De Wpg audit, bent u voorbereid?

Laatste update: 25-6-2021

Nederland kent naast de politie ook buitengewoon opsporingsambtenaren (boa’s). Boa’s helpen mee met toezicht houden op de lokale orde en veiligheid. In Nederland werken zo’n 23.700 boa’s bij circa 1100 verschillende instanties. Boa’s maken bij het uitvoeren van hun werkzaamheden gebruik van persoonsgegevens. Het verwerken van deze persoonsgegevens valt uiteraard onder de Algemene verordening gegevensbescherming (AVG). Daarnaast moeten instanties met boa’s rekening houden met de Wet Politiegegevens (Wpg), aangevuld met het Besluit Politiegegevens (Bpg).

Deze wet stelt een aantal criteria met betrekking tot noodzakelijkheid, rechtmatigheid, juistheid, proportionaliteit, subsidiariteit en volledigheid. Daarnaast moet de verwerkingsverantwoordelijke een aantal technische en organisatorische maatregelen nemen om te voldoen aan de Wpg. De reden voor deze strenge eisen ligt in de aard van de bevoegdheden. Bij de uitvoering van wettelijke opsporingstaken betreft dit vaak bevoegdheden waarmee diepgaand op de privacy van burgers kan worden ingegrepen.

Onderdeel van deze wet is een verplichte audit (art. 33): de verwerkingsverantwoordelijke doet de uitvoering van de bij of krachtens deze wet gegeven regels controleren door middel van het periodiek doen verrichten van privacy audits. Deze verplichting is nader uitgewerkt in Artikel 6:5 van het BPG en stelt:  Twee jaren na inwerkingtreding van de wet, en vervolgens eenmaal in de vier jaren, laat de verwerkingsverantwoordelijke de uitvoering van de bij of krachtens de wet gegeven regels door een privacy audit controleren, op bij ministeriële regeling te bepalen wijze.

Daarnaast moet jaarlijks een interne audit worden uitgevoerd. In het vervolg wordt aan deze twee audits gerefereerd als interne en externe audit.

Nog meer specificatie is te vinden in de Regeling periodieke audit politiegegevens. Hierin is concreet benoemd waar de interne en externe audit aan moeten voldoen. In onderstaande tabel is dit uitgewerkt in een aantal onderwerpen.

Onderdeel	Interne audit	Externe audit
Periodiciteit	Jaarlijks	Iedere 4 jaar
Doel	Heeft betrekking op één dan wel een aantal onderdelen van de wet en heeft tot doel voor het onderdeel of de onderdelen van de wet waar de interne audit zich op richt, op systematische wijze te toetsen of aan de bepalingen van de wet op adequate wijze uitvoering is gegeven	Op systematische wijze te toetsen of aan de bepalingen van de wet op adequate wijze uitvoering is gegeven
Type audit	Opzet, bestaan en werking	Opzet, bestaan en werking
Resultaat	Interne rapportage, op te leveren aan verwerkingsverantwoordelijke (vaak bestuur)	Auditrapportage ten behoeve van de AP
Auditor	Interne auditor heeft een auditorenopleiding van de politie gevolgd	Geregistreerde EDP-auditor (RE)

Scope en normenkader

Waar gaat de Wpg audit in dit geval specifiek over? De NOREA heeft een handreiking met een normenkader gepubliceerd voor het laten uitvoeren van de externe audit. In deze handreiking is ook de scope gedefinieerd:

Het object van onderzoek van een privacy audit Wpg bestaat uit de verwerkingen van politiegegevens die onder verantwoordelijkheid van de verwerkingsverantwoordelijke worden verwerkt.

Aanvulling hierbij is dat boa’s vaak te maken hebben met toezichttaken en opsporingstaken. De scope van de Wpg audit betreft de verwerkingen in het kader van opsporingstaken. Dit dient u dus vooraf goed in kaart te brengen: waar wordt wat vast gelegd ten behoeve van welke taak.

Het normenkader betreft 36 normen die globaal onder te verdelen zijn in:

1. Kaderstellende normen: aantonen dat inzichtelijk is welke verwerkingen plaatsvinden, beleid en classificaties (GEB / DPIA) rondom die verwerkingen, vastleggingen, beleggen juiste verantwoordelijkheden;
2. Toetsing verwerkingen: toetsing op noodzakelijkheid, rechtmatigheid, doelbinding, documentatieplicht, bewaartermijnen;
3. Verstrekkingen: toetsing op juiste uitvoering van verstrekkingen aan andere lidstaten, andere instanties, derde landen, samenwerkingsverbanden, rechtstreekse verstrekking;
4. Toegangsbeheer: procedure, autorisatiematrix, periodieke controles, in- en uitdienst;
5. Logging: juiste gegevens in logging, beschikbaarheid logging;
6. General IT Controls (GITC): change management, patch management, vulnerability scan / pentest, cryptografie;
7. Toezichthoudende zaken: jaarlijkse interne audits, toestemming voor bepaalde verwerkingen.

Werking

Het betreft een audit op opzet, bestaan en werking. Inzake de toetsing op de werking wordt onderscheid gemaakt tussen toezichtmaatregelen (gemarkeerd met TZM in de handreiking) en overige normen. De toetsing dient als volgt te worden uitgevoerd:

1. Verslagperiode: 9 maart 2019 – einddatum onderzoek externe privacy audit Wpg 2021 (uiterlijk 31 december 2021);
2. Toetsing opzet en bestaan: gelegen binnen de verslagperiode van 12 maanden;
3. Toetsing werking, maatregelen niet zijnde toezichtmaatregelen (TZM): een aaneengesloten periode van 12 maanden (gelegen in de verslagperiode);
4. Toetsing werking toezichtmaatregelen (TZM): de verslagperiode.

Samenwerkingsverbanden

Indien u zaken heeft uitbesteed aan leveranciers (applicaties) of andere organisaties, dan dienen zij zich ook aan u te verantwoorden middels een TPM rapportage óf u dient deze organisaties te betrekken in uw eigen audit (inclusive). Het is dus zaak om snel goed inzicht te krijgen in welke samenwerkingsverbanden of uitbestedingen een rol spelen en tijdig contact te zoeken met deze instanties.

Wat betekent dit concreet en wat moet ik nu doen?

Aangezien voor organisaties met boa’s de Wpg van overeenkomstige toepassing is sinds 2019 betekent dit dat u uiterlijk 31 december 2021 voor het eerst een externe audit moet laten uitvoeren. Ons advies is dan ook om zo snel mogelijk intern te inventariseren wat de scope van deze audit in uw organisatie is. Het aantal boa’s / aantal jaarlijkse verwerkingen beïnvloed namelijk nogal de hoeveelheid werk die op u afkomt. Wij adviseren daarom een aanpak als onderstaand:

1. Nulmeting: aangezien het de eerste keer is dat deze audit moet worden uitgevoerd en de materie voor veel mensen nieuw is, adviseren wij om een nulmeting uit te voeren. Doel van deze nulmeting is: duidelijk benoemen scope, inzicht in de te toetsen normen, inzicht in op te stellen dossier en inzicht in eventuele gaps;
2. Implementeren gaps: uw organisatie implementeert de geïdentificeerde gaps en bereidt een auditdossier voor;
3. Pre-audit: wij adviseren om een pre-audit uit te laten voeren waarbij uw dossier gezamenlijk wordt getoetst en waarmee u een beeld krijgt waar u staat en wat u nog moet doen;
4. Definitieve audit → uitvoeren definitieve audit, uiterlijk 31 december 2021.

Indien u de Wpg audit nu grondig aanpakt heeft u daar de komende jaren profijt van, waardoor de herhaalaudit soepel kan verlopen. Aangezien de zomervakantie voor de deur staat en het dan zo richting het (toch al drukke) najaar gaat adviseren wij u om hier wel snel actie op te ondernemen en contact op te nemen met uw auditor. Wij adviseren u uiteraard ook graag om deze nieuwe audit tot een goed einde te brengen. Indien u vragen heeft, neem dan contact op met een van onze IT-auditors.