Wpg privacyaudit
Wat is een Wpg privacyaudit?
De Wet politiegegevens (Wpg) is sinds 2019 van kracht voor boa organisaties en vereist voor het eerst in 2021 een verplichte externe privacyaudit. Deze audit is gericht op het verwerken van politiegegevens. De Wpg geldt al langer voor de politie zelf, maar sinds 2019 mogen buitengewoon opsporingsambtenaren (boa’s) ook politiegegevens verwerken in het kader van opsporing van strafbare feiten. Het verwerken van dit type gegevens valt niet onder de Algemene Verordening Gegevensbescherming (AVG), maar onder de Wet politiegegevens (Wpg). De Wpg kent namelijk een apart privacyregime en jaarlijks moet er een interne audit worden uitgevoerd en vier jaarlijks een audit door een externe auditor. In deze flyer beschrijven we wat dit voor de boa’s en hun werkgevers betekent en wat wij als BKBO b.v. u kunnen aanbieden om de verplichte externe audit efficiënt en effectief uit te voeren.
De Wpg
De Algemene Verordening gegevensbescherming (AVG) staat volop in de publieke belangstelling. Veel minder bekend is dat er daarnaast nog een andere privacywet van kracht is geworden, de Wet politiegegevens (Wpg). Deze regelt de verwerking van persoonsgegevens in de strafrechtelijke keten.
Bij opsporing en tenuitvoerlegging van straffen worden per definitie uiterst gevoelige gegevens gebruikt. Boa’s spelen hierin een belangrijke rol. Wat het extra ingewikkeld maakt, is dat de boa naast opsporingstaken vaak ook bestuursrechtelijke toezichts- en handhavingstaken heeft. De verwerking van persoonsgegevens voor de opsporingstaak valt onder het regime van de Wpg en de verwerking van de overige taken valt weer onder de AVG. In het algemeen zijn boa’s een groter deel van hun tijd bezig met toezicht en handhaving dan met de opsporing van strafbare feiten. Omdat opsporingstaken in het algemeen privacygevoeliger zijn, is het privacyregime van de Wpg dan ook een stuk zwaarder dan de AVG.
Specifiek noemen we dat de Wpg vereist dat:
- Steeds duidelijk is welke gegevens op feiten zijn gebaseerd en welke gegevens op een persoonlijk oordeel van de boa zijn gebaseerd.
- Er steeds een onderscheid wordt gemaakt tussen verschillende typen betrokkenen, zoals verdachten, slachtoffers, derden en getuigen.
- Logging geregeld is in de gebruikte informatiesystemen.
- Politiegegevens beschikbaar worden gesteld aan geautoriseerde politieambtenaren of boa’s in andere organisaties voor zover nodig voor de uitvoering van hun taak. Beschikbaar stellen is zelfs een verplichting; iets dat de AVG helemaal niet kent.
- Politiegegevens kunnen ook worden verstrekt of zelfs beschikbaar worden gesteld aan buitenlandse opsporingsdiensten.
- Een periodieke externe Wpg privacyaudit wordt uitgevoerd door een RE met een rapportage aan de Autoriteit Persoonsgegevens (AP).
- De FG een aantal specifieke Wpg taken toebedeeld heeft gekregen, zoals het (laten) uitvoeren van een jaarlijkse interne audit op o.a. de rechtmatigheid van de verwerking van politiegegevens.
Voor de verwerking van politiegegevens stelt de Wpg -net als de AVG- een aantal algemene eisen. Dit betreft criteria over noodzakelijkheid, rechtmatigheid, juistheid, proportionaliteit, subsidiariteit en volledigheid. Daarnaast moet de verwerkingsverantwoordelijke een aantal technische en organisatorische maatregelen nemen.
Specifieke eisen aan de werkgever van boa’s
De werkgever van boa’s, zoals een gemeente, een sociale dienst, een ov-bedrijf, een waterschap of bijvoorbeeld een veiligheidsregio -kortom de verwerkingsverantwoordelijke- moet volgens de Wpg aan een aantal vereisten voldoen bij de verwerking van politiegegevens. De verwerking moet plaatsvinden in afzonderlijke systemen en Wpg gegevens mogen alleen worden verwerkt door aangewezen medewerkers van de gemeente. De reden voor deze strenge eisen ligt in de aard van de bevoegdheden. Bij het uitvoeren van een wettelijke opsporingstaak zijn dit namelijk bevoegdheden uit het Wetboek van Strafvordering en de Wet op de economische delicten. Hiermee kan diep op de privacy van burgers worden ingegrepen – de burger weet niet dat hij of zij wordt onderzocht- en dit vraagt om strenge regels om de privacy van burgers te beschermen.
Inspanningsverplichting verwerkingsverantwoordelijke
De verwerkingsverantwoordelijke dient te zorgen voor een procesinrichting voor de verwerking van verschillende soorten gegevens waarmee opzet, bestaan en werking aangetoond wordt (artikel 4a Wpg).
Wat is de Wpg audit?
Bij de privacyaudit beoordelen we de compliance met de Wpg bij organisaties zoals de gemeente, de sociale dienst of een omgevingsdienst. Het object van onderzoek van een Wpg privacyaudit bestaat uit de verwerkingen van politiegegevens die onder verantwoordelijkheid van de verwerkingsverantwoordelijke worden verwerkt. De privacyaudit heeft tot doel op systematische wijze te toetsen of aan de bepalingen van de wet op adequate wijze uitvoering is gegeven. Hiertoe vindt een beoordeling plaats van de volgende aspecten binnen de organisatie van de auditee:
a) De opzet en het bestaan van maatregelen en procedures die in de borging van de wettelijke eisen moeten voorzien;
b) De werking van de getroffen maatregelen en procedures;
c) De resultaten van de interne audits worden betrokken bij de privacyaudit.
Bent u benieuwd hoe een Wpg privacyaudit precies verloopt? Bekijk dan deze animatie op ons YouTube kanaal:
Wat is uw voordeel?
Bij BKBO ontzorgen wij u. Het voorbereiden en uitvoeren van de privacyaudit vraagt de nodige expertise en capaciteit. Wij zijn daarvoor uw betrouwbare audit bedrijfsrevisor. Uit de auditresultaten kan blijken dat de normen niet zijn behaald. Dan moet binnen drie maanden een verbeterrapport door de verwerkingsverantwoordelijke worden opgesteld en binnen een jaar een hercontrole worden uitgevoerd. Afhankelijk van de ernst kan dat een intern of een extern uitgevoerde hercontrole zijn. Ingeval het een externe hercontrole zou moeten zijn, doen wij dat eveneens voor u. Zonder meerprijs. Eventueel kunnen wij ook de interne audits voor uw organisatie uitvoeren. Voor uw gemak bieden wij daarvoor een abonnement aan.
Wij ondersteunen u met een aanpak die zowel tijd als kosten bespaart. Wij zijn zeker van onze zaak en bieden u een vaste prijs. Dat is voordelig en compleet, want het is inclusief een eventuele controle audits.
Wij zijn vanaf de start vertegenwoordigd in de Wpg werkgroep van NOREA. We voeren de Wpg audit conform het protocol zoals beschreven in de Handreiking van NOREA. Zo kunt u ervan op aan dat de door ons bureau uitgevoerde privacyaudit voldoet aan de regels van de Autoriteit Persoonsgegevens. Wij zijn gespecialiseerd in het afnemen van audits bij de lokale overheid. Door onze bewezen ervaring voeren we audits uit bij meer dan 170 organisaties.
Hoe pakken wij dat aan?
Als u nog nooit een eigen interne audit heeft uitgevoerd op de Wpg, kunt u eerst een nulmeting laten doen, zodat tekortkomingen vroegtijdig aan het licht komen. We geven u dan heldere en op maat toegesneden aanbevelingen om tekortkomingen snel op te heffen. U kunt dan gericht stappen zetten om de Wpg verder te implementeren.
Wij hebben een gestandaardiseerde en beproefde uitvoeringswijze ontwikkeld, waarbij we het aantal contactmomenten en daarmee de belasting van uw organisatie zoveel mogelijk beperken. De uitvoering begint met een documentatieverzoek inclusief een helder auditplan. Afhankelijk van uw opdracht zal onze auditor bij u eerst een complete nulmeting uitvoeren. Daarna bespreken wij de auditplanning met u. Hierbij gaan we na of uw boa systeem een TPM-verklaring heeft. We bespreken welke interviews nodig zijn en met welke functionarissen en op welke termijn dat mogelijk is. Afhankelijk van een eventuele verklaring, beoordelen wij zowel de infrastructuur en de general IT Controls. Gelijktijdig vindt een audit plaats op uw contracten, de procedures, de governance en de kwaliteit van de uitgevoerde interne audits. We voeren diepte-interviews pas uit nadat we uw bewijsstukken hebben ontvangen en bestudeerd om uw tijd zo efficiënt mogelijk te gebruiken en de belasting voor uw organisatie zoveel mogelijk te beperken. Interviews zullen veelal via Zoom of Teams plaatsvinden. Wij zorgen dat voor u alles compleet, geordend en begrijpelijk is. We leggen onze bevindingen vast in een overzichtelijke conceptrapportage. Hierbij maken wij concrete aanbevelingen om de tekortkomingen efficiënt op te heffen. Het assessment wordt afgesloten met een persoonlijk gesprek waarin we de bevindingen en onze aanbevelingen helder toelichten. Daarna wordt de rapportage definitief gemaakt en kan deze worden verstuurd aan de AP.
Wat is uw investering?
Afhankelijk van wat u wilt dat onderzocht wordt, variëren de kosten tussen de € 3.500,- en € 10.000,-. De genoemde prijzen zijn exclusief BTW en inclusief reis- en verblijfskosten.
Dit assessment is ook voordelig te combineren met andere audits. Ook is een vijf jarig abonnement -waarbij we de interne audits uitvoeren in 2022, 2023 en 2024 en de 2e externe privacyaudit in 2025 uitvoeren- met korting mogelijk. Zo blijft u aan alle eisen voldoen: probleemloos, efficiënt en effectief!
Vertrouw op een specialist
Wanneer een Wpg privacyaudit van toepassing is, is het prettig om een ervaren specialist in te schakelen. Ons bedrijf heeft jarenlange ervaring in het uitvoeren van een Wpg audits. Wilt u graag een offerte of heeft u vragen? Schroom niet om contact met ons op te nemen.