De Wpg-audit is een privacy audit op de verwerking van gegevens door BOA’s. Tijdens de Wpg-audits blijkt dat de functionaris gegevensbescherming (FG) veelal is aangewezen om de Wpg-audit voor te bereiden en de Wpg uit te voeren. Daar gaat iets vreselijk mis. De uitvoering van de Wpg ligt namelijk bij de manager.
Wat is de rol van de FG?
Op grond van art 37 lid 1a dient elke overheidsorganisatie een FG te hebben. Dit gebeurt bij bijna alle overheidsorganisaties inmiddels. Maar daarna gaat het fout. Veelal denkt het management dat de FG degene is die alles rond de privacy moet regelen en hiervoor de verantwoordelijkheid draagt. Dat is echter onjuist. De manager is namelijk verantwoordelijk voor een AVG-proof werkwijze op zijn of haar afdeling. De rol van de FG is die van toezichthouder. Dit staat kort beschreven in art 39 van de AVG. De FG ziet toe op de naleving van de AVG en geeft advies over de toepassing van de AVG. Deze rol vinden we op een vergelijkbare manier terug in art 34 van de Wpg.
De FG kan wel betrokken zijn bij de Wpg-audit, maar dan alleen om aan de auditor te vertellen wat hij zelf heeft gesignaleerd tijdens de uitvoering van de toezichttaken. Dus niet als degene die bij de uitvoering van werkzaamheden is betrokken of, nog erger, de AVG-kar moet trekken.
De Wpg-audit is verplicht vanuit de auditregeling die hoort bij Wet Politiegegevens. Inergy Auditservices is momenteel druk met meer dan vijftig audits op de Wet Politiegegevens (Wpg).
Wie is er dan wel verantwoordelijk?
Er zijn twee vormen van verantwoordelijkheid: de formele verantwoordelijke en de uitvoerende verantwoordelijke. De formeel verantwoordelijke is degene die door de wet is aangewezen als verantwoordelijke. Bij gemeenten zijn dat de burgemeester of het college. Deze verantwoordelijkheid is in de praktijk gemandateerd aan een manager handhaving.
Als manager handhaving ben je verantwoordelijk voor een onderwerp waar je verder niet zo veel verstand van hebt. Het is ten slotte een mix van specialismen. Dit is wellicht ook de reden dat de verantwoordelijkheid vaak wordt afgeschoven op de FG. Terwijl de FG geen verstand heeft van handhaving. Dat is echt een vak op zich.
Hoe lossen we het op?
De oplossing is simpel. Ik vergelijk het met het eten van een taart. Een taart alleen opeten, is een lastige opgave waar je buikpijn van kan krijgen. Wanneer je de taart echter verdeelt, wordt het een stuk makkelijker en minder pijnlijk. Zo kan je ook met de Wpg omgaan. Als manager hoef je niet alles te weten, maar moet je je werk wel kunnen organiseren. Mijn advies is om een projectteam samen te stellen en samen de uitdaging aan te gaan.
“Een taart alleen opeten, is een lastige opgave waar je buikpijn van kan krijgen. Wanneer je de taart echter verdeelt, wordt het een stuk makkelijker en minder pijnlijk. Zo kan je ook met de Wpg omgaan.”
Rollen en functies in het projectteam
- De BOA beschikt over de vakinhoudelijke expertise en kan heel goed aangeven hoe het werkproces in elkaar zit.
- De applicatiebeheerder geeft aan hoe het werkproces door de applicatie wordt ondersteund en hoe het zit met bewaartermijnen en afscherming van gegevens.
- De Chief Privacy Officer helpt met het op orde brengen van de privacy procedures en het actualiseren van het verwerkingsregister
- De FG verzorgt de toezichttaken
- De CISO draagt de informatiebeveiligingsaspecten aan
- De systeembeheerder verzorgt de algemene IT-controle
Met deze groep specialisten heb je alles wat je nodig hebt om de zaken rond de Wpg te regelen.Als manager ben je de voorzitter van de projectgroep. Je monitort de voortgang en faciliteert de medewerkers in hun taak. Dit zijn de ingrediënten om een project tot een succes te maken. Bij de volgende audit is er geen zoektocht meer naar stukken en kan de vooruitgang gevierd worden.
Lees ook deze blog: 5 praktische tips voor de Wpg-audit
Conclusie
Je moet er als FG voor waken dat je in een rol wordt gedrukt die niet bij jouw verantwoordelijkheden past. Als manager geef je sturing aan de kwaliteit van het vakgebied en bepaal je hoe jouw medewerkers hun werk doen. Dat is geen rol van de FG.
Vanuit je rol als projectleider heb je verantwoordelijkheid en geef je sturing aan het proces zonder dat je je hoeft te verdiepen in alle details. Verder is het belangrijk dat alles draait om het primaire proces waarbij de beheersmaatregelen van de Wpg er op zijn gericht om de kwaliteit van het proces te borgen. De maatregelen vanuit de audit dragen bij aan de bescherming van de persoonsgegevens van de burger en de kwaliteit van het werk.
Wanneer de maatregelen zijn getroffen en de controlecyclus in werking is gesteld ben je als manager ‘in control’ omdat je inzicht hebt in dat wat er goed gaat en dat wat er beter kan.
Heb je vragen naar aanleiding van deze blog? Neem dan gerust contact met ons op.