AudITvision

WPG Audit

Introductie

AudITvision b.v. is een middelgrote, dynamische maar bovenal betrouwbare en professionele IT-audit organisatie. Wij onderscheiden ons in de markt door een persoonlijke benadering, vakmanschap en een goede prijs/kwaliteitverhouding. Wij kunnen onze klanten ondersteunen bij diverse beheersingsvraagstukken op het gebied van IT. Als IT-audit organisatie hebben we veel ervaring met de Wpg-audits. Onze auditoren zijn Register EDP-auditor (RE) en aangesloten bij de NOREA. Vanuit deze beroepsorganisatie zijn de richtlijnen opgesteld voor de externe Wpg-audit.

Onze werkwijze

Meedenken
Voor veel van onze klanten is een Wpg-audit niet nieuw, maar wel onwennig omdat de laatste externe audit in 2021 is geweest. We denken dan ook graag met u mee. We hebben de Wpg-audit vele malen uitgevoerd en kunnen u goed begeleiden door het proces en zorgen dat u de juiste stappen zet.

Pragmatisch
We denken mee waar er mogelijkheden zijn om te voldoen aan de eisen, zodat u geen onnodige maatregelen hoeft uit te werken en implementeren. We kijken wat passend is voor uw organisatie. We zijn geen vinkenzetters of zeurpieten, maar in een prettige sfeer beoordelen wij wel of voldaan wordt aan de normen.

Betaalbaar
Wij doen dit vele keren per jaar en daarom hebben we een efficiënte aanpak opgezet. We begeleiden u door de verschillende stappen. Op basis van onze aanpak kunt u op de momenten dat het u past het bewijsmateriaal (laten) verzamelen en klaarzetten op een omgeving die we voor u aanmaken. Nadat alles gereed is gaan we het bewijs beoordelen en op basis daarvan het bewijsmateriaal verfijnen. Door deze iteratieve aanpak zitten we niet dagen bij u op locatie om uw medewerkers van het werk te houden. Dat scheelt zowel u als ons tijd en daarmee geld.

Contact opnemen

Ontvang onze gratis whitepaper

Vraag onze gratis whitepaper aan en ontdek hoe u eenvoudig kunt starten met een compliance-traject en waar u rekening mee moet houden.

Whitepaper ontvangen

De Wet politiegegevens

Wanneer een organisatie voor het uitvoeren van haar taken persoonsgegevens verwerkt geldt de Algemene Verordening Gegevensbescherming (AVG). Voor een Buitengewoon opsporingsambtenaar (boa) gelden afwijkende regels, waarbij sprake is van verschillende wettelijke regimes. De gegevens die de boa als opsporingsambtenaar gebruikt vallen onder de Wet politiegegevens (Wpg). Voor deze gegevens gelden andere regels, zoals andere bewaartermijnen en andere eisen bij het onderling delen van gegevens.

Wat is de Wpg-audit?

Conform de Wpg dient de verwerkingsverantwoordelijke twee jaar na inwerkingtreding van de wet (per 01-01-2022) en vervolgens eenmaal in de vier jaar een externe privacy audit uit te voeren. Het gaat bij de externe audit om een volledige toets van de Wpg. De uitkomsten van de externe IT-audit worden gerapporteerd aan de Autoriteit Persoonsgegevens (AP). De AP moet uw rapportage tussen 1 maart 2025 en 1 maart 2026 hebben ontvangen. De AP verleent geen uitstel. Wanneer op basis van de audit blijkt dat een organisatie niet (genoeg) voldoet, kan de AP handhavende maatregelen opleggen.

Naast de externe audit dient jaarlijks een interne audit te worden uitgevoerd. Dit is een zelfevaluatie en heeft betrekking op enkele onderdelen van de wet met als doel op systematische wijze te toetsen of aan de bepalingen van de wet op adequate wijze uitvoering is gegeven. Het verschil met de externe audit is dat de interne audit zich richt op één of meerdere onderdelen van de wet. De interne audit toetst of deze onderdelen op correcte wijze zijn uitgevoerd. De uitkomsten worden meegenomen in de externe audit. De externe audit vindt dus plaats na de interne audit. Een ander verschil is dat de interne audit niet voorgelegd hoeft te worden aan de AP. De Functionaris gegevensbescherming (FG) zal hier wel jaarlijks om vragen. De vierjaarlijkse externe audit bestaat uit toetsing op alle onderwerpen. De rapportage die hieruit voortvloeit moet worden verstrekt aan de AP. Als er tekortkomingen zijn geconstateerd moet na het uitvoeren van de audit een verbeterrapport worden opgesteld, waarop binnen een jaar een hercontrole plaatsvindt. De hercontrole geldt alleen voor die onderdelen van de wet waar de tekortkomingen geconstateerd worden. De resultaten van de hercontrole worden vastgelegd in een rapportage en worden eveneens verstrekt aan de AP (uiterlijk 1 jaar na het uitvoeren van de externe audit).

Samenwerkingsverbanden of inhuur van boa’s
Huurt u boa’s in? Of is sprake van een samenwerkings- verband? Ook dan geldt dat u verantwoordelijk bent voor wat de boa’s in uw opdracht doen. Afhankelijk van de specifieke situatie kan de uitlenende partij of het samenwerkingsverband een audit (laten) uitvoeren, waarbij u als inhurende of samenwerkende partij verantwoordelijkheid neemt voor de resultaten. De resultaten kunnen immers aanleiding geven om afspraken te wijzigen.

Eisen aan de Wpg-audit volgens het AP.

Voor een Wpg-audit gelden voor u als organisatie onder meer de volgende eisen (conform website AP):

  • De controle moet gaan over hoe het verwerken van politiegegevens is georganiseerd, deze maatregelen en procedures die daarop van toepassing zijn en de werking van deze maatregelen en procedures.
  • De uitvoerders van de Wpg-audits zijn verplicht de persoonsgegevens waarover zij de beschikking hebben gekregen geheim te houden.
  • De externe auditor moet onafhankelijk zijn en voldoen aan de eisen aan werkwijze, deskundigheid en betrouwbaarheid die in de Regeling periodieke audit politiegegevens staan.
  • De resultaten van de externe Wpg-audit (het ‘short-form’ auditrapport) moet u aan de Autoriteit Persoonsgegevens (AP) sturen. De AP kan u vragen om het gedetailleerde rapport.
  • Blijkt uit de externe Wpg-audit dat u niet (volledig) voldoet aan de Wpg? Dan moet u een verbeterplan opstellen voor de onderdelen die niet aan de gestelde voorwaarden voldoen. Vervolgens moet u binnen 1 jaar een hercontrole laten uitvoeren. Het verbeterplan hoeft u niet aan de AP te sturen. De resultaten van de hercontrole wel.
Contact opnemen

Wie mag de audit uitvoeren?

Het uitvoeren van de (interne) IT-audit vraagt om kennis en ervaring. Belangrijke zaken zijn: kennis van geautomatiseerde informatiesystemen, IT-auditing, de boa-organisatie en de Wpg. AuditITvision biedt een opleiding tot interne auditor Wpg aan. Beschikt uw organisatie niet over iemand die voldoet aan de eisen? Dan kunt u AudITvision ook de interne audit laten uitvoeren.

Rol FG bij Wpg-audit

U mag de Wpg-audits niet door uw functionaris gegevensbescherming (FG) laten uitvoeren. De taak van de FG is om toezicht te houden op de naleving van de Wpg in uw organisatie. Dit is inclusief de audits. Daarom kan de FG niet zelf de audits uitvoeren. U mag de FG wel betrekken bij de uitvoering van de audits, omdat het de taak van de FG is om u te informeren en adviseren over de naleving van de Wpg.

Nulmeting begin 2025

Wij adviseren om voor de externe audit in 2025 zo snel mogelijk te starten met het verzamelen van de resultaten van de voorgaande interne audits. Daarnaast adviseren om nogmaals te bepalen of de scope nog passend is voor uw organisatie. Voordat we de externe audit uitvoeren kunnen we in een gesprek met u een nulmeting uitvoeren. Op die manier ben u goed voorbereid op de externe audit. We bespreken (en herijken) dan de volgende zaken:

1. Scope Kloppen de verwerkingen nog van de politie- gegevens die onder de werking van de Wpg vallen? Gebruik hiervoor onderstaand overzicht. Zijn er diensten bij of af gegaan de afgelopen jaren? Een ander belangrijk aandachtspunt bij het bepalen van de scope is het vaststellen van eventuele derde partijen en leveranciers. De Wpg bepaalt namelijk dat derde partijen meegenomen moeten worden in de audit of dat zij een TPM-verklaring aanleveren.

2. Actualiseren van uw auditplan voor de komende 4 jaar: In het auditplan legt u de scope van de audit vast, het te gebruiken normenkader en de werkwijze en opbouw van het auditdossier.

3. Verzamelen de bevindingen van voorgaande audits: Zorg dat u alle resultaten van zowel de externe audit uit 2021/22 als de resultaten van de interne audits uit 2022, 2023 en 2024 heeft verzameld. Stel vast dat alle bevindingen daadwerkelijk zijn opgelost. De externe audit zal dit ook onderzoeken.

4. Implementeren gaps: De bevindingen uit de voorgaande stappen geven u de mogelijkheid om verbeteringen door te voeren voordat de externe audit uitgevoerd zal worden in 2025.

5. Extern auditplan: Stel samen met ons een auditplan op voor de externe audit. We kunnen de data inplannen en vaststellen met wie we gesprekken moeten voeren.

Onze aanpak

Het normenkader

Wij voeren de audit uit op basis van de Handreiking Privacy audit Wpg voor boa’s dat door het NOREA is ontwikkeld. Dit is overigens ook de enige standaard die mag worden gebruikt en ook door de AP wordt benoemd als enig raamwerk. Alleen op die manier kan de AP de audits efficiënt vergelijken en beoordelen. Het raamwerk bestaat uit verschillende onderdelen:

  • Principes zoals reikwijdte, doelbinding, noodzaak, rechtmatigheid en juistheid;
  • Gegevensbescherming en informatiebeveiliging;
  • Bijzondere categorieën van politiegegevens;
  • Autorisaties;
  • Verwerkers en verwerkersovereenkomsten;
  • Geheimhouding;
  • Geautomatiseerde besluitvorming envergelijkingen;
  • Uitvoering van de dagelijkse opsporingstaak;
  • Terbeschikkingstelling en verstrekkingen;
  • Bewaartermijnen, verwijderen en vernietigen;
  • Verstrekken van gegevens en doorgifte aan derde landen;
  • Recht op inzage, rectificatie en verwijdering;
  • Register en documentatie;
  • Logging;
  • Audits;
  • Melding datalekken;
  • Functionaris gegevensbescherming.

De tijdslijnen

Het is moeilijk om een specifiek tijdsbestek te geven, omdat elke organisatie uniek is. Elke organisatie heeft daarnaast een ander vertrekpunt en iedereen zal de maatregelen op een andere wijze implementeren. Echter, op basis van onze ervaring met het begeleiden en auditen van vele Wpg-audits kunnen we grove uitgangspunten geven. Een Wpg-audit duurt doorgaans 3 tot 6 dagen. Hoe snel je door het proces heen komt, hangt af van veel factoren, waaronder:

  • De grootte van uw organisatie.
  • De volwassenheid van uw bestaande processen en beleid.
  • De mate waarin de interne audits op de juiste manier en met de juiste diepgang zijn uitgevoerd.
  • Hoeveel mensen er bij het proces betrokken zullen zijn.
  • Hoeveel boa’s u heeft en in welk domein en met welke functie.

De wet heeft al wel benoemd wanneer de rapportage moet worden opgeleverd. De volgende tijdslijn is opgelegd: Tussen 1 maart 2025 en 1 maart 2026 dient de AP te beschikken over de rapportage van de Wpg-audit.

Afhankelijk van eventuele gaps hebben we hieronder een voorbeeld van een planning opgenomen om te komen tot de uiteindelijke rapportage. Uiteraard kunnen we dit aanpassen voor uw specifieke omstandigheid.

Template auditrapport

Om de resultaten van de audits vergelijkbaar te maken, gebruiken wij de Handreiking Privacy audit Wet politie- gegevens (Wpg) voor Boa’s zoals ook op de website van NOREA is gepubliceerd. U kunt deze handreiking ook gebruiken voor de interne audit.

Aanleveren extern Wpg-auditrapport bij AP

U levert het rapport van de externe Wpg-audit digitaal aan via: Wpg-audit@autoriteitpersoonsgegevens.nl. Let hierbij op de volgende punten:

  • Verwijder namen van personen uit het document. Het is daarna niet nodig het document versleuteld of via een systeem voor beveiligd e-mailen te versturen.
  • Kies voor een leesbaar bestandsformaat, bij voorkeur pdf/A.
  • Zorg dat de grootte van het bestand niet meer is dan enkele MB’s.

U ontvangt na het versturen een automatische ontvangstbevestiging van de AP. Houd ook altijd een afschrift van de door u aangeleverde externe auditrapporten in uw eigen administratie. U krijgt geen individuele reactie van de AP op uw auditrapport. De AP registreert de aangeleverde Wpg-auditrapporten. Daarmee kijkt de AP of u voldoet aan uw wettelijke verplichting om het auditrapport aan de AP te sturen. Verder gebruikt de AP de ingezonden auditrapporten als algemene input voor het toezicht van de AP. Bijvoorbeeld om te kijken of er over bepaalde onderwerpen meer voorlichting nodig is.

Opvolging externe Wpg-audit

Verder hoeft u niets te doen richting de AP. Uiteraard moet u zelf passende opvolging geven aan de externe Wpg-audit door verbeterplannen op te stellen en hercontroles uit te laten voeren. Moet u na de externe Wpg-audit een verbeterplan opstellen? En binnen 1 jaar een hercontrole laten uitvoeren? Dan moet u de resultaten van de hercontrole aan de AP sturen. Uw verbeterplan hoeft u niet aan de AP te sturen. Verslagen van interne Wpg-audits ook niet.

Citaat

Katja Mur, bestuurslid AP:

“De resultaten van de audits laten zien dat veel boa-werkgevers hun zaken beter op orde hebben. Maar tegelijk moet er nog veel gebeuren. Alle mensen die te maken krijgen met boa’s, moeten erop kunnen vertrouwen dat die boa’s goed met hun gegevens omgaan. Ik ga ervan uit dat boa-werkgevers bij de volgende audit kunnen laten zien dat ze hun zaken helemaal op orde hebben.”

De kosten

Vaak krijgen we van onze klanten op voorhand de vraag wat de kosten zijn van een Wpg-audit. Dat begrijpen we ook omdat we soms astronomische bedragen horen die echt niet realistisch zijn. De vraag over de kosten is niet eenduidig te beantwoorden, maar op basis van de vele audits die we hebben uitgevoerd kunnen we hier uiteraard wel een aantal grove richtlijnen geven.

We gaan bij het overzicht uit van een uurtarief van €150,-. Voor de eenvoud geef ik hieronder aan wat onze grove prijzen zijn die wij in rekening brengen bij klanten waarbij we gebruik maken van het aantal inwoners bij gemeenten. Voor andere instellingen gebruiken we een andere wijze, maar op basis van onderstaand overzicht kan een vergelijkbare organisatie ook een inschatting maken van de kosten.

Contact opnemen
We gebruiken cookies om u de beste ervaring op onze website te bieden.
Accepteren Weigeren