Snel naar content

5 tips om te voldoen aan de Wet politiegegevens (Wpg)

Twee derde van de ruim 600 werkgevers van boa’s voldeed in 2022 niet aan de auditplicht voor de Wpg, volgens de Autoriteit Persoonsgegevens (AP). Het gaat hierbij om de externe privacy audit Wpg 2021. Inergy heeft meer dan 50 van deze audits uitgevoerd. We delen, op basis van onze ervaring, tips over hoe invulling gegeven kan worden aan de 36 illustratieve beheersingsmaatregelen zoals opgenomen in de NOREA Handreiking Wpg Versie 1.0, Definitief, 24 juni 2021.

Organisaties zoeken naar een praktische aanpak om te voldoen aan de beheersingsmaatregelen waarin de eisen van de Wpg zijn opgenomen en snappen de specifieke inhoud van de Wpg vaak nog niet volledig. Daarom vinden ze het vaak moeilijk toepasbaar op hun organisatie. De Wpg lijkt op onderdelen op de AVG (Algemene Verordening Gegevensbescherming) maar is toch net even anders en specifieker. 

De audit Wpg focust zich op drie zaken

  1. Hoe is het verwerken van politiegegevens ingericht?
  2. Welke maatregelen en procedures zijn daarop van toepassing?
  3. Is de werking van deze maatregelen en procedures aantoonbaar?

Bekijk ook eens de Regeling Periodieke Audit politiegegevens over de inhoud van de Wpg-audit.

Het is belangrijk om zicht te hebben op:
– In welk domeinen de boa’s actief zijn?
– Welke verwerkingen vallen onder de Wpg?
– Welke systemen de boa’s bij de Wpg verwerkingen gebruiken?

Vijf praktische tips om je op weg te helpen

Tip 1: Toezichtmaatregelen (TZM)

Start met de beschrijving, toewijzing en implementatie van de zeven beheersingsmaatregelen die als TZM zijn aangeduid.

  • # 2: Jaarlijks Toezicht van de FG op de doelbinding.
  • # 3: Controles op de noodzakelijkheid en rechtmatigheid door de FG (of PO).
  • # 4: Controles op het vernietigen en rectificeren van politiegegevens.
  • # 6 & # 31: Controles op uitvoering DPIA’s.
  • # 28: Beschikbaarheid logbestanden.
  • # 29: Planning, uitvoering en rapportage van de interne audits.
  • # 31: Overige toezichttaken van de FG.

Deze TZM’s worden over de gehele verslagperiode (1 januari 2022 t/m 31 december 2025) bij de volgende externe privacy audit Wpg getoetst. Daarom adviseren deze TZM’s in scope van de jaarlijkse interne audit Wpg te nemen. Deze scope wordt in het af te stemmen auditplan interne audit Wpg opgenomen. Voor de interne audit Wpg 2022 zou het implementatieplan over deze TZM’s getoetst kunnen worden.

Let op:
Als het te controleren proces nog niet of gedeeltelijk is ingericht, kan de betreffende TZM wel worden uitgevoerd en het resultaat (met motivering) worden vastgelegd. De TZM’s worden bij de interne audit Wpg over een periode van maximaal 12 maanden getoetst op de werking. Hoe eerder de TZM’s geïmplementeerd zijn en gestart wordt met de betreffende controles, des te eerder complice aangetoond kan worden.

Lees ook:
De Wpg is niet van de FG

Tip 2: Verwerkingsregister Wpg

De Wpg is een apart privacy regime. En door het beperkt aantal verwerking t.o.v. de AVG is het makkelijker te beheren. Stel een apart verwerkingsregister Wpg op. Je voert een flinke verbetering door als je daarnaast beschrijft hoe het beheer en de aantoonbare periodieke controle op het verwerkingsregister Wpg wordt uitgevoerd.

De Wpg beheersingsmaatregelen 1, 2, 3, 4, 5, 9 en 26 hebben betrekking op de verwerkingsregister Wpg. Dit geeft aan hoe belangrijk het verwerkingsregister Wpg is.

Tip 3: Leg vast wat je wel én niet doet

Onderzoek binnen welke domein(en) verwerking van politiegegevens plaatsvindt binnen jouw organisatie. Leg iedere verwerking van politiegegevens in het verwerkingsregister Wpg vast. Geef per verwerking aan op basis van welk artikel van de Wpg dit gebeurt (art. 8, 9, 11 en 13).

Dit betekent niet dat verwerking(en) op basis van alle genoemde artikelen gebeurt. Leg voor art. 9, 11 en 13 Wpg expliciet vast als deze niet wordt gebruikt en de reden hiervan.

Dit houdt de Wet Politiegegevens in

Whitepaper

Dit houdt de Wet Politiegegevens in

In deze whitepaper ontdek je wat deze wet precies inhoudt, wie binnen jouw organisatie er iets mee moet doen en hoe de interne en externe audits eruitzien.

Download whitepaper

Tip 4: Werkproces

Een aantal beheersingsmaatregelen houdt direct verband met de vastlegging van het betreffend werkproces zoals:

  • # 4: Het borgen van de juistheid en de volledigheid van de gegevensverwerking.
  • # 5: Onderscheid van feiten en oordelen (zeven redenen van wetenschap).
  • # 12: Onderscheid tussen categorieën van betrokkenen.

Tijdens de interviews die Inergy heeft uitgevoerd wordt het gevolgde proces helder uitgelegd, in zowel het primaire als aanvullende proces. Leg dit vast en maak ter verduidelijking gebruik van bijvoorbeeld relevante printscreens. Neem hierin alle gebruikte applicaties en opslag (zowel fysiek als digitaal) van data op. Hiermee wordt de opzet geborgd en kan bestaan en werking bijvoorbeeld via interne controles geverifieerd worden.

Overweeg een handboek Wpg op te stellen waarmee alle processen en documentatie centraal geregistreerd is. Categoriseer bijvoorbeeld per domein, groep beheersingsmaatregelen en onderdelen. Hiermee is de impact bij bijvoorbeeld wijziging van een verwerking of beheersingsmaatregel direct zichtbaar.

Tip 5: TPM verklaringen

Een aantal leveranciers geeft een TPM-verklaring af over de mate waarin het bedrijf, de applicatie en/of de hosting voldoen aan de illustratieve beheersingsmaatregelen zoals opgenomen in de NOREA Handreiking Wpg Versie 1.0, Definitief, 24 juni 2021.

Bij een aantal TPM-verklaringen is de scope beperkt. Bij andere is deze uitgebreid. Controleer voor iedere TPM verklaring de relevantie voor de gebruikersorganisatie. Lees de TPM goed door en vertaal deze naar jouw eigen situatie.

Let bij de TPM-verklaringen op de volgende zaken:

  • Welke versie van de applicatie is in scope van de TPM en welke versie wordt gebruikt binnen de eigen organisatie?
  • Sluit de verslagperiode van de TPM aan op de verslagperiode van de audit?
  • Welke beheersingsmaatregelen zijn in scope?
  • Welke (deel)aspecten voor een beheersingsmaatregel moet de eigen organisatie zelf nog aantonen (complementary user entity control considerations en eisen gebruikersorganisatie)?
  • Maak heldere en duidelijke afspraken met de leverancier(s) over de inhoud van en het tijdig aanleveren van een TPM verklaring over de afgenomen/geleverde dienst en leg deze vast.

Lees ook:
Even voorstellen, het team van Inergy AuditServices

Het traject na de audit

Voor organisaties die vóór de door de AP gestelde deadline het privacy audit Wpg 2021 rapport hebben ingediend volgt nu de volgende fase, de PDCA Cyclus.

  • Stel, binnen drie maanden (art. 4 lid 1 van de regeling periodieke audit politiegegevens) na de rapportagedatum, een verbeterplan op voor die beheersingsmaatregelen die gedeeltelijk of niet voldeden. Dit verbeterplan is een intern stuk voor jouw organisatie. Op grond van het verbeterplan moet een hercontrole (art. 33 Wpg) worden uitgevoerd. Wij ondersteunen je uiteraard graag bij het uitvoeren van deze hercontrole.
  • Lever uiterlijk één jaar na de rapportagedatum privacy audit Wpg 2021 het rapport hercontrole privacy audit Wpg 2021 in (art. 33, lid 3 Wpg).
  • Voer jaarlijks minimaal één interne audit Wpg uit (art. 3, lid 1 van de regeling periodieke audit politiegegevens).
  • Implementeer de illustratieve beheersingsmaatregelen zoals opgenomen in de NOREA Handreiking Wpg Versie 1.0, Definitief, 24 juni 2021 binnen de organisatie.

De verplichte externe privacy audit Wpg keert elke vier jaar terug waarmee de verbeteringen en compliance aan de illustratieve beheersingsmaatregelen aangetoond worden.

Onderneem snel actie

Voor Wpg auditplichtige organisaties die nog geen externe privacy audit Wpg 2021 hebben laten uitvoeren, is het van belang om snel actie te ondernemen. De AP schrijft deze organisaties aan. Inergy Auditservices heeft ruime ervaring en kennis en ondersteunt je graag. 

Wil je meer weten?

Wil je meer weten over de audit Wet politiegegevens (Wpg)? Neem dan vrijblijvend contact met ons op. Eén van onze specialisten neemt binnen één werkdag contact met je op.

Blijf op de hoogte

De auteur

Sheilindra Shoebhag
Sheilindra Shoebhag

IT-auditor

Sheilindra heeft meer dan twintig jaar auditervaring en ervaring binnen het publieke domein. Hij is sinds 2021 bij Inergy werkzaam en richt zich voornamelijk op het uitvoeren van de Wpg-audits.

Meer berichten

Alle berichten

Begroten doe je in LIAS (en niet in je financiële pakket)

Begroten doe je in LIAS (en niet in je financiële pakket)

Weet jij altijd precies waar je staat in je begroting? Als je daaraan twijfelt - of als je deze vraagt met 'nee' beantwoordt - moet je zeker doorlezen. In deze blog staan we stil bij een andere manier om de begroting te maken: in LIAS. Een manier van decentraal begroten, waarbij budgethouders zelf hun voorgenomen aanpassingen opvoeren. Daardoor heb je niet alleen inzicht in vastgestelde mutaties, maar zie je ook welke er wachten op besluitvorming.

Lees verder

Een audit is veel meer dan het invullen van een checklist

Een audit is veel meer dan het invullen van een checklist

Het uitvoeren van een audit is een belangrijk instrument in het beheersen van processen. Een audit is meer dan vinkjes zetten op een checklist. Het uitvoeren van een audit begint met het inzicht krijgen in de processen en bijbehorende werkzaamheden. Wordt er gewerkt volgens de gemaakte afspraken? Zijn er verbeteringen mogelijk? Een audit uitvoeren helpt om dit inzicht te verkrijgen.

Lees verder

Azure Data Factory: Data Integratie en Beheer in de Cloud

Azure Data Factory: Data Integratie en Beheer in de Cloud

Om inzicht te krijgen in bedrijfsprocessen en om beslissingen te nemen op basis van gegevens is het noodzakelijk dat je in staat bent om gegevens uit verschillende bronnen te verzamelen en te integreren. Een dataplatform wordt gevoed met gegevens uit bronsystemen. Het extraheren van bronsystemen doet Inergy met Azure Data Factory, door onze Data Engineers ook wel ADF genoemd.

Lees verder