Skip to the content

De Wpg audit en de 4-jaarlijkse cyclus

De meeste organisaties met bijzondere opsporingsambtenaren (boa’s) in dienst hebben ondertussen voor de eerste keer een audit op de Wet politiegegevens (Wpg) laten uitvoeren of zijn hiermee bezig. Ondertussen is de tweede verslagperiode (1 januari 2022 tot en met uiterlijk 31 december 2025) van start gegaan. Het is dus zaak om tijdig na te denken over wat tijdens deze vier jaar van uw organisatie wordt verwacht.

Interne audit

Allereerst schrijft de wet voor dat u jaarlijks een interne audit moet laten uitvoeren. Artikel 3 van de Regeling periodieke audit politiegegevens schrijft voor dat u jaarlijks voor één, dan wel een aantal onderdelen van de wet systematisch moet toetsen of aan de wet wordt voldaan. Hierbij moet opzet, bestaan en werking worden getoetst. U moet voor het uitvoeren van deze interne audit een auditplan opstellen en u dient jaarlijks te rapporteren over de resultaten van de audit aan de verwerkingsverantwoordelijke (doorgaans de werkgever van de boa).

Zie ook Wpg audit: Help, ik moet een interne audit doen! voor handvatten hoe u de interne audit vorm kunt geven.

Toezichtmaatregelen

De Wpg audit wordt uitgevoerd op basis van de handreiking van de NOREA. Hierin is het normenkader gedefinieerd en is gespecificeerd over welke periode de werking op deze normen moet worden getoetst. De verslagperiode van een Wpg audit gaat over vier jaar. Normaliter zou werking dan getoetst moeten worden over deze vier jaar, maar voor een groot aantal normen is het niet wenselijk, zo niet onmogelijk, om de werking voor alle beheersingsmaatregelen over zo’n lange periode te toetsen.

De NOREA heeft daarom bepaald dat in beginsel de werking voor alle normen getoetst moet worden over een aaneengesloten periode van twaalf maanden. Uitzondering hierop vormen de zogenaamde Toezichtmaatregelen. Voor deze maatregelen dient de werking wél over de hele verslagperiode te worden getoetst. Dit betekent dus dat u hier dit jaar al mee aan de slag moet.

Welke maatregelen betreft dit dan?

Voor de volgende maatregelen wordt verwacht dat u de werking jaarlijks kunt aantonen (bron: handreiking NOREA, bijlage 1):

  1. Norm 2 Doelbinding: Stel vast of de FG jaarlijks toezicht houdt op doelbinding;
  2. Norm 3 Noodzakelijkheid en rechtmatigheid, vermelding herkomst: Inspectie van de controles die door de FG of PO zijn uitgevoerd tijdens de onderzoeksperiode;
  3. Norm 4 Juistheid en volledigheid politiegegevens: Inspectie van de controles die door de FG of PO zijn uitgevoerd tijdens de onderzoeksperiode;
  4. Norm 6 Gegevensbescherming door beveiliging en ontwerp: Inspectie van de controles die door de FG of PO zijn uitgevoerd tijdens de onderzoeksperiode;
  5. Norm 28 Logging: Stel vast dat logbestanden beschikbaar zijn over de (afgelopen) verslagperiode;
  6. Norm 29 Audits:
    • a. Inspecteer de auditplanning (zowel intern als extern);
    • b. Inspecteer de relevante interne auditrapportage(s);
    • c. Inspecteer de scope en resultaten van de jaarlijkse interne audits en stel vast of de interne audits voldoen aan de vereisten (zie par. 2.5 van de handreiking);
    • d. Stel vast of de interne auditor(en) voldoen aan de bekwaamheidseisen (zie par. 2.2 van de handreiking);
  7. Norm 31 Functionaris voor gegevensbescherming:
    • a. Stel vast dat de FG toezicht houdt op:
      • i. het naleven van de Wpg;
      • ii. het beleid van de verwerkingsverantwoordelijke met betrekking tot de bescherming van persoonsgegevens;
      • iii. de toewijzing van de autorisaties, bedoeld in art 6;
      • iv. de bewustmaking en opleiding van de boa’s en andere functionarissen die betrokken zijn bij de verwerking van politiegegevens;
      • v. de audits;
      • vi. de uitvoering van de DPIA's;
    • b. Stel vast dat de FG jaarlijks aan de verwerkingsverantwoordelijke rapporteert over de bevindingen m.b.t. de Wpg.

Concreet betekent dit dus dat u jaarlijks moet kunnen aantonen dat u vooral zélf intern, los van de interne en de externe audit, toezicht houdt op een aantal eisen zoals gesteld in de wet. Daarnaast dient logging beschikbaar te zijn over de verslagperiode.

Hoe nu verder?

Ons advies is om, naast het goed beleggen van de interne audit, zo snel mogelijk intern duidelijk te maken wie verantwoordelijk is voor de toezichtmaatregelen. Start vervolgens met het maken van een plan: hoe gaat u aantoonbaar het gevraagde toezicht houden? Inzake de logging adviseren wij om contact op te nemen met uw leveranciers / hosting partij en met hen te overleggen of en hoe aan deze norm kan worden voldaan. Let bij het uitzetten van de acties goed op het onderscheid tussen interne en externe audit en de rol van de FG, dit kan per definitie niet dezelfde persoon zijn aangezien middels de audits een groot deel van de activiteiten van de FG worden getoetst.

Hulp nodig?

Heeft u hulp nodig bij het implementeren van de toezichtmaatregelen of wilt u eens sparren over hoe u het beste de interne en externe audit voor de komende verslagperiode vorm kunt geven? Wij helpen u graag! 

 

Over de auteur

Rogier Haest

RE CISA IT-auditor
T: 076-5019470
Stel uw vraag

Contact

Vragen over onze IT-audit diensten of autorisatiesoftware voor Microsoft Dynamics?
Wij beantwoorden ze graag.