Audit Wet politiegegevens (Wpg-audit)

Regels voor Wpg-audit

De wetgever heeft regels vastgesteld voor de manier waarop organisaties de interne en externe Wpg-audit moeten uitvoeren en voor de inhoud van de audits. Deze regels zijn opgenomen in:

• artikel 33 van de Wpg
• artikel 6:5 van het Besluit politiegegevens
• de Regeling periodieke audit politiegegevens.

Eisen aan Wpg-audit

Voor een Wpg-audit gelden voor u als organisatie onder meer de volgende eisen:

• De controle moet gaan over hoe het verwerken van politiegegevens is georganiseerd, de maatregelen en procedures die daarop van toepassing zijn en de werking van deze maatregelen en procedures.
• De uitvoerders van de Wpg-audits zijn verplicht de persoonsgegevens waarover zij de beschikking hebben gekregen geheim te houden.
• De externe auditor moet onafhankelijk zijn en voldoen aan de eisen aan werkwijze, deskundigheid en betrouwbaarheid die in de Regeling periodieke audit politiegegevens staan.
• De resultaten van de externe Wpg-audit (het auditrapport) moet u aan de Autoriteit Persoonsgegevens (AP) sturen.
• Blijkt uit de externe Wpg-audit dat u niet (volledig) voldoet aan de Wpg? Dan moet u een verbeterplan opstellen voor de onderdelen die niet aan de gestelde voorwaarden voldoen. Vervolgens moet u binnen 1 jaar een hercontrole laten uitvoeren. Het verbeterplan hoeft u niet aan de AP te sturen. De resultaten van de hercontrole wel.

Let op: De invulling en toepassing van deze regels zijn uw eigen verantwoordelijkheid. De AP kan hierover niet oordelen of adviseren.

De AP kan dit niet omdat het vraagt om een beoordeling van uw specifieke situatie met alle feiten, omstandigheden en belangen. En daar heeft niet de AP het beste zicht op, maar u als verwerkingsverantwoordelijke.

Rol FG bij Wpg-audit

U mag de Wpg-audits niet door uw functionaris gegevensbescherming (FG) laten uitvoeren. De taak van de FG is om toezicht te houden op de naleving van de Wpg in uw organisatie. Dit is inclusief de audits. Daarom kan de FG niet zelf de audits uitvoeren.

U mag de FG wel betrekken bij de uitvoering van de audits, omdat het de taak van de FG is om u te informeren en adviseren over de naleving van de Wpg. 

Wpg-auditplicht voor werkgevers van boa’s

Buitengewone opsporingsambtenaren (boa’s) die voor hun opsporingstaken persoonsgegevens verwerken, vallen onder de Wpg. Dit betekent dat de Wpg-auditplicht ook geldt voor werkgevers van boa’s.

U bent als werkgever van boa’s namelijk de verwerkingsverantwoordelijke. De Wpg-auditplicht geldt ook als u een private organisatie bent die boa’s in dienst heeft. U moet dus elk jaar een interne Wpg-audit doen en elke 4 jaar een externe Wpg-audit laten uitvoeren.

Let op: Huurt u boa’s in? Of is sprake van een samenwerkingsverband? Ook dan geldt dat u verantwoordelijk bent voor wat de boa’s in uw opdracht doen. Afhankelijk van de specifieke situatie kan de uitlenende partij of het samenwerkingsverband een audit (laten) uitvoeren, waarbij u als inhurende of samenwerkende partij verantwoordelijkheid neemt voor de resultaten. De resultaten kunnen immers aanleiding geven om afspraken te wijzigen.

Moment externe Wpg-audit boa’s

De Wpg bepaalt dat u als werkgever van boa's de externe audit 2 jaar na inwerkingtreding van de auditverplichting voor de eerste keer moet laten uitvoeren. Die auditverplichting is met ingang van 1 januari 2019 (inwerkingtreding van de nieuwe Wpg) van kracht geworden voor (de werkgevers van) boa’s.

U moest de eerste externe Wpg-audit dus in 2021 laten uitvoeren. En daarna moet u dit eenmaal in de 4 jaar doen. Dat betekent dat u de volgende externe Wpg-audit in 2025 moet laten uitvoeren (over de stand van zaken in 2024).

Template auditrapport

Wilt u de resultaten van uw audit vergelijken met die van anderen? En met de audits die u zelf in de toekomst uitvoert? Dan is het handig om een template te gebruiken. U kunt hiervoor bijvoorbeeld gebruikmaken van het template van NOREA, de beroepsorganisatie van IT-auditors. Zie hiervoor: Handreiking Privacy audit Wet politiegegevens (Wpg) voor Boa’s op de website van NOREA.

Aanleveren extern Wpg-auditrapport bij AP

U levert het rapport van de externe Wpg-audit digitaal aan via: wpg-audit@autoriteitpersoonsgegevens.nl. Let hierbij op de volgende punten:

• Verwijder namen van personen uit het document. Het is daarna niet nodig het document versleuteld te versturen.
• Kies voor een leesbaar bestandsformaat, bij voorkeur pdf/A.
• Zorg dat de grootte van het bestand niet meer is dan enkele MB’s.

U ontvangt na het versturen een automatische ontvangstbevestiging. Houd ook altijd een afschrift van de door u aangeleverde externe auditrapporten in uw eigen administratie.

U krijgt geen individuele reactie van de AP op uw auditrapport. De AP registreert de aangeleverde Wpg-auditrapporten. Daarmee kijkt de AP of u voldoet aan uw wettelijke verplichting om het auditrapport aan de AP te sturen. 

Verder gebruikt de AP de ingezonden auditrapporten als algemene input voor het toezicht van de AP. Bijvoorbeeld om te kijken of er over bepaalde onderwerpen meer voorlichting nodig is.

Opvolging externe Wpg-audit

Verder hoeft u niets te doen richting de AP. Uiteraard moet u zelf passende opvolging geven aan de externe Wpg-audit door verbeterplannen op te stellen en hercontroles uit te laten voeren.

Let op: Moet u na de externe Wpg-audit een verbeterplan opstellen? En binnen 1 jaar een hercontrole laten uitvoeren? Dan moet u de resultaten van de hercontrole aan de AP sturen.

Uw verbeterplan hoeft u niet aan de AP te sturen. Verslagen van interne Wpg-audits ook niet.