Uitvoering Wpg audit
Bent u als organisatie verantwoordelijk voor de verwerking van persoonsgegevens bij opsporingstaken? En valt u daardoor onder de Wet politiegegevens (Wpg)? Dan bent u verplicht om elk jaar een interne privacy-audit te doen. Dit heet een Wpg-audit. Eens per 4 jaar moet u bovendien een externe Wpg-audit laten uitvoeren.
Regels voor Wpg-audit
De wetgever heeft regels vastgesteld voor de manier waarop organisaties de interne en externe Wpg-audit moeten uitvoeren en voor de inhoud van de audits. Deze regels zijn opgenomen in:
- artikel 33 van de Wpg
- artikel 6:5 van het Besluit politiegegevens
- de Regeling periodieke audit politiegegevens.
Eisen aan Wpg-audit
Voor een Wpg-audit gelden voor u als organisatie onder meer de volgende eisen:
- De controle moet gaan over hoe het verwerken van politiegegevens is georganiseerd, de maatregelen en procedures die daarop van toepassing zijn en de werking van deze maatregelen en procedures.
- De uitvoerders van de Wpg-audits zijn verplicht de persoonsgegevens waarover zij de beschikking hebben gekregen geheim te houden.
- De externe auditor moet onafhankelijk zijn en voldoen aan de eisen aan werkwijze, deskundigheid en betrouwbaarheid die in de Regeling periodieke audit politiegegevens staan.
- De resultaten van de externe Wpg-audit (het ‘short-form’ auditrapport) moet u aan de Autoriteit Persoonsgegevens (AP) sturen. De AP kan u vragen om het gedetailleerde rapport.
- Blijkt uit de externe Wpg-audit dat u niet (volledig) voldoet aan de Wpg? Dan moet u een verbeterplan opstellen voor de onderdelen die niet aan de gestelde voorwaarden voldoen. Vervolgens moet u binnen 1 jaar een hercontrole laten uitvoeren. Het verbeterplan hoeft u niet aan de AP te sturen. De resultaten van de hercontrole wel.
Let op: De invulling en toepassing van deze regels zijn uw eigen verantwoordelijkheid. De AP kan hierover niet oordelen of adviseren. De AP kan dit niet omdat het vraagt om een beoordeling van uw specifieke situatie met alle feiten, omstandigheden en belangen. En daar heeft niet de AP het beste zicht op, maar u als verwerkingsverantwoordelijke.
Rol FG bij Wpg-audit
U mag de Wpg-audits niet door uw functionaris gegevensbescherming (FG) laten uitvoeren. De taak van de FG is om toezicht te houden op de naleving van de Wpg in uw organisatie. Dit is inclusief de audits. Daarom kan de FG niet zelf de audits uitvoeren.
U mag de FG wel betrekken bij de uitvoering van de audits, omdat het de taak van de FG is om u te informeren en adviseren over de naleving van de Wpg.
Wpg-auditplicht voor werkgevers van boa’s
Buitengewone opsporingsambtenaren (boa’s) die voor hun opsporingstaken persoonsgegevens verwerken, vallen onder de Wpg. Dit betekent dat de Wpg-auditplicht ook geldt voor werkgevers van boa’s. U bent als werkgever van boa’s namelijk de verwerkingsverantwoordelijke.
De Wpg-auditplicht geldt ook als u een private organisatie bent die boa’s in dienst heeft. U moet dus elk jaar een interne Wpg-audit doen en elke 4 jaar een externe Wpg-audit laten uitvoeren.
Let op: Huurt u boa’s in? Of is sprake van een samenwerkingsverband? Ook dan geldt dat u verantwoordelijk bent voor wat de boa’s in uw opdracht doen. Afhankelijk van de specifieke situatie kan de uitlenende partij of het samenwerkingsverband een audit (laten) uitvoeren, waarbij u als inhurende of samenwerkende partij verantwoordelijkheid neemt voor de resultaten. De resultaten kunnen immers aanleiding geven om afspraken te wijzigen.
Template auditrapport
Om de resultaten van de audits vergelijkbaar te maken, gebruikt u de Handreiking Privacy audit Wet politiegegevens (Wpg) voor Boa’s op de website van NOREA. U kunt deze handreiking ook gebruiken voor de interne audit.
Moment externe Wpg-audit boa’s
De Wpg bepaalt dat u als werkgever van boa’s de externe audit 2 jaar na inwerkingtreding van de auditverplichting voor de eerste keer moet laten uitvoeren. En daarna iedere 4 jaar. Dat betekent dat de eerstvolgende audit zich richt op de omgang met politiegegevens in de periode 2021-2024.
De AP moet uw rapportage tussen 1 maart 2025 en 1 maart 2026 hebben ontvangen. De AP verleent geen uitstel. Voor de auditcyclus gaat de AP uit van het gedetailleerde overzicht van de auditcyclus in de Handreiking Privacy audit Wpg voor boa’s van NOREA.
Aanleveren extern Wpg-auditrapport bij AP
U levert het rapport van de externe Wpg-audit digitaal aan via: wpg-audit@autoriteitpersoonsgegevens.nl. Let hierbij op de volgende punten:
- Verwijder namen van personen uit het document. Het is daarna niet nodig het document versleuteld of via een systeem voor beveiligd e-mailen te versturen.
- Kies voor een leesbaar bestandsformaat, bij voorkeur pdf/A.
- Zorg dat de grootte van het bestand niet meer is dan enkele MB’s.
U ontvangt na het versturen een automatische ontvangstbevestiging. Houd ook altijd een afschrift van de door u aangeleverde externe auditrapporten in uw eigen administratie.
U krijgt geen individuele reactie van de AP op uw auditrapport. De AP registreert de aangeleverde Wpg-auditrapporten. Daarmee kijkt de AP of u voldoet aan uw wettelijke verplichting om het auditrapport aan de AP te sturen.
Verder gebruikt de AP de ingezonden auditrapporten als algemene input voor het toezicht van de AP. Bijvoorbeeld om te kijken of er over bepaalde onderwerpen meer voorlichting nodig is.
Opvolging externe Wpg-audit
Verder hoeft u niets te doen richting de AP. Uiteraard moet u zelf passende opvolging geven aan de externe Wpg-audit door verbeterplannen op te stellen en hercontroles uit te laten voeren.
Moet u na de externe Wpg-audit een verbeterplan opstellen? En binnen 1 jaar een hercontrole laten uitvoeren? Dan moet u de resultaten van de hercontrole aan de AP sturen. Uw verbeterplan hoeft u niet aan de AP te sturen. Verslagen van interne Wpg-audits ook niet.
Bent u als organisatie verantwoordelijk voor de verwerking van persoonsgegevens bij opsporingstaken? En valt u daardoor onder de Wet politiegegevens (Wpg)? Dan bent u verplicht om elk jaar een interne privacy-audit te doen. Dit heet een Wpg-audit. Eens per 4 jaar moet u bovendien een externe Wpg-audit laten uitvoeren.
Regels voor Wpg-audit
De wetgever heeft regels vastgesteld voor de manier waarop organisaties de interne en externe Wpg-audit moeten uitvoeren en voor de inhoud van de audits. Deze regels zijn opgenomen in:
- artikel 33 van de Wpg
- artikel 6:5 van het Besluit politiegegevens
- de Regeling periodieke audit politiegegevens.
Eisen aan Wpg-audit
Voor een Wpg-audit gelden voor u als organisatie onder meer de volgende eisen:
- De controle moet gaan over hoe het verwerken van politiegegevens is georganiseerd, de maatregelen en procedures die daarop van toepassing zijn en de werking van deze maatregelen en procedures.
- De uitvoerders van de Wpg-audits zijn verplicht de persoonsgegevens waarover zij de beschikking hebben gekregen geheim te houden.
- De externe auditor moet onafhankelijk zijn en voldoen aan de eisen aan werkwijze, deskundigheid en betrouwbaarheid die in de Regeling periodieke audit politiegegevens staan.
- De resultaten van de externe Wpg-audit (het ‘short-form’ auditrapport) moet u aan de Autoriteit Persoonsgegevens (AP) sturen. De AP kan u vragen om het gedetailleerde rapport.
- Blijkt uit de externe Wpg-audit dat u niet (volledig) voldoet aan de Wpg? Dan moet u een verbeterplan opstellen voor de onderdelen die niet aan de gestelde voorwaarden voldoen. Vervolgens moet u binnen 1 jaar een hercontrole laten uitvoeren. Het verbeterplan hoeft u niet aan de AP te sturen. De resultaten van de hercontrole wel.
Let op: De invulling en toepassing van deze regels zijn uw eigen verantwoordelijkheid. De AP kan hierover niet oordelen of adviseren. De AP kan dit niet omdat het vraagt om een beoordeling van uw specifieke situatie met alle feiten, omstandigheden en belangen. En daar heeft niet de AP het beste zicht op, maar u als verwerkingsverantwoordelijke.
Rol FG bij Wpg-audit
U mag de Wpg-audits niet door uw functionaris gegevensbescherming (FG) laten uitvoeren. De taak van de FG is om toezicht te houden op de naleving van de Wpg in uw organisatie. Dit is inclusief de audits. Daarom kan de FG niet zelf de audits uitvoeren.
U mag de FG wel betrekken bij de uitvoering van de audits, omdat het de taak van de FG is om u te informeren en adviseren over de naleving van de Wpg.
Wpg-auditplicht voor werkgevers van boa’s
Buitengewone opsporingsambtenaren (boa’s) die voor hun opsporingstaken persoonsgegevens verwerken, vallen onder de Wpg. Dit betekent dat de Wpg-auditplicht ook geldt voor werkgevers van boa’s. U bent als werkgever van boa’s namelijk de verwerkingsverantwoordelijke.
De Wpg-auditplicht geldt ook als u een private organisatie bent die boa’s in dienst heeft. U moet dus elk jaar een interne Wpg-audit doen en elke 4 jaar een externe Wpg-audit laten uitvoeren.
Let op: Huurt u boa’s in? Of is sprake van een samenwerkingsverband? Ook dan geldt dat u verantwoordelijk bent voor wat de boa’s in uw opdracht doen. Afhankelijk van de specifieke situatie kan de uitlenende partij of het samenwerkingsverband een audit (laten) uitvoeren, waarbij u als inhurende of samenwerkende partij verantwoordelijkheid neemt voor de resultaten. De resultaten kunnen immers aanleiding geven om afspraken te wijzigen.
Template auditrapport
Om de resultaten van de audits vergelijkbaar te maken, gebruikt u de Handreiking Privacy audit Wet politiegegevens (Wpg) voor Boa’s op de website van NOREA. U kunt deze handreiking ook gebruiken voor de interne audit.
Moment externe Wpg-audit boa’s
De Wpg bepaalt dat u als werkgever van boa’s de externe audit 2 jaar na inwerkingtreding van de auditverplichting voor de eerste keer moet laten uitvoeren. En daarna iedere 4 jaar. Dat betekent dat de eerstvolgende audit zich richt op de omgang met politiegegevens in de periode 2021-2024.
De AP moet uw rapportage tussen 1 maart 2025 en 1 maart 2026 hebben ontvangen. De AP verleent geen uitstel. Voor de auditcyclus gaat de AP uit van het gedetailleerde overzicht van de auditcyclus in de Handreiking Privacy audit Wpg voor boa’s van NOREA.
Aanleveren extern Wpg-auditrapport bij AP
U levert het rapport van de externe Wpg-audit digitaal aan via: wpg-audit@autoriteitpersoonsgegevens.nl. Let hierbij op de volgende punten:
- Verwijder namen van personen uit het document. Het is daarna niet nodig het document versleuteld of via een systeem voor beveiligd e-mailen te versturen.
- Kies voor een leesbaar bestandsformaat, bij voorkeur pdf/A.
- Zorg dat de grootte van het bestand niet meer is dan enkele MB’s.
U ontvangt na het versturen een automatische ontvangstbevestiging. Houd ook altijd een afschrift van de door u aangeleverde externe auditrapporten in uw eigen administratie.
U krijgt geen individuele reactie van de AP op uw auditrapport. De AP registreert de aangeleverde Wpg-auditrapporten. Daarmee kijkt de AP of u voldoet aan uw wettelijke verplichting om het auditrapport aan de AP te sturen.
Verder gebruikt de AP de ingezonden auditrapporten als algemene input voor het toezicht van de AP. Bijvoorbeeld om te kijken of er over bepaalde onderwerpen meer voorlichting nodig is.
Opvolging externe Wpg-audit
Verder hoeft u niets te doen richting de AP. Uiteraard moet u zelf passende opvolging geven aan de externe Wpg-audit door verbeterplannen op te stellen en hercontroles uit te laten voeren.
Moet u na de externe Wpg-audit een verbeterplan opstellen? En binnen 1 jaar een hercontrole laten uitvoeren? Dan moet u de resultaten van de hercontrole aan de AP sturen. Uw verbeterplan hoeft u niet aan de AP te sturen. Verslagen van interne Wpg-audits ook niet.