie wordt gebruikt binnen de eigen organisatie?
  • Sluit de verslagperiode van de TPM aan op de verslagperiode van de audit?
  • Welke beheersingsmaatregelen zijn in scope?
  • Welke (deel)aspecten voor een beheersingsmaatregel moet de eigen organisatie zelf nog aantonen (complementary user entity control considerations en eisen gebruikersorganisatie)?
  • Maak heldere en duidelijke afspraken met de leverancier(s) over de inhoud van en het tijdig aanleveren van een TPM verklaring over de afgenomen/geleverde dienst en leg deze vast.

Het traject na de audit

Voor organisaties die vóór de door de AP gestelde deadline het privacy audit Wpg 2021 rapport hebben ingediend volgt nu de volgende fase, de PDCA Cyclus.

  • Stel, binnen drie maanden (art. 4 lid 1 van de regeling periodieke audit politiegegevens) na de rapportagedatum, een verbeterplan op voor die beheersingsmaatregelen die gedeeltelijk of niet voldeden. Dit verbeterplan is een intern stuk voor jouw organisatie. Op grond van het verbeterplan moet een hercontrole (art. 33 Wpg) worden uitgevoerd. Wij ondersteunen je uiteraard graag bij het uitvoeren van deze hercontrole.
  • Lever uiterlijk één jaar na de rapportagedatum privacy audit Wpg 2021 het rapport hercontrole privacy audit Wpg 2021 in (art. 33, lid 3 Wpg).
  • Voer jaarlijks minimaal één interne audit Wpg uit (art. 3, lid 1 van de regeling periodieke audit politiegegevens).
  • Implementeer de illustratieve beheersingsmaatregelen zoals opgenomen in de NOREA Handreiking Wpg Versie 1.0, Definitief, 24 juni 2021 binnen de organisatie.

De verplichte externe privacy audit Wpg keert elke vier jaar terug waarmee de verbeteringen en compliance aan de illustratieve beheersingsmaatregelen aangetoond worden.

Onderneem snel actie

Voor Wpg auditplichtige organisaties die nog geen externe privacy audit Wpg 2021 hebben laten uitvoeren, is het van belang om snel actie te ondernemen. De AP schrijft deze organisaties aan.

Wil je meer weten?

Wil je meer weten over de Wet politiegegevens (Wpg)? Neem dan vrijblijvend contact met ons op. Eén van onze specialisten neemt binnen één werkdag contact met je op.

Blijf op de hoogte

De auteur

Sheilindra Shoebhag
Sheilindra Shoebhag

IT-auditor

Sheilindra heeft meer dan twintig jaar auditervaring en ervaring binnen het publieke domein. Hij is sinds 2021 bij Inergy werkzaam en richt zich voornamelijk op het uitvoeren van de Wpg-audits.

Meer berichten

Alle berichten

Maak met MIP Activa keuzes voor de aankomende moeilijke begrotingsjaren

Maak met MIP Activa keuzes voor de aankomende moeilijke begrotingsjaren

Lokale overheden staan voor belangrijke keuzes. Om keuzes te maken moet je inzicht hebben. Met onze module MIP Activa in LIAS Enterprise is dit inzicht snel en makkelijk te verkrijgen voor geplande investeringen en lopende kredieten.

Lees verder

Altijd blijven ontwikkelen op zowel technisch als persoonlijk vlak

Altijd blijven ontwikkelen op zowel technisch als persoonlijk vlak

"Bij ons draait alles om kennisdeling, innovatie en gave techniek. De ontwikkelingen binnen het IT-landschap gaan razendsnel. We ontwikkelen onze technische kwaliteiten continu. Maar we besteden ook veel aandacht aan persoonlijke vaardigheden." Daphne Jaspars, People Manager, vertelt hoe we bij Inergy altijd bezig zijn met het doorontwikkelen van zowel onze hard als soft skills.

Lees verder

5 manieren waarop het LIAS ISMS is beveiligd

5 manieren waarop het LIAS ISMS is beveiligd

LIAS ISMS is een tool die ondersteunt bij de uitvoering, het bijhouden en rapporteren van processen die te maken hebben met informatieveiligheid en privacy.

Lees verder