Praktisch auditen met oog voor de werkelijkheid – hoe gemeente Goeree-Overflakkee de Wpg-audit met AudITvision ervaart
Voor gemeenten is zorgvuldig omgaan met politiegegevens geen keuze, het is een verantwoordelijkheid. De Wet politiegegevens (Wpg) stelt duidelijke eisen aan de manier waarop die gegevens worden verwerkt, beheerd en gecontroleerd. Tegelijk vraagt de praktijk om nuance: niet elk proces, systeem of domein vraagt om dezelfde aanpak.
Voor de Gemeente Goeree-Overflakkee was dat precies de reden om in de samenwerking met een auditor niet alleen te kijken naar het normenkader, maar ook naar de uitvoerbaarheid in de praktijk.
We spraken met Robin Broere, CISO en FG bij de gemeente Goeree-Overflakkee. Vanuit zijn rol is hij betrokken bij informatiebeveiliging, privacy en de toepassing van de Wpg binnen de organisatie.
“Je wilt dat een audit zorgvuldig en kritisch is, maar wel op een manier die past bij hoe je als organisatie echt werkt.”
Waarom AudITvision
De keuze voor AudITvision kwam voort uit eerdere ervaringen met een andere auditpartij. Robin miste daarin vooral de praktische interpretatie van normen en de aansluiting op de werkelijkheid van de organisatie. “Bij de vorige auditor liep ik er regelmatig tegenaan dat er sterk werd vastgehouden aan generieke controls, terwijl die in onze situatie niet altijd logisch of relevant waren. In de kennismaking met AudITvision werd juist daar direct aandacht aan besteed. Hoe ga je om met normen of controls die formeel bestaan, maar in de praktijk bij een leverancier zijn belegd? En hoe zorg je ervoor dat een audit niet onnodig zwaar wordt ingericht?
“Daarin merkte ik meteen dat AudITvision praktisch naar zaken kijkt. Dat gaf vertrouwen.”
Kijken naar de praktijk, niet alleen naar het papier
Voor Robin zit de meerwaarde vooral in de manier waarop AudITvision naar scope en proportionaliteit kijkt. Niet alles wat in een normenkader staat, hoeft automatisch op dezelfde manier toegepast te worden in ieder domein of proces. Door omvang van het aantal BOA’s is het bijvoorbeeld logisch om het volledige normenkader serieus toe te passen. Daar is sprake van structurele verwerking van politiegegevens en hoort een volwassen inrichting bij. Maar in andere domeinen ligt dat genuanceerder.
“Wat ik echt sterk vond, was dat AudITvision zei: als jullie op basis van het afgelopen jaar kunnen aantonen dat hier feitelijk geen Wpg-verwerking heeft plaatsgevonden, dan kunnen we dat domein buiten scope plaatsen. Dat had ik bij andere auditpartijen nog niet eerder meegemaakt.”
Volgens Robin was dat geen gemakzucht, maar juist een goed voorbeeld van professioneel auditen: kritisch blijven, bewijs vragen en op basis daarvan tot een realistische afbakening komen.
“Dat was voor mij echt een perfecte oplossing. Niet lichter maken om het lichter te maken, maar wel eerlijk kijken naar wat relevant is.”
Kritisch én meedenkend
De gemeente ervaarde de audit niet als een afvinkoefening, maar als een traject waarin serieus werd meegedacht. Daarbij bleef de rolzuiverheid volgens Robin goed bewaakt: de auditor neemt de verantwoordelijkheid niet over, maar helpt wel om scherp te krijgen wat nodig is.
“Er zijn nog een paar normen waar we mee bezig zijn, bijvoorbeeld rond documentatieplicht. Dan is het prettig als je handvatten krijgt over hoe je daar goed naar kunt kijken, zonder dat audit en advies door elkaar gaan lopen.”
Juist die combinatie van inhoudelijke scherpte en praktische toepasbaarheid maakte voor hem het verschil.
Geen verrassingen in de rapportage
Ook over het verloop van het traject is Robin positief. De communicatie verliep soepel, het tempo was goed en de rapportage sloot aan op de gesprekken die onderweg al waren gevoerd. “Wat ik belangrijk vind, is dat een rapport geen verrassing wordt. Natuurlijk kan een oordeel kritisch zijn, maar het moet wel in lijn zijn met wat je in het traject al hebt besproken. Dat was hier gewoon goed.”
De rapportage zelf omschrijft hij als helder en herkenbaar binnen het normenkader. Geen onnodige complexiteit, maar duidelijkheid over de oordelen en de vervolgstappen.
De waarde van een audit die werkt
De audit leverde niet alleen een oordeel op, maar ook meer grip op de praktische invulling van openstaande aandachtspunten. Daarmee werd het voor de gemeente makkelijker om gericht verder te werken aan naleving en borging.
Robin ziet die aanpak niet alleen als waardevol voor gemeenten, maar breder voor organisaties die met normenkaders, toezicht en verantwoording te maken hebben.
“Zeker voor organisaties die praktisch aan de slag willen en niet blijven hangen in alleen het normenkader, is dit een prettige manier van auditen.” Ook de prijs-kwaliteitverhouding noemt hij positief. De samenwerking werd efficiënt ingericht, zonder onnodig zwaar auditapparaat.
“Je krijgt hoge kwaliteit voor een goede prijs.”
Aanrader?
Voor Robin is het antwoord duidelijk: ja. Niet omdat een audit minder kritisch zou zijn, maar juist omdat AudITvision volgens hem laat zien dat kritisch en praktisch prima samen kunnen gaan.
“AudITvision kijkt niet alleen naar wat er op papier zou moeten staan, maar ook naar hoe het in de praktijk echt werkt. En juist dat maakt de samenwerking waardevol.”
Ook behoefte aan een audit die kritisch is, maar wel aansluit op de praktijk van je organisatie? Lees meer over onze aanpak op het gebied van Wpg, informatiebeveiliging en IT-audits.
